Regeln in PIM – Zuordnungsleitfaden

Privileged Identity Management (PIM) macht Rolleneinstellungen für die Ressourcen verfügbar, die verwaltet werden können. In Microsoft Graph sind diese Ressourcen Microsoft Entra Rollen und Gruppen und werden über PIM für Microsoft Entra Rollen bzw. PIM für Gruppen verwaltet.

Rolleneinstellungen fallen in eine von drei Kategorien:

  • Aktivierungseinstellungen
  • Zuweisungseinstellungen
  • Benachrichtigungseinstellungen

Zu diesen Einstellungen gehört, ob die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) erforderlich ist, um eine berechtigte Rolle oder Gruppenmitgliedschaft zu aktivieren; oder ob Sie permanente Rollenzuweisungen, Gruppenbesitz oder Gruppenmitgliedschaften erstellen können.

Wenn Sie die APIs von PIM für Microsoft Entra Rollen oder PIM für Gruppen-APIs in Microsoft Graph verwenden, werden diese Rolleneinstellungen über Richtlinien und Regeln verwaltet.

Richtlinien

In Microsoft Graph werden die Rolleneinstellungen als Regeln bezeichnet. Diese Regeln werden für Microsoft Entra Rollen und Gruppen über Container, die als Richtlinien bezeichnet werden, gruppiert, zugewiesen und verwaltet.

Die Richtlinien werden über den Ressourcentyp unifiedRoleManagementPolicy definiert.

Richtlinienregeln

Jedes unifiedRoleManagementPolicy-Objekt enthält 17 vordefinierte Regeln, die aktualisiert werden können. Diese Regeln werden über die Regelbeziehung verwaltet.

Microsoft Graph definiert den abstrakten Ressourcentyp unifiedRoleManagementPolicyRule , der von fünf Ressourcen geerbt wird. Die fünf abgeleiteten Typen werden verwendet, um die Regeln in Aktivierungs-, Zuweisungs- und Benachrichtigungsregeln zu gruppieren. Sie definieren Regelkonfigurationen, die eine oder mehrere von 17 Regeln sein können, die durch eindeutige und unveränderliche Regel-IDs identifiziert werden.

Dieser Artikel enthält eine Zuordnung der Einstellungen in PIM auf der Microsoft Entra Admin Center zu den entsprechenden Regeln in Microsoft Graph.

Zuordnung von Regel-IDs zu PIM-Rolleneinstellungen auf dem Microsoft Entra Admin Center

Aktivierungsregeln

Die folgende Abbildung zeigt die Aktivierungsrolleneinstellungen im Microsoft Entra Admin Center, die Regeln und Ressourcentypen in den PIM-APIs in Microsoft Graph zugeordnet sind.

Pim-Rollenaktivierungseinstellungen auf dem Microsoft Entra Admin Center.

Zahl Microsoft Entra Admin Center UX-Beschreibung Microsoft Graph-Regel-ID/Abgeleiteter Ressourcentyp Für Anrufer erzwungen
1 Maximale Aktivierungsdauer (Stunden) Expiration_EndUser_Assignment / unifiedRoleManagementPolicyExpirationRule Endbenutzer
2 Bei aktivierung erforderlich: Keine, Azure MFA

Anfordern von Ticketinformationen bei der Aktivierung

Begründung bei Aktivierung anfordern
Enablement_EndUser_Assignment / unifiedRoleManagementPolicyExpirationRule Endbenutzer
3 Bei aktivierung erforderlich: Microsoft Entra Authentifizierungskontext für bedingten Zugriff (Vorschau) AuthenticationContext_EndUser_Assignment / unifiedRoleManagementPolicyExpirationRule Endbenutzer
4 Genehmigung zum Aktivieren erforderlich Approval_EndUser_Assignment / unifiedRoleManagementPolicyExpirationRule Endbenutzer

Zuweisungsregeln

Die folgende Abbildung zeigt die Zuweisungsrolleneinstellungen im Microsoft Entra Admin Center, die Regeln und Ressourcentypen in der PIM-API in Microsoft Graph zugeordnet sind.

PIM-Rollenzuweisungseinstellungen auf dem Microsoft Entra Admin Center.

