Aktivieren einer Microsoft Entra-Rolle in PIM

Microsoft Entra Privileged Identity Management (PIM) vereinfacht die Art und Weise, in der Unternehmen den privilegierten Zugriff auf Ressourcen in Microsoft Entra ID und anderen Microsoft-Onlinediensten wie Microsoft 365 oder Microsoft Intune verwalten.

Falls Sie zu einer Administratorrolle berechtigt sind, müssen Sie die Rollenzuweisung aktivieren, wenn Sie privilegierte Aufgaben ausführen möchten. Wenn Sie beispielsweise gelegentlich Microsoft 365-Funktionen verwalten, werden Sie von den Administratoren und Administratorinnen für privilegierte Rollen Ihrer Organisation möglicherweise nicht als permanenter „Globaler Administrator“ festgelegt, da sich diese Rolle auch auf andere Dienste auswirkt. Stattdessen erteilen sie Ihnen Berechtigungen für Microsoft Entra-Rollen (beispielsweise Exchange Online-Administrator). Sie können eine Aktivierung dieser Rolle anfordern, wenn Sie diese Berechtigungen benötigen, und verfügen damit für einen vordefinierten Zeitraum über Administratorsteuerung.

Dieser Artikel richtet sich an Administrator*innen, die ihre Microsoft Entra-Rolle in Privileged Identity Management aktivieren müssen. Obwohl jeder Benutzer und jede Benutzerin eine Anforderung für die von ihm bzw. ihr benötigte Rolle über PIM senden kann, ohne die Rolle „Privilegierter Rollenadministrator“ (PRA) zu besitzen, ist diese Rolle für die Verwaltung und Zuweisung von Rollen an andere Personen innerhalb der Organisation erforderlich.

Wichtig

Wenn eine Rolle aktiviert wird, fügt Microsoft Entra PIM vorübergehend eine aktive Zuweisung für die Rolle hinzu. Microsoft Entra PIM erstellt innerhalb von Sekunden eine aktive Zuweisung (weist einem Benutzer eine Rolle zu). Wenn die Deaktivierung (manuell oder durch den Ablauf der Aktivierungszeit) erfolgt, entfernt Microsoft Entra PIM auch die aktive Zuweisung innerhalb von Sekunden.

Die Anwendung kann den Zugriff basierend auf der Rolle des Benutzers ermöglichen. In einigen Situationen spiegelt der Anwendungszugriff möglicherweise nicht sofort die Tatsache wider, dass dem Benutzer eine Rolle zugewiesen oder eine Rollenzuweisung aufgehoben wurde. Wenn die Anwendung zuvor die Tatsache zwischengespeichert hat, dass der Benutzer keine Rolle hat – wenn der Benutzer erneut versucht, auf die Anwendung zuzugreifen, wird möglicherweise kein Zugriff gewährt. Wenn die Anwendung zuvor die Tatsache zwischengespeichert hat, dass der Benutzer eine Rolle hat – wenn die Rolle deaktiviert ist, wird dem Benutzer möglicherweise weiterhin Zugriff gewährt. Die spezifische Situation hängt von der Architektur der Anwendung ab. Bei einigen Anwendungen kann das Abmelden und das erneute Anmelden dazu beitragen, Zugriffsrechte hinzuzufügen oder zu entfernen.

Voraussetzungen

Keine

Aktivieren einer Rolle

Wenn Sie eine Microsoft Entra-Rolle annehmen müssen, können Sie in Privileged Identity Management die Aktivierung anfordern, indem Sie die Option Meine Rollen öffnen.

Hinweis

PIM ist jetzt in der mobilen Azure-App (iOS | Android) für Microsoft Entra ID und Azure-Ressourcenrollen verfügbar. Aktivieren Sie ganz einfach berechtigte Zuweisungen, fordern Sie Verlängerungen für die ablaufenden an, oder überprüfen Sie den Status ausstehender Anforderungen. Unten finden Sie weitere Informationen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

  2. Navigieren Sie zu Identitätsgovernance>Privileged Identity Management>Meine Rollen. Informationen zum Hinzufügen der Privileged Identity Management-Kachel zu Ihrem Dashboard finden Sie unter Einstieg in die Verwendung von PIM.

