Steuern der Mitgliedschaft und des Besitzes von Gruppen mithilfe von PIM für Gruppen
Mit Privileged Identity Management für Gruppen (PIM für Gruppen) können Sie steuern, wie Prinzipalen die Mitgliedschaft oder der Besitz von Gruppen zugewiesen werden. Sicherheit und Microsoft 365-Gruppen sind wichtige Ressourcen, die Sie für den Zugriff auf Microsoft-Cloudressourcen wie Microsoft Entra Rollen, Azure-Rollen, Azure SQL, Azure Key Vault, Intune und Anwendungen von Drittanbietern verwenden können. PIM für Gruppen bietet Ihnen mehr Kontrolle darüber, wie und wann Prinzipale Mitglieder oder Besitzer von Gruppen sind und daher über Berechtigungen verfügen, die über ihre Gruppenmitgliedschaft oder ihren Besitz gewährt werden.
Die PIM für Gruppen-APIs in Microsoft Graph bieten Ihnen mehr Governance über Sicherheit und Microsoft 365-Gruppen, z. B. die folgenden Funktionen:
- Bereitstellen der Just-In-Time-Mitgliedschaft oder des Besitzes von Gruppen für Prinzipale
- Zuweisen der temporären Mitgliedschaft oder des Besitzes von Gruppen für Prinzipale
In diesem Artikel werden die Governancefunktionen der APIs für PIM für Gruppen in Microsoft Graph vorgestellt.
PIM für Gruppen-APIs zum Verwalten aktiver Zuweisungen von Gruppenbesitzern und Mitgliedern
Mit den PIM für Gruppen-APIs in Microsoft Graph können Sie Prinzipalen permanente oder temporäre und zeitlich begrenzte Mitgliedschaften oder Besitzrechte zu Gruppen zuweisen.
In der folgenden Tabelle sind Szenarien für die Verwendung von PIM für Gruppen-APIs aufgeführt, um aktive Zuweisungen für Prinzipale und die entsprechenden APIs zu verwalten, die aufgerufen werden sollen.
Scenarios | API |
---|---|
Ein Administrator: Ein Prinzipal: |
Erstellen von assignmentScheduleRequest |
Ein Administrator listet alle Anforderungen für aktive Mitgliedschaft und Besitzzuweisungen für eine Gruppe auf. | assignmentScheduleRequests auflisten |
Ein Administrator listet alle aktiven Zuweisungen auf und fordert die zukünftige Erstellung von Zuweisungen für Mitgliedschaft und Besitz für eine Gruppe an. | Auflisten von ZuweisungenZeitplane |
Ein Administrator listet alle aktiven Mitgliedschafts- und Besitzzuweisungen für eine Gruppe auf. | Auflisten von assignmentScheduleInstances |
Ein Administrator fragt ein Mitglied und die Besitzzuweisung für eine Gruppe und deren Details ab. | PrivilegedAccessGroupAssignmentScheduleRequest abrufen |
Ein Prinzipal fragt seine Mitgliedschafts- oder Besitzzuweisungsanforderungen und die Details ab. Eine genehmigende Person fragt Mitgliedschafts- oder Besitzanforderungen ab, die auf ihre Genehmigung und Details zu diesen Anforderungen warten. |
privilegedAccessGroupAssignmentScheduleRequest: filterByCurrentUser |
Ein Prinzipal bricht eine von ihnen erstellte Mitgliedschafts- oder Besitzzuweisungsanforderung ab. | privilegedAccessGroupAssignmentScheduleRequest: cancel |
Eine genehmigenden Person erhält Details für die Genehmigungsanforderung, einschließlich Informationen zu Genehmigungsschritten. | Genehmigung anfordern |
Eine genehmigende Person genehmigt oder verweigert die Genehmigungsanforderung, indem sie den Genehmigungsschritt genehmigt oder verweigert. | Genehmigungsschritt aktualisieren |
PIM für Gruppen-APIs zum Verwalten berechtigter Zuweisungen von Gruppenbesitzern und Mitgliedern
Ihre Prinzipale erfordern möglicherweise keine permanente Mitgliedschaft oder den Besitz von Gruppen, da sie nicht die Berechtigungen benötigen, die über die Mitgliedschaft oder den Besitz gewährt werden. In diesem Fall ermöglicht IHNEN PIM für Gruppen, die Prinzipale für die Mitgliedschaft oder den Besitz der Gruppen berechtigt zu machen.
Wenn ein Prinzipal über eine berechtigte Zuweisung verfügt, aktiviert er seine Zuweisung, wenn er die über die Gruppen gewährten Berechtigungen benötigt, um privilegierte Aufgaben auszuführen. Eine berechtigte Zuweisung kann dauerhaft oder temporär sein. Die Aktivierung ist immer für maximal 8 Stunden zeitgebunden. Der Prinzipal kann auch seine Mitgliedschaft oder den Besitz der Gruppe verlängern oder verlängern.
In der folgenden Tabelle sind Szenarien für die Verwendung von PIM für Gruppen-APIs aufgeführt, um berechtigte Zuweisungen für Prinzipale und die entsprechenden APIs zu verwalten, die aufgerufen werden sollen.
