Zuweisen von Azure-Ressourcenrollen in Privileged Identity Management

Mit Microsoft Entra Privileged Identity Management (PIM) können Sie sowohl die integrierten Azure-Ressourcenrollen als auch benutzerdefinierte Rollen verwalten, einschließlich dieser (aber nicht beschränkt auf diese):

  • Besitzer
  • Benutzerzugriffsadministrator
  • Mitwirkender
  • Sicherheitsadministrator
  • Sicherheits-Manager

Hinweis

Benutzer oder Mitglieder von Gruppen, die der Rolle „Besitzer“ oder „Benutzerzugriffsadministrator“ für das Abonnement zugewiesen sind, sowie globale Microsoft Entra-Administratoren, die die Abonnementverwaltung in Microsoft Entra ermöglichen, haben standardmäßig Ressourcenadministratorberechtigungen. Diese Administratoren können Rollen zuweisen, Rolleneinstellungen konfigurieren und den Zugriff mithilfe von Privileged Identity Management für Azure-Ressourcen überprüfen. Ohne Ressourcenadministratorberechtigung kann ein Benutzer in Privileged Identity Management keine Ressourcen verwalten. Zeigen Sie die Liste der integrierten Azure-Rollen an.

Für Privileged Identity Management werden sowohl integrierte als auch benutzerdefinierte Azure-Rollen unterstützt. Weitere Informationen zu benutzerdefinierten Azure-Rollen finden Sie in diesem Artikel.

Bedingungen für Rollenzuweisungen

Sie können die attributbasierte Azure-Zugriffssteuerung (Azure ABAC) verwenden, um Bedingungen für berechtigte Rollenzuweisungen mithilfe von Microsoft Entra PIM für Azure-Ressourcen hinzuzufügen. Mit Microsoft Entra PIM müssen Ihre Endbenutzer eine Rollenzuweisung mit Berechtigungen aktivieren, um bestimmte Aktionen ausführen zu können. Mithilfe von Bedingungen in Microsoft Entra PIM können Sie nicht nur die Rollenberechtigungen eines Benutzers für eine Ressource mit differenzierten Bedingungen einschränken, sondern mithilfe von Microsoft Entra PIM auch die Rollenzuweisung mit einer zeitgebundenen Einstellung, einem Genehmigungsworkflow, einem Überwachungspfad usw. schützen.

Hinweis

Wenn eine Rolle zugewiesen wird, gilt Folgendes für die Zuweisung:

  • Sie kann für eine Dauer von weniger als fünf Minuten nicht zugewiesen werden.
  • Sie kann nicht innerhalb von fünf Minuten nach der Zuweisung entfernt werden.

Derzeit können den folgenden integrierten Rollen Bedingungen hinzugefügt werden:

Weitere Informationen finden Sie unter Was ist die attributbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC)?.

Zuweisen einer Rolle

Führen Sie folgende Schritte aus, um einen Benutzer für eine Azure AD-Ressourcenrolle als „berechtigt“ festzulegen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Benutzerzugriffsadministrator an.

  2. Browsen Sie zu Identitätsgovernance>Privileged Identity Management>Azure-Ressourcen.

  3. Wählen Sie den Ressourcentyp aus, den Sie verwalten möchten. Wählen Sie in einer der Dropdownlisten Verwaltung oder Abonnements nach Bedarf Ressourcengruppen oder Ressourcen aus. Klicken Sie auf die Schaltfläche „Auswählen“ für die zu verwaltende Ressource, um die zugehörige Übersichtsseite zu öffnen.

