Microsoft Entra Privileged Identity Management (PIM) verwaltet und überwacht Zugriffe auf Entra Rollen. Die Zugriffe auf Azure-Ressourcen und Microsoft Onlinedienste sind bedarfsgesteuert und zeitlich eingeschränkt.
Benutzer können die Rollen für erhöhte Berechtigung online beantragen. Ein Administrator kann die Anfrage danach genehmigen oder ablehnen. Die Berechtigung entfernt sich nach Ablauf des festgelegten Zeitraums automatisch.
Mit Microsoft Entra Privileged Identity Management (PIM) lassen sich folgende Risiken minimieren:
- Anzahl Benutzer und deren Berechtigungsdauer auf privilegierte Rollen werden auf ein Minimum reduziert
- Benutzer werden besser vor versehentlicher Beeinträchtigung sensibler Daten geschützt. (keine unnötigen Rechte, wenn diese nicht gebraucht werden)
- Angreifer erhalten keinen privilegierten Zugriff
Mit dieser Anleitung wird Microsoft Entra Privileged Identity Management (PIM) für Azure AD- und Azure-Rollen konfiguriert.
Voraussetzungen und Lizenzierung
Für Microsoft Entra Privileged Identity Management (PIM) ist eine der folgenden Lizenzen notwendig:
- Microsoft Entra ID P2
- Enterprise Mobility + Security E5
Eine Übersicht der Microsoft 365 Lizenzpakete mit deren Features kann unter https://m365maps.com/ abgerufen werden.
Microsoft Entra Privileged Identity Dashboard
Das Dashboard von Microsoft Entra Privileged Identity Management (PIM) befindet sich im Azure Portal (https://portal.azure.com). Aus diesem Dashboard heraus werden alle Optionen für Microsoft Entra Privileged Identity Management (PIM) konfiguriert.
Im Menu All services unter der Kategorie Identity die Ressource Microsoft Entra Privileged Identity Management auswählen.
Microsoft Entra Privileged Identity Management: Onboarding für Microsoft Entra Rollen
Konfiguration der Einstellungen von Microsoft Entra Rollen
In den Einstellungen können die Standardwerte einer Rolle eingesehen und den Unternehmensrichtlinien anpasst werden.
Dazu öffnet man die Einstellungen unter Microsoft Entra roles > Settings und wählt die Rolle aus.
Alle angezeigten Werte lassen sich über «Edit» anpassen.
Das nachfolgende Beispiel zeigt eine angepasste Konfiguration für die Rolle Intune Administrator:
- Maximaler Zeitraum der aktiven Zuweisung der Rolle an einen Benutzer.
- Multi-Faktor Authentifizierung ist für die Aktivierung der Rolle vorausgesetzt.
- Beim Beantragen der Berechtigung muss eine Begründung hinterlegt werden
- Für die Aktivierung sind Angaben zu einem Support Ticket notwendig
- Die Freigabe bestätigt ein weiterer Benutzer (4-Augen-Prinzip).
Wenn hier mehrere Benutzer oder Benutzergruppen hinterlegt sind, reicht die Bestätigung eines Benutzer aus, um die Anfrage abzuschliessen.
Wenn keine Benutzer oder Benutzergruppen hinterlegt sind, wird die Bestätigungsanfrage an alle globalen Administratoren und Administratoren für privilegierte Rollen (Privileged role administrator) gesendet.
- Zeitraum, in dem ein Benutzer eine Microsoft Entra Rolle beantragen kann
- Zeitraum, in dem einem Benutzer eine Microsoft Entra Rolle aktiviert sein kann
- Multi-Faktor Authentifizierung ist für aktive Zuweisungen Voraussetzung
- Für aktive Zuweisungen ist eine Begründung notwendig
Unter Notification werden zusätzliche Empfänger von Benachrichtigungen hinzugefügt. Wenn keine zusätzlichen Empfänger hinzugefügt werden, erhalten die Benachrichtigung folgende Personen
- Antragsteller (Benutzer)
- globale Administratoren
- Administratoren für privilegierte Rollen (Privileged role administrator)
Berechtigungen für Microsoft Entra Rollen zuweisen
Benutzer müssen berechtigt werden, um ein Microsoft Entra Rollen über Microsoft Entra Privileged Identity Management (PIM) zu erhalten. Es können integrierte sowie benutzerdefinierte Microsoft Entra Rollen zugewiesen werden.
Die Zuweisung von Microsoft Entra Rollen erfolgt unter Microsoft Entra roles > roles > Add assignments.
Microsoft Entra Rolle (1) auswählen und zuweisen (2).
Die Zuweisung kann auf Benutzer und Benutzergruppen erfolgen.
Der Zugriffsbereich kann für einige Rollen eingeschränkt werden, so z.B. für die Rolle des «Benutzer Administrators» (3)
Nun muss der Zuweisungstyp (1) ausgewählt werden.
- Eligible: Der Benutzer muss die Rolle aktiv anfordern
- Active: Die Rolle ist dem Benutzer permanent zugewiesen
Im zweiten Teil wird die Dauer der Berechtigung angegeben (2).
Für die Angabe der Dauer ist es wichtig folgendes zu verstehen:
Eligible
Die Dauer gibt an, wie lange der Benutzer die Microsoft Entra Rolle anfordern kann. Der hier angegebene Zeitraum hat keinen Einfluss, wie lange die Rolle maximal aktiv zugewiesen wird. Dieser Zeitraum wird in den Eigenschaften der Rolle angegeben, welcher im Kapitel Konfiguration der Einstellungen von Microsoft Entra Rollen beschrieben ist.
Active
Die Microsoft Entra Rolle ist dem Benutzer im angegeben Zeitraum automatisch zugewiesen.
Microsoft Entra Privileged Identity Management: Onboarding für Azure Rollen
Azure Rollen für PIM vorbereiten
Damit Azure Rollen mit Microsoft Entra Privileged Identity Management (PIM) verwaltet werden können, muss zuerst die Subscription für PIM vorbereitet werden.
Azure resources > Discover resources
Als nächstes die Azure Subscription auswählen, Manage resource anklicken und Onboarding bestätigen.
Berechtigung für Azure Rollen zuweisen
Genau gleich wie bei der Zuweisung von Microsoft Entra Rollen müssen Benutzer für Azure Rollen berechtigt werden. Für die Zuweisung einer Azure Rolle wird unter «Priviliged Identity Management > Azure resources» die Subscription ausgewählt und danach «Add assignment» ausgewählt.
Die weitere Konfiguration ist identisch mit den Zuweisen der Berechtigung von Microsoft Entra Rollen und kann hier nachgelesen werden.
Folge mir auf LinkedIn und lasse Dich über meine aktuellen Beiträge informieren.
War dieser Beitrag hilfreich für dich? Zeige deine Begeisterung mit dem herrlichen Duft eines frisch gebrühten Kaffees für mich!
