Verwalten von Microsoft Entra Rollenzuweisungen mithilfe von PIM-APIs

Privileged Identity Management (PIM) ist ein Feature von Microsoft Entra ID Governance, mit dem Sie den Zugriff auf wichtige Ressourcen in Ihrem organization verwalten, steuern und überwachen können. Eine Methode, mit der Prinzipalen wie Benutzern, Gruppen und Dienstprinzipalen (Anwendungen) Zugriff auf wichtige Ressourcen gewährt wird, ist die Zuweisung von Microsoft Entra Rollen.

Mit den APIs für PIM für Microsoft Entra Rollen können Sie den privilegierten Zugriff steuern und übermäßigen Zugriff auf Microsoft Entra Rollen einschränken. In diesem Artikel werden die Governancefunktionen von PIM für Microsoft Entra Rollen-APIs in Microsoft Graph vorgestellt.

Hinweis

Verwenden Sie zum Verwalten von Azure-Ressourcenrollen die Azure Resource Manager-APIs für PIM.

PIM-APIs zum Verwalten von Sicherheitswarnungen für Microsoft Entra Rollen sind nur auf dem /beta Endpunkt verfügbar. Weitere Informationen finden Sie unter Sicherheitswarnungen für Microsoft Entra Rollen.

Methoden zum Zuweisen von Rollen

PIM für Microsoft Entra Rollen bietet zwei Methoden zum Zuweisen von Rollen zu Prinzipalen:

  • Aktive Rollenzuweisungen: Ein Prinzipal kann über eine permanente oder temporäre, dauerhaft aktive Rollenzuweisung verfügen.
  • Berechtigte Rollenzuweisungen: Ein Prinzipal kann für eine Rolle entweder dauerhaft oder vorübergehend entfernt werden. Mit berechtigten Berechtigungen aktiviert der Prinzipal seine Rolle , wodurch eine vorübergehend aktive Rollenzuweisung erstellt wird, wenn er privilegierte Aufgaben ausführen muss. Die Aktivierung ist immer für maximal 8 Stunden zeitgebunden, aber die maximale Dauer kann in den Rolleneinstellungen verringert werden. Die Aktivierung kann auch verlängert oder verlängert werden.

PIM-APIs zum Verwalten aktiver Rollenzuweisungen

MIT PIM können Sie aktive Rollenzuweisungen verwalten, indem Sie permanente oder temporäre Zuweisungen erstellen. Verwenden Sie den Ressourcentyp unifiedRoleAssignmentScheduleRequest und die zugehörigen Methoden, um Rollenzuweisungen zu verwalten.

Hinweis

Es wird empfohlen, PIM zu verwenden, um aktive Rollenzuweisungen mithilfe der Ressourcentypen unifiedRoleAssignment oder directoryRole zu verwalten, um sie direkt zu verwalten.

In der folgenden Tabelle sind Szenarien für die Verwendung von PIM zum Verwalten von Rollenzuweisungen und der aufzurufenden APIs aufgeführt.

Szenarien API
Ein Administrator erstellt und weist einem Prinzipal eine permanente Rollenzuweisung zu.
Ein Administrator weist einem Prinzipal eine temporäre Rolle zu.
Erstellen von roleAssignmentScheduleRequests
Ein Administrator verlängert, aktualisiert, erweitert oder entfernt Rollenzuweisungen. Erstellen von roleAssignmentScheduleRequests
Ein Administrator fragt alle Rollenzuweisungen und deren Details ab. roleAssignmentScheduleRequests auflisten
Ein Administrator fragt eine Rollenzuweisung und deren Details ab. UnifiedRoleAssignmentScheduleRequest abrufen
Ein Prinzipal fragt seine Rollenzuweisungen und die Details ab. unifiedRoleAssignmentScheduleRequest: filterByCurrentUser
Ein Prinzipal führt just-in-time- und zeitgebundene Aktivierung seiner berechtigten Rollenzuweisung aus. Erstellen von roleAssignmentScheduleRequests
Ein Prinzipal bricht eine von ihnen erstellte Rollenzuweisungsanforderung ab. unifiedRoleAssignmentScheduleRequest: cancel
Ein Prinzipal, der seine berechtigte Rollenzuweisung aktiviert hat, deaktiviert sie, wenn er keinen Zugriff mehr benötigt. Erstellen von roleAssignmentScheduleRequests
Ein Prinzipal deaktiviert, erweitert oder erneuert seine eigene Rollenzuweisung. Erstellen von roleAssignmentScheduleRequests

PIM-APIs zum Verwalten von Rollenberechtigungen

Ihre Prinzipale erfordern möglicherweise keine permanenten Rollenzuweisungen, da sie nicht die Berechtigungen erfordern, die über die privilegierte Rolle gewährt werden. In diesem Fall können Sie mit PIM auch Rollenberechtigungen erstellen und sie den Prinzipalen zuweisen. Mit Rollenberechtigungen aktiviert der Prinzipal die Rolle, wenn er privilegierte Aufgaben ausführen muss. Die Aktivierung ist immer für maximal 8 Stunden zeitgebunden. Der Prinzipal kann auch dauerhaft oder vorübergehend für die Rolle berechtigt sein.

Verwenden Sie den Ressourcentyp unifiedRoleEligibilityScheduleRequest und die zugehörigen Methoden, um Rollenberechtigungen zu verwalten.

In der folgenden Tabelle sind Szenarien für die Verwendung von PIM zum Verwalten von Rollenberechtigungen und der aufzurufenden APIs aufgeführt.