  3. Wählen Sie Microsoft Entra-Rollen aus, um eine Liste Ihrer berechtigten Microsoft Entra-Rollen anzuzeigen.

    Seite „Meine Rollen“ mit den Rollen, die aktiviert werden können

  4. Suchen Sie in der Liste Microsoft Entra-Rollen die zu aktivierende Rolle.

    Microsoft Entra-Rollen: Liste meiner berechtigten Rollen

  5. Wählen Sie Aktivieren aus, um den Bereich „Aktivieren“ zu öffnen.

    Microsoft Entra-Rollen: Aktivierungsseite mit Dauer und Bereich

  6. Wählen Sie Zusätzliche Überprüfung erforderlich aus, und gehen Sie gemäß den Anweisungen vor, um die Sicherheitsüberprüfung zu durchlaufen. Sie müssen sich nur einmal pro Sitzung authentifizieren.

    Anzeige, die eine Sicherheitsüberprüfung wie z. B. einen PIN-Code verlangt

  7. Wählen Sie nach der Multi-Faktor-Authentifizierung Aktivieren aus, bevor Sie den Vorgang fortsetzen.

    Bestätigen meiner Identität mit MFA vor der Rollenaktivierung

  8. Wenn Sie einen reduzierten Bereich angeben möchten, wählen Sie Bereich aus, um den Filterbereich zu öffnen. Im Filterbereich können Sie die Microsoft Entra-Ressourcen angeben, auf die Sie Zugriff benötigen. Es empfiehlt sich, Zugriff auf möglichst wenige benötigte Ressourcen anzufordern.

  9. Falls erforderlich, geben Sie einen Startzeitpunkt für die Aktivierung an. Die Microsoft Entra-Rolle wird dann nach dem ausgewählten Zeitpunkt aktiviert.

  10. Geben Sie im Feld Grund den Grund für die Aktivierungsanforderung ein.

  11. Wählen Sie Aktivierenaus.

    Wenn für die Aktivierung der Rolle eine Genehmigung erforderlich ist, wird in der rechten oberen Ecke des Browsers eine Benachrichtigung angezeigt, in der Sie darüber informiert werden, dass die Genehmigung der Anforderung aussteht.

    Ausstehende Genehmigung für die Aktivierungsanforderung

    Aktivieren einer Rolle mithilfe der Microsoft Graph-API

    Weitere Informationen zu Microsoft Graph-APIs für PIM finden Sie unter Übersicht über die Rollenverwaltung über die API für Privileged Identity Management (PIM).

    Abrufen aller berechtigten Rollen, die Sie aktivieren können

    Wenn ein Benutzer seine Rollenberechtigung über Gruppenmitgliedschaft erhält, gibt diese Microsoft Graph-Anforderung seine Berechtigung nicht zurück.

    HTTP-Anforderung

    GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests/filterByCurrentUser(on='principal')  
    

    HTTP-Antwort

    Um Speicherplatz zu sparen, zeigen wir nur die Antwort für eine Rolle an. Aber alle in Frage kommenden Rollenzuweisungen, die Sie aktivieren können, werden aufgelistet.

    {
        "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleEligibilityScheduleRequest)",
        "value": [
            {
                "@odata.type": "#microsoft.graph.unifiedRoleEligibilityScheduleRequest",
                "id": "50d34326-f243-4540-8bb5-2af6692aafd0",
                "status": "Provisioned",
                "createdDateTime": "2022-04-12T18:26:08.843Z",
                "completedDateTime": "2022-04-12T18:26:08.89Z",
                "approvalId": null,
                "customData": null,
                "action": "adminAssign",
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
                "directoryScopeId": "/",
                "appScopeId": null,
                "isValidationOnly": false,
                "targetScheduleId": "50d34326-f243-4540-8bb5-2af6692aafd0",
                "justification": "Assign Attribute Assignment Admin eligibility to myself",
                "createdBy": {
                    "application": null,
                    "device": null,
                    "user": {
                        "displayName": null,
                        "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
                    }
                },
                "scheduleInfo": {
                    "startDateTime": "2022-04-12T18:26:08.8911834Z",
                    "recurrence": null,
                    "expiration": {
                        "type": "afterDateTime",
                        "endDateTime": "2024-04-10T00:00:00Z",
                        "duration": null
                    }
                },
                "ticketInfo": {
                    "ticketNumber": null,
                    "ticketSystem": null
                }
            }
        ]
    }
    

    Selbstaktivieren eine Rollenberechtigung mit Begründung

    HTTP-Anforderung

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 
    
    {
        "action": "selfActivate",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
        "directoryScopeId": "/",
        "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
        "scheduleInfo": {
            "startDateTime": "2022-04-14T00:00:00.000Z",
            "expiration": {
                "type": "AfterDuration",
                "duration": "PT5H"
            }
        },
        "ticketInfo": {
            "ticketNumber": "CONTOSO:Normal-67890",
            "ticketSystem": "MS Project"
        }
    }
    

