Microsoft Entra Privileged Identity Management (PIM) optimiert die Verwaltung von privilegierten Zugriffsberechtigungen auf Microsoft Azure und Microsoft 365 Ressourcen. Dies trägt zur Verbesserung der Sicherheitsstandards der Clouddienste bei. Ein zusätzliches Merkmal ist die Just-in-Time-Berechtigung, bei der ein Benutzer erhöhte Rechte nur für den Zeitraum erhält, in dem sie tatsächlich benötigt werden. Dies minimiert das Risiko von Missbrauch und unautorisiertem Zugriff.

Diese Anleitung erklärt, wie ein Benutzer eine Microsoft Entra-Rolle oder Microsoft Azure-Rolle für einen spezifischen Zeitraum aktiviert kann und wie ein Administrator diese Anforderungen effizient handhabt.

Voraussetzungen und Lizenzierung

Für das Feature Microsoft Entra Privileged Identity Management (PIM) ist eine der folgenden Lizenzen notwendig:

  • Microsoft Entra ID P2
  • Enterprise Mobility + Security E5

Eine Übersicht der Microsoft 365 Lizenzpakete mit deren Features kann unter https://m365maps.com/ abgerufen werden.

Um die Berechtigung zu haben, Anfragen zu Microsoft Entra-Rollen oder Microsoft Azure-Rollen zu genehmigen oder abzulehnen, ist es erforderlich, Mitglied einer der nachstehenden Microsoft Entra-Rollen zu sein:

  • Globaler Administrator
  • Administrator für privilegierte Rollen

Die Grundkonfiguration von Microsoft Entra Privileged Identity Management (PIM) ist abgeschlossen. Die Anleitung für die Konfiguration kann hier abgerufen werden.

Aktivieren von Microsoft Entra-Rollen oder Microsoft Azuren-Rollen durch den Benutzer

Jeder Benutzer hat die Möglichkeit, selbstständig die ihm zugewiesenen Microsoft Entra-Rollen oder Microsoft Azure-Rollen zu aktivieren. Dies kann der Benutzer im Microsoft Entra Admin Center oder über die Microsoft Authenticator App durchführen.

Aktivierung im Microsoft Entra Admin Center

Die Benutzeroberfläche des Microsoft Entra Privileged Identity Management (PIM) ist nahtlos in das Microsoft Entra Admin Center (https://entra.microsoft.com) integriert. Über diese intuitiv gestaltete Oberfläche können Benutzer privilegierte Microsoft Entra-Rollen oder Microsoft Azure-Rollen aktivieren.

Benutzeroberfläche in Microsoft Entra Admin Center (https://entra.microsoft.com) > Identity Governance > Privileged Identity Management > Meine Rollen aufrufen.

Die verfügbaren Rollen werden unter Microsoft Entra-Rollen (1) > Berechtigte Zuweisungen oder Azure-Ressourcen (2) > Berechtigte Zuweisungen angezeigt.

Die gewünschte Rolle mit Aktivieren auswählen.

Die ergänzenden Angaben zur Rolle werden zur Bearbeitung dargestellt und können ausgefüllt werden.

  1. Den Startzeitpunkt für die Rolle wird bei Startzeit der benutzerdefinierten Aktivierung angegeben. Soll die Berechtigung sofort nach Genehmigung aktiv sein, muss diese Option deaktiviert werden.
  2. Angabe der Dauer, der maximal Wert ist bei der Grundkonfiguration der Rolle hinterlegt worden.
  3. Angaben zum Ticket
  4. Die Begründung für die Anfrage wird dem Genehmiger mitgeteilt.

Nachdem Aktivieren geklickt wurde, werden die Eingaben überprüft. Wenn die Berechtigungen ohne eine benutzerdefinierte Startzeit aktiviert wurden, wird die Webseite automatisch neu geladen. Dadurch können die Berechtigungen sofort angewendet werden.

Nachdem die Anfrage genehmigt oder abgelehnt wurde, wird eine entsprechende Mitteilung per E-Mail versendet.

Der Ablaufzeitpunkt einer Microsoft Entra-Rolle (1) oder Microsoft Azure-Rolle (2) wird unter Aktive Zuweisungen angezeigt.

Aktivierung mit der Microsoft Authenticator App

Die Microsoft Authenticator App, verfügbar für iOS und Android, ermöglicht eine komfortable Aktivierung von Microsoft Entra-Rollen oder Microsoft Azure-Rollen direkt über das Mobilgerät.

Die verfügbaren Rollen werden in der Microsoft Authenticator App unter Privileged Identity Management > Meine Rollen verwalten > Microsoft Entra-Rollen (1) oder Microsoft Azure-Rollen (2) angezeigt.

Authenticator App manage my roles

Gewünschte Rolle auswählen

Authenticator App select role

Unter Aktion Aktivieren anklicken

Authenticator App activate role

Die ergänzenden Angaben zur Rolle werden zur Bearbeitung dargestellt und können ausgefüllt werden.

  1. Den Startzeitpunkt für die Rolle wird bei Startzeit der Aktivierung angegeben. Soll die Berechtigung sofort nach Genehmigung aktiv sein, muss diese Option deaktiviert werden.
  2. Angabe der Dauer, der maximal Wert ist bei der Grundkonfiguration der Rolle hinterlegt worden.
  3. Angaben zum Ticket
  4. Die Begründung für die Anfrage wird dem Genehmiger mitgeteilt.
Authenticator App activation info

Nachdem Aktivieren geklickt wurde, werden die Eingaben überprüft.

Authenticator App activation in progress

Nachdem die Anfrage genehmigt oder abgelehnt wurde, wird eine entsprechende Mitteilung per E-Mail versendet.

Authenticator App activation notification

Der Ablaufzeitpunkt einer Microsoft Entra-Rolle oder Microsoft Azure-Rolle wird unter Privileged Identity Management > Meine Rollen verwalten > Microsoft Entra-Rollen (1) oder Microsoft Azure-Rollen (2) > Aktiv angezeigt.

Authenticator App activation duration

Anfragen zur Aktivierung von Microsoft Entra-Rollen oder Microsoft Azure-Rollen genehmigen oder ablehnen

Die Bearbeitung der angefragten Microsoft Entra-Rollen oder Microsoft Azure-Rollen kann entweder im Microsoft Entra Admin Center oder in der Microsoft Authenticator App erfolgen.

Anfrage im Microsoft Entra Admin Center bearbeiten

Sobald eine Microsoft Entra-Rolle oder Microsoft Azure-Rolle angefragt wird, werden alle genehmigungsberechtigten Administratoren benachrichtigt. Falls bei der Grundkonfiguration der Rolle keine spezifischen Administratoren festgelegt wurden, erhalten alle Benutzer mit den folgenden Microsoft Entra-Rollen eine Benachrichtigung:

  • Globaler Administrator
  • Administrator für privilegierte Rollen

Durch einfaches Klicken auf Genehmigen oder Ablehnen kann die Anfrage unmittelbar bearbeitet werden.

Microsoft Entra Privileged Identity Management zeigt nun sämtliche zur Genehmigung anstehenden Anfragen für Microsoft Entra-Rollen und Microsoft Azure-Rollen an. Diese ausstehenden Anfragen können entweder genehmigt oder abgelehnt werden.

PIM Approve activation

Die Entscheidung, ob die Anfrage genehmigt oder abgelehnt wird, wird per Email dem Antragsteller mitgeteilt.

Anfrage in der Microsoft Authenticator App bearbeiten

Die Microsoft Authenticator App, verfügbar für iOS und Android, ermöglicht eine komfortable Genehmigung oder Ablehnung von Microsoft Entra-Rollen oder Microsoft Azure-Rollen direkt über das Mobilgerät.

Die ausstehenden Anfragen werden in der Microsoft Authenticator App unter Privileged Identity Management > Anforderungen genehmigen > Microsoft Entra-Rollen oder Microsoft Azure-Rollen angezeigt.

Approve roles

Anfrage auswählen

Select role

Genehmigen klicken

Approve or deny role

Begründung für die Genehmigung ausfüllen und Genehmigen klicken

Reason for approval

Die Anfrage wurde erfolgreich genehmigt.

Request approved

Die Entscheidung, ob die Anfrage genehmigt oder abgelehnt wird, wird per Email dem Antragsteller mitgeteilt.


Folge mir auf LinkedIn, um stets über meine neuesten Beiträge auf dem Laufenden zu bleiben.

Auf LinkedIn folgen