Konfigurieren von Einstellungen für Azure-Ressourcenrollen in Privileged Identity Management

In Privileged Identity Management (PIM) in Microsoft Entra ID, das Teil von Microsoft Entra ist, definieren Rolleneinstellungen die Eigenschaften der Rollenzuweisung. Zu diesen Eigenschaften gehören Multi-Faktor-Authentifizierung und Genehmigungsanforderungen für die Aktivierung, maximale Zuweisungsdauer und Benachrichtigungseinstellungen. In diesem Artikel erfahren Sie, wie Sie Rolleneinstellungen konfigurieren und den Genehmigungsworkflow einrichten, um anzugeben, wer Anforderungen zur Erhöhung von Berechtigungen genehmigen oder verweigern kann.

Sie müssen über die Rolle „Besitzer“ oder „Benutzerzugriffsadministrator“ verfügen, um die PIM-Rolleneinstellungen für eine Ressource zu verwalten. Rolleneinstellungen werden pro Rolle und Ressource definiert. Für alle Zuweisungen für dieselbe Rolle gelten dieselben Rolleneinstellungen. Rolleneinstellungen einer Rolle sind unabhängig von den Rolleneinstellungen einer anderen Rolle. Rolleneinstellungen einer Ressource sind unabhängig von den Rolleneinstellungen einer anderen Ressource. Rolleneinstellungen, die auf einer höheren Ebene konfiguriert sind, z. B. Abonnement, werden nicht auf einer niedrigeren Ebene, z. B. Ressourcengruppe, geerbt.

PIM-Rolleneinstellungen werden auch als „PIM-Richtlinien“ bezeichnet.

Öffnen von Rolleneinstellungen

So öffnen Sie die Einstellungen für eine Azure-Ressourcenrolle:

  1. Melden Sie sich beim Microsoft Entra Admin Center an.

  2. Browsen Sie zu Identitätsgovernance>Privileged Identity Management>Azure-Ressourcen. Auf dieser Seite können Sie den Ressourcentyp auswählen, den Sie verwalten möchten. Wählen Sie in einer der Dropdownlisten „Verwaltung“ oder „Abonnements“ nach Bedarf Ressourcengruppen oder Ressourcen aus.

    Screenshot: Liste der Azure-Ressourcen, die in Privileged Identity Management gefunden wurden.

  3. Wählen Sie die Ressource aus, für die Sie PIM-Rolleneinstellungen konfigurieren möchten.

  4. Wählen Sie Settingsaus. Zeigen Sie eine Liste der PIM-Richtlinien für eine ausgewählte Ressource an.

    Screenshot: Liste der PIM-Richtlinien für eine ausgewählte Ressource.

  5. Wählen Sie die Rolle oder Richtlinie aus, die Sie konfigurieren möchten.

  6. Wählen Sie Bearbeiten aus, um die Rolleneinstellungen zu aktualisieren.

  7. Wählen Sie Aktualisieren aus.

Rolleneinstellungen

In diesem Abschnitt werden Optionen für Rolleneinstellungen erläutert.

Maximale Aktivierungsdauer

Mit dem Schieberegler Maximale Aktivierungsdauer geben Sie die maximale Zeit in Stunden an, die eine Aktivierungsanforderung für eine Rolle aktiv bleibt, bevor sie abläuft. Dieser Wert kann zwischen 1 und 24 Stunden liegen.

Bei Aktivierung Multi-Faktor-Authentifizierung anfordern

Sie können von Benutzern, die für eine Rolle in Frage kommen, verlangen, dass sie sich mit Hilfe der Multifaktor-Authentifizierungsfunktion in Microsoft Entra ID ausweisen, bevor sie aktiviert werden können. Multi-Faktor-Authentifizierung trägt zum Schutz des Zugriffs auf Daten und Anwendungen bei. Sie bietet eine weitere Sicherheitsebene, indem eine zweite Form der Authentifizierung verwendet wird.

Benutzer werden möglicherweise nicht zur Multi-Faktor-Authentifizierung aufgefordert, wenn sie sich mit sicheren Anmeldeinformationen authentifiziert oder früher in der jeweiligen Sitzung eine Multi-Faktor-Authentifizierung durchgeführt haben.

