Microsoft Entra Privileged Identity Management (PIM) vereinfacht die Administration von privilegierten Zugriffen auf Ressourcen in Azure und Microsoft 365. Dies erhöht die Sicherheit der Clouddienste. Ein Benutzer erhält die erhöhten Rechte nur für den Zeitraum, in der diese wirklich notwendig sind (Just-in-Time).
Diese Anleitung zeigt auf, wie der Benutzer eine Azure Rolle für einen bestimmten Zeitraum beantragen kann und wie ein Administrator diese Anfrage verwaltet.
Voraussetzungen und Lizenzierung
Für das Feature Microsoft Entra Privileged Identity Management (PIM) ist eine der folgenden Lizenzen notwendig:
- Microsoft Entra ID P2
- Enterprise Mobility + Security E5
Eine Übersicht der Microsoft 365 Lizenzpakete mit deren Features kann unter https://m365maps.com/ abgerufen werden.
Die Grundkonfiguration von Microsoft Entra Privileged Identity Management (PIM) ist abgeschlossen. Die Anleitung für die Konfiguration kann hier abgerufen werden.
Microsoft Entra Privileded Identity Dashboard
Das Dashboard von Microsoft Entra Privileged Identity Management (PIM) befindet sich im Azure Portal (https://portal.azure.com). Aus diesem Dashboard heraus forder der Benutzer die privilegierten Microsoft Entra Rollen und Azure Rollen an.
Im Menu All services unter der Kategorie Identity die Ressource Microsoft Entra Privileged Identity Management auswählen.
Anfordern von Microsoft Entra Rollen oder Azure Rolle durch den Benutzer
Jeder Benutzer kann die ihm zugewiesenen Microsoft Entra Rollen oder Azure Rollen selbständig anfordern. Die möglichen Rollen sind unter My roles > Microsoft Entra roles oder My roles > Azure resources aufgelistet.
Die gewünschte Rolle mit «Activate» auswählen.
Die zusätzlichen Angaben für die Rolle werden angezeigt und können ausgefüllt werden.
- Den Startzeitpunkt für die Azure Rolle wird bei «Custom activation start time» angegeben. Soll die Berechtigung sofort nach Genehmigung aktiv sein, muss diese Option deaktiviert werden.
- Angabe der Dauer, der maximal Wert ist bei der Grundkonfiguration der Rolle hinterlegt worden.
- Angaben zum Ticket
- Die Begründung für die Anfrage wird dem Genehmiger mitgeteilt.
Gleichzeitig mit der Bestätigung für die Berechtigungsanfrage wird allen Benutzern mit Genehmigungsberechtigung die Anfrage per Email zugestellt.
Nach der Genehmigung oder Ablehnung der Anfrage durch einen berechtigten Benutzer wird dies per Email mitgeteilt.
Die Rollen mit Zeitpunkts des Ablaufs wird bei Active assignments unter Microsoft Entra roles oder Azure resources angezeigt.
Bestätigen einer angeforderten Microsoft Entra Rolle oder Azure Rolle durch einen Administrator
Alle genehmigungsberechtigten Accounts erhalten eine Benachrichtigung, sobald eine Azure Rolle angefordert wurde. Wurde bei der Grundkonfiguration der Rolle keine expliziten Accounts hinterlegt, so erhalten alle Benutzer mit einer der folgenden Azure AD Berechtigung die Benachrichtigung:
- globaler Administrator (global Administrator)
- Administrator für privilegierte Rollen (Privileged role administrator)
Mit einem Klick auf Approve or deny request bearbeitet man die Anfrage direkt.
Microsoft Entra Privileged Identity Management (PIM) zeigt nun Approve requests und alle Anfrage für Microsoft Entra Rollen und Azure Rollen an.
Die Anfrage kann genehmigt oder abgelehnt werden.
Der Entscheid über die Genehmigung oder Ablehnung der Anfrage wird per Email zugestellt.
Alle aktiven Rollen anzeigen
Unter Privileged Identity Management > Microsoft Entra roles oder Privileged Identity Management > Azure resources werden alle aktiven Rollen aufgelistet.
Folge mir auf LinkedIn und lasse Dich über meine aktuellen Beiträge informieren.