Szenarien API
Ein Administrator erstellt und weist einem Prinzipal eine berechtigte Rolle zu.
Ein Administrator weist einem Prinzipal eine temporäre Rollenberechtigung zu.
Erstellen von roleEligibilityScheduleRequests
Ein Administrator verlängert, aktualisiert, erweitert oder entfernt Rollenberechtigungen. Erstellen von roleEligibilityScheduleRequests
Ein Administrator fragt alle Rollenberechtigungen und deren Details ab. roleEligibilityScheduleRequests auflisten
Ein Administrator fragt eine Rollenberechtigung und deren Details ab. Abrufen von unifiedRoleEligibilityScheduleRequest
Ein Administrator bricht eine von ihnen erstellte Rollenberechtigungsanforderung ab. unifiedRoleEligibilityScheduleRequest: cancel
Ein Prinzipal fragt seine Rollenberechtigungen und die Details ab. unifiedRoleEligibilityScheduleRequest: filterByCurrentUser
Ein Prinzipal deaktiviert, erweitert oder verlängert seine eigene Rollenberechtigung. Erstellen von roleEligibilityScheduleRequests

Rolleneinstellungen und PIM

Jede Microsoft Entra Rolle definiert Einstellungen oder Regeln. Diese Regeln umfassen, ob mehrstufige Authentifizierung (MFA), Begründung oder Genehmigung erforderlich ist, um eine berechtigte Rolle zu aktivieren, oder ob Sie permanente Zuweisungen oder Berechtigungsberechtigungen für Prinzipale für die Rolle erstellen können. Diese rollenspezifischen Regeln bestimmen die Einstellungen, die Sie beim Erstellen oder Verwalten von Rollenzuweisungen und Berechtigungen über PIM anwenden können.

In Microsoft Graph werden diese Regeln über die Ressourcentypen unifiedRoleManagementPolicy und unifiedRoleManagementPolicyAssignment und die zugehörigen Methoden verwaltet.

Angenommen, eine Rolle lässt standardmäßig keine dauerhaft aktiven Zuweisungen zu und definiert maximal 15 Tage für aktive Zuweisungen. Der Versuch, ein unifiedRoleAssignmentScheduleRequest-Objekt ohne Ablaufdatum zu erstellen, gibt einen Antwortcode für einen 400 Bad Request Verstoß gegen die Ablaufregel zurück.

MIT PIM können Sie verschiedene Regeln konfigurieren, darunter:

  • Ob Prinzipalen permanent berechtigte Zuweisungen zugewiesen werden können
  • Die maximal zulässige Dauer für eine Rollenaktivierung und ob eine Begründung oder Genehmigung erforderlich ist, um berechtigte Rollen zu aktivieren
  • Die Benutzer, die Aktivierungsanforderungen für eine Microsoft Entra Rolle genehmigen dürfen
  • Gibt an, ob MFA zum Aktivieren und Erzwingen einer Rollenzuweisung erforderlich ist
  • Die Prinzipale, die über Rollenaktivierungen benachrichtigt werden

In der folgenden Tabelle sind Szenarien für die Verwendung von PIM zum Verwalten von Regeln für Microsoft Entra Rollen und die aufzurufenden APIs aufgeführt.

Szenarien API
Abrufen von Rollenverwaltungsrichtlinien und zugeordneten Regeln oder Einstellungen UnifiedRoleManagementPolicies auflisten
Abrufen einer Rollenverwaltungsrichtlinie und der zugehörigen Regeln oder Einstellungen UnifiedRoleManagementPolicy abrufen
Aktualisieren einer Rollenverwaltungsrichtlinie für die zugeordneten Regeln oder Einstellungen UnifiedRoleManagementPolicy aktualisieren
Abrufen der für die Rollenverwaltungsrichtlinie definierten Regeln Auflisten von Regeln
Abrufen einer für eine Rollenverwaltungsrichtlinie definierten Regel UnifiedRoleManagementPolicyRule abrufen
Aktualisieren einer für eine Rollenverwaltungsrichtlinie definierten Regel UnifiedRoleManagementPolicyRule aktualisieren
Abrufen der Details aller Rollenverwaltungsrichtlinienzuweisungen, einschließlich der Richtlinien und Regeln oder Einstellungen, die den Microsoft Entra Rollen zugeordnet sind UnifiedRoleManagementPolicyAssignments auflisten
Abrufen der Details einer Rollenverwaltungsrichtlinienzuweisung, einschließlich der Richtlinie und der Regeln oder Einstellungen, die der Microsoft Entra Rolle zugeordnet sind UnifiedRoleManagementPolicyAssignment abrufen

Weitere Informationen zur Verwendung von Microsoft Graph zum Konfigurieren von Regeln finden Sie unter Übersicht über Regeln für Microsoft Entra Rollen in PIM-APIs. Beispiele für das Aktualisieren von Regeln finden Sie unter Verwenden von PIM-APIs zum Aktualisieren von Regeln für Microsoft Entra ID Rollen.

Überwachungsprotokolle

Alle Aktivitäten, die über PIM für Microsoft Entra Rollen durchgeführt werden, werden in Microsoft Entra Überwachungsprotokollen protokolliert, und Sie können die API für Verzeichnisüberwachungen auflisten lesen.

Zero Trust

Dieses Feature hilft Organisationen, ihre Identitäten an den drei Leitprinzipien einer Zero Trust-Architektur auszurichten:

  • Explizit verifizieren
  • Verwenden der geringsten Rechte
  • Gehe von einem Verstoß aus

Weitere Informationen zu Zero Trust und anderen Möglichkeiten, Ihre organization an den Leitprinzipien auszurichten, finden Sie im Zero Trust Guidance Center.

Lizenzierung

Der Mandant, in dem Privileged Identity Management verwendet wird, muss über genügend erworbene oder Testlizenzen verfügen. Weitere Informationen finden Sie unter Microsoft Entra ID Governance Lizenzierungsgrundlagen.