Freigeben über


Verwalten von Microsoft Entra Rollenzuweisungen mithilfe von PIM-APIs

Privileged Identity Management (PIM) ist ein Feature von Microsoft Entra ID Governance, mit dem Sie den Zugriff auf wichtige Ressourcen in Ihrem organization verwalten, steuern und überwachen können. Eine Methode, mit der Prinzipalen wie Benutzern, Gruppen und Dienstprinzipalen (Anwendungen) Zugriff auf wichtige Ressourcen gewährt wird, ist die Zuweisung von Microsoft Entra Administratorrollen.

Mit den APIs für PIM für Microsoft Entra Rollen können Sie den privilegierten Zugriff steuern und übermäßigen Zugriff auf Microsoft Entra Rollen einschränken. In diesem Artikel werden die Governancefunktionen von PIM für Microsoft Entra Rollen-APIs in Microsoft Graph vorgestellt.

Hinweis

Verwenden Sie zum Verwalten von Azure-Ressourcenrollen die PIM-APIs für Azure Resource Manager.

Methoden zum Zuweisen von Rollen

PIM für Microsoft Entra Rollen bietet zwei Methoden zum Zuweisen von Rollen zu Prinzipalen:

  • Aktive Rollenzuweisungen: Ein Prinzipal kann über eine permanente oder temporäre, dauerhaft aktive Rollenzuweisung verfügen.
  • Berechtigte Rollenzuweisungen: Ein Prinzipal kann für eine Rolle entweder dauerhaft oder vorübergehend entfernt werden. Mit berechtigten Berechtigungen aktiviert der Prinzipal seine Rolle , wodurch eine vorübergehend aktive Rollenzuweisung erstellt wird, wenn er privilegierte Aufgaben ausführen muss. Die Aktivierung ist immer für maximal 8 Stunden zeitgebunden, aber die maximale Dauer kann in den Rolleneinstellungen verringert werden. Die Aktivierung kann auch verlängert oder verlängert werden.

PIM-APIs zum Verwalten aktiver Rollenzuweisungen

MIT PIM können Sie aktive Rollenzuweisungen verwalten, indem Sie permanente oder temporäre Zuweisungen erstellen. Verwenden Sie den Ressourcentyp unifiedRoleAssignmentScheduleRequest und die zugehörigen Methoden, um Rollenzuweisungen zu verwalten.

Hinweis

Es wird empfohlen, PIM zu verwenden, um aktive Rollenzuweisungen mithilfe der Ressourcentypen unifiedRoleAssignment oder directoryRole zu verwalten, um sie direkt zu verwalten.

In der folgenden Tabelle sind Szenarien für die Verwendung von PIM zum Verwalten von Rollenzuweisungen und der aufzurufenden APIs aufgeführt.

Szenarien API
Ein Administrator erstellt und weist einem Prinzipal eine permanente Rollenzuweisung zu.
Ein Administrator weist einem Prinzipal eine temporäre Rolle zu.
Erstellen von roleAssignmentScheduleRequests
Ein Administrator verlängert, aktualisiert, erweitert oder entfernt Rollenzuweisungen. Erstellen von roleAssignmentScheduleRequests
Ein Administrator fragt alle Rollenzuweisungen und deren Details ab. roleAssignmentScheduleRequests auflisten
Ein Administrator fragt eine Rollenzuweisung und deren Details ab. UnifiedRoleAssignmentScheduleRequest abrufen
Ein Prinzipal fragt seine Rollenzuweisungen und die Details ab. unifiedRoleAssignmentScheduleRequest: filterByCurrentUser
Ein Prinzipal führt just-in-time- und zeitgebundene Aktivierung seiner berechtigten Rollenzuweisung aus. Erstellen von roleAssignmentScheduleRequests
Ein Prinzipal bricht eine von ihnen erstellte Rollenzuweisungsanforderung ab. unifiedRoleAssignmentScheduleRequest: cancel
Ein Prinzipal, der seine berechtigte Rollenzuweisung aktiviert hat, deaktiviert sie, wenn er keinen Zugriff mehr benötigt. Erstellen von roleAssignmentScheduleRequests
Ein Prinzipal deaktiviert, erweitert oder erneuert seine eigene Rollenzuweisung. Erstellen von roleAssignmentScheduleRequests

PIM-APIs zum Verwalten von Rollenberechtigungen

Ihre Prinzipale erfordern möglicherweise keine permanenten Rollenzuweisungen, da sie nicht die Berechtigungen erfordern, die über die privilegierte Rolle gewährt werden. In diesem Fall können Sie mit PIM auch Rollenberechtigungen erstellen und sie den Prinzipalen zuweisen. Mit Rollenberechtigungen aktiviert der Prinzipal die Rolle, wenn er privilegierte Aufgaben ausführen muss. Die Aktivierung ist immer für maximal 8 Stunden zeitgebunden. Der Prinzipal kann auch dauerhaft oder vorübergehend für die Rolle berechtigt sein.

Verwenden Sie den Ressourcentyp unifiedRoleEligibilityScheduleRequest und die zugehörigen Methoden, um Rollenberechtigungen zu verwalten.

In der folgenden Tabelle sind Szenarien für die Verwendung von PIM zum Verwalten von Rollenberechtigungen und der aufzurufenden APIs aufgeführt.

Szenarien API
Ein Administrator erstellt und weist einem Prinzipal eine berechtigte Rolle zu.
Ein Administrator weist einem Prinzipal eine temporäre Rollenberechtigung zu.
Erstellen von roleEligibilityScheduleRequests
Ein Administrator verlängert, aktualisiert, erweitert oder entfernt Rollenberechtigungen. Erstellen von roleEligibilityScheduleRequests
Ein Administrator fragt alle Rollenberechtigungen und deren Details ab. roleEligibilityScheduleRequests auflisten
Ein Administrator fragt eine Rollenberechtigung und deren Details ab. Abrufen von unifiedRoleEligibilityScheduleRequest
Ein Administrator bricht eine von ihnen erstellte Rollenberechtigungsanforderung ab. unifiedRoleEligibilityScheduleRequest: cancel
Ein Prinzipal fragt seine Rollenberechtigungen und die Details ab. unifiedRoleEligibilityScheduleRequest: filterByCurrentUser
Ein Prinzipal deaktiviert, erweitert oder verlängert seine eigene Rollenberechtigung. Erstellen von roleEligibilityScheduleRequests

Rolleneinstellungen und PIM

Jede Microsoft Entra Rolle definiert Einstellungen oder Regeln. Diese Regeln umfassen, ob mehrstufige Authentifizierung (MFA), Begründung oder Genehmigung erforderlich ist, um eine berechtigte Rolle zu aktivieren, oder ob Sie permanente Zuweisungen oder Berechtigungsberechtigungen für Prinzipale für die Rolle erstellen können. Diese rollenspezifischen Regeln bestimmen die Einstellungen, die Sie beim Erstellen oder Verwalten von Rollenzuweisungen und Berechtigungen über PIM anwenden können.

In Microsoft Graph werden diese Regeln über die Ressourcentypen unifiedRoleManagementPolicy und unifiedRoleManagementPolicyAssignment und die zugehörigen Methoden verwaltet.

Angenommen, eine Rolle lässt standardmäßig keine dauerhaft aktiven Zuweisungen zu und definiert maximal 15 Tage für aktive Zuweisungen. Der Versuch, ein unifiedRoleAssignmentScheduleRequest-Objekt ohne Ablaufdatum zu erstellen, gibt einen Antwortcode für einen 400 Bad Request Verstoß gegen die Ablaufregel zurück.

MIT PIM können Sie verschiedene Regeln konfigurieren, darunter:

  • Ob Prinzipalen permanent berechtigte Zuweisungen zugewiesen werden können
  • Die maximal zulässige Dauer für eine Rollenaktivierung und ob eine Begründung oder Genehmigung erforderlich ist, um berechtigte Rollen zu aktivieren
  • Die Benutzer, die Aktivierungsanforderungen für eine Microsoft Entra Rolle genehmigen dürfen
  • Gibt an, ob MFA zum Aktivieren und Erzwingen einer Rollenzuweisung erforderlich ist
  • Die Prinzipale, die über Rollenaktivierungen benachrichtigt werden

In der folgenden Tabelle sind Szenarien für die Verwendung von PIM zum Verwalten von Regeln für Microsoft Entra Rollen und die aufzurufenden APIs aufgeführt.

Szenarien API
Abrufen von Rollenverwaltungsrichtlinien und zugeordneten Regeln oder Einstellungen UnifiedRoleManagementPolicies auflisten
Abrufen einer Rollenverwaltungsrichtlinie und der zugehörigen Regeln oder Einstellungen UnifiedRoleManagementPolicy abrufen
Aktualisieren einer Rollenverwaltungsrichtlinie für die zugeordneten Regeln oder Einstellungen UnifiedRoleManagementPolicy aktualisieren
Abrufen der für die Rollenverwaltungsrichtlinie definierten Regeln Auflisten von Regeln
Abrufen einer für eine Rollenverwaltungsrichtlinie definierten Regel UnifiedRoleManagementPolicyRule abrufen
Aktualisieren einer für eine Rollenverwaltungsrichtlinie definierten Regel UnifiedRoleManagementPolicyRule aktualisieren
Abrufen der Details aller Rollenverwaltungsrichtlinienzuweisungen, einschließlich der Richtlinien und Regeln oder Einstellungen, die den Microsoft Entra Rollen zugeordnet sind UnifiedRoleManagementPolicyAssignments auflisten
Abrufen der Details einer Rollenverwaltungsrichtlinienzuweisung, einschließlich der Richtlinie und der Regeln oder Einstellungen, die der Microsoft Entra Rolle zugeordnet sind UnifiedRoleManagementPolicyAssignment abrufen

Weitere Informationen zur Verwendung von Microsoft Graph zum Konfigurieren von Regeln finden Sie unter Übersicht über Regeln für Microsoft Entra Rollen in PIM-APIs in Microsoft Graph. Beispiele für das Aktualisieren von Regeln finden Sie unter Verwenden von PIM-APIs in Microsoft Graph zum Aktualisieren Microsoft Entra ID Regeln.

Sicherheitswarnungen für Microsoft Entra Rollen

PIM für Microsoft Entra Rollen generiert Warnungen, wenn verdächtige oder unsichere Einstellungen für Microsoft Entra Rollen in Ihrem Mandanten erkannt werden. Die folgenden sieben Warnungstypen sind verfügbar:

Warnung Microsoft Graph-Ressourcen (Warnungskonfiguration/Incidents)
Zu viele globale Administratoren im Mandanten tooManyGlobalAdminsAssignedToTenantAlertConfiguration / tooManyGlobalAdminsAssignedToTenantAlertIncident
Ungültige Lizenzwarnungen, die die Verwendung von PIM einschränken invalidLicenseAlertConfiguration / invalidLicenseAlertIncident
Für die Aktivierung konfigurierte Rollen ohne mehrstufige Authentifizierung noMfaOnRoleActivationAlertConfiguration / noMfaOnRoleActivationAlertIncident
Benutzer mit nicht verwendeten berechtigten oder aktiven Microsoft Entra Rollenzuweisungen redundantAssignmentAlertConfiguration / redundantAssignmentAlertIncident
Microsoft Entra Rollen, die außerhalb von Privileged Identity Management zugewiesen werden rolesAssignedOutsidePrivilegedIdentityManagementAlertConfiguration / rolesAssignedOutsidePrivilegedIdentityManagementAlertIncident
zu häufig aktivierte Microsoft Entra Rollen sequentialActivationRenewalsAlertConfiguration / sequentialActivationRenewalsAlertIncident
Potenzielle veraltete Konten in einer privilegierten Rolle staleSignInAlertConfiguration / staleSignInAlertIncident

Weitere Informationen zu diesen Warnungen, einschließlich der Schweregradbewertung und trigger, finden Sie unter Konfigurieren von Sicherheitswarnungen für Microsoft Entra Rollen in PIM.

Bausteine der PIM-Warnungs-APIs

Verwenden Sie die folgenden Microsoft Graph-Ressourcen, um PIM-Warnungen zu verwalten.

Ressource Beschreibung API-Vorgänge
unifiedRoleManagementAlert Enthält eine Zusammenfassung der Warnungen in PIM für Microsoft Entra Rollen, unabhängig davon, ob sie aktiviert oder deaktiviert sind, wann der PIM-Dienst den Mandanten zuletzt auf Inzidenzen oder diese Warnung überprüft hat, und die Anzahl der Häufigkeiten, die diesem Warnungstyp im Mandanten zugeordnet sind. Der PIM-Dienst überprüft den Mandanten täglich auf Vorfälle im Zusammenhang mit der Warnung, Aber Sie können auch eine manuelle Überprüfung ausführen. List

Get

Update

Aktualisieren (manuelle Überprüfung)
unifiedRoleManagementAlertDefinition Enthält eine detaillierte Beschreibung der einzelnen Warnungstypen, des Schweregrads, der empfohlenen Schritte zur Abmilderung von Vorfällen im Zusammenhang mit der Warnung im Mandanten und den empfohlenen Maßnahmen, um zukünftige Vorfälle zu verhindern. List

Get
unifiedRoleManagementAlertConfiguration Die mandantenspezifische Konfiguration für die Warnung, einschließlich, ob der PIM-Dienst den Mandanten auf Vorfälle im Zusammenhang mit der Warnung, die Schwellenwerte, die die Warnung auslösen, und die zugehörige Warnungsdefinition überprüfen soll. Dies ist ein abstrakter Typ, von dem Ressourcen abgeleitet werden, die die einzelnen Warnungstypen darstellen. List

Get

Update
unifiedRoleManagementAlertIncident Die Fälle im Mandanten, die dem Warnungstyp entsprechen. List

Get

Korrektur

Weitere Informationen zum Arbeiten mit Sicherheitswarnungen für Microsoft Entra Rollen mithilfe von PIM-APIs finden Sie unter Verwalten von Sicherheitswarnungen für Microsoft Entra Rollen mithilfe von PIM-APIs in Microsoft Graph.

Überwachungsprotokolle

Alle Aktivitäten, die über PIM für Microsoft Entra Rollen durchgeführt werden, werden in Microsoft Entra Überwachungsprotokollen protokolliert, und Sie können die API für Verzeichnisüberwachungen auflisten lesen.

Zero Trust

Dieses Feature hilft Organisationen, ihre Mandanten an den drei Leitprinzipien einer Zero Trust-Architektur auszurichten:

  • Explizit verifizieren
  • Verwenden der geringsten Rechte
  • Gehe von einem Verstoß aus

Weitere Informationen zu Zero Trust und anderen Möglichkeiten, Ihre organization an den Leitprinzipien auszurichten, finden Sie im Zero Trust Guidance Center.

Lizenzierung

Der Mandant, in dem Privileged Identity Management verwendet wird, muss über genügend erworbene oder Testlizenzen verfügen. Weitere Informationen finden Sie unter Microsoft Entra ID Governance Lizenzierungsgrundlagen.