Zuweisen einer Berechtigung für eine Gruppe in Privileged Identity Management

In Microsoft Entra ID, früher als Azure Active Directory bezeichnet, können Sie Privileged Identity Management (PIM) verwenden, um Just-In-Time-Mitgliedschaften in der Gruppe oder Just-In-Time-Besitz der Gruppe zu verwalten.

Wenn eine Mitgliedschaft oder ein Besitz zugewiesen ist, gilt für die Zuweisung Folgendes:

  • Sie kann für eine Dauer von weniger als fünf Minuten nicht zugewiesen werden.
  • Sie kann nicht innerhalb von fünf Minuten nach der Zuweisung entfernt werden.

Hinweis

Alle Benutzenden, die für die Mitgliedschaft in einem PIM für Gruppen oder den Besitz davon berechtigt sind, müssen eine Microsoft Entra P2- oder Microsoft Entra ID Governance-Lizenz haben. Weitere Informationen finden Sie unter Lizenzanforderungen für die Verwendung von PIM.

Zuweisen eines Besitzers oder Mitglieds einer Gruppe

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Führen Sie die folgenden Schritte aus, um einen Benutzer zu einem berechtigten Mitglied oder Besitzer einer Gruppe zu machen. Sie benötigen Berechtigungen zum Verwalten von Gruppen. Für Gruppen, denen Rollen zugewiesen werden können, müssen Sie mindesten über die Rolle „Administrator für privilegierte Rollen“ verfügen oder Besitzer*in der Gruppe sein. Für Gruppen, denen keine Rollen zugewiesen werden können, müssen Sie mindestens über die Rolle „Verzeichnisautor“, „Gruppenadministrator“, „Identity Governance-Administrator“ oder „Benutzeradministrator“ verfügen oder Besitzer der Gruppe sein. Rollenzuweisungen für Administrator*innen müssen auf Verzeichnisebene (nicht auf Ebene der Verwaltungseinheit) festgelegt werden.

Hinweis

Andere Rollen mit Berechtigungen zum Verwalten von Gruppen (z. B. Exchange-Administratoren für M365-Gruppen, denen keine Rollen zugewiesen werden können) und Administrator*innen mit Zuweisungen auf Ebene der Verwaltungseinheit können Gruppen über die API/Benutzeroberfläche für Gruppen verwalten und in Microsoft Entra PIM vorgenommene Änderungen außer Kraft setzen.

  1. Melden Sie sich beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zu Identitätsgovernance>Privileged Identity Management>Gruppen.

  3. Hier können Sie Gruppen anzeigen, die bereits für PIM für Gruppen aktiviert sind.

    Screenshot: Anzeigen von Gruppen, die bereits PIM für Gruppen unterstützen

  4. Wählen Sie die Gruppe aus, die Sie verwalten möchten.

  5. Klicken Sie auf Zuweisungen.

  6. Verwenden Sie die Blätter Berechtigte Zuweisungen und Aktive Zuweisungen, um vorhandene Mitgliedschafts- oder Besitzzuweisungen für die ausgewählte Gruppe zu überprüfen.

    Screenshot: Überprüfen vorhandener Mitgliedschafts- oder Besitzzuweisungen für die ausgewählte Gruppe

  7. Wählen Sie Zuweisungen hinzufügen aus.

  8. Wählen Sie unter Rolle auswählen zwischen Mitglied und Besitzer, um eine Mitgliedschaft oder einen Besitz zuzuweisen.

  9. Wählen Sie die Mitglieder oder Besitzer aus, die Sie als berechtigt für die Gruppe einrichten möchten.

    Screenshot: Ort, an dem die Mitglieder oder Besitzer ausgewählt werden, die Sie als berechtigt für die Gruppe einrichten möchten

  10. Klicken Sie auf Weiter.

  11. Wählen Sie in der Liste Zuweisungstyp entweder Berechtigt oder Aktiv aus. Privileged Identity Management bietet zwei unterschiedliche Zuweisungstypen:

    • Für die berechtigte Zuweisung muss das Mitglied oder der Besitzer eine Aktivierung durchführen, um die Rolle verwenden zu können. Für die Aktivierung kann auch eine Multi-Faktor-Authentifizierung (MFA), die Angabe einer geschäftlichen Begründung oder das Anfordern einer Genehmigung von den angegebenen genehmigenden Personen erforderlich sein.

