Privileged Identity Management (PIM) für Gruppen

Microsoft Entra ID ermöglicht es Ihnen, Benutzer*innen über Privileged Identity Management (PIM) für Gruppen Just-in-Time-Mitgliedschaft und -Gruppenbesitz zu gewähren. Gruppen können verwendet werden, um den Zugriff auf verschiedene Szenarien zu steuern, z. B. Microsoft Entra-Rollen, Azure-Rollen, Azure SQL, Azure Key Vault, Intune, andere Anwendungsrollen und Drittanbieteranwendungen.

Was ist PIM für Gruppen?

PIM für Gruppen ist Bestandteil von Microsoft Entra Privileged Identity Management. Neben PIM für Microsoft Entra-Rollen und PIM für Azure-Ressourcen ermöglicht PIM für Gruppen Benutzern, den Besitz oder die Mitgliedschaft einer Microsoft Entra-Sicherheitsgruppe oder einer Microsoft 365-Gruppe zu aktivieren. Gruppen können verwendet werden, um den Zugriff auf verschiedene Szenarien zu kontrollieren, z. B. Microsoft Entra-Rollen, Azure-Rollen, Azure SQL, Azure Key Vault, Intune, andere Anwendungsrollen und Drittanbieteranwendungen.

Mit PIM für Gruppen können Sie ähnliche Richtlinien wie in PIM für Microsoft Entra-Rollen und PIM für Azure-Ressourcen verwenden: Sie können eine Genehmigung für die Aktivierung der Mitgliedschaft oder des Besitzes anfordern, eine Multi-Faktor-Authentifizierung (MFA) erzwingen, Begründungen anfordern, die maximale Aktivierungszeit begrenzen und vieles mehr. Jede Gruppe in PIM für Gruppen umfasst zwei Richtlinien: eine für die Aktivierung der Mitgliedschaft und eine weitere für die Aktivierung des Besitzes in der Gruppe. Bis Januar 2023 wurde das Feature PIM für Gruppen als „Gruppen mit privilegiertem Zugriff“ bezeichnet.

Hinweis

Für Gruppen, die für Rechteerweiterungen unter Verwendung von Microsoft Entra-Rollen genutzt werden, wird empfohlen, einen verpflichtenden Genehmigungsprozess für die Zuweisung berechtigter Mitglieder festzulegen. Zuweisungen, die ohne Genehmigung aktiviert werden können, können Sie anfällig für ein Sicherheitsrisiko durch Administratoren mit geringeren Privilegien machen. Beispielsweise verfügt der Helpdeskadministrator über die Berechtigung zum Zurücksetzen der Kennwörter eines berechtigten Benutzers.

Was sind Microsoft Entra-Gruppen, denen Rollen zugewiesen werden können?

Bei der Verwendung von Microsoft Entra ID können Sie einer Microsoft Entra ID-Rolle eine Entra ID-Sicherheitsgruppe oder eine Microsoft 365-Gruppe zuweisen. Dies ist nur bei Gruppen möglich, die als Gruppen erstellt wurden, denen Rollen zugewiesen werden können.

Weitere Informationen zu Gruppen, denen Microsoft Entra ID-Rollen zugewiesen werden können, finden Sie unter Erstellen einer Gruppe in Microsoft Entra ID für das Zuweisen von Rollen.

Gruppen, denen Rollen zugewiesen werden können, profitieren im Vergleich zu Gruppen, denen keine Rollen zugewiesen werden können, von zusätzlichen Schutzmaßnahmen:

  • Gruppen, denen Rollen zugewiesen werden können: Nur globale Administratoren, Administratoren für privilegierte Rollen und Gruppenbesitzer können die Gruppe verwalten. Außerdem können keine anderen Benutzer die Anmeldeinformationen der Benutzer ändern, die (aktive) Mitglieder der Gruppe sind. Dieses Feature hilft zu verhindern, dass Administratoren auf eine Rolle mit höheren Berechtigungen hochgestuft werden, ohne ein Anforderungs- und Genehmigungsverfahren zu durchlaufen.
  • Gruppen, denen keine Rollen zugewiesen werden können: Verschiedene Microsoft Entra-Rollen können diese Gruppen verwalten – beispielsweise Exchange-Administratoren, Gruppenadministratoren und Benutzeradministratoren. Außerdem können verschiedene Microsoft Entra-Rollen die Anmeldeinformationen der Benutzer*innen ändern, die (aktive) Mitglieder der Gruppe sind – beispielsweise Authentifizierungsadministratoren, Helpdeskadministratoren und Benutzeradministratoren.