    Screenshot: Auswählen von Azure-Ressourcen

  4. Wählen Sie unter Verwalten den Eintrag Rollen aus, um die Liste der Rollen für Azure-Ressourcen anzuzeigen.

  5. Wählen Sie Zuweisungen hinzufügen aus, um den Bereich Zuweisungen hinzufügen zu öffnen.

    Screenshot: Azure-Ressourcenrollen

  6. Wählen Sie eine Rolle aus, die Sie zuweisen möchten.

  7. Wählen Sie den Link Kein Mitglied ausgewählt aus, um den Bereich Mitglied oder Gruppe auswählen zu öffnen.

    Screenshot: Bereich für neue Zuweisung

  8. Wählen Sie ein Mitglied oder eine Gruppe, dem bzw. der die Rolle zugewiesen werden soll, und dann Auswählen aus.

    Screenshot: Bereich zum Auswählen eines Mitglieds oder einer Gruppe

  9. Wählen Sie auf der Registerkarte Einstellungen in der Liste Zuweisungstyp entweder Berechtigt oder Aktiv aus.

    Screenshot: Bereich zum Hinzufügen von Einstellungen für die Zuweisung

    Microsoft Entra PIM für Azure-Ressourcen verfügt über zwei unterschiedliche Zuweisungstypen:

    • Berechtigte Zuweisungen erfordern, dass das Mitglied die Rolle aktiviert, bevor sie verwendet wird. Administrator*innen können als erforderlich festlegen, dass Rollenmitglieder vor der Rollenaktivierung bestimmte Aktionen durchführen, z. B. eine Überprüfung per Multi-Faktor-Authentifizierung (MFA), die Vorlage einer geschäftlichen Begründung oder die Anforderung der Genehmigung durch festgelegte genehmigende Personen.

    • Aktive Zuweisungen erfordern nicht, dass das Mitglied die Rolle aktiviert, bevor sie verwendet wird. Bei als aktiv zugewiesenen Mitgliedern sind die Berechtigungen sofort einsatzbereit. Diese Art der Zuweisung ist auch für Kunden verfügbar, die Microsoft Entra PIM nicht verwenden.

  10. Wenn Sie eine bestimmte Zuweisungsdauer angeben möchten, ändern Sie das Start- und Enddatum sowie die Zeitfelder.

  11. Wenn die Rolle mit Aktionen definiert wurde, die Zuweisungen zu dieser Rolle mit Bedingungen ermöglichen, können Sie Bedingung hinzufügen auswählen, um eine Bedingung basierend auf dem Prinzipal (Benutzer) und den Ressourcenattributen hinzuzufügen, die Teil der Zuordnung sind.

    Screenshot: Bereich mit Bedingungen für die neue Zuweisung

    Bedingungen können im Ausdrucks-Generator eingegeben werden.

    Screenshot: Neue, anhand eines Ausdrucks erstellte Zuweisungsbedingung

  12. Klicken Sie abschließend auf Zuweisen.

  13. Nachdem die neue Rollenzuweisung erstellt wurde, wird eine Statusbenachrichtigung angezeigt.

    Screenshot: Benachrichtigung über neue Zuweisung

Zuweisen einer Rolle mit der ARM-API

Privileged Identity Management unterstützt ARM-API-Befehle (Azure Resource Manager) zum Verwalten von Azure-Ressourcenrollen, wie in der ARM-API-Referenz von PIM dokumentiert. Informationen zu den Berechtigungen, die für die Verwendung der PIM-API erforderlich sind, finden Sie unter Verstehen der Privileged Identity Management-APIs.

Im Folgenden finden Sie eine Beispiel-HTTP-Anforderung zum Erstellen einer berechtigten Zuweisung für eine Azure-Rolle.

Anforderung

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleEligibilityScheduleRequests/64caffb6-55c0-4deb-a585-68e948ea1ad6?api-version=2020-10-01-preview

Anforderungstext

{
  "properties": {
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "/subscriptions/aaaaaaaa-bbbb-cccc-1111-222222222222/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
    "requestType": "AdminAssign",
    "scheduleInfo": {
      "startDateTime": "2022-07-05T21:00:00.91Z",
      "expiration": {
        "type": "AfterDuration",
        "endDateTime": null,
        "duration": "P365D"
      }
    },
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
    "conditionVersion": "1.0"
  }
}

