Einstieg in Privileged Identity Management

In diesem Artikel werden das Aktivieren von und die ersten Schritte mit Privileged Identity Management (PIM) beschrieben.

Verwenden Sie Privileged Identity Management (PIM), um den Zugriff in Ihrer Microsoft Entra-Organisation zu verwalten, zu steuern und zu überwachen. Mit PIM können Sie bedarfsgesteuerten Zugriff und Just-In-Time-Zugriff auf Azure-Ressourcen, Microsoft Entra-Ressourcen und andere Microsoft-Onlinedienste wie Microsoft 365 oder Microsoft Intune bereitstellen.

Voraussetzungen

Um Privileged Identity Management verwenden zu können, müssen Sie über eine der folgenden Lizenzen verfügen:

Weitere Informationen finden Sie unter Lizenzanforderungen für die Verwendung von PIM.

Hinweis

Wenn ein aktiver Benutzer mit einer privilegierten Rolle in einer Microsoft Entra-Organisation mit einer Premium P2-Lizenz in Microsoft Entra zu Rollen und Administratoren navigiert und eine Rolle auswählt (oder sogar lediglich auf Privileged Identity Management zugreift):

  • PIM wird automatisch für die Organisation aktiviert.
  • Der Benutzer kann nun entweder eine „herkömmliche“ Rollenzuweisung oder eine zulässige Rollenzuweisung zuweisen.

Die Aktivierung von PIM hat keine anderen Auswirkungen auf Ihre Organisation, um die Sie sich sorgen müssen. Dies bietet Ihnen zusätzliche Zuweisungsoptionen wie aktive oder zulässige Zuweisungen mit Anfangs- und Endzeit. PIM ermöglicht Ihnen außerdem das Definieren des Gültigkeitsbereichs für Rollenzuweisungen mithilfe von Verwaltungseinheiten und benutzerdefinierten Rollen. Wenn Sie ein globaler Administrator oder Administrator mit privilegierter Rolle sind, erhalten Sie möglicherweise einige weitere E-Mails wie die wöchentliche PIM-Zusammenfassung. Darüber hinaus wird Ihnen möglicherweise auch der MS-PIM-Dienstprinzipal im Überwachungsprotokoll für die Rollenzuweisung angezeigt. Dabei handelt es sich um eine erwartete Änderung, die sich nicht auf Ihren Workflow auswirken sollte.

Vorbereiten von PIM für Microsoft Entra-Rollen

Folgende Aufgaben werden zur Vorbereitung von Privileged Identity Management für die Verwaltung von Microsoft Entra-Rollen empfohlen:

  1. Konfigurieren von Microsoft Entra-Rolleneinstellungen
  2. Gewähren der berechtigten Zuweisungen
  3. Berechtigten Benutzern eine Just-In-Time-Aktivierung ihrer Microsoft Entra-Rolle erlauben

Vorbereiten von PIM für Azure-Rollen

Folgende Aufgaben werden zur Vorbereitung von Privileged Identity Management für die Verwaltung von Azure-Rollen für ein Abonnement empfohlen:

  1. Ermitteln von Azure-Ressourcen
  2. Konfigurieren von Einstellungen für Azure-Rollen
  3. Gewähren der berechtigten Zuweisungen
  4. Erlauben der berechtigten Benutzer, ihre Azure-Rollen Just-In-Time zu aktivieren

Nach der Einrichtung von Privileged Identity Management können Sie sich mit der Verwendung vertraut machen.

Navigation window in Privileged Identity Management showing Tasks and Manage options

„Aufgaben“ und „Verwalten“ BESCHREIBUNG
Meine Rollen Zeigt eine Liste mit berechtigten und aktiven Rollen an, die Ihnen zugewiesen sind. Hier können Sie zugewiesene berechtigte Rollen aktivieren.
Ausstehende Anforderungen Zeigt Ihre ausstehenden Anforderungen zum Aktivieren berechtigter Rollenzuweisungen an.
Genehmigen von Anforderungen Zeigt eine Liste mit Anforderungen zum Aktivieren berechtigter Rollen nach Benutzern in Ihrem Verzeichnis an, für deren Genehmigung Sie zuständig sind.
Überprüfen des Zugriffs Zeigt eine Liste mit aktiven Zugriffsüberprüfungen an, die Ihnen zugewiesen sind. Dabei spielt es keine Rolle, ob Sie den Zugriff für sich selbst oder für eine andere Person überprüfen.
Microsoft Entra-Rollen Zeigt für Administratoren privilegierter Rollen ein Dashboard und Einstellungen zum Verwalten von Microsoft Entra-Rollenzuweisungen an. Für Benutzer, die kein Administrator für privilegierte Rollen sind, ist dieses Dashboard deaktiviert. Diese Benutzer haben Zugriff auf ein spezielles Dashboard namens „Meine Ansicht“. Auf dem Dashboard „Meine Ansicht“ werden nur Informationen zu dem Benutzer angezeigt, der auf das Dashboard zugreift (also keine Informationen zur gesamten Organisation).
Azure-Ressourcen Zeigt für Administratoren privilegierter Rollen ein Dashboard und Einstellungen zum Verwalten von Azure-Ressourcenrollenzuweisungen an. Für Benutzer, die kein Administrator für privilegierte Rollen sind, ist dieses Dashboard deaktiviert. Diese Benutzer haben Zugriff auf ein spezielles Dashboard namens „Meine Ansicht“. Auf dem Dashboard „Meine Ansicht“ werden nur Informationen zu dem Benutzer angezeigt, der auf das Dashboard zugreift (also keine Informationen zur gesamten Organisation).

Nächste Schritte