Scenarios | API |
---|---|
Ein Administrator: |
Erstellen von berechtigungScheduleRequest |
Ein Administrator fragt alle berechtigten Mitgliedschafts- oder Besitzanforderungen und deren Details ab. | Auflisten der BerechtigungScheduleRequests |
Ein Administrator fragt eine berechtigte Mitgliedschafts- oder Besitzanforderung und deren Details ab. | Abrufen der BerechtigungScheduleRequest |
Ein Administrator bricht eine berechtigte Mitgliedschafts- oder Besitzanforderung ab, die er erstellt hat. | privilegedAccessGroupEligibilityScheduleRequest:cancel |
Ein Prinzipal fragt die Details seiner berechtigten Mitgliedschaft oder Besitzanforderung ab. | privilegedAccessGroupEligibilityScheduleRequest: filterByCurrentUser |
Richtlinieneinstellungen in PIM für Gruppen
PIM für Gruppen definiert Einstellungen oder Regeln, die steuern, wie Prinzipalen die Mitgliedschaft oder der Besitz von Sicherheit und Microsoft 365-Gruppen zugewiesen werden können. Diese Regeln umfassen, ob die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA), Begründung oder Genehmigung erforderlich ist, um eine berechtigte Mitgliedschaft oder einen berechtigten Besitz für eine Gruppe zu aktivieren, oder ob Sie dauerhafte Zuweisungen oder Berechtigungen für Prinzipale für die Gruppen erstellen können. Die Regeln werden in Richtlinien definiert, und eine Richtlinie kann auf eine Gruppe angewendet werden.
In Microsoft Graph werden diese Regeln über die Ressourcentypen unifiedRoleManagementPolicy und unifiedRoleManagementPolicyAssignment und die zugehörigen Methoden verwaltet.
Angenommen, PIM für Gruppen lässt standardmäßig keine permanente aktive Mitgliedschaft und Besitzzuweisungen zu und definiert maximal sechs Monate für aktive Zuweisungen. Beim Versuch, ein privilegedAccessGroupAssignmentScheduleRequest-Objekt ohne Ablaufdatum zu erstellen, wird ein Antwortcode für einen 400 Bad Request
Verstoß gegen die Ablaufregel zurückgegeben.
MIT PIM für Gruppen können Sie verschiedene Regeln konfigurieren, darunter:
- Ob Prinzipalen permanent berechtigte Zuweisungen zugewiesen werden können
- Die maximal zulässige Dauer für eine Gruppenmitgliedschaft oder Besitzaktivierung und ob eine Begründung oder Genehmigung erforderlich ist, um die berechtigte Mitgliedschaft oder den Besitz zu aktivieren
- Die Benutzer, die Aktivierungsanforderungen für eine Gruppenmitgliedschaft oder einen Gruppenbesitz genehmigen dürfen
- Ob MFA erforderlich ist, um eine Gruppenmitgliedschaft oder Besitzzuweisung zu aktivieren und zu erzwingen
- Die Prinzipale, die über Gruppenmitgliedschafts- oder Besitzaktivierungen benachrichtigt werden
In der folgenden Tabelle sind Szenarien für die Verwendung von PIM für Gruppen zum Verwalten von Regeln und der aufzurufenden APIs aufgeführt.
Szenarien | API |
---|---|
Abrufen von PIM für Gruppenrichtlinien und zugeordneten Regeln oder Einstellungen | UnifiedRoleManagementPolicies auflisten |
Abrufen einer PIM für Gruppenrichtlinie und der zugehörigen Regeln oder Einstellungen | UnifiedRoleManagementPolicy abrufen |
Aktualisieren einer PIM für Gruppenrichtlinie für die zugeordneten Regeln oder Einstellungen | UnifiedRoleManagementPolicy aktualisieren |
Abrufen der für eine PIM für Gruppenrichtlinie definierten Regeln | Auflisten von Regeln |
Abrufen einer für eine PIM für Gruppenrichtlinie definierten Regel | UnifiedRoleManagementPolicyRule abrufen |
Aktualisieren einer für eine PIM für Gruppenrichtlinie definierten Regel | UnifiedRoleManagementPolicyRule aktualisieren |
Abrufen der Details aller PIM für Gruppenrichtlinienzuweisungen, einschließlich der Richtlinien und Regeln, die der Gruppenmitgliedschaft und dem Besitz von Gruppen zugeordnet sind | UnifiedRoleManagementPolicyAssignments auflisten |
Abrufen der Details einer PIM für Gruppenrichtlinienzuweisung, einschließlich der Richtlinie und der Regeln, die der Gruppenmitgliedschaft oder dem Gruppenbesitz zugeordnet sind | UnifiedRoleManagementPolicyAssignment abrufen |
Weitere Informationen zur Verwendung von Microsoft Graph zum Konfigurieren von Regeln finden Sie unter Übersicht über Regeln in PIM-APIs in Microsoft Graph. Beispiele für das Aktualisieren von Regeln finden Sie unter Verwenden von PIM-APIs in Microsoft Graph zum Aktualisieren von Regeln.