Wenn Sie sicherstellen möchten, dass Benutzer sich bei der Aktivierung authentifizieren müssen, können Sie die Option Bei Aktivierung den Microsoft Entra-Authentifizierungskontext für bedingten Zugriff anfordern zusammen mit Authentifizierungsstärken verwenden. Diese Optionen schreiben vor, dass sich Benutzer bei der Aktivierung mit einer anderen Methode als der authentifizieren, mit der sie sich beim Computer angemeldet haben.

Wenn Benutzer sich beispielsweise mit Windows Hello for Business am Computer anmelden, können Sie sie mithilfe von Authentifizierungskontext für bedingten Microsoft Entra-Zugriff bei Aktivierung erforderlich und Authentifizierungsstärken dazu auffordern, die kennwortlose Anmeldung mit Microsoft Authenticator durchzuführen, wenn sie die Rolle aktivieren.

Nachdem der Benutzer in diesem Beispiel einmal eine kennwortlose Anmeldung mittels Microsoft Authenticator ausgeführt hat, kann er seine nächste Aktivierung in dieser Sitzung ohne weitere Authentifizierung durchführen. Die kennwortlose Anmeldung mit Microsoft Authenticator ist bereits Teil des Tokens.

Es wird empfohlen, das Mehrstufige Authentifizierungsfeature von Microsoft Entra ID für alle Benutzer zu aktivieren. Weitere Informationen finden Sie unter Planen einer Bereitstellung von Microsoft Entra-Multi-Faktor-Authentifizierung.

Fordern Sie bei der Aktivierung den Microsoft Entra Authentifizierungskontext für bedingten Zugriff an

Sie können von Benutzern, die für eine Rolle berechtigt sind, verlangen, dass sie die Anforderungen der Richtlinie für bedingten Zugriff erfüllen. Sie können beispielsweise verlangen, dass Benutzer eine bestimmte Authentifizierungsmethode verwenden, die über Authentifizierungsstärken erzwungen wird, die Rolle von einem Intune-konformen Gerät erhöhen und die Nutzungsbedingungen einhalten.

Um diese Anforderung zu erzwingen, erstellen Sie den Authentifizierungskontext für bedingten Zugriff.

  1. Konfigurieren Sie eine Richtlinie für bedingten Zugriff, die Anforderungen für diesen Authentifizierungskontext erzwingt.

  2. Konfigurieren Sie einen Authentifizierungskontext in den PIM-Einstellungen für die Rolle.

    Screenshot: Seite „Rolleneinstellungen bearbeiten“ für Nachweisleser.

Wenn für die PIM-Einstellungen die Option Bei Aktivierung den Microsoft Entra-Authentifizierungskontext für bedingten Zugriff anfordern konfiguriert wurde, definieren die Richtlinien für bedingten Zugriff die Bedingungen, die ein Benutzer erfüllen muss, um die Zugriffsanforderungen zu erfüllen.

Dies bedeutet, dass Sicherheitsprinzipale mit Berechtigungen zum Verwalten von Richtlinien für bedingten Zugriff, z. B. „Administrator für bedingten Zugriff“ oder „Sicherheitsadministrator“, Anforderungen ändern, sie entfernen oder berechtigte Benutzer und Benutzerinnen daran hindern können, die Rolle zu aktivieren. Sicherheitsprinzipale, die die Richtlinien für bedingten Zugriff verwalten können, sollten als hoch privilegiert betrachtet und entsprechend geschützt werden.

Wir empfehlen, eine Richtlinie für bedingten Zugriff für den Authentifizierungskontext zu erstellen und zu aktivieren, bevor der Authentifizierungskontext in den PIM-Einstellungen konfiguriert wird. Wenn es im Mandanten keine Richtlinien für bedingten Zugriff gibt, die für den Authentifizierungskontext in den PIM-Einstellungen konfiguriert wurden, ist während der PIM-Rollenaktivierung die Microsoft Entra ID Multi-Faktor-Authentifizierung als Schutzmechanismus erforderlich, da die Einstellung Bei Aktivierung Multi-Faktor-Authentifizierung anfordern festgelegt würde.

