Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Privileged Identity Management (PIM) macht Rolleneinstellungen für die Ressourcen verfügbar, die Sie verwalten können. In Microsoft Graph sind diese Ressourcen Microsoft Entra Rollen und Gruppen. Sie verwalten sie über PIM für Microsoft Entra Rollen bzw. PIM für Gruppen.
Rolleneinstellungen fallen in eine von drei Kategorien:
- Aktivierungseinstellungen
- Zuweisungseinstellungen
- Benachrichtigungseinstellungen
Diese Einstellungen umfassen, ob die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) erforderlich ist, um eine berechtigte Rolle oder Gruppenmitgliedschaft zu aktivieren, oder ob Sie permanente Rollenzuweisungen, Gruppenbesitz oder Gruppenmitgliedschaften erstellen können.
Wenn Sie die APIs von PIM für Microsoft Entra Rollen oder PIM für Gruppen-APIs in Microsoft Graph verwenden, verwalten Sie diese Rolleneinstellungen über Richtlinien und Regeln.
Richtlinien
In Microsoft Graph werden die Rolleneinstellungen als Regeln bezeichnet. Sie gruppieren diese Regeln in, weisen sie zu und verwalten sie für Microsoft Entra Rollen und Gruppen über Container, die als Richtlinien bezeichnet werden.
Definieren Sie die Richtlinien über den Ressourcentyp unifiedRoleManagementPolicy.
Richtlinienregeln
Jedes unifiedRoleManagementPolicy-Objekt enthält 17 vordefinierte Regeln, die Sie aktualisieren können. Verwalten Sie diese Regeln über die Regelbeziehung .
Microsoft Graph definiert den abstrakten Ressourcentyp unifiedRoleManagementPolicyRule , den fünf Ressourcen erben. Verwenden Sie die fünf abgeleiteten Typen, um die Regeln in Aktivierungs-, Zuweisungs- und Benachrichtigungsregeln zu gruppieren. Sie definieren Regelkonfigurationen, die eine oder mehrere von 17 Regeln sein können, die durch eindeutige und unveränderliche Regel-IDs identifiziert werden.
Dieser Artikel enthält eine Zuordnung der Einstellungen in PIM auf der Microsoft Entra Admin Center zu den entsprechenden Regeln in Microsoft Graph.
Zuordnung von Regel-IDs zu PIM-Rolleneinstellungen auf dem Microsoft Entra Admin Center
Aktivierungsregeln
Die folgende Abbildung zeigt die Aktivierungsrolleneinstellungen im Microsoft Entra Admin Center, die Regeln und Ressourcentypen in den PIM-APIs in Microsoft Graph zugeordnet sind.
| Zahl | Microsoft Entra Admin Center UX-Beschreibung | Microsoft Graph-Regel-ID/Abgeleiteter Ressourcentyp | Für Anrufer erzwungen |
|---|---|---|---|
| 1 | Maximale Aktivierungsdauer (Stunden) |
Expiration_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Endbenutzer |
| 2 | Bei aktivierung erforderlich: Keine, Azure MFA Anfordern von Ticketinformationen bei der Aktivierung Begründung bei Aktivierung anfordern |
Enablement_EndUser_Assignment
/
unifiedRoleManagementPolicyEnablementRule |
Endbenutzer |
| 3 | Bei aktivierung erforderlich: Microsoft Entra Authentifizierungskontext für bedingten Zugriff (Vorschau) |
AuthenticationContext_EndUser_Assignment
/
unifiedRoleManagementPolicyAuthenticationContextRule |
Endbenutzer |
| 4 | Genehmigung zum Aktivieren erforderlich |
Approval_EndUser_Assignment
/
unifiedRoleManagementPolicyApprovalRule |
Endbenutzer |
Zuweisungsregeln
Die folgende Abbildung zeigt die Zuweisungsrolleneinstellungen im Microsoft Entra Admin Center, die Regeln und Ressourcentypen in der PIM-API in Microsoft Graph zugeordnet sind.
| Zahl | Microsoft Entra Admin Center UX-Beschreibung | Microsoft Graph-Regel-ID/Abgeleiteter Ressourcentyp | Für Anrufer erzwungen |
|---|---|---|---|
| 5 | Dauerhafte berechtigte Zuweisung zulassen Berechtigte Zuweisungen nach ablaufen |
Expiration_Admin_Eligibility
/
unifiedRoleManagementPolicyExpirationRule |
Administrator |
| 6 | Dauerhafte aktive Zuweisung zulassen Ablauf aktiver Zuweisungen nach |
Expiration_Admin_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Administrator |
| 7 | Anfordern von Azure Multi-Factor Authentication bei aktiver Zuweisung Begründung für aktive Zuweisung anfordern |
Enablement_Admin_Assignment
/
unifiedRoleManagementPolicyEnablementRule |
Administrator |
| 8 | Nicht im Microsoft Entra Admin Center |
Enablement_Admin_Eligibility
/
unifiedRoleManagementPolicyEnablementRule |
Administrator |
Benachrichtigungsregeln
Die folgende Abbildung zeigt die Benachrichtigungsrolleneinstellungen auf dem Microsoft Entra Admin Center, die Regeln und Ressourcentypen in der PIM-API in Microsoft Graph zugeordnet sind.
| Zahl | Microsoft Entra Admin Center UX-Beschreibung | Microsoft Graph-Regel-ID/Abgeleiteter Ressourcentyp | Für Anrufer erzwungen |
|---|---|---|---|
| 9 | Senden von Benachrichtigungen, wenn Mitglieder als berechtigt für diese Rolle zugewiesen sind: Warnung zur Rollenzuweisung |
Notification_Admin_Admin_Eligibility
/
unifiedRoleManagementPolicyNotificationRule |
Administrator |
| 10 | Senden von Benachrichtigungen, wenn Mitglieder als berechtigt für diese Rolle zugewiesen werden: Benachrichtigung an den zugewiesenen Benutzer (Zugewiesener) |
Notification_Requestor_Admin_Eligibility
/
unifiedRoleManagementPolicyNotificationRule |
Zugewiesener/Anforderer |
| 11 | Senden von Benachrichtigungen, wenn Mitglieder als berechtigt für diese Rolle zugewiesen sind: Anforderung zum Genehmigen einer Verlängerung/Erweiterung einer Rollenzuweisung |
Notification_Approver_Admin_Eligibility
/
unifiedRoleManagementPolicyNotificationRule |
Genehmiger |
| 12 | Senden von Benachrichtigungen, wenn Mitglieder dieser Rolle als aktiv zugewiesen sind: Warnung zur Rollenzuweisung |
Notification_Admin_Admin_Assignment
/
unifiedRoleManagementPolicyNotificationRule |
Administrator |
| 13 | Senden von Benachrichtigungen, wenn Mitglieder dieser Rolle als aktiv zugewiesen werden: Benachrichtigung an den zugewiesenen Benutzer (Zugewiesener) |
Notification_Requestor_Admin_Assignment
/
unifiedRoleManagementPolicyNotificationRule |
Zugewiesener/Anforderer |
| 14 | Senden von Benachrichtigungen, wenn Mitglieder dieser Rolle als aktiv zugewiesen sind: Anfordern der Genehmigung einer Verlängerung/Erweiterung einer Rollenzuweisung |
Notification_Approver_Admin_Assignment
/
unifiedRoleManagementPolicyNotificationRule |
Genehmiger |
| 15 | Senden von Benachrichtigungen, wenn berechtigte Mitglieder diese Rolle aktivieren: Warnung zur Rollenaktivierung |
Notification_Admin_EndUser_Assignment
/
unifiedRoleManagementPolicyNotificationRule |
Administrator |
| 16 | Senden von Benachrichtigungen, wenn berechtigte Mitglieder diese Rolle aktivieren: Benachrichtigung an aktivierten Benutzer (Anforderer) |
Notification_Requestor_EndUser_Assignment
/
unifiedRoleManagementPolicyNotificationRule |
Anforderer |
| 17 | Senden von Benachrichtigungen, wenn berechtigte Mitglieder diese Rolle aktivieren: Anfordern der Genehmigung einer Aktivierung |
Notification_Approver_EndUser_Assignment
/
unifiedRoleManagementPolicyNotificationRule |
Genehmiger |