Weitere Informationen zu integrierten Microsoft Entra ID-Rollen und deren Berechtigungen finden Sie unter Integrierte Rollen in Microsoft Entra.

Microsoft Entra Rollenzuweisungsfunktion für Gruppen ist nicht Teil von Microsoft Entra Privileged Identity Management (Microsoft Entra PIM). Weitere Informationen zur Lizenzierung finden Sie unter Microsoft Entra ID Governance-Lizenzierungsgrundlagen.

Beziehung zwischen Gruppen, denen Rollen zugewiesen werden können, und PIM für Gruppen

Gruppen in Microsoft Entra ID können als „Gruppen, denen Rollen zugewiesen werden können“ oder als „Gruppen, denen keine Rollen zugewiesen werden können“ klassifiziert werden. Darüber hinaus kann jede Gruppe für die Verwendung mit Microsoft Entra Privileged Identity Management (PIM) für Gruppen aktiviert oder nicht aktiviert werden. Dies sind unabhängige Eigenschaften der Gruppe. Jede Microsoft Entra-Sicherheitsgruppe und jede Microsoft 365-Gruppe (mit Ausnahme von Gruppen mit dynamischer Mitgliedschaft und Gruppen, die aus einer lokalen Umgebung synchronisiert wurden) kann in PIM für Gruppen aktiviert werden. Damit eine Gruppe in PIM für Gruppen aktiviert werden kann, muss es sich dabei nicht um eine Gruppe handeln, der Rollen zugewiesen werden können.

Wenn Sie einer Gruppe eine Microsoft Entra-Rolle zuweisen möchten, muss es sich dabei um eine Gruppe handeln, der Rollen zugewiesen werden können. Wenn Sie der Gruppe zwar keine Microsoft Entra ID-Rolle zuweisen möchten, sie aber Zugriff auf vertrauliche Ressourcen bietet, sollten Sie die Gruppe trotzdem als Gruppe erstellen, der Rollen zugewiesen werden können. Der Grund dafür sind die zusätzlichen Schutzmaßnahmen, die für Gruppen gelten, denen Rollen zugewiesen werden können. Weitere Informationen hierzu finden Sie oben im Abschnitt Was sind Microsoft Entra ID-Gruppen, denen Rollen zugewiesen werden können?.

Wichtig

Bis Januar 2023 musste es sich bei allen Gruppen mit privilegiertem Zugriff (früherer Name des Features PIM für Gruppen) um Gruppen handeln, denen Rollen zugewiesen werden können. Diese Einschränkung wird derzeit aufgehoben. Aus diesem Grund ist es jetzt möglich, mehr als 500 Gruppen pro Mandant in PIM zu aktivieren, es dürfen aber nur maximal 500 Gruppen vorhanden sein, denen Rollen zugewiesen werden können.

Festlegen einer Benutzergruppe als berechtigt für eine Microsoft Entra ID-Rolle

Es gibt zwei Möglichkeiten, eine Benutzergruppe als für eine Microsoft Entra ID-Rolle berechtigt festzulegen:

  1. Sie können der Gruppe aktiv Benutzer zuweisen und dann die Gruppe einer Rolle zuweisen, die für die Aktivierung berechtigt ist.
  2. Sie können einer Gruppe aktiv eine Rolle zuweisen und dann Benutzer zuweisen, die für eine Gruppenmitgliedschaft berechtigt sind.

Wenn Sie einer Benutzergruppe Just-In-Time-Zugriff auf Microsoft Entra-Rollen gewähren möchten, die über Berechtigungen in SharePoint, in Exchange oder im Security & Microsoft Purview-Complianceportal (z. B. die Rolle Exchange-Administrator) verfügen, müssen Sie der Gruppe aktiv Benutzer*innen zuweisen und dann die Gruppe einer Rolle zuweisen, die für die Aktivierung berechtigt ist (Option#1 oben). Wenn Sie stattdessen einer Gruppe aktiv eine Rolle und dann für eine Gruppenmitgliedschaft berechtigte Benutzer zuweisen, kann es lange dauern, bis alle Berechtigungen der Rolle aktiviert sind und verwendet werden können.

Privileged Identity Management und Gruppenverschachtelung

In Microsoft Entra ID dürfen in Gruppen, denen Rollen zugewiesen werden können, keine weiteren Gruppen geschachtelt sein. Siehe Verwenden von Microsoft Entra-Gruppen zum Verwalten von Rollenzuweisungen Dies gilt für die aktive Mitgliedschaft: Eine Gruppe kann kein aktives Mitglied einer anderen Gruppe sein, der Rollen zugewiesen werden können.