Dieser Backup-Schutzmechanismus dient ausschließlich zum Schutz vor einem Szenario, bei dem die PIM-Einstellungen aufgrund eines Konfigurationsfehlers aktualisiert wurden, bevor die Richtlinie für bedingten Zugriff erstellt wurde. Dieser Backup-Schutzmechanismus wird nicht ausgelöst, wenn die Richtlinie für bedingten Zugriff deaktiviert ist, sich im Modus „Nur melden“ befindet oder der berechtigte Benutzer von der Richtlinie ausgeschlossen wurde.

Die Einstellung Bei Aktivierung den Microsoft Entra-Authentifizierungskontext für bedingten Zugriff anfordern definiert die Authentifizierungskontextanforderungen, die Benutzer erfüllen müssen, wenn sie die Rolle aktivieren. Nachdem die Rolle aktiviert wurde, werden Benutzer nicht daran gehindert, Berechtigungen in einer anderen Browsersitzung, auf einem anderen Gerät oder an einem anderen Ort zu verwenden.

Beispielsweise können Benutzer ein Intune-konformes Gerät verwenden, um die Rolle zu aktivieren. Nachdem die Rolle dann aktiviert wurde, melden sie sich möglicherweise von einem anderen Gerät aus, das nicht Intune-konform ist, bei demselben Benutzerkonto an und verwenden dort die zuvor aktivierte Rolle.

Um dies zu verhindern, können Sie Richtlinien für bedingten Zugriff festlegen, um direkt bestimmte Anforderungen für berechtigte Benutzer durchzusetzen. Beispielsweise können Sie festlegen, dass Benutzer, die für bestimmte Rollen berechtigt sind, immer Intune-konforme Geräte verwenden müssen.

Weitere Informationen zum Authentifizierungskontext für bedingten Zugriff finden Sie unter Bedingter Zugriff: Cloud-Apps, Aktionen und Authentifizierungskontext.

Begründung für Aktivierung erforderlich

Sie können verlangen, dass Benutzer*innen bei der Aktivierung der berechtigten Zuweisung eine geschäftliche Begründung angeben müssen.

Ticketinformationen zur Aktivierung erforderlich

Sie können verlangen, dass Benutzer*innen bei der Aktivierung der berechtigten Zuweisung eine Supportticketnummer angeben müssen. Diese Option ist ein reines Informationsfeld. Es wird keine Korrelation mit Informationen in einem Ticketsystem erzwungen.

Erzwingen der Genehmigung für die Aktivierung

Sie können die Genehmigung für die Aktivierung einer berechtigten Zuweisung anfordern. Genehmigende Personen müssen keine Rollen haben. Wenn Sie diese Option verwenden, müssen Sie mindestens eine genehmigende Person auswählen. Es sollten mindestens zwei genehmigende Personen ausgewählt werden. Für genehmigende Personen gibt es keine Standardeinstellung.

Weitere Informationen über Genehmigungen finden Sie unter Genehmigen oder Ablehnen von Anfragen für Microsoft Entra-Rollen in Privileged Identity Management.

Zuweisungsdauer

Bei der Konfiguration von Einstellungen für eine Rolle können Sie für jeden Zuweisungstyp (Berechtigt und Aktiv) zwischen zwei Optionen für die Zuweisungsdauer wählen. Diese Optionen werden zur maximalen Standarddauer, wenn ein Benutzer der Rolle in Privileged Identity Management zugewiesen wird.

Sie können eine dieser Optionen für die Dauer der berechtigten Zuweisung auswählen.

Einstellung BESCHREIBUNG
Allow permanent eligible assignment (Dauerhafte berechtigte Zuweisung zulassen) Ressourcenadministratoren können dauerhaft berechtigte Zuweisungen zuweisen.
Berechtigte Zuweisungen laufen ab nach Ressourcenadministratoren können verlangen, dass alle berechtigten Zuweisungen ein bestimmtes Start- und Enddatum haben.

Sie können auch eine dieser Optionen für die Dauer der aktiven Zuweisung auswählen.

