• Twitter
  • Xing
  • LinkedIn
  • Instagram
  • Youtube
  • Karriere
  • Newsletter
  • Kontakt
Net at Work
  • Microsoft 365
    • Workshops
    • Microsoft Teams
    • Telefonie
      • Microsoft Teams Telefonie
      • Contact Center
      • Managed SBC
    • Microsoft Exchange
    • Microsoft SharePoint
    • M365 Migration
    • Security
      • Microsoft 365 Security
      • E-Mail Security
    • Informationsmanagement
  • Business Apps
    • Microsoft Development
    • Microsoft Power Platform
  • Intranet
  • Managed Services
  • Change Management
  • Unternehmen
    • Kontakt
    • Über uns
    • Referenzen
    • Karriere
      • Fach- und Führungskräfte
      • Junge Talente
  • Blog
  • Softwareentwicklung
  • Suche
  • Menü Menü
  • Just-in-Time Administration mit Azure AD Privileged Identity Management

Just-in-Time Administration mit Azure AD Privileged Identity Management

Thomas Welslau
Autor: Thomas WelslauCompetence Lead Securityhttps://www.linkedin.com/in/thomas-welslau-866016153/–Auf LinkedIn vernetzen

Azure AD Privileged Identity Management (PIM) ermöglicht Just-in-Time Administration, also bedarfsabhängigen Admin-Zugriff auf Microsoft 365- oder Azure-Ressourcen. Das manuelle Zurücksetzen administrativer Berechtigungen entfällt dadurch. Erfahren Sie, wie Sie die Funktion in nur 6 Schritten ausrollen und damit die Sicherheit Ihrer sensiblen Informationen und Ressourcen deutlich erhöhen können.

In 6 Schritten zum Azure AD Privileged Identity Management

Mit Azure AD Privileged Identity Management (PIM) werden die Benutzerkonten der Administrierenden nur dann den entsprechenden Berechtigungsrollen zugewiesen, wenn der Zugriff benötigt und beantragt wird. Berechtigungen laufen danach automatisch ab, manuelles Zurücksetzen entfällt. Die Vergabe der Rollen kann an einen Genehmigungsprozess geknüpft werden. Dadurch wird das Risiko verringert, dass kompromittierte Benutzerkonten Zugriff auf sichere Informationen oder Ressourcen erhalten. Wie die Funktion PIM ausgerollt wird und was dabei beachtet werden sollte, erläutern wir im Folgenden.

1. Berechtigungen auswerten

Wenn Microsoft 365 oder Azure bereits genutzt wird, gibt es in der Regel auch bereits Konten, die bestimmte administrative Rollen permanent zugewiesen haben. Um einen Überblick zu erhalten, werden zunächst die bestehenden Berechtigungen ausgewertet. Der aktuelle Status kann entweder über die administrative Oberfläche von PIM erfolgen oder die Rollenzuweisung wird per Powershell und den Cmdlets Get-MsolRole bzw. Get-MsolRoleMember ausgewertet.

  • Azure AD Privileged Identity Management

    Azure AD Privileged Identity Management

2. Anforderungen abklären

Danach geht es darum, die Anforderungen im Bereich Microsoft 365 und Azure Administration abzuklären. Folgende Fragen sollten mindestens geklärt werden:

  • Welche Berechtigungen werden für die tägliche Arbeit im Microsoft 365- und Azure-Umfeld benötigt?
  • Wie lange wird mit diesen Berechtigungen in der Regel am Stück gearbeitet?
  • Wie oft kommt es in der Regel vor, dass die Berechtigungen benötigt werden?

3. Rollenbeschreibungen definieren

Daraus lassen sich dann die Einstellungen für die einzelnen Berechtigungsrollen ableiten. Hierbei ist zu berücksichtigen, dass für jede Rolle globale Einstellungen vorgegeben werden. Auch wenn unterschiedliche Benutzergruppen dieselbe Rolle beantragen dürfen, gelten beispielsweise immer die gleichen Genehmigungsprozesse.

  • Azure AD Privileged Identity Management Rolleneinstellungen

    Azure AD Privileged Identity Management Rolleneinstellungen

Beispiele für Berechtigungsrollen

  • Global Admin Rolle

    Die Rolle mit den meisten Berechtigungen im Microsoft 365 Umfeld ist die Rolle der globalen Administration. Die Rechte sollten dementsprechend möglichst sensibel behandelt werden. Bei der Beantragung der Global Admin Rolle könnte eine Begründung oder die Angabe einer Ticketnummer zur Aktivierung erforderlich sein. Danach wird die Aktivierung zur Genehmigung freigegeben. Nachdem die Genehmigung erteilt wurde, steht die Berechtigung für eine Aktivierungsdauer von 2 Stunden zur Verfügung. Sollte diese Zeit für die Tätigkeiten nicht ausreichen, kann die Rolle erneut beantragt werden.

  • Andere Rollen

    Andere Rollen wie Dienst-Administrierende für z. B. Microsoft Exchange oder Teams werden vermutlich regelmäßiger und für einen längeren Zeitraum benötigt. Hier wäre es denkbar, die Berechtigungen bei der Beantragung ohne extra Genehmigungsprozess und für den ganzen Arbeitstag zu vergeben.

