Privileged Identity Management (PIM) Privileged Identity Management (PIM)
Just-in-Time-Privilegien für Entra-Rollen, Gruppen und Azure-Ressourcen mit Genehmigung, Audit und Reviews. Just-in-time privilege management for Entra roles, groups, and Azure resources with approval, audit, and reviews.
Für Microsoft-Entra-Rollen in PIM wird Microsoft Entra ID P2 bzw. ID Governance benötigt. Microsoft Entra ID P2 or ID Governance is required for Microsoft Entra roles in PIM.
Dauerhafte Adminrechte minimieren, Berechtigungen nur bei Bedarf aktivieren. Minimize standing admin rights and activate permissions only when needed.
Eligible vs. active, Aktivierung, Genehmigung, Alerts, Audit und Access Reviews. Eligible vs. active, activation, approval, alerts, audit, and access reviews.
Überblick Overview
PIM reduziert permanente Privilegien, indem Rollen nicht dauerhaft aktiv zugewiesen werden, sondern als eligible bereitstehen. Erst bei Bedarf aktiviert der Benutzer die Rolle just in time. PIM reduces standing privilege by keeping roles eligible instead of permanently active. Only when needed does the user activate the role just in time.
PIM unterstützt Microsoft-Entra-Rollen, Azure-Ressourcen und – je nach Feature – auch Gruppen. Typische Schutzmaßnahmen sind MFA bei Aktivierung, Begründung, Ticketnummer, Genehmigung und maximale Aktivierungsdauer. PIM supports Microsoft Entra roles, Azure resources, and depending on the feature, groups as well. Typical safeguards are MFA at activation, justification, ticket number, approval, and a maximum activation time.
PIM für Entra-Rollen ist ein Premium-Feature. Vor der Einführung sollten Lizenzzuordnung, Break-Glass-Konzept und Betriebsverantwortung geklärt sein. PIM for Entra roles is a premium feature. Before rollout, clarify licensing, the break-glass design, and operational ownership.
| BereichArea | Was PIM abdecktWhat PIM covers | Typischer NutzenTypical benefit |
|---|---|---|
| Microsoft Entra rolesMicrosoft Entra roles | Verzeichnisrollen wie Global Administrator, Exchange Administrator oder Security Administrator.Directory roles such as Global Administrator, Exchange Administrator, or Security Administrator. | Minimiert dauerhafte Adminrechte im Tenant.Minimizes standing tenant admin rights. |
| Azure resourcesAzure resources | Azure RBAC auf Subscription-, Resource Group- oder Einzelressourcenebene.Azure RBAC on subscription, resource group, or individual resource scope. | Reduziert permanente Owner- und Contributor-Rechte.Reduces standing Owner and Contributor rights. |
| GroupsGroups | Gruppenbesitz und Mitgliedschaft mit Aktivierung statt Dauerzustand.Group ownership and membership through activation rather than standing access. | Sichert indirekte Berechtigungsmodelle ab.Secures indirect authorization models. |
| AlertsAlerts | Hinweise auf riskante Konfigurationen und ungewöhnliche Änderungen.Warnings about risky configurations and unusual changes. | Verbessert Governance und Früherkennung.Improves governance and early detection. |
| AuditAudit | Zuweisungen, Aktivierungen, Genehmigungen und Entfernungen.Assignments, activations, approvals, and removals. | Unterstützt Compliance, Forensik und Reviews.Supports compliance, forensics, and reviews. |
Eligible vs. Active Eligible vs. active
| MerkmalCharacteristic | EligibleEligible | ActiveActive |
|---|---|---|
| ZugriffAccess | Keine Rechte bis zur Aktivierung.No permissions until activation. | Rechte jederzeit verfügbar.Permissions always available. |
| SicherheitSecurity | Bevorzugte Standardform.Preferred default form. | Nur wenn dauerhaft nötig.Use only if always required. |
| BenutzeraktionUser action | Aktivieren mit MFA/Justification/Approval möglich.Can require activation with MFA, justification, or approval. | Keine Aktion nötig.No action required. |
| AuditierbarkeitAuditability | Aktivierung klar nachvollziehbar.Activation is clearly traceable. | Weniger Ereignisse, mehr Dauerprivileg.Fewer events, more standing privilege. |
| SzenarioScenario | Empfohlener TypRecommended type | BegründungReason |
|---|---|---|
| Global AdministratorGlobal Administrator | EligibleEligible | Tier-0-Rolle, fast nie dauerhaft aktiv nötig.Tier-0 role, almost never needed as standing access. |
| Helpdesk mit gelegentlicher EskalationHelpdesk with occasional escalation | EligibleEligible | Gute Balance zwischen Sicherheit und Reaktionsfähigkeit.Good balance between security and responsiveness. |
| 24x7 betriebskritischer Dienstaccount24x7 mission-critical service account | Active nur wenn technisch unvermeidbarActive only if technically unavoidable | Noch besser durch Managed Identity oder besseres Workload-Design ersetzen.Even better: replace with managed identities or improved workload design. |
| Temporäre ProjektadministrationTemporary project administration | Eligible oder time-bound activeEligible or time-bound active | Zeitliche Begrenzung und Nachvollziehbarkeit sind entscheidend.Time limits and traceability are critical. |
| Break-glass accountBreak-glass account | Nicht vom normalen PIM-Betrieb abhängig machenDo not depend on normal PIM operations | Soll auch bei Fehlkonfiguration oder Ausfall erreichbar bleiben.Must remain reachable during misconfiguration or outage. |
Aktivierung Activation
Die Aktivierung ist der kontrollierte Übergang von eligible zu active. In diesem Schritt können mehrere Sicherheitsmaßnahmen verlangt werden, bevor Rechte tatsächlich wirksam werden. Activation is the controlled transition from eligible to active. Multiple security measures can be required in this step before permissions actually become effective.
- Benutzer öffnet My roles in PIM.The user opens My roles in PIM.
- Rolle auswählen und Activate starten.Select the role and start Activate.
- Bei Bedarf MFA, Justification, Ticketnummer oder Genehmigung liefern.Provide MFA, justification, ticket number, or approval when required.
- Aktivierungsdauer innerhalb des erlaubten Maximums wählen.Choose an activation time within the allowed maximum.
- Nach Ablauf oder manueller Deaktivierung entfernt PIM die aktive Zuweisung wieder.After expiry or manual deactivation, PIM removes the active assignment again.
Durch Anwendungscaches kann sich eine frisch aktivierte oder gerade entfallene Berechtigung nicht immer augenblicklich in jeder Oberfläche zeigen. Ab- und Anmeldung beheben viele dieser Effekte. Because of application caching, a freshly activated or expired permission might not appear immediately in every interface. Sign-out and sign-in resolve many of these effects.
| SchrittStep | BenutzeraktionUser action | Admin-MehrwertAdmin value |
|---|---|---|
| 11 | Rolle auswählen.Select the role. | Sorgt dafür, dass Benutzer bewusst nur benötigte Rechte anfordern.Ensures users consciously request only the privileges they need. |
| 22 | MFA/Justification/Ticket ausfüllen.Complete MFA, justification, or ticket details. | Schafft Verifikation und Geschäftskontext.Creates verification and business context. |
| 33 | Genehmigung abwarten, falls nötig.Wait for approval if needed. | Verhindert unkontrollierte Hochstufung.Prevents uncontrolled elevation. |
| 44 | Rolle zeitlich begrenzt nutzen.Use the role for a limited time. | Ermöglicht JIT statt Standing Privilege.Enables JIT instead of standing privilege. |
| 55 | Rolle läuft ab oder wird beendet.The role expires or is ended. | Reduziert Nacharbeit und vergessene Adminrechte.Reduces cleanup effort and forgotten admin rights. |
# Aktivierungs-Checkliste
# 1. Ticket oder Change vorhanden?
# 2. Scope korrekt und minimal?
# 3. Dauer so kurz wie möglich?
# 4. MFA und Genehmigung erfolgt?
# 5. Nachgelagerte Dokumentation geplant?Die beste PIM-Einführung ist nicht nur technisch. Definieren Sie für jede privilegierte Rolle den fachlichen Zweck, die maximale Aktivierungsdauer, den Approver-Kreis und die erwartete Dokumentation. The best PIM rollout is not purely technical. Define the business purpose, maximum activation time, approver group, and expected documentation for every privileged role.
Rolleneinstellungen Role settings
| EinstellungSetting | WirkungEffect | Best PracticeBest practice |
|---|---|---|
| Maximum activation timeMaximum activation time | Begrenzt, wie lange eine Aktivierung aktiv bleibt.Limits how long an activation stays active. | So kurz wie möglich, oft 1-4 Stunden.As short as possible, often 1-4 hours. |
| Approval requiredApproval required | Aktivierung erst nach Freigabe durch Approver.Activation requires approval first. | Für höchste Rollen oder außerhalb der Geschäftszeit.Use for highest roles or outside business hours. |
| MFA on activationMFA on activation | Benutzer muss sich bei Aktivierung zusätzlich verifizieren.The user must perform extra verification during activation. | Für praktisch alle privilegierten Rollen aktivieren.Enable for nearly all privileged roles. |
| JustificationJustification | Begründung dokumentieren.Capture the business reason. | Immer aktivieren; verbessert Auditqualität.Enable everywhere; improves audit quality. |
| Ticket infoTicket info | Verknüpft Aktivierung mit Change- oder Incident-Ticket.Links activation to a change or incident ticket. | Für Admin- oder Betriebsrollen sehr sinnvoll.Very useful for admin or operations roles. |
| NotificationsNotifications | Informiert Benutzer, Approver und Admins über Ereignisse.Informs users, approvers, and admins about events. | Empfänger regelmäßig prüfen, um Alarmmüdigkeit zu vermeiden.Review recipients regularly to avoid alert fatigue. |
| RollentierRole tier | Empfohlene DauerSuggested duration | ApprovalApproval | Zusätzliche ControlsAdditional controls |
|---|---|---|---|
| Tier-0 / Global AdminTier-0 / Global Admin | 30-60 Minuten30-60 minutes | JaYes | MFA, Ticket, Justification, dedizierte Admin-Workstation.MFA, ticket, justification, dedicated admin workstation. |
| Tier-1 AdminTier-1 admin | 1-2 Stunden1-2 hours | Häufig jaOften yes | MFA und Justification mindestens.At least MFA and justification. |
| ApplikationsadministratorApplication admin | 2-4 Stunden2-4 hours | Je nach KritikalitätDepends on criticality | Ticketbindung bei produktiven Änderungen.Tie production changes to a ticket. |
| Betriebsrolle mit On-CallOperations role with on-call | Zeitfenster der StörungIncident window | OptionalOptional | Starke Auditierung und Benachrichtigungen.Strong auditing and notifications. |
Genehmigung Approval
Wenn eine Rolle Genehmigung verlangt, bleibt die Aktivierung bis zur Freigabe im Status pending. Approver sollten klare Kriterien und definierte Reaktionszeiten haben. When a role requires approval, the activation remains pending until approved. Approvers should have clear criteria and defined response times.
- Approver prüft Zweck, Ticket, Zeitfenster und Umfang der Aktivierung.The approver reviews purpose, ticket, time window, and activation scope.
- Freigaben für Standardfälle standardisieren, um Wartezeiten zu reduzieren.Standardize approvals for common cases to reduce waiting time.
- Ablehnungen mit Begründung dokumentieren.Document denials with a reason.
- Genehmigungen regelmäßig auditieren, besonders für Global Administrator und ähnliche Rollen.Audit approvals regularly, especially for Global Administrator and similar roles.
| PrüffrageReview question | Warum relevantWhy it matters |
|---|---|
| Ist die Rolle wirklich erforderlich?Is the role really required? | Vermeidet unnötige Hochprivilegierung.Avoids unnecessary elevation. |
| Ist die beantragte Dauer angemessen?Is the requested duration reasonable? | Begrenzt Missbrauchsfenster.Limits the abuse window. |
| Passt das Ticket zum Umfang?Does the ticket match the scope? | Stellt Prozessbezug und Nachvollziehbarkeit sicher.Ensures process linkage and traceability. |
| Ist eine weniger mächtige Rolle ausreichend?Would a less powerful role be sufficient? | Unterstützt Least Privilege.Supports least privilege. |
Access Reviews Access reviews
Access Reviews stellen sicher, dass privilegierte Zuweisungen weiterhin nötig sind. Besonders wichtig sind wiederkehrende Reviews für eligible und active Zuweisungen sensibler Rollen. Access reviews ensure that privileged assignments are still needed. Recurring reviews for eligible and active assignments of sensitive roles are especially important.
| Was reviewen?What to review? | Typischer RhythmusTypical cadence | ZielGoal |
|---|---|---|
| Global / Privileged rolesGlobal / privileged roles | Monatlich / Monthly | Standing access minimieren.Minimize standing access. |
| Eligible assignmentsEligible assignments | Quartalsweise / Quarterly | Veraltete Berechtigungen entfernen.Remove stale privileges. |
| Break-glass related ownershipBreak-glass related ownership | Halbjährlich / Semiannual | Sicherstellen, dass Ownership und Dokumentation aktuell bleiben.Ensure ownership and documentation stay current. |
- Reviewer können Manager, Rollenverantwortliche oder dedizierte Security-/IAM-Owner sein.Reviewers can be managers, role owners, or dedicated security/IAM owners.
- Automatisches Entfernen nicht bestätigter Berechtigungen reduziert Altlasten.Automatically removing unconfirmed access reduces entitlement debt.
- Für privilegierte Rollen sollte die Review-Frequenz höher sein als für normale Gruppenberechtigungen.Review frequency should be higher for privileged roles than for normal group access.
| Review-EntscheidungReview decision | KonsequenzConsequence | HinweisNote |
|---|---|---|
| ApproveApprove | Zuweisung bleibt bestehen.Assignment remains in place. | Begründung bei Ausnahmen dokumentieren.Document the rationale for exceptions. |
| DenyDeny | Zuweisung wird entzogen oder läuft aus.Assignment is removed or allowed to expire. | Geeignet für nicht mehr benötigte Rechte.Good for access that is no longer needed. |
| No responseNo response | Je nach Policy automatisch entfernen.Can be removed automatically depending on policy. | Sehr effektiv gegen Berechtigungswildwuchs.Very effective against privilege sprawl. |
PIM for Groups PIM for Groups
PIM for Groups erweitert JIT auf Gruppenmitgliedschaften und Besitz. Das ist besonders nützlich, wenn privilegierte Berechtigungen indirekt über Gruppen und nicht direkt über Rollen vergeben werden. PIM for Groups extends JIT to group memberships and ownership. This is especially useful when privileged permissions are granted indirectly through groups instead of directly through roles.
- Geeignet für Security Groups und Microsoft 365 Groups mit sensitiven Berechtigungen.Suitable for security groups and Microsoft 365 groups with sensitive permissions.
- Eligible Member und Eligible Owner helfen, Gruppenadministration kontrolliert abzuwickeln.Eligible member and eligible owner assignments help control group administration.
- Mit Access Reviews lassen sich alte Gruppenberechtigungen systematisch entfernen.Access reviews help systematically remove stale group privileges.
| Rolle in der GruppeGroup role | Warum PIM sinnvoll istWhy PIM helps | BeispielExample |
|---|---|---|
| OwnerOwner | Gruppenbesitzer haben oft indirekt erheblichen Einfluss.Group owners often have significant indirect influence. | Besitzer einer Admin-Zugriffsgruppe nur bei Bedarf aktivieren.Activate owners of an admin access group only when needed. |
| MemberMember | Gruppenmitgliedschaft kann Azure RBAC oder App-Zugriff vererben.Group membership can grant Azure RBAC or application access. | JIT-Mitgliedschaft für SQL-, Key Vault- oder Admin-Gruppen.JIT membership for SQL, Key Vault, or admin groups. |
Azure Resources Azure resources
PIM kann auch Azure-RBAC-Rollen auf Management Group-, Subscription-, Resource Group- oder Resource-Ebene steuern. So lassen sich Owner-, User Access Administrator- oder Contributor-Rechte zeitlich begrenzen. PIM can also manage Azure RBAC roles at management group, subscription, resource group, or resource level. This allows Owner, User Access Administrator, or Contributor rights to be time-bound.
- Azure-Rollen mit derselben Disziplin wie Entra-Rollen behandeln.Treat Azure roles with the same discipline as Entra roles.
- Produktions-Subscriptions besonders streng konfigurieren.Configure production subscriptions especially strictly.
- Groups + Azure RBAC + PIM gezielt kombinieren, wenn indirekte Zuweisung operativ sinnvoller ist.Deliberately combine groups, Azure RBAC, and PIM when indirect assignment is operationally cleaner.
| ScopeScope | Typischer EinsatzTypical use | EmpfehlungRecommendation |
|---|---|---|
| Management GroupManagement group | Zentrale Plattform- oder Landing-Zone-Administration.Central platform or landing zone administration. | Nur sehr kleinen Administratorenkreis zulassen.Restrict to a very small admin population. |
| SubscriptionSubscription | Produktions- oder Projektabonnements.Production or project subscriptions. | Owner möglichst vermeiden, getrennte Rollen bevorzugen.Avoid Owner where possible and prefer separated roles. |
| Resource GroupResource group | Anwendungsteams mit begrenztem Scope.Application teams with a limited scope. | Gute Balance zwischen Delegation und Kontrolle.Good balance between delegation and control. |
| ResourceResource | Einzelne Schlüsselressourcen wie Key Vault.Single high-value resources such as Key Vault. | Für hochsensitive Assets sehr geeignet.Very suitable for highly sensitive assets. |
Alerts Alerts
PIM-Alerts weisen auf riskante Konfigurationen oder ungewöhnliche Vorgänge hin, zum Beispiel zu viele permanente Admins, fehlende MFA-Anforderungen oder verdächtige Rollenzuweisungen. PIM alerts point to risky configurations or unusual events, for example too many permanent admins, missing MFA requirements, or suspicious role assignments.
| Alert-TypAlert type | BeispielExample | Empfohlene ReaktionRecommended response |
|---|---|---|
| Standing privilegeStanding privilege | Zu viele aktive permanente Administratoren.Too many permanently active administrators. | Eligible-Modell ausbauen und Altzuweisungen abbauen.Expand the eligible model and reduce standing assignments. |
| Policy weaknessPolicy weakness | MFA oder Genehmigung für kritische Rolle fehlt.MFA or approval for a critical role is missing. | Richtlinie verschärfen und Altaktivierungen prüfen.Tighten the policy and review previous activations. |
| Assignment anomalyAssignment anomaly | Unerwartete oder neue privilegierte Zuweisung.Unexpected or new privileged assignment. | Change-/Ticket-Bezug prüfen und Audit trail sichern.Validate change context and preserve the audit trail. |
- Alerts regelmäßig durch IAM oder SOC sichten lassen.Have IAM or SOC review alerts regularly.
- Nicht nur die Warnung schließen, sondern die zugrunde liegende Konfigurationsschwäche beheben.Do not just close the warning—fix the underlying weakness.
- Alert-Trends sind oft wertvoller als Einzelereignisse.Alert trends are often more valuable than single events.
Audit Audit
Die Audit-Historie zeigt, wer welche Rolle wann zugewiesen, aktiviert, genehmigt oder entfernt hat. Diese Daten sind essenziell für forensische Nachvollziehbarkeit und Compliance-Nachweise. Audit history shows who assigned, activated, approved, or removed which role and when. These data are essential for forensic traceability and compliance evidence.
- Aktivierungen und Genehmigungen mit Tickets und Changes verknüpfen.Link activations and approvals with tickets and changes.
- Audit-Daten regelmäßig exportieren oder in SIEM/Sentinel integrieren.Export audit data regularly or integrate them into SIEM or Sentinel.
- Nicht nur erfolgreiche, sondern auch abgelehnte und fehlgeschlagene Vorgänge beobachten.Track denied and failed events, not only successful ones.
GET https://graph.microsoft.com/v1.0/auditLogs/directoryAudits?$filter=category eq 'RoleManagement'
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleInstances
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleInstancesPowerShell & Graph PowerShell & Graph
Für Automatisierung sind vor allem die Schedule-Requests-Objekte relevant: Eligibility Requests definieren berechtigte Zuweisungen, Assignment Requests aktivieren oder erstellen aktive Berechtigungen. For automation, schedule request objects are most relevant: eligibility requests define eligible assignments, while assignment requests activate or create active permissions.
# List current user's eligible role assignments
GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests/filterByCurrentUser(on='principal')
# Self-activate an eligible role
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests
Content-Type: application/json
{
"action": "selfActivate",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
"directoryScopeId": "/",
"justification": "Need temporary access for change CHG-2026-1042",
"scheduleInfo": {
"startDateTime": "2026-06-11T08:00:00Z",
"expiration": {
"type": "afterDuration",
"duration": "PT2H"
}
},
"ticketInfo": {
"ticketNumber": "CHG-2026-1042",
"ticketSystem": "ServiceNow"
}
}# Create an eligible assignment
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests
Content-Type: application/json
{
"action": "adminAssign",
"justification": "Eligible assignment for on-call admin",
"roleDefinitionId": "f2ef992c-3afb-46b9-b7cf-a126ee74c451",
"directoryScopeId": "/",
"principalId": "bbbbbbbb-cccc-dddd-1111-222222222222",
"scheduleInfo": {
"startDateTime": "2026-06-11T08:00:00Z",
"expiration": {
"type": "noExpiration"
}
}
}Connect-MgGraph -Scopes "RoleEligibilitySchedule.ReadWrite.Directory","RoleAssignmentSchedule.ReadWrite.Directory"
# Query eligible assignments
Invoke-MgGraphRequest -Method GET `
-Uri "https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests/filterByCurrentUser(on='principal')"
# Self-activate
$body = @{
action = "selfActivate"
principalId = "aaaaaaaa-bbbb-cccc-1111-222222222222"
roleDefinitionId = "8424c6f0-a189-499e-bbd0-26c1753c96d4"
directoryScopeId = "/"
justification = "Need access for emergency user update"
scheduleInfo = @{
startDateTime = "2026-06-11T08:00:00Z"
expiration = @{
type = "afterDuration"
duration = "PT1H"
}
}
}
Invoke-MgGraphRequest -Method POST `
-Uri "https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests" `
-Body ($body | ConvertTo-Json -Depth 8) `
-ContentType "application/json" # Rollendefinitionen anzeigen
Invoke-MgGraphRequest -Method GET `
-Uri "https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions"
# Aktive Instanzen
Invoke-MgGraphRequest -Method GET `
-Uri "https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleInstances"
# Eligible Instanzen
Invoke-MgGraphRequest -Method GET `
-Uri "https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleInstances" PIM Role Settings Complete ReferencePIM role settings complete reference
Die PIM-Rolleneinstellungen definieren nicht nur das Benutzererlebnis, sondern das eigentliche Sicherheitsmodell der Rolle. Gute Designs unterscheiden nach Rollentier, Aktivierungsdauer, Genehmigungsbedarf, Ticketbindung und Notification-Noise – nicht nur nach dem Schalter „Eligible oder Active“.PIM role settings define not only the user experience but the actual security model of the role. Good designs differentiate by role tier, activation duration, approval need, ticket linkage, and notification noise—not only by the switch “eligible or active.”
| SettingSetting | WerteValues | WirkungEffect | EmpfehlungRecommendation |
|---|---|---|---|
| Maximum activation duration | 0.5-24 hours | Begrenzt das Standing-Window pro Aktivierung.Limits the standing window of each activation. | Tier-0 meist 0.5-1 Stunde, Tier-1 oft 1-4 Stunden.Tier-0 is often 0.5-1 hour, Tier-1 often 1-4 hours. |
| Require approval | Yes / No | Vor Aktivierung muss ein Approver zustimmen.An approver must consent before activation. | Für Global Admin und ähnliche Rollen meist Ja.Usually yes for Global Admin and similar roles. |
| Approvers | User / Group objects | Spezifische Benutzer oder Gruppen als Genehmiger.Specific users or groups as approvers. | Rolleninhaber und Stellvertretung sauber dokumentieren.Document role owners and deputies cleanly. |
| Require MFA on activation | Yes / No | Zusätzliche Verifikation beim Elevation-Schritt.Extra verification during the elevation step. | Für nahezu alle privilegierten Rollen aktivieren.Enable for nearly all privileged roles. |
| Require justification | Yes / No | Geschäftsgrund im Auditlog erfassen.Capture the business reason in the audit log. | Immer aktivieren.Enable everywhere. |
| Require ticket information | Yes / No | Ticketnummer und System verpflichtend machen.Make ticket number and system mandatory. | Für Operations- und Produktionsrollen sehr sinnvoll.Very useful for operations and production roles. |
| Allow permanent eligible assignment | Yes / No | Erlaubt dauerhaft eligible statt time-bound eligible.Allows permanent eligible instead of time-bound eligible. | Nur mit regelmäßigen Access Reviews.Only with regular access reviews. |
| Allow permanent active assignment | Yes / No | Erlaubt permanente aktive Zuweisungen.Allows permanent active assignments. | Wenn möglich deaktivieren oder stark begrenzen.Disable or tightly limit whenever possible. |
| Require approval for active assignment | Yes / No | Auch AdminAssign / Active-Zuweisungen brauchen Freigabe.Even adminAssign or active assignments require approval. | Für Notfall- oder Ausnahmefälle definieren.Define only for emergency or exception flows. |
| Assignment expiration | No expiration / date / duration | Steuert Lebensdauer neuer eligible oder active Assignments.Controls the lifetime of new eligible or active assignments. | Zeitgebundene Assignments bevorzugen.Prefer time-bound assignments. |
| Notification typeNotification type | EmpfängerRecipient | ZweckPurpose |
|---|---|---|
| Eligible assignment created | RolleninhaberRole member | Informieren, dass eine neue eligible Zuweisung existiert.Inform that a new eligible assignment exists. |
| Eligible assignment created | Anforderer / RequestorRequestor | Bestätigung bei Self-Service- oder Admin-Workflow.Confirmation for self-service or admin workflows. |
| Eligible assignment created | Approver / GenehmigerApprover | Nur relevant, wenn Folgeaktion Freigabe benötigt.Relevant only if a follow-up approval is needed. |
| Active assignment created | RolleninhaberRole member | Meldet sofort wirksame Berechtigung.Indicates immediately effective privilege. |
| Active assignment created | Anforderer / RequestorRequestor | Audit und Ticketbezug nachvollziehbar halten.Keep audit and ticket context traceable. |
| Active assignment created | Approver / GenehmigerApprover | Freigabekette transparent machen.Make the approval chain transparent. |
| Activation requested | RolleninhaberRole member | Nutzer sieht, dass die Aktivierung im Status pending ist.The user sees that activation is pending. |
| Activation requested | Anforderer / RequestorRequestor | Bei delegierten Anfragen Support oder Automation informieren.Inform support or automation for delegated requests. |
| Activation requested | Approver / GenehmigerApprover | Kernbenachrichtigung für Genehmigungsworkflow.Core notification for the approval workflow. |
| Activation approved | RolleninhaberRole member | Nutzer kann Rolle nun verwenden.The user can now use the role. |
| Activation approved | Anforderer / RequestorRequestor | Wichtig bei Anfragen im Namen anderer Benutzer.Important for requests on behalf of other users. |
| Activation approved | Approver / GenehmigerApprover | Bestätigung über abgeschlossenen Freigabeschritt.Confirmation that the approval step completed. |
| Activation denied | RolleninhaberRole member | Ablehnung inklusive Begründung kommunizieren.Communicate the denial including its reason. |
| Activation denied | Anforderer / RequestorRequestor | Hilfreich für Service Desk oder Workflow-Systeme.Helpful for service desk or workflow systems. |
| Activation denied | Approver / GenehmigerApprover | Eigenes Audit über genehmigte oder abgelehnte Requests.Own audit trail for approved or denied requests. |
| Activation completed / expired | RolleninhaberRole member | Informiert über Start und Ende der aktiven Phase.Informs about the start and end of the active phase. |
| Activation completed / expired | Anforderer / RequestorRequestor | Wichtig für Change-Fenster und Nacharbeiten.Important for change windows and follow-up work. |
| Activation completed / expired | Approver / GenehmigerApprover | Schließt den Freigabe-Workflow nachvollziehbar ab.Closes the approval workflow traceably. |
PIM API Complete ReferencePIM API complete reference
Graph trennt PIM in Requests, Schedules und Instances. Requests erzeugen oder verändern Zustände, Schedules halten die geplante Zuweisung, Instances zeigen den aktuell wirksamen Zustand. Für Automatisierung ist diese Dreiteilung entscheidend.Graph splits PIM into requests, schedules, and instances. Requests create or modify states, schedules hold the planned assignment, and instances show the currently effective state. This three-way model is essential for automation.
| EndpunktEndpoint | NutzenPurpose |
|---|---|
| GET /roleManagement/directory/roleDefinitions | Verfügbare Entra-Rollen lesen.Read available Entra roles. |
| GET /roleManagement/directory/roleEligibilityScheduleRequests | Requests für eligible Assignments lesen.Read requests for eligible assignments. |
| POST /roleManagement/directory/roleEligibilityScheduleRequests | Eligible Assignments erstellen, verlängern oder entfernen.Create, extend, or remove eligible assignments. |
| GET /roleManagement/directory/roleEligibilitySchedules | Persistente eligible Schedules lesen.Read persistent eligible schedules. |
| GET /roleManagement/directory/roleEligibilityScheduleInstances | Aktuell wirksame eligible Instanzen lesen.Read currently effective eligible instances. |
| GET /roleManagement/directory/roleAssignmentScheduleRequests | Aktivierungen und aktive Requests lesen.Read activations and active requests. |
| POST /roleManagement/directory/roleAssignmentScheduleRequests | selfActivate, adminAssign, selfDeactivate usw. ausführen.Run selfActivate, adminAssign, selfDeactivate, and more. |
| GET /roleManagement/directory/roleAssignmentSchedules | Aktive Schedules lesen.Read active schedules. |
| GET /roleManagement/directory/roleAssignmentScheduleInstances | Wirksame aktive Instanzen lesen.Read effective active instances. |
| GET /policies/roleManagementPolicies | Richtlinienobjekte und Settings pro Rolle lesen.Read policy objects and settings per role. |
| GET /policies/roleManagementPolicyAssignments | Policy-Zuordnung zu Rollen und Scopes lesen.Read policy assignments to roles and scopes. |
| GET /identityGovernance/privilegedAccess/group/eligibilitySchedule* | PIM for Groups lesen und steuern.Read and manage PIM for Groups. |
{
"action": "adminAssign",
"justification": "Eligible assignment for tier-1 on-call",
"principalId": "bbbbbbbb-cccc-dddd-1111-222222222222",
"roleDefinitionId": "f2ef992c-3afb-46b9-b7cf-a126ee74c451",
"directoryScopeId": "/",
"scheduleInfo": {
"startDateTime": "2026-06-11T08:00:00Z",
"expiration": {
"type": "afterDateTime",
"endDateTime": "2026-12-31T23:59:59Z"
}
}
}{
"action": "selfActivate",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
"directoryScopeId": "/",
"justification": "Emergency change CHG-2026-1042",
"ticketInfo": {
"ticketNumber": "CHG-2026-1042",
"ticketSystem": "ServiceNow"
},
"scheduleInfo": {
"startDateTime": "2026-06-11T08:00:00Z",
"expiration": {
"type": "afterDuration",
"duration": "PT1H"
}
}
}PIM Alerts ReferencePIM alerts reference
PIM-Alerts sind mehr als Hygiene-Hinweise: Sie zeigen oft strukturelle Governance-Schwächen. Wer nur den Alarm schließt, aber Standing Privilege, fehlende MFA oder Direktzuweisungen nicht behebt, konserviert das eigentliche Risiko.PIM alerts are more than hygiene notices: they often expose structural governance weaknesses. If you only close the alert but do not fix standing privilege, missing MFA, or direct assignments, you preserve the real risk.
| AlertAlert | SeveritySeverity | TriggerTrigger | RemediationRemediation |
|---|---|---|---|
| Roles are being activated too frequently | Medium | Ungewöhnlich viele Aktivierungen derselben Rolle in kurzer Zeit.Unusually many activations of the same role in a short period. | Rollenbedarf, Dauer und Teamzuschnitt prüfen.Review role necessity, duration, and team design. |
| Potential stale role assignment | Medium | Eligible oder active Assignment wird nicht mehr genutzt.An eligible or active assignment is no longer being used. | Assignment entfernen oder Access Review erzwingen.Remove the assignment or enforce an access review. |
| Duplicate role | Low-Medium | Benutzer hat dieselbe Berechtigung mehrfach direkt oder indirekt.The user has the same privilege multiple times directly or indirectly. | Doppelte Pfade konsolidieren.Consolidate duplicate entitlement paths. |
| Roles do not require MFA | High | Kritische Rollen können ohne MFA aktiviert oder zugewiesen werden.Critical roles can be activated or assigned without MFA. | MFA in den Rollensettings sofort aktivieren.Enable MFA in the role settings immediately. |
| Too many global admins | High | Zu große Population mit Global-Administrator-Rechten.Too large a population with Global Administrator rights. | Auf <5 reduzieren und PIM konsequent verwenden.Reduce to fewer than five and use PIM consistently. |
| Roles being assigned outside PIM | High | Aktive privilegierte Rollen werden direkt statt über PIM vergeben.Active privileged roles are assigned directly instead of through PIM. | Direkte Zuweisungen abbauen und Governance nachschärfen.Reduce direct assignments and tighten governance. |
| Permanent active assignments exist | High | Standing privilege bleibt ohne Ablauf bestehen.Standing privilege remains without expiration. | Zeitgebundene oder eligible Assignments bevorzugen.Prefer time-bound or eligible assignments. |
| Approval not configured for sensitive roles | Medium-High | Besonders kritische Rollen lassen Aktivierung ohne Vier-Augen-Prinzip zu.Highly sensitive roles allow activation without a four-eyes principle. | Approver-Gruppen definieren und Betriebszeiten festlegen.Define approver groups and operating hours. |