Zahl Microsoft Entra Admin Center UX-Beschreibung Microsoft Graph-Regel-ID/Abgeleiteter Ressourcentyp Für Anrufer erzwungen
5 Dauerhafte berechtigte Zuweisung zulassen

Berechtigte Zuweisungen nach ablaufen
Expiration_Admin_Eligibility / unifiedRoleManagementPolicyExpirationRule Administrator
6 Dauerhafte aktive Zuweisung zulassen

Ablauf aktiver Zuweisungen nach
Expiration_Admin_Assignment / unifiedRoleManagementPolicyExpirationRule Administrator
7 Anfordern von Azure Multi-Factor Authentication bei aktiver Zuweisung

Begründung für aktive Zuweisung anfordern
Enablement_Admin_Assignment / unifiedRoleManagementPolicyExpirationRule Administrator
8 Ist in Microsoft Entra Admin Center UX nicht vorhanden Enablement_Admin_Eligibility / unifiedRoleManagementPolicyExpirationRule Administrator

Benachrichtigungsregeln

Die folgende Abbildung zeigt die Benachrichtigungsrolleneinstellungen auf dem Microsoft Entra Admin Center, die Regeln und Ressourcentypen in der PIM-API in Microsoft Graph zugeordnet sind.

PIM-Rollenbenachrichtigungseinstellungen auf dem Microsoft Entra Admin Center.

Zahl Microsoft Entra Admin Center UX-Beschreibung Microsoft Graph-Regel-ID/Abgeleiteter Ressourcentyp Für Anrufer erzwungen
9 Senden von Benachrichtigungen, wenn Mitglieder als berechtigt für diese Rolle zugewiesen sind: Warnung zur Rollenzuweisung Notification_Admin_Admin_Eligibility / unifiedRoleManagementPolicyExpirationRule Administrator
10 Senden von Benachrichtigungen, wenn Mitglieder als berechtigt für diese Rolle zugewiesen werden: Benachrichtigung an den zugewiesenen Benutzer (Zugewiesener) Notification_Requestor_Admin_Eligibility / unifiedRoleManagementPolicyExpirationRule Zugewiesener/Anforderer
11 Senden von Benachrichtigungen, wenn Mitglieder als berechtigt für diese Rolle zugewiesen sind: Anforderung zum Genehmigen einer Verlängerung/Erweiterung einer Rollenzuweisung Notification_Approver_Admin_Eligibility / unifiedRoleManagementPolicyExpirationRule Genehmiger
12 Senden von Benachrichtigungen, wenn Mitglieder dieser Rolle als aktiv zugewiesen sind: Warnung zur Rollenzuweisung Notification_Admin_Admin_Assignment / unifiedRoleManagementPolicyExpirationRule Administrator
13 Senden von Benachrichtigungen, wenn Mitglieder dieser Rolle als aktiv zugewiesen werden: Benachrichtigung an den zugewiesenen Benutzer (Zugewiesener) Notification_Requestor_Admin_Assignment / unifiedRoleManagementPolicyExpirationRule Zugewiesener/Anforderer
14 Senden von Benachrichtigungen, wenn Mitglieder dieser Rolle als aktiv zugewiesen sind: Anfordern der Genehmigung einer Verlängerung/Erweiterung einer Rollenzuweisung Notification_Approver_Admin_Assignment / unifiedRoleManagementPolicyExpirationRule Genehmiger
15 Senden von Benachrichtigungen, wenn berechtigte Mitglieder diese Rolle aktivieren: Warnung zur Rollenaktivierung Notification_Admin_EndUser_Assignment / unifiedRoleManagementPolicyExpirationRule Administrator
16 Senden von Benachrichtigungen, wenn berechtigte Mitglieder diese Rolle aktivieren: Benachrichtigung an aktivierten Benutzer (Anforderer) Notification_Requestor_EndUser_Assignment / unifiedRoleManagementPolicyExpirationRule Anforderer
17 Senden von Benachrichtigungen, wenn berechtigte Mitglieder diese Rolle aktivieren: Anfordern der Genehmigung einer Aktivierung Notification_Approver_EndUser_Assignment / unifiedRoleManagementPolicyExpirationRule Genehmiger