Integrieren von Gruppen in Privileged Identity Management

In Microsoft Entra ID können Sie Privileged Identity Management (PIM) verwenden, um die Just-In-Time-Mitgliedschaft in der Gruppe oder den Just-In-Time-Besitz der Gruppe zu verwalten. Gruppen können verwendet werden, um den Zugriff auf Microsoft Entra-Rollen, Azure-Rollen und verschiedene andere Szenarien zu ermöglichen. Damit Sie eine Microsoft Entra-Gruppe in PIM verwalten können, müssen Sie die Gruppe zur Verwaltung in PIM integrieren.

Festlegen zu verwaltender Gruppen

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Bevor Sie beginnen können, benötigen Sie eine Microsoft Entra-Sicherheitsgruppe oder eine Microsoft 365-Gruppe. Weitere Informationen zur Gruppenverwaltung in Microsoft Entra ID finden Sie unter Verwalten von Microsoft Entra-Gruppen und -Gruppenmitgliedschaften.

Dynamische Gruppen und aus lokalen Umgebungen synchronisierte Gruppen können nicht in PIM für Gruppen verwaltet werden.

Sie benötigen geeignete Berechtigungen, um Gruppen in Microsoft Entra PIM zu verwenden. Für Gruppen, denen Rollen zugewiesen werden können, müssen Sie mindesten über die Rolle „Administrator für privilegierte Rollen“ verfügen oder Besitzer*in der Gruppe sein. Für Gruppen, denen keine Rollen zugewiesen werden können, müssen Sie mindestens über die Rolle „Verzeichnisautor“, „Gruppenadministrator“, „Identity Governance-Administrator“ oder „Benutzeradministrator“ verfügen oder Besitzer*in der Gruppe sein. Rollenzuweisungen für Administrator*innen müssen auf Verzeichnisebene (nicht auf Ebene der Verwaltungseinheit) festgelegt werden.

Hinweis

Andere Rollen mit Berechtigungen zum Verwalten von Gruppen (z. B. Exchange-Administratoren für M365-Gruppen, denen keine Rollen zugewiesen werden können) und Administrator*innen mit Zuweisungen auf Ebene der Verwaltungseinheit können Gruppen über die API/Benutzeroberfläche für Gruppen verwalten und in Microsoft Entra PIM vorgenommene Änderungen außer Kraft setzen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.

  2. Navigieren Sie zu Identitätsgovernance>Privileged Identity Management>Gruppen.

  3. Hier können Sie Gruppen anzeigen, die bereits für PIM für Gruppen aktiviert sind.

    Screenshot: Anzeigen von Gruppen, die bereits für PIM für Gruppen aktiviert sind.

  4. Wählen Sie Gruppen ermitteln aus, und wählen Sie dann eine Gruppe aus, die Sie zur Verwaltung in PIM integrieren möchten.

    Screenshot: Auswählen einer Gruppe, die zur Verwaltung in PIM integriert werden soll.

  5. Wählen Sie Gruppen verwalten aus, und wählen Sie dann OK aus.

  6. Wählen Sie Gruppen aus, um zur Liste der in PIM für Gruppen aktivierten Gruppen zurückzukehren.

Oder Sie können den Bereich „Gruppen“ verwenden, um eine Gruppe in Privileged Identity Management zu integrieren.

Screenshot des Bereichs „Gruppen“, damit Sie eine Gruppe auswählen können, die unter die Verwaltung mit PIM integriert werden soll.

Wichtig

Sobald eine Gruppe verwaltet wird, kann sie nicht mehr aus der Verwaltung entfernt werden. Dadurch wird verhindert, dass andere Ressourcenadministratoren PIM-Einstellungen entfernen. Wenn eine Gruppe aus Microsoft Entra ID gelöscht wird, kann es bis zu 24 Stunden dauern, bis die Gruppe aus der Option PIM für Gruppen entfernt wird.

Nächste Schritte