4. Konten zuweisen

Sind die Rollenbeschreibungen definiert, dann können die Konten der Admins den Berechtigungsrollen zugewiesen werden. Dabei kann ein Konto auch mehreren Rollen zugewiesen werden. In der Zuweisung gibt es entweder die Möglichkeit der direkten Mitgliedschaft oder die Berechtigung wird über eine Sicherheitsgruppe vergeben. Für Letzteres ist eine Azure AD Gruppe erforderlich. Für eine synchronisierte Gruppe aus dem lokalen AD steht die Funktion der Rollenzuweisung nicht zur Verfügung. Die Funktion muss außerdem direkt bei der Anlage der Gruppe aktiviert werden und kann später nicht mehr geändert werden.

  • Erstellung einer neuen Azure AD Sicherheitsgruppe

    Erstellung einer neuen Azure AD Sicherheitsgruppe

5. On- und Offboardingprozess

Bei der Auswahl des Zuweisungsverfahrens sollte der On- und Offboardingprozess für Benutzerkonten berücksichtigt werden, damit neue Konten später möglichst automatisch Mitglied der benötigten Sicherheitsrollen werden und nicht mehr benötigte Rollen wieder entfernt werden.

6. Azure AD Privileged Identity Management Rollout und Schulung

Als Nächstes schließt sich dann der Rollout an. Auch bei PIM empfiehlt sich vorher eine Test- und Pilotphase, um ggfs. Konfigurationen nachzubessern. Im Rollout sollten dann alte Berechtigungen für separate Admin-Konten entfernt und die neuen Berechtigungen vergeben werden. Auch die Administrierenden sollten für den neuen Prozess geschult werden. Gerade bei der Zuweisung von mehreren Berechtigungsgruppen sollte ein Admin in der Lage sein, die richtige Berechtigung für den Zweck auszuwählen.

Kostenfreie Security-Beratung

In einem ersten, kostenfreien Beratungstermin besprechen wir Ihre individuellen Anforderungen und Herausforderungen. Als erfahrener Partner im Microsoft 365- und Azure-Umfeld greifen wir auf zahlreiche Best Practices zurück und erarbeiten auf dieser Grundlage einen Vorschlag für Ihre nächsten individuellen Schritte.

Jetzt Termin vereinbaren!

Weitere News zu diesem Thema

Phoenix Contact Case Study

Phoenix Contact modernisiert sein Salesnet und schafft damit eine umfassende Lösung für die vertriebliche Kommunikation

Alle News, News Microsoft Development, News Microsoft Office 365, Unsere Top-News
Weiterlesen
2023-09-21
ADG konsolidiert gewachsene IT-Landschaft mit Net at Work und startet von einer sicheren und soliden Basis in eine Cloud-First-Zukunft Preview

ADG konsolidiert gewachsene IT-Landschaft mit Net at Work und startet von einer sicheren und soliden Basis in eine Cloud-First-Zukunft

Alle News, News Microsoft Office 365, News Security, Unsere Top-News
Weiterlesen
2023-09-18

Pressekontakt

Aysel Nixdorf, Marketing Managerin bei Net at Work.
Gerne stehe ich Ihnen bei Fragen zu Net at Work und unserem Angebot jederzeit zur Verfügung. Sprechen Sie mich an.

Aysel Nixdorf
Marketing & PR
Telefon +49 5251 304627

Unsere Themen
Kompetenzen
Unternehmen
Termine
NoSpamProxy
Alle News

Net at Work-Newsletter

Jetzt abonnieren

Jetzt Beitrag teilen!

  • teilen 
  • mitteilen 
  • twittern 
  • E-Mail 

Unternehmen

  • Profil
  • Kontakt
  • Karriere
  • Impressum
  • Datenschutzerklärung
  • Allgemeine Geschäftsbedingungen (AGB)
  • Datenschutzinformation für Geschäftspartner und Bewerber

Kompetenzen

  • Microsoft 365
  • Microsoft 365 Change Management
  • Managed Services Provider
  • Microsoft Teams
  • Microsoft Teams Telefonie
  • Microsoft Teams Contact Center
  • Microsoft 365 Security
  • Microsoft SharePoint
  • Microsoft Exchange
  • Microsoft Power Platform
  • Informationsmanagement
  • Intranet
  • E-Mail-Sicherheit

Microsoft Solutions Partner Modern Work

Microsoft Solutions Partner Security

News

  • Newsletter abonnieren
  • Kompetenzen
  • Unternehmen
  • Termine
  • Alle News

Letzte News

  • Besuchen Sie uns auf der it-sa Expo&Congress 2023 in Nürnberg.2023-09-26 - 12:14
  • Phoenix Contact Case Study
    Phoenix Contact modernisiert sein Salesnet und schafft damit eine umfassende Lösung für die vertriebliche Kommunikation2023-09-21 - 10:44
  • ADG konsolidiert gewachsene IT-Landschaft mit Net at Work und startet von einer sicheren und soliden Basis in eine Cloud-First-Zukunft Preview
    ADG konsolidiert gewachsene IT-Landschaft mit Net at Work und startet von einer sicheren und soliden Basis in eine Cloud-First-Zukunft2023-09-18 - 14:32
IMPRESSUM • Datenschutzerklärung • Cookie Einstellungen ändern • © 2023 Net at Work GmbH
  • Twitter
  • Xing
  • LinkedIn
  • Instagram
  • Youtube
Nach oben scrollen