Antwort

Statuscode: 201

{
  "properties": {
    "targetRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413",
    "targetRoleEligibilityScheduleInstanceId": null,
    "scope": "/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
    "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "principalType": "User",
    "requestType": "AdminAssign",
    "status": "Provisioned",
    "approvalId": null,
    "scheduleInfo": {
      "startDateTime": "2022-07-05T21:00:00.91Z",
      "expiration": {
        "type": "AfterDuration",
        "endDateTime": null,
        "duration": "P365D"
      }
    },
    "ticketInfo": {
      "ticketNumber": null,
      "ticketSystem": null
    },
    "justification": null,
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
    "createdOn": "2022-07-05T21:00:45.91Z",
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
    "conditionVersion": "1.0",
    "expandedProperties": {
      "scope": {
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
        "displayName": "Pay-As-You-Go",
        "type": "subscription"
      },
      "roleDefinition": {
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
        "displayName": "Contributor",
        "type": "BuiltInRole"
      },
      "principal": {
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
        "displayName": "User Account",
        "email": "user@my-tenant.com",
        "type": "User"
      }
    }
  },
  "name": "64caffb6-55c0-4deb-a585-68e948ea1ad6",
  "id": "/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/RoleEligibilityScheduleRequests/64caffb6-55c0-4deb-a585-68e948ea1ad6",
  "type": "Microsoft.Authorization/RoleEligibilityScheduleRequests"
}

Aktualisieren oder Entfernen einer vorhandenen Rollenzuweisung

Befolgen Sie diese Anweisungen zum Aktualisieren oder Entfernen einer vorhandenen Rollenzuweisung.

  1. Öffnen Sie Microsoft Entra Privileged Identity Management.

  2. Wählen Sie Azure-Ressourcen aus.

  3. Wählen Sie den Ressourcentyp aus, den Sie verwalten möchten. Wählen Sie in einer der Dropdownlisten Verwaltung oder Abonnements nach Bedarf Ressourcengruppen oder Ressourcen aus. Klicken Sie auf die Schaltfläche „Auswählen“ für die zu verwaltende Ressource, um die zugehörige Übersichtsseite zu öffnen.

    Screenshot: Auswählen von Azure-Ressourcen für die Aktualisierung

  4. Wählen Sie unter Verwalten den Eintrag Rollen aus, um die Rollen für Azure-Ressourcen aufzulisten. Im folgenden Screenshot werden die Rollen eines Azure Storage-Kontos aufgelistet. Wählen Sie die Rolle aus, die Sie aktualisieren oder entfernen möchten.

    Screenshot: Rollen eines Azure Storage-Kontos

  5. Suchen Sie die Rollenzuweisung auf den Registerkarten Berechtigte Rollen oder Aktive Rollen.

    Screenshot: Aktualisieren oder Entfernen einer Rollenzuweisung

  6. Wenn Sie eine Bedingung hinzufügen oder aktualisieren möchten, um den Zugriff auf Azure-Ressourcen zu verfeinern, wählen Sie in der Spalte Bedingung für die Rollenzuweisung Hinzufügen oder Anzeigen/Bearbeiten aus. Derzeit sind die Rollen „Besitzer von Speicherblobdaten“, „Leser von Speicherblobdaten“ und „Mitwirkender an Speicherblobdaten“ in Microsoft Entra PIM die einzigen Rollen, denen Bedingungen hinzugefügt werden können.

  7. Wählen Sie Ausdruck hinzufügen oder Löschen aus, um den Ausdruck zu aktualisieren. Sie können auch Bedingung hinzufügen auswählen, um Ihrer Rolle eine neue Bedingung hinzuzufügen.

    Screenshot: Aktualisieren oder Entfernen von Attributen einer Rollenzuweisung

    Informationen zum Erweitern einer Rollenzuweisung finden Sie unter Verlängern oder Erneuern von Azure-Ressourcenrollen in Privileged Identity Management.

Nächste Schritte