    HTTP-Antwort

    HTTP/1.1 201 Created
    Content-Type: application/json
    
    {
        "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
        "id": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
        "status": "Granted",
        "createdDateTime": "2022-04-13T08:52:32.6485851Z",
        "completedDateTime": "2022-04-14T00:00:00Z",
        "approvalId": null,
        "customData": null,
        "action": "selfActivate",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
        "directoryScopeId": "/",
        "appScopeId": null,
        "isValidationOnly": false,
        "targetScheduleId": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
        "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
        "createdBy": {
            "application": null,
            "device": null,
            "user": {
                "displayName": null,
                "id": "071cc716-8147-4397-a5ba-b2105951cc0b"
            }
        },
        "scheduleInfo": {
            "startDateTime": "2022-04-14T00:00:00Z",
            "recurrence": null,
            "expiration": {
                "type": "afterDuration",
                "endDateTime": null,
                "duration": "PT5H"
            }
        },
        "ticketInfo": {
            "ticketNumber": "CONTOSO:Normal-67890",
            "ticketSystem": "MS Project"
        }
    }
    

Anzeigen des Status von Aktivierungsanforderungen

Sie können den Status Ihrer ausstehenden Aktivierungsanforderungen anzeigen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

  2. Navigieren Sie zu Identitätsgovernance>Privileged Identity Management>Meine Anforderungen.

  3. Wenn Sie Meine Anforderungen auswählen, wird eine Liste mit Ihren Anforderungen von Microsoft Entra-Rollen und Azure-Ressourcenrollen angezeigt.

    Screenshot der Seite „Meine Anforderungen – Microsoft Entra ID“ mit Ihren ausstehenden Anforderungen

  4. Scrollen Sie nach rechts, um die Spalte Anforderungsstatus anzuzeigen.

Abbrechen einer ausstehenden Anforderung für die neue Version

Wenn die Aktivierung einer genehmigungspflichtigen Rolle für Sie nicht erforderlich ist, können Sie eine ausstehende Anforderung jederzeit abbrechen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

  2. Navigieren Sie zu Identitätsgovernance>Privileged Identity Management>Meine Anforderungen.

  3. Wählen Sie für die Rolle, für die Sie eine ausstehende Anforderung abbrechen möchten, den Link Abbrechen aus.

    Durch Auswählen von Abbrechen wird die Anforderung abgebrochen. Um die Rolle erneut zu aktivieren, müssen Sie eine neue Anforderung zur Aktivierung übermitteln.

    Liste „Meine Anforderungen“ mit hervorgehobener Aktion „Abbrechen“

Deaktivieren einer Rollenzuweisung

Wenn eine Rollenzuweisung aktiviert ist, wird im PIM-Portal die Option Deaktivieren für die Rollenzuweisung angezeigt. Außerdem können Sie eine Rollenzuweisung nicht innerhalb von fünf Minuten nach Aktivierung deaktivieren.

Aktivieren von PIM-Rollen mithilfe der mobilen Azure-App

PIM ist jetzt in den mobilen Apps von Microsoft Entra ID und Azure-Ressourcenrollen sowohl für iOS als auch für Android verfügbar.

  1. Um eine berechtigte Microsoft Entra-Rollenzuweisung zu aktivieren, laden Sie zunächst die mobile Azure-App herunter (iOS | Android). Sie können die App auch herunterladen, indem Sie „Auf Mobilgerät öffnen“ unter „Privileged Identity Management > Meine Rollen > Microsoft Entra-Rollen“ auswählen.

    Screenshot: Herunterladen der mobilen App

  2. Öffnen Sie die mobile Azure-App, und melden Sie sich an. Wählen Sie die Karte Privileged Identity Management aus, und wählen Sie Meine Microsoft Entra-Rollen aus, um Ihre berechtigten und aktiven Rollenzuweisungen anzuzeigen.

    Screenshots: Mobile App, die zeigt, wie ein Benutzer verfügbare Rollen anzeigen würde

  3. Wählen Sie die Rollenzuweisung aus, und klicken Sie unter den Rollenzuweisungsdetails auf Aktion > Aktivieren. Führen Sie die Schritte zum Aktivieren aus, und geben Sie alle erforderlichen Details ein, bevor Sie unten auf „Aktivieren“ klicken.

    Screenshot der mobilen App, der zeigt, wie Benutzer und Benutzerinnen die erforderlichen Informationen eingeben

  4. Zeigen Sie den Status Ihrer Aktivierungsanforderungen und Ihre Rollenzuweisungen unter Meine Microsoft Entra-Rollen an.

    Screenshot: Mobile App mit dem Rollenstatus des Benutzers