Privileged Identity Management

Hallo zusammen,

Den meisten dürfte der Ausdruck "Least Privilege" bekannt sein. Dabei geht es darum, nur die für die Arbeit benötigten Berechtigungen zu besitzen und nicht mehr. Normalerweise werden dazu RBAC Rollen angelegt und der Account zu dieser Gruppe hinzugefügt.

Privileged Identity Management geht hier noch einen Schritt weiter, bei dem es Möglich ist, gewisse Rechte nur temporär zu aktivieren und nicht permanent zugewiesen zu haben. Das alles führt dazu, dass die Angriffsfläche kleiner wird und damit Risiko sinkt. Es können M365 und Azure Rollen darüber verwaltet werden.

What is Azure AD Privileged Identity Management?

https://docs.microsoft.com/en-us/azure/active-directory/privileged-identity-management/pim-configure#:~:text=Privileged%20Identity%20Management%20(PIM)%20is,Microsoft%20365%20or%20Microsoft%20Intune.

 

Deploy Azure AD Privileged Identity Management (PIM)

https://docs.microsoft.com/en-us/azure/active-directory/privileged-identity-management/pim-deployment-plan

Man benötigt dazu gewisse Lizenzen

  • Azure AD Premium P2
  • Enterprise Mobility + Security (EMS) E5
  • Microsoft 365 Education A5
  • Microsoft 365 Enterprise E5

PIM Berechtigungen anlegen

Um die Rollen anzulegen, welche später ausgewählt und aktiviert werden können muss man in "Manage Access" gehen.

Dort kann man eine Rolle auswählen

Nun kann man ein Assignment hinzufügen

Man muss den Benutzer auswählen, welcher die Rolle aktivieren kann.

Es gibt verschiedene Möglichkeiten. Entweder der Benutzer hat die Rolle immer zugeteilt "Active" oder er kann die Rolle Aktivieren "Eligible".

Oder man kann die Rolle nur für einen bestimmten Zeitraum auswählbar machen.

Privileged Identity Management benutzen

Und so sieht es für den Benutzer von Privileged Identity Management aus. Man klickt auf "My Roles"

Schaut sich unter "Eligible assignments" an welche Rollen zur Aktivierung zur Verfügung stehen. Mit "Activate" kann die Rolle aktiviert werden.

Dazu muss man einen Grund angeben. Damit wird es nachvollziehbar. Beispielsweise die Ticketnummer oder den Change.

Die Rolle wird aktiviert

Unter "Active Assignments" sieht man, dass ich nun die Rolle Exchange Administrator für die nächsten 8 Stunden habe

Gleichzeitig erhält man ein Mail mit der Bestätigung, dass die Rolle aktiviert wurde.

Einmal in der Woche gibt es dann eine Übersicht über die PIM Aktivitäten. Schätze mal, dass ich das in der Rolle als "Global Administrator" oder "Privileged role Admin" erhalte.

 

Grüsse
Andres Bohren