Übung: Zuweisen von Microsoft Entra-Rollen in Privileged Identity Management

  • 10 Minuten

Mit Microsoft Entra ID können globale Administrator*innen permanente Microsoft Entra Administratorrollenzuweisungen vornehmen. Diese Rollenzuweisungen können über das Azure-Portal oder über PowerShell-Befehle erstellt werden.

Der Dienst Microsoft Entra Privileged Identity Management (PIM) ermöglicht es Administrator*innen für privilegierte Rollen auch, Rollenzuweisungen für permanente Administrator*innen vorzunehmen. Außerdem können Administrator*innen für privilegierte Rollen Benutzer*innen als für Microsoft Entra-Administratorrollen berechtigt festlegen. Ein berechtigter Administrator kann die Rolle bei Bedarf aktivieren, und die entsprechenden Berechtigungen laufen nach einem bestimmten Zeitraum ab.

Zuweisen einer Rolle

Führen Sie folgende Schritte aus, um Benutzer*innen als für eine Microsoft Entra-Administratorrolle berechtigt festzulegen.

  1. Melden Sie sich beim Microsoft Entra Admin Center als Mandantenadministrator an.

  2. Suchen und wählen Sie dann Microsoft Entra Privileged Identity Management aus.

  3. Klicken Sie auf dem Bildschirm „Privileged Identity Management“ im linken Navigationsbereich auf Microsoft Entra-Rollen.

  4. Klicken Sie auf der Seite „Schnellstart“ im linken Navigationsbereich auf Rollen.

  5. Klicken Sie im oberen Menü auf Zuweisungen hinzufügen.

    Screenshot of the Microsoft Entra roles with Add assignments menu highlighted.

  6. Überprüfen Sie die Einstellungen auf dem Blatt „Zuweisungen hinzufügen“ auf der Registerkarte Mitgliedschaft.

  7. Wählen Sie das Menü Rolle auswählen aus, und klicken Sie dann auf Complianceadministrator. Mithilfe des Felds Nach Rollenname suchen können Sie nach einer Rolle suchen.

  8. Wählen Sie unter Mitglied(er) auswählen die Option Keine Mitglieder ausgewählt aus.

  9. Wählen Sie im Bereich „Mitglied auswählen“ Ihr Administratorkonto aus, und wählen Sie dann Auswählen aus.

    Screenshot of the select a member pane with a selected member highlighted.

  10. Klicken Sie auf dem Bildschirm „Zuweisungen hinzufügen“ auf Weiter.

  11. Überprüfen Sie auf der Registerkarte Einstellungen unter Zuweisungstyp die verfügbaren Optionen. Verwenden Sie für diese Aufgabe die Standardeinstellung.

    • Für berechtigte Zuweisungen muss das Mitglied der Rolle eine Aktion durchführen, um die Rolle verwenden zu können. Beispiele für Aktionen sind eine erfolgreiche Multi-Faktor-Authentifizierung (MFA)-Überprüfung, die Angabe einer geschäftlichen Begründung oder das Anfordern einer Genehmigung von den angegebenen genehmigenden Personen.
    • Für aktive Zuweisungen ist es nicht erforderlich, dass das Mitglied eine Aktion durchführt, um die Rolle nutzen zu können. Bei als aktiv zugewiesenen Mitgliedern sind die Berechtigungen immer der Rolle zugewiesen.

  12. Überprüfen Sie die restlichen Einstellungen, und klicken Sie dann auf Zuweisen.

Aktivieren Ihrer Microsoft Entra-Rollen

Wenn Sie eine Microsoft Entra-Rolle annehmen müssen, können Sie in Privileged Identity Management die Aktivierung anfordern, indem Sie die Option Meine Rollen öffnen.

  1. Klicken Sie auf dem Bildschirm „Privileged Identity Management“ im linken Navigationsmenü auf Meine Rollen.

  2. Überprüfen Sie im Bereich „Meine Rollen“ die Liste der berechtigten Zuweisungen.

    Screenshot of the My roles with eligible role assignments highlighted. Pick the role you need.

  3. Wählen Sie in der Zeile der Rolle „Complianceadministrator“ die Option Aktivieren aus.

  4. Klicken Sie im Bereich „Aktivieren – Complianceadministrator“ auf die Option Zusätzliche Überprüfung erforderlich, und führen Sie dann die Schritte zur Bereitstellung einer zusätzlichen Sicherheitsüberprüfung aus. Sie müssen sich nur ein Mal pro Sitzung authentifizieren.

    Screenshot of a popup to activate the compliance administrator.

  5. Geben Sie nach Abschluss der zusätzlichen Sicherheitsüberprüfung im Bereich „Aktivieren – Complianceadministrator“ im Feld Gründe eine Begründung für die Aktivierung dieser Rolle ein.

  6. Wählen Sie Aktivierenaus.

Zuweisen einer Rolle mit eingeschränktem Bereich

Bei bestimmten Rollen kann der Bereich der erteilten Berechtigungen auf eine einzelne Verwaltungseinheit, einen Dienstprinzipal oder eine Anwendung beschränkt werden. Dieses Verfahren ist ein Beispiel für die Zuweisung einer Rolle, die den Bereich einer Verwaltungseinheit aufweist.

  1. Navigieren Sie zum Bildschirm „Privileged Identity Management“, und wählen Sie im linken Navigationsmenü Microsoft Entra-Rollen aus.

  2. Klicken Sie im Bereich „Rollen“ im oberen Menü auf + Zuweisungen hinzufügen.

  3. Wählen Sie auf dem Bildschirm „Zuweisungen hinzufügen“ unter Rolle auswählen die Option Benutzeradministrator aus.

  4. Klicken Sie auf das Menü Bereichstyp, und überprüfen Sie die verfügbaren Optionen. Wählen Sie für die Übung den Bereichstyp Verzeichnis aus.

    Tipp

    Informationen zum Bereichstyp „Verwaltungseinheit“ finden Sie unter Verwalten von Verwaltungseinheiten in Microsoft Entra ID.

  5. Ähnlich dem Zuweisen einer Rolle ohne eingeschränkten Bereich. Fügen Sie Mitglieder hinzu, und schließen Sie die Einstellungsoptionen ab. Klicken Sie für den Moment jedoch auf Abbrechen.

Aktualisieren oder Entfernen einer vorhandenen Rollenzuweisung

Befolgen Sie diese Anweisungen zum Aktualisieren oder Entfernen einer vorhandenen Rollenzuweisung.

  1. Wählen Sie auf dem Bildschirm „Microsoft Entra Privileged Identity Management öffnen > Microsoft Entra-Rollen“ im linken Navigationsbereich Zuweisungen aus.

  2. Überprüfen Sie in der Liste Zuweisungen unter „Complianceadministrator“ die Optionen in der Spalte Aktion.

    Screenshot of the options listed in the action column of the Compliance Administrator.

  3. Wählen Sie Aktualisieren aus, und überprüfen Sie die im Bereich „Mitgliedschaftseinstellungen“ verfügbaren Optionen. Wenn Sie fertig sind, schließen Sie den Bereich.

  4. Wählen Sie Entfernen.

  5. Überprüfen Sie im Dialogfeld Entfernen die Informationen, und wählen Sie dann Ja aus.