Onboarding von Gruppen in PIM für Gruppen
Sie können eine Gruppe nicht explizit in PIM für Gruppen integrieren. Wenn Sie anfordern, eine Zuweisung zu einer Gruppe mithilfe von Zuordnung erstellenScheduleRequest oder Create eligibilityScheduleRequest hinzuzufügen, oder wenn Sie die PIM-Richtlinie (Rolleneinstellungen) für eine Gruppe mithilfe von Update unifiedRoleManagementPolicy oder Update unifiedRoleManagementPolicyRule aktualisieren, wird die Gruppe automatisch in PIM integriert, wenn sie zuvor noch nicht integriert wurde.
Sie können eine der folgenden APIs sowohl für Gruppen aufrufen, die in PIM integriert sind, als auch für Gruppen, die noch nicht in PIM integriert wurden. Es wird jedoch empfohlen, dies nur für Gruppen zu tun, die in PIM integriert sind, um die Wahrscheinlichkeit einer Drosselung zu verringern.
- assignmentScheduleRequests auflisten
- Auflisten von ZuweisungenZeitplane
- assignmentScheduleInstances auflisten,
- Auflisten der BerechtigungScheduleRequests
- List eligibilitySchedules
- Auflisten der BerechtigungScheduleInstances
Nachdem PIM eine Gruppe integriert hat, ändern sich die IDs der PIM-Richtlinien und Richtlinienzuweisungen der jeweiligen Gruppe. Rufen Sie die API get unifiedRoleManagementPolicy oder Get unifiedRoleManagementPolicyAssignment auf, um die aktualisierten IDs abzurufen.
Nachdem PIM das Onboarding einer Gruppe aufgenommen hat, können Sie sie nicht mehr offboarden, aber Sie können alle berechtigten und zeitgebundenen Zuweisungen nach Bedarf entfernen.
PIM für Gruppen und das Gruppenobjekt
Mitgliedschaft und Besitz von Sicherheits- und Microsoft 365-Gruppen (außer dynamischen Gruppen und gruppen, die lokal synchronisiert werden) können über PIM für Gruppen gesteuert werden. Die Gruppe muss nicht rollenzuweisbar sein, um in PIM für Gruppen aktiviert zu werden.
Wenn Sie einem Prinzipal eine aktive permanente oder temporäre Mitgliedschaft oder den Besitz einer Gruppe zuweisen oder eine Just-in-Time-Aktivierung vornehmen:
- Die Details des Prinzipals werden zurückgegeben, wenn Sie die Beziehungen von Mitgliedern und Besitzern über die APIs Listengruppenmitglieder oder Listengruppenbesitzer abfragen.
- Sie können den Prinzipal mithilfe der APIs Gruppenbesitzer entfernen oder Gruppenmitglied entfernen aus der Gruppe entfernen.
- Wenn Änderungen an der Gruppe mit den Funktionen Delta abrufen und Delta abrufen für Verzeichnisobjekte nachverfolgt werden, enthält eine
@odata.nextLink
das neue Mitglied oder den neuen Besitzer. - Die änderungen an Gruppenmitgliedern und Besitzern, die über PIM für Gruppen vorgenommen werden, werden in Microsoft Entra Überwachungsprotokollen protokolliert und können über die API Für Verzeichnisüberwachungen auflisten gelesen werden.
Wenn einem Prinzipal eine berechtigte dauerhafte oder temporäre Mitgliedschaft oder der Besitz einer Gruppe zugewiesen wird, werden die Beziehungen der Mitglieder und Besitzer der Gruppe nicht aktualisiert.
Wenn die vorübergehende aktive Mitgliedschaft oder der Besitz einer Gruppe eines Prinzipals abläuft:
- Die Details des Prinzipals werden automatisch aus den Beziehungen zu Mitgliedern und Besitzern entfernt.
- Wenn Änderungen an der Gruppe mit den Funktionen Delta abrufen und Delta abrufen für Verzeichnisobjekte nachverfolgt werden, gibt ein
@odata.nextLink
das entfernte Gruppenmitglied oder den entfernten Besitzer an.
Zero Trust
Dieses Feature hilft Organisationen, ihre Mandanten an den drei Leitprinzipien einer Zero Trust-Architektur auszurichten:
- Explizit verifizieren
- Verwenden der geringsten Rechte
- Gehe von einem Verstoß aus
Weitere Informationen zu Zero Trust und anderen Möglichkeiten, Ihre organization an den Leitprinzipien auszurichten, finden Sie im Zero Trust Guidance Center.
Lizenzierung
Der Mandant, in dem Privileged Identity Management verwendet wird, muss über genügend erworbene oder Testlizenzen verfügen. Weitere Informationen finden Sie unter Microsoft Entra ID Governance Lizenzierungsgrundlagen.
Verwandte Inhalte
Microsoft Entra Sicherheitsvorgänge für Privileged Identity Management im Microsoft Entra Architecture Center