Das Rollenmanagement beschreibt eine erweiterte Rollenverwaltungsfunktionalität der rollenbasierten Zugriffsteuerung in Microsoft 365. Diese ermöglicht dem Nutzer die Verwaltung von Rollen und deren Mitgliedern, als auch die Beschränkung von Rollenzuweisungen in Microsoft Entra ID Teilbereichen.
Microsoft Entra ID Rollen werden durch die Synchronisation in den One Identity Manager eingelesen. Sie können einzelne Stammdaten der Microsoft Entra ID Rollen bearbeiten.
Das Microsoft Entra ID Rollenmanagement stellt eine Auswahl von Rollenverwaltungsfunktionalitäten zur Verfügung. Der Umfang dieser Funktionen richtet sich nach der vom Nutzer ausgewählten Microsoft Entra ID Lizenzstufe, welche entsprechende Mandanten bereitstellen.
Microsoft Entra ID"Free"
Diese Lizenz beinhaltet die Basisfunktionalitäten des Rollenmanagements. Integrierte Rollen können ohne Einschränkung verwendet werden. Diese Rollen besitzen vorgegebene Rollendefinitionen. Das Hinzufügen und Entfernen einzelner Benutzer in integrierte Rollen ist innerhalb dieser Lizenz möglich. Gruppen können erstellt werden.
WICHTIG: Die Pflege von Verzeichnisrollen im One Identity Manager und die Verwendung benutzerdefinierter Rollen ist in den Basisfunktionalitäten nicht enthalten. Für diese Funktion wird die Microsoft Entra ID P1-Lizenz oder P2-Lizenz benötigt.
WICHTIG: Verzeichnisrollen müssen über das Microsoft Azure Management Portal gepflegt werden.
WICHTIG: Diese Lizenz ermöglicht die Rollenzuweisung einzelner Benutzer. Die Zuweisung von Rollen an Gruppen ist nur innerhalb der Microsoft Entra ID P1-Lizenz und P2-Lizenz möglich.
Microsoft Entra ID Premium P1 - Rollenbasierte Zugriffssteuerung (RBAC)
Die rollenbasierte Zugriffssteuerung wird durch die Microsoft Entra ID Premium P1-Lizenz zur Verfügung gestellt. Sie beinhaltet neben den Basisfunktionen den Zugriff auf Rollendefinitionen und Rollenzuweisungen. Rollen können einer ganzen Gruppe zugewiesen werden. Dies ermöglicht übereinstimmende Rollenberechtigungen innerhalb einer Gruppe.
Es gibt zwei verschiedene Arten von Teilbereichen, auf welche die rollenbasierte Zugriffssteuerung angewendet werden kann.
-
Eingrenzung Verzeichnisobjekte: Rollenzuweisungen lassen sich auf bestimmte Objekte, beispielsweise eine registrierte Applikation oder einen Benutzer, innerhalb des Microsoft Entra ID Verzeichnisses begrenzen. Die Eingrenzung auf Elemente einer definierten administrativen Einheit ist ebenfalls möglich.
WICHTIG: Diese Lizenz beinhaltet nicht die Funktionalitäten des Microsoft Entra ID Privileged Identity Management.
Microsoft Entra ID Premium P2 - Privileged Identity Managemen (PIM)
Neben den bereits vorhandenen Einschränkungen der rollenbasierten Zugriffssteuerung, bietet diese Lizenz zusätzliche Funktionalitäten zur Einschränkung und Steuerung von Rollenzuweisungen. Das Privileged Identity Management unterscheidet zwischen aktiven Rollenzuweisungen und Zuweisungsberechtigungen.
Rollenzuweisung: Einem Prinzipal wird eine Rolle zugewiesen.
Rollenberechtigung: Ein Prinzipal hat keine aktive Rollenzuweisung, kann bei Bedarf aber eine temporäre Rollenzuweisung aktivieren.
Eine Konfiguration von Rollenrichtlinien, wie beispielsweise zeitliche Begrenzungen, ist für beide Zuweisungsarten möglich. Weiterhin besteht die Möglichkeit, Attestierungen für Rollen zu erstellen.
HINWEIS: Die Erstellung von Rollenzuweisungen, für welche eine Multifaktor-Authentifizierung verpflichtend ist, ist nicht möglich.
HINWEIS: Aufgrund von Einschränkungen der Microsoft Graph API unterstützt das Rollenmanagement Feature im One Identity Manager im PIM-Modus ausschließlich den globalen Verzeichnisbereich für aktive Rollenzuweisungen.
Detaillierte Informationen zum Thema
Mit Einführung des Rollenmanagements von Microsoft 365 werden erweitere Funktionalitäten für die Verwaltung von Rollen und deren Mitgliedern und die Beschränkung von Rollenzuweisungen in Microsoft Entra ID Teilbereichen des One Identity Manager, zur Verfügung gestellt.
Neue als auch bestehende Synchronisationsprojekte erhalten mit der Einführung des Microsoft Entra ID Rollenmanagements automatisch den Basis-Modus (gleichzusetzen mit der Entra ID Free Lizenz von Microsoft 365). Der Basis-Modus beinhaltet alle bisherigen Funktionen des One Identity Manager. Die neuen Funktionen des Rollenmanagements werden durch die Aktivierung des RBAC-Modus (Entra ID P1-Lizenz) und PIM-Modus (Entra ID P2-Lizenz) zugänglich. Diese Aktivierung ist notwendig für bereits bestehende Synchronisationsprojekte, sowie bei Neuanlage eines Synchronisationsprojektes.
HINWEIS:Alle bisherigen Funktionen des Microsoft Entra ID stehen weiterhin im Basis-Modus zur Verfügung. Die Aktivierung des RBAC-Modus oder PIM-Modus ist nur notwendig, sofern Sie die erweiterten Rollenverwaltungsfunktionen nutzen wollen.
Um die erweiterten Rollenverwaltungsfunktionen für RBAC zu aktivieren
- Wählen Sie im Synchronization Editor das Synchronisationsprojekt.
- Wählen Sie Workflows.
- Wählen Sie den Workflow Initial Synchronization und klicken Sie auf die Schaltfläche Synchronisationsschritte aktivieren/deaktivieren.
- Deaktivieren Sie den Workflowschritt DirectoryRole.
- Aktivieren Sie die folgenden Workflowschritte.
- RBAC DirectoryRole
- RBAC DirectoryRole Assignments
- Speichern Sie die Änderungen.
- Wählen Sie den Workflow Provisioning und klicken Sie auf die Schaltfläche Synchronisationsschritte aktivieren/deaktivieren.
- Deaktivieren Sie den Workflowschritt DirectoryRole.
- Aktivieren Sie den Workflowschritt RBAC DirectoryRole Assignments.
- Speichern Sie die Änderungen.
- Wählen Sie im Object Browser die Tabelle AADOrganization.
- Setzen Sie den Wert RoleBehavior auf RBAC.
- Speichern Sie die Änderungen.
Um die erweiterten Rollenverwaltungsfunktionen für PIM zu aktivieren
- Wählen Sie im Synchronization Editor das Synchronisationsprojekt.
- Wählen Sie Workflows.
- Wählen Sie den Workflow Initial Synchronization und klicken Sie auf die Schaltfläche Synchronisationsschritte aktivieren/deaktivieren.
- Deaktivieren Sie den Workflowschritt DirectoryRole.
- Aktivieren Sie die folgenden Workflowschritte.
- RBAC DirectoryRole
- PIM DirectoryRole Assignments
- PIM DirectoryRole Eligibility
- PIM DirectoryRole Policies
- Speichern Sie die Änderungen.
- Wählen Sie den Workflow Provisioning und klicken Sie auf die Schaltfläche Synchronisationsschritte aktivieren/deaktivieren.
- Deaktivieren Sie den Workflowschritt DirectoryRole.
- Aktivieren Sie die folgenden Workflowschritte.
- PIM DirectoryRole Assignments
- PIM DirectoryRole Eligibility
- Speichern Sie die Änderungen.
- Wählen Sie im Object Browser die Tabelle AADOrganization.
- Setzen Sie den Wert RoleBehavior auf PIM.
- Speichern Sie die Änderungen.
Detaillierte Informationen zum Thema
Zu einer Rolle erhalten Sie die folgenden allgemeinen Stammdaten.
Tabelle 23: Allgemeine Stammdaten
|
Anzeigename |
Anzeigename zur Anzeige der Rolle in der Benutzeroberfläche der One Identity Manager Werkzeuge. |
|
Mandant |
Microsoft Entra ID Mandant der Rolle. |
|
Eigentümer (Anwendungsrolle) |
Anwendungsrolle, deren Mitglieder die Rollenzuweisungen beziehungsweise Rollenberechtigungen konfigurieren können. |
|
Provider |
Schnittstelle, die für die Verwaltung der Rolle verantwortlich ist. |
|
Version |
Gibt die Version der Rollendefinition an. |
|
Beschreibung |
Freitextfeld für zusätzliche Erläuterungen. |
|
Built-in |
Gibt an, ob die Rollendefinition Teil der Microsoft Entra ID Grundeinstellungen oder eine benutzerdefinierte Definition ist. |
|
Aktiviert |
Gibt an, ob die Rolle für die Zuweisung freigegeben ist. |