Eine Gruppe kann ein berechtigtes Mitglied einer anderen Gruppe sein, auch wenn es sich bei einer dieser Gruppen um eine Gruppe handelt, der Rollen zugewiesen werden können.

Ein Beispiel: Wenn eine Benutzerin aktives Mitglied von Gruppe A ist und Gruppe A ein berechtigtes Mitglied von Gruppe B ist, kann die Benutzerin ihre Mitgliedschaft in Gruppe B aktivieren. Diese Aktivierung gilt nur für die Benutzerin, die die Aktivierung angefordert hat. Dies bedeutet nicht, dass die gesamte Gruppe A ein aktives Mitglied von Gruppe B wird.

Privileged Identity Management und App-Bereitstellung

Wenn die Gruppe für die App-Bereitstellung konfiguriert ist, wird durch die Aktivierung der Gruppenmitgliedschaft die Bereitstellung der Gruppenmitgliedschaft (und des Benutzerkontos selbst, falls es zuvor nicht bereitgestellt wurde) für die Anwendung mithilfe des SCIM-Protokolls ausgelöst.

Wir verfügen wir über eine Funktion, welche die Bereitstellung direkt nach dem Aktivieren der Gruppenmitgliedschaft in PIM auslöst. Die Anwendungskonfiguration hängt von der Anwendung ab. Im Allgemeinen wird empfohlen, der Anwendung mindestens zwei Gruppen zuzuweisen. Abhängig von der Anzahl der Rollen in Ihrer Anwendung können Sie zusätzliche „privilegierte Gruppen“ definieren:

Group Zweck Member Gruppenmitgliedschaft In der Anwendung zugewiesene Rolle
Gruppe „Alle Benutzer“ Stellen Sie sicher, dass alle Benutzer, die Zugriff auf die Anwendung benötigen, ständig für die Anwendung bereitgestellt werden. Alle Benutzer, die auf die Anwendung zugreifen müssen. Aktiv Keine Rolle oder Rolle mit geringen Rechten
Privilegierte Gruppe Stellen Sie in der Anwendung Just-In-Time-Zugriff auf die privilegierte Rolle bereit. Benutzer, die Just-in-Time-Zugriff auf die privilegierte Rolle in der Anwendung benötigen. Berechtigt Privilegierte Rolle

Wichtige Aspekte

  • Wie lange dauert es, bis ein Benutzer in der Anwendung bereitgestellt wird?
    • Wenn ein Benutzender einer Gruppe in Microsoft Entra ID hinzugefügt wird, ohne dass seine Gruppenmitgliedschaft mithilfe von Microsoft Entra Privileged Identity Management (PIM) aktiviert wird:
      • Die Gruppenmitgliedschaft wird während des nächsten Synchronisierungszyklus in der Anwendung bereitgestellt. Der Synchronisierungszyklus wird alle 40 Minuten ausgeführt.
    • Wenn Benutzende ihre Gruppenmitgliedschaft in Microsoft Entra PIM aktivieren:
      • Die Gruppenmitgliedschaft wird in 2 bis 10 Minuten bereitgestellt. Bei einer hohen Anzahl von gleichzeitigen Anforderungen werden Anforderungen auf fünf Anforderungen pro zehn Sekunden gedrosselt.
      • Für die ersten fünf Benutzer, die innerhalb eines Zeitraums von zehn Sekunden ihre Gruppenmitgliedschaft für eine bestimmte Anwendung aktivieren, wird die Gruppenmitgliedschaft innerhalb von zwei bis zehn Minuten in der Anwendung bereitgestellt.
      • Ab dem sechsten Benutzer, der innerhalb von zehn Sekunden seine Gruppenmitgliedschaft für eine bestimmte Anwendung aktiviert, wird die Gruppenmitgliedschaft im nächsten Synchronisierungszyklus in der Anwendung bereitgestellt. Der Synchronisierungszyklus wird alle 40 Minuten ausgeführt. Die Grenzwerte für die Drosselung gelten pro Unternehmensanwendung.
  • Wenn der Benutzer nicht auf die erforderliche Gruppe in der Zielanwendung zugreifen kann, lesen Sie die PIM-Protokolle und Bereitstellungsprotokolle, um sicherzustellen, dass die Gruppenmitgliedschaft erfolgreich aktualisiert wurde. Je nachdem, wie die Zielanwendung erstellt wurde, kann es zusätzliche Zeit dauern, bis die Gruppenmitgliedschaft in der Anwendung wirksam wird.
  • Mithilfe von Azure Monitor können Kunden Warnungen für Fehler erstellen.

Nächste Schritte