    Wichtig

    Für Gruppen, die zur Höherstufung auf Microsoft Entra-Rollen verwendet werden, empfiehlt es sich, einen Genehmigungsprozess für berechtigte Mitgliederzuweisungen festzulegen. Zuweisungen, die ohne Genehmigung aktiviert werden können, können Sie anfällig für ein Sicherheitsrisiko von einem anderen Administrator mit der Berechtigung zum Zurücksetzen der Kennwörter eines berechtigten Benutzers machen.

    • Bei aktiven Zuweisungen muss das Mitglied keine Aktivierung ausführen, um die Rolle nutzen zu können. Mitglieder oder Besitzer, die als „Aktiv“ zugewiesen sind, verfügen immer über die Berechtigungen, die der Rolle zugewiesen sind.
  12. Wenn die Zuweisung dauerhaft sein soll (dauerhaft berechtigt oder dauerhaft zugewiesen), aktivieren Sie das Kontrollkästchen Dauerhaft. Abhängig von den Einstellungen für die Gruppe wird das Kontrollkästchen möglicherweise nicht angezeigt oder kann nicht bearbeitet werden. Weitere Informationen finden Sie im Artikel Konfigurieren von PIM für Gruppeneinstellungen in Privileged Identity Management.

    Screenshot: Ort zum Konfigurieren der Einstellung für das Hinzufügen von Zuweisungen

  13. Wählen Sie Zuweisen aus.

Aktualisieren oder Entfernen einer vorhandenen Rollenzuweisung

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Befolgen Sie diese Anweisungen zum Aktualisieren oder Entfernen einer vorhandenen Rollenzuweisung. Sie benötigen Berechtigungen zum Verwalten von Gruppen. Für Gruppen, denen Rollen zugewiesen werden können, müssen Sie mindesten über die Rolle „Administrator für privilegierte Rollen“ verfügen oder Besitzer*in der Gruppe sein. Für Gruppen, denen keine Rollen zugewiesen werden können, müssen Sie mindestens über die Rolle „Verzeichnisautor“, „Gruppenadministrator“, „Identity Governance-Administrator“ oder „Benutzeradministrator“ verfügen oder Besitzer*in der Gruppe sein. Rollenzuweisungen für Administrator*innen müssen auf Verzeichnisebene (nicht auf Ebene der Verwaltungseinheit) festgelegt werden.

Hinweis

Andere Rollen mit Berechtigungen zum Verwalten von Gruppen (z. B. Exchange-Administratoren für M365-Gruppen, denen keine Rollen zugewiesen werden können) und Administrator*innen mit Zuweisungen auf Ebene der Verwaltungseinheit können Gruppen über die API/Benutzeroberfläche für Gruppen verwalten und in Microsoft Entra PIM vorgenommene Änderungen außer Kraft setzen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

  2. Navigieren Sie zu Identitätsgovernance>Privileged Identity Management>Gruppen.

  3. Hier können Sie Gruppen anzeigen, die bereits für PIM für Gruppen aktiviert sind.

    Screenshot: Anzeigen von Gruppen, die bereits PIM für Gruppen unterstützen

  4. Wählen Sie die Gruppe aus, die Sie verwalten möchten.

  5. Klicken Sie auf Zuweisungen.

  6. Verwenden Sie die Blätter Berechtigte Zuweisungen und Aktive Zuweisungen, um vorhandene Mitgliedschafts- oder Besitzzuweisungen für die ausgewählte Gruppe zu überprüfen.

    Screenshot: Überprüfen vorhandener Mitgliedschafts- oder Besitzzuweisungen für die ausgewählte Gruppe

  7. Wählen Sie Aktualisieren oder Entfernen aus, um die Mitgliedschafts- oder Besitzzuweisung zu aktualisieren oder zu entfernen.

Nächste Schritte