• Twitter
  • Xing
  • LinkedIn
  • Instagram
  • Youtube
  • Karriere
  • Newsletter
  • Kontakt
Net at Work
  • Microsoft 365
    • Workshops
    • Microsoft Teams
    • Telefonie
      • Microsoft Teams Telefonie
      • Contact Center
      • Managed SBC
    • Microsoