Planen und Konfigurieren von Gruppen mit privilegiertem Zugriff
In Privileged Identity Management (PIM) kann nun die Berechtigung zur Mitgliedschaft in privilegierten Zugriffsgruppen oder zum Besitz privilegierter Zugriffsgruppen zugewiesen werden. Sie können Cloudgruppen integrierte Microsoft Entra ID-Rollen zuweisen und die Berechtigung und Aktivierung von Gruppenmitgliedern und -besitzern mithilfe von PIM verwalten. Mit der Vorschauversion privilegierter Zugriffsgruppen können Sie workloadspezifischen Administratoren mit einer einzelnen Just-In-Time-Anforderung schnell Zugriff auf mehrere Rollen gewähren.
Ein Beispiel: Ihre Office-Administratoren der Ebene 0 benötigen ggf. täglich Just-In-Time-Zugriff auf die Rollen Exchange-Administrator, Administrator für Office-Apps, Teams-Administrator und Suchadministrator, um Vorfälle sorgfältig untersuchen zu können.
Sie können eine Gruppe namens „Office-Administratoren der Ebene 0“ erstellen, der Rollen zugewiesen werden können, und diese Gruppe als berechtigt für die Zuweisung der vier zuvor genannten Rollen (oder anderen integrierten Microsoft Entra-Rollen) festlegen. Dann aktivieren Sie sie für privilegierten Zugriff im Abschnitt „Aktivität“ der Gruppe. Wenn für die Gruppe der privilegierte Zugriff aktiviert ist, können Sie ihr Administratoren und Besitzer zuweisen. Wenn die Administrator*innen die Rollen für die Gruppe festlegen, verfügen Ihre Mitarbeiter*innen über die Berechtigungen aller vier Microsoft Entra-Rollen.
Verwenden unterschiedlicher Richtlinien für Gruppen, die Rollen zugewiesen werden können
Einige Organisationen verwenden Tools wie Microsoft Entra B2B-Zusammenarbeit (Business-to-Business), um ihre Partner als Gäste in ihre Microsoft Entra-Organisation einzuladen. Anstelle einer einzelnen Just-In-Time-Richtlinie für alle Zuweisungen zu einer privilegierten Rolle können Sie zwei unterschiedliche privilegierte Zugriffsgruppen mit jeweils eigenen Richtlinien erstellen. So können Sie weniger strenge Anforderungen für Ihre vertrauenswürdigen Mitarbeiter und strengere Anforderungen wie etwa einen Genehmigungsworkflow für Ihre Partner erzwingen, wenn diese eine Aktivierung in der zugewiesenen Rolle anfordern.