Einstellung BESCHREIBUNG
Allow permanent active assignment (Dauerhafte aktive Zuweisung zulassen) Ressourcenadministratoren können dauerhaft aktive Zuweisungen zuweisen.
Aktive Zuweisungen laufen ab nach Ressourcenadministratoren können verlangen, dass alle aktiven Zuweisungen ein bestimmtes Start- und Enddatum haben.

Alle Zuweisungen mit einem angegebenen Enddatum können von Benutzern und Benutzerinnen mit der Rolle „Globaler Administrator“ und „Administrator für privilegierte Rollen“ erneuert werden. Zudem können Benutzer Self-Service-Anforderungen auslösen, um Rollenzuweisungen zu verlängern oder zu erneuern.

Multi-Factor Authentication bei aktiver Zuweisung erforderlich

Sie können vorschreiben, dass ein Administrator Multi-Faktor-Authentifizierung verwendet, wenn er eine aktive (im Gegensatz zu einer berechtigten) Zuweisung erstellt. Privileged Identity Management kann die Multi-Faktor-Authentifizierung nicht erzwingen, wenn Benutzer ihre Rollenzuweisung verwenden, weil die Rolle ab dem Zeitpunkt der Zuweisung bereits aktiv ist.

Administratoren werden möglicherweise nicht zur Multi-Faktor-Authentifizierung aufgefordert, wenn sie sich früher in dieser Sitzung mit starken Anmeldeinformationen authentifiziert oder Multi-Faktor-Authentifizierung verwendet haben.

Begründung für aktive Zuweisung erforderlich

Sie können verlangen, dass Benutzer eine geschäftliche Begründung eingeben, wenn sie eine aktive (im Gegensatz zu einer berechtigten) Zuweisung erstellen.

Auf der Registerkarte Benachrichtigungen der Seite Rolleneinstellungen kann mit Privileged Identity Management differenziert gesteuert werden, wer welche Benachrichtigungen empfängt.

  • Deaktivieren von E-Mails: Sie können bestimmte E-Mails deaktivieren, indem Sie das Kontrollkästchen „Standardempfänger“ deaktivieren und alle anderen Empfänger löschen.
  • E-Mails auf angegebene E-Mail-Adressen beschränken: Sie können an Standardempfänger gesendete E-Mails deaktivieren, indem Sie das Kontrollkästchen „Standardempfänger“ deaktivieren. Sie können dann andere E-Mail-Adressen als Empfänger hinzufügen. Wenn Sie mehrere E-Mail-Adressen hinzufügen möchten, trennen Sie diese durch ein Semikolon (;).
  • E-Mails sowohl an Standardempfänger als auch weitere Empfänger senden: Sie können E-Mails sowohl an Standardempfänger als auch an andere Empfänger senden. Aktivieren Sie das Kontrollkästchen „Standardempfänger“, und fügen Sie E-Mail-Adressen für weitere Empfänger hinzu.
  • Nur kritische E-Mails: Sie können dieses Kontrollkästchen für jeden E-Mail-Typ aktivieren, um nur kritische E-Mails zu erhalten. Privileged Identity Management sendet nur dann weiterhin E-Mails an die angegebenen Empfänger, wenn die E-Mail eine sofortige Aktion erfordert. Beispielsweise werden keine E-Mails ausgelöst, in denen Benutzer aufgefordert werden, ihre Rollenzuweisung zu erweitern. E-Mails, bei denen Administratoren eine Erweiterungsanforderung genehmigen müssen, werden ausgelöst.

Hinweis

Ein Ereignis in Privileged Identity Management kann E-Mail-Benachrichtigungen an mehrere Empfänger generieren: zugewiesene oder genehmigende Personen oder Administrator*innen. Die maximale Anzahl von Benachrichtigungen, die pro Ereignis gesendet werden, beträgt 1.000. Wenn die Anzahl der Empfänger 1.000 überschreitet, erhalten nur die ersten 1.000 Empfänger eine E-Mail-Benachrichtigung. Dies hindert andere zugewiesene oder genehmigende Personen oder Administratoren nicht daran, ihre Berechtigungen in Microsoft Entra ID und Privileged Identity Management zu verwenden.

Nächste Schritte