Das Azure Active Directory Rollenmanagement stellt eine Auswahl von Rollenverwaltungsfunktionalitäten zur Verfügung. Der Umfang dieser Funktionen richtet sich nach der vom Nutzer ausgewählten Azure Active Directory Lizenzstufe, welche entsprechende Mandanten bereitstellen.
Azure AD "Free"
Diese Lizenz beinhaltet die Basisfunktionalitäten des Rollenmanagements. Integrierte Rollen können ohne Einschränkung verwendet werden. Diese Rollen besitzen vorgegebene Rollendefinitionen. Das Hinzufügen und Entfernen einzelner Benutzer in integrierte Rollen ist innerhalb dieser Lizenz möglich. Gruppen können erstellt werden.
WICHTIG: Die Pflege von Verzeichnisrollen im One Identity Manager und die Verwendung benutzerdefinierter Rollen ist in den Basisfunktionalitäten nicht enthalten. Für diese Funktion wird die Azure AD P1-Lizenz oder P2-Lizenz benötigt.
WICHTIG: Verzeichnisrollen müssen über das Microsoft Azure Portal gepflegt werden.
WICHTIG: Diese Lizenz ermöglicht die Rollenzuweisung einzelner Benutzer. Die Zuweisung von Rollen an Gruppen ist nur innerhalb der Azure AD P1-Lizenz und P2-Lizenz möglich.
Azure AD Premium P1 - Rollenbasierte Zugriffssteuerung (RBAC)
Die rollenbasierte Zugriffssteuerung wird durch die Azure Active Directory Premium P1-Lizenz zur Verfügung gestellt. Sie beinhaltet neben den Basisfunktionen den Zugriff auf Rollendefinitionen und Rollenzuweisungen. Rollen können einer ganzen Gruppe zugewiesen werden. Dies ermöglicht übereinstimmende Rollenberechtigungen innerhalb einer Gruppe. Gruppen können erstellt werden.
Es gibt zwei verschiedene Arten von Teilbereichen, auf welche die rollenbasierte Zugriffssteuerung angewendet werden kann.
-
Eingrenzung Verzeichnisobjekte: Rollenzuweisungen lassen sich auf bestimmte Objekte, beispielsweise eine registrierte Applikation oder einen Benutzer, innerhalb des Azure Active Directory Verzeichnisses begrenzen. Die Eingrenzung auf Elemente einer definierten administrativen Einheit ist ebenfalls möglich.
WICHTIG: Diese Lizenz beinhaltet nicht die Funktionalitäten des Azure Active Directory Privileged Identity Management.
Azure AD Premium P2 - Privileged Identity Managemen (PIM)
Neben den bereits vorhandenen Einschränkungen der rollenbasierten Zugriffssteuerung, bietet diese Lizenz die zusätzliche Funktionalitäten zur Einschränkung und Steuerung von Rollenzuweisungen. Das Privileged Identity Management unterscheidet zwischen aktiven Rollenzuweisungen und Zuweisungsberechtigungen.
Rollenzuweisung: Einem Prinzipal wird eine Rolle zugewiesen.
Rollenberechtigung: Ein Prinzipal hat keine aktive Rollenzuweisung, kann bei Bedarf aber eine temporäre Rollenzuweisung aktivieren.
Eine Konfiguration von Rollenrichtlinien, wie beispielsweise zeitliche Begrenzungen, ist für beide Zuweisungsarten möglich. Weiterhin besteht die Möglichkeit, Attestierungen für Rollen zu erstellen.
HINWEIS: Die Erstellung von Rollenzuweisungen, für welche eine Multifaktor-Authentifizierung verpflichtend ist, ist nicht möglich.
HINWEIS: Aufgrund von Einschränkungen der Microsoft Graph API unterstützt das Rollenmanagement Feature im One Identity Manager im Modus "PIM" ausschließlich den globalen Verzeichnisbereich für aktive Rollenzuweisungen.
Detaillierte Informationen zum Thema
Verwandte Themen
Mit Einführung des Rollenmanagements von Microsoft 365 werden erweitere Funktionalitäten für die Verwaltung von Rollen und deren Mitgliedern und die Beschränkung von Rollenzuweisungen in Azure Active Directory Teilbereichen des One Identity Manager, zur Verfügung gestellt.
Neue als auch bestehende Synchronisationsprojekte erhalten mit der Einführung des Azure Active Directory Rollenmanagements automatisch den Basis-Modus (gleichzusetzen mit der Azure AD Free Lizenz von Microsoft 365). Der Basis-Modus beinhaltet alle bisherigen Funktionen des One Identity Manager. Die neuen Funktionen des Rollenmanagements werden durch die Aktivierung des RBAC-Modus (Azure AD P1-Lizenz) und PIM-Modus (Azure AD P2-Lizenz) zugänglich. Diese Aktivierung ist notwendig für bereits bestehende Synchronisationsprojekte, sowie bei Neuanlage eines Synchronisationsprojektes.
