Verlängern oder Erneuern von Microsoft Entra-Rollenzuweisungen in Privileged Identity Management

Microsoft Entra Privileged Identity Management (PIM) stellt Steuermechanismen zum Verwalten des Zugriffs- und Zuweisungslebenszyklus für Rollen in Microsoft Entra ID bereit. Administratoren können Rollen zuweisen, indem sie Eigenschaften für die Start- und Endzeit verwenden. Wenn das Ende der Zuweisung fast erreicht ist, sendet Privileged Identity Management E-Mail-Benachrichtigungen an die betroffenen Benutzer oder Gruppen. Außerdem werden E-Mail-Benachrichtigungen an Microsoft Entra-Administratoren gesendet, um einen entsprechenden Zugriff zu gewährleisten. Zuweisungen können auch verlängert werden. Sie bleiben im abgelaufenen Zustand noch 30 Tage lang sichtbar, auch wenn der Zugriff nicht verlängert wird.

Wer kann das Verlängern und Erneuern durchführen?

Nur Benutzern und Benutzerinnen mit der Rolle „Globaler Administrator“ und „Administrator für privilegierte Rollen“ können Microsoft Entra-Rollenzuweisungen verlängern oder erneuern. Der betroffene Benutzer bzw. die betroffene Gruppe kann anfordern, dass in Kürze ablaufende Rollen verlängert und dass bereits abgelaufene Rollen erneuert werden.

Wann werden die Benachrichtigungen gesendet?

Privileged Identity Management sendet E-Mail-Benachrichtigungen an Administratoren und betroffene Benutzer und Gruppen mit Rollen, die innerhalb der nächsten 14 Tage ablaufen. Einen Tag vor dem Ablauf wird eine weitere Benachrichtigung gesendet. Wenn eine Zuweisung offiziell abgelaufen ist, wird eine weitere E-Mail gesendet.

Administratoren erhalten Benachrichtigungen, wenn ein Benutzer oder eine Gruppe mit einer ablaufenden oder abgelaufenen Rolle die Verlängerung bzw. Erneuerung anfordert. Wenn ein Administrator eine Anforderung als „genehmigt“ oder „abgelehnt“ auflöst, werden alle anderen Administratoren über die Entscheidung benachrichtigt. Anschließend wird der anfordernde Benutzer bzw. die Gruppe ebenfalls über die Entscheidung informiert.

Verlängern von Rollenzuweisungen

Die folgenden Schritte beschreiben den Prozess für das Anfordern, Bearbeiten bzw. Verwalten einer Verlängerung oder Erneuerung einer Rollenzuweisung.

Selbständiges Verlängern von ablaufenden Zuweisungen

Benutzer*innen, die einer Rolle zugewiesen sind, können ablaufende Rollenzuweisungen direkt über die Registerkarten Berechtigt oder Aktiv auf der Seite Meine Rollen verlängern, entweder unter Microsoft Entra-Rollen oder über die Seite Meine Rollen der obersten Ebene im Privileged Identity Management-Portal. Im Portal können Benutzer*innen die Verlängerung von berechtigten oder aktiven (zugewiesenen) Rollen anfordern, die in den nächsten 14 Tagen ablaufen.

Microsoft Entra-Rollen – Seite „Meine Rollen“, auf der die berechtigten Rollen mit der Spalte „Aktion“ aufgelistet sind

Wenn Enddatum und -uhrzeit der Zuweisung innerhalb von 14 Tagen liegen, wird die Schaltfläche Verlängern auf der Benutzeroberfläche zu einem aktiven Link. Im folgenden Beispiel wird angenommen, dass der 27. März das aktuelle Datum ist.

Hinweis

Für eine Gruppe, die einer Rolle zugewiesen ist, steht der Link Verlängern nie zur Verfügung, damit Benutzer*innen mit geerbten Zuweisungen nicht die Gruppenzuweisung verlängern können.

Screenshot: Spalte „Aktion“ mit Links zum Aktivieren oder Verlängern

Wählen Sie Verlängern, um das Anforderungsformular zu öffnen und eine Verlängerung dieser Rollenzuweisung anzufordern.

Screenshot: Bereich zum Erweitern einer Rollenzuweisung mit dem Feld „Grund“

Geben Sie einen Grund für die Verlängerungsanforderung an, und wählen Sie Verlängern.

Hinweis

Wir empfehlen Ihnen, die Details zum Grund der Verlängerung einzufügen und außerdem den Verlängerungszeitraum anzugeben (falls bekannt).

Administratoren erhalten eine E-Mail-Benachrichtigung, um die Verlängerungsanforderung zu überprüfen. Falls bereits eine Verlängerungsanforderung übermittelt wurde, wird im Portal eine Benachrichtigung angezeigt.

Screenshot: Benachrichtigung, in der erklärt wird, dass bereits eine ausstehende Anforderung zur Verlängerung einer Rollenzuweisung vorhanden ist

Navigieren Sie zur Seite Ausstehende Anforderungen, um den Status der Anforderung anzuzeigen oder sie zu stornieren.

Screenshot: Microsoft Entra-Rollen – Seite „Ausstehende Anforderungen“ mit einer Auflistung ausstehender Anforderungen und einem Link zum Abbrechen

Vom Administrator genehmigte Verlängerung

Wenn ein Benutzer oder eine Gruppe eine Anforderung zur Verlängerung einer Rollenzuweisung übermittelt, erhalten die Administratoren eine E-Mail-Benachrichtigung mit den Details der ursprünglichen Zuweisung und dem Grund der Anforderung. Die Benachrichtigung enthält einen direkten Link zu der Anforderung, damit der Administrator diese genehmigen oder ablehnen kann.

Zusätzlich zur Verwendung des Links aus der E-Mail können Administratoren Anforderungen genehmigen oder ablehnen, indem sie zum Privileged Identity Management-Verwaltungsportal wechseln und im linken Bereich die Option Anforderung genehmigen auswählen.

Screenshot: Microsoft Entra-Rollen – Seite „Anforderungen genehmigen“ mit einer Auflistung von Anforderungen und Links zum Genehmigen oder Ablehnen

Wenn ein Administrator die Option Genehmigen oder Ablehnen wählt, werden die Details der Anforderung zusammen mit einem Feld zum Angeben der geschäftlichen Begründung für die Überwachungsprotokolle angezeigt.

Screenshot: Bereich zum Genehmigen der Rollenzuweisungsanforderung mit der Begründung des Anforderers, dem Zuweisungstyp, der Startzeit, der Endzeit und dem Grund

Beim Genehmigen einer Anforderung zur Verlängerung der Rollenzuweisung können Administratoren einen neuen Start- und Endzeitpunkt und einen neuen Zuweisungstyp wählen. Das Ändern des Zuweisungstyps kann erforderlich sein, wenn der Administrator begrenzten Zugriff gewähren möchte (z.B. nur für einen Tag), damit eine bestimmte Aufgabe erfüllt werden kann. In diesem Beispiel kann der Administrator die Zuweisung von Berechtigt in Aktiv ändern. Das bedeutet, dass sie dem Anfordernden Zugriff gewähren können, ohne dass er aktiviert werden muss.

Vom Administrator initiierte Verlängerung

Wenn ein Benutzer, der einer Rolle zugewiesen ist, keine Verlängerung für die Rollenzuweisung anfordert, kann ein Administrator eine Zuweisung auch im Namen des Benutzers verlängern. Für Verlängerungen von Rollenzuweisungen durch Administratoren sind keine Genehmigungen erforderlich, nach Verlängerung der Rolle werden jedoch Benachrichtigungen an alle anderen Administratoren gesendet.

Um eine Rollenzuweisung zu verlängern, wechseln Sie zu der Rollen- oder Zuweisungsansicht in Privileged Identity Management. Suchen Sie die Zuweisung, für die eine Verlängerung erforderlich ist. Wählen Sie dann Verlängern in der Aktionsspalte.

Screenshot: Microsoft Entra-Rollen – Seite „Zuweisungen“, auf der die berechtigten Rollen mit Links zum Verlängern aufgelistet sind

Erweitern von Rollenzuweisungen mithilfe der Microsoft Graph-API

In der folgenden Anforderung erweitert ein Administrator eine aktive Zuweisung mithilfe der Microsoft Graph-API.

HTTP-Anforderung

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 
 
{
    "action": "adminExtend",
    "justification": "TEST",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "scheduleInfo": {
        "startDateTime": "2022-04-10T00:00:00Z",
        "expiration": {
            "type": "afterDuration",
            "duration": "PT3H"
        }
    }
}

HTTP-Antwort

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
    "id": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
    "status": "Provisioned",
    "createdDateTime": "2022-05-13T16:18:36.3647674Z",
    "completedDateTime": "2022-05-13T16:18:40.0835993Z",
    "approvalId": null,
    "customData": null,
    "action": "adminExtend",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
    "justification": "TEST",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "aaaaaaaa-bbbb-cccc-1111-222222222222"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-05-13T16:18:40.0835993Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDuration",
            "endDateTime": null,
            "duration": "PT3H"
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}

Erneuern von Rollenzuweisungen

Der Prozess zum Erneuern einer abgelaufenen Rollenzuweisung ist vom Konzept her zwar ähnlich dem Prozess zum Anfordern einer Verlängerung, es bestehen jedoch auch Unterschiede. Mit den folgenden Schritten können Zuweisungen und Administratoren den Zugriff auf abgelaufene Rollen bei Bedarf erneuern.

Selbstverlängerung

Benutzer, die nicht mehr auf Ressourcen zugreifen können, können bis zu 30 Tage auf den Verlauf der abgelaufenen Zuweisungen zugreifen. Navigieren Sie dazu im linken Bereich zu Meine Rollen und wählen Sie die Registerkarte Abgelaufene Rollen im Abschnitt der Microsoft Entra-Rollen.

Screenshot: Seite „Meine Rollen“ – Registerkarte „Abgelaufene Rollen“

In der Liste der Rollen werden die Standardeinstellungen für Berechtigte Rollen angezeigt. Wählen Sie zugewiesene Rollen mit dem Status Berechtigt oder Aktiv aus.

Wählen Sie die Aktion Erneuern, um für Rollenzuweisungen in der Liste eine Erneuerung anzufordern. Geben Sie dann einen Grund für Ihre Anforderung an. Es ist hilfreich, zusätzlich zum weiteren Kontext oder einer geschäftlichen Begründung einen Gültigkeitszeitraum anzugeben, um dem Administrator die Entscheidung über die Genehmigung oder Ablehnung zu erleichtern.

Screenshot: Bereich zum Verlängern einer Rollenzuweisung mit dem Feld „Grund“

Nach dem Übermitteln der Anforderung werden die Administratoren über eine ausstehende Anforderung zur Erneuerung einer Rollenzuweisung informiert.

Genehmigung durch Administrator

Microsoft Entra-Administrator*innen können über den Link in der E-Mail-Benachrichtigung auf die Erneuerungsanforderung zugreifen, oder sie können im Microsoft Entra Admin Center auf Privileged Identity Management zugreifen und dort die Option Anforderungen genehmigen auswählen.

Screenshot: Microsoft Entra-Rollen – Seite „Anforderungen genehmigen“ mit einer Auflistung von Anforderungen und Links zum Genehmigen oder Ablehnen

Wenn ein Administrator die Option Genehmigen oder Ablehnen wählt, werden die Details der Anforderung zusammen mit einem Feld zum Angeben der geschäftlichen Begründung für die Überwachungsprotokolle angezeigt.

Screenshot: Seite „Anforderung zum Genehmigen einer Rollenzuweisung“

Beim Genehmigen einer Anforderung zur Erneuerung der Rollenzuweisung müssen Administratoren einen neuen Start- und Endzeitpunkt und einen neuen Zuweisungstyp eingeben.

Erneuerung durch Administrator

Sie können darüber hinaus abgelaufene Rollenzuweisungen über die Registerkarte Abgelaufene Rollen einer Microsoft Entra-Rolle erneuern. Um eine Liste mit allen abgelaufenen Rollenzuweisungen anzuzeigen, wählen Sie auf dem Bildschirm Zuweisungen die Option Abgelaufenen Rollen.

Screenshot: Microsoft Entra-Rollen – Seite „Zuweisungen“, auf der die abgelaufenen Rollen mit Links zum Verlängern aufgelistet sind

Nächste Schritte