HINWEIS:Alle bisherigen Funktionen des Azure Active Directory stehen weiterhin im Basis-Modus zur Verfügung. Die Aktivierung des RBAC-Modus oder PIM-Modus ist nur notwendig, sofern Sie die erweiterten Rollenverwaltungsfunktionen nutzen wollen.
Um die erweiterten Rollenverwaltungsfunktionen für RBAC zu aktivieren
- Wählen Sie im Synchronization Editor das Synchronisationsprojekt.
- Wählen Sie Workflows.
- Wählen Sie den Workflow Initial Synchronization und klicken Sie auf die Schaltfläche Synchronisationsschritte aktivieren/deaktivieren.
- Deaktivieren Sie den Workflowschritt DirectoryRole.
- Aktivieren Sie die folgenden Workflowschritte.
- RBAC DirectoryRole
- RBAC DirectoryRole Assignments
- Speichern Sie die Änderungen.
- Wählen Sie den Workflow Provisioning und klicken Sie auf die Schaltfläche Synchronisationsschritte aktivieren/deaktivieren.
- Deaktivieren Sie den Workflowschritt DirectoryRole.
- Aktivieren Sie den Workflowschritt RBAC DirectoryRole Assignments.
- Speichern Sie die Änderungen.
- Wählen Sie im Object Browser die Tabelle AADOrganization.
- Setzen Sie den Wert RoleBehavior auf RBAC.
- Speichern Sie die Änderungen.
Um die erweiterten Rollenverwaltungsfunktionen für PIM zu aktivieren
- Wählen Sie im Synchronization Editor das Synchronisationsprojekt.
- Wählen Sie Workflows.
- Wählen Sie den Workflow Initial Synchronization und klicken Sie auf die Schaltfläche Synchronisationsschritte aktivieren/deaktivieren.
- Deaktivieren Sie den Workflowschritt DirectoryRole.
- Aktivieren Sie die folgenden Workflowschritte.
- RBAC DirectoryRole
- PIM DirectoryRole Assignments
- PIM DirectoryRole Eligibility
- PIM DirectoryRole Policies
- Speichern Sie die Änderungen.
- Wählen Sie den Workflow Provisioning und klicken Sie auf die Schaltfläche Synchronisationsschritte aktivieren/deaktivieren.
- Deaktivieren Sie den Workflowschritt DirectoryRole.
- Aktivieren Sie die folgenden Workflowschritte.
- PIM DirectoryRole Assignments
- PIM DirectoryRole Eligibility
- Speichern Sie die Änderungen.
- Wählen Sie im Object Browser die Tabelle AADOrganization.
- Setzen Sie den Wert RoleBehavior auf PIM.
- Speichern Sie die Änderungen.
Detaillierte Informationen zum Thema
Verwandte Themen
Zu einer Rolle erhalten Sie die folgenden allgemeinen Stammdaten.
Tabelle 23: Allgemeine Stammdaten
Anzeigename |
Anzeigename zur Anzeige der Rolle in der Benutzeroberfläche der One Identity Manager Werkzeuge. |
Mandant |
Eindeutige Kennung des Mandanten. |
Eigentümer (Anwendungsrolle) |
Anwendungsrolle, deren Mitglieder IT-Shop-Bestellungen für diese Verwaltungseinheit genehmigen dürfen. |
Provider |
Provider, der die Rolle in Azure Active Directory verwaltet. |
Version |
Gibt die Version der Rollendefinition an. |
Beschreibung |
Freitextfeld für Erläuterungen. |
Built-in |
Gibt an, ob die Rollendefinition Teil der Azure Active Directory Grundeinstellungen oder eine benutzerdefinierte Definition ist. |
Aktiviert |
Gibt an, ob die Rolle für die Zuweisung freigegeben ist. |
Verwandte Themen
Die Rollenzuweisung für Bereiche zu einer Azure Active Directory Rolle werden auf dem Überblicksformular der Rolle angezeigt.
Um einen Überblick über alle Rollenzuweisungen für Bereiche einer Rolle zu erhalten
-
Wählen Sie im Manager die Kategorie Azure Active Directory > Rollen.
-
Wählen Sie in der Ergebnisliste die Rolle.
-
Wählen Sie die Aufgabe Überblick über die Azure Active Directory Rolle.
Das Formularelement Azure Active Directory Rollenzuweisungen zeigt die Rollenzuweisungen der Rolle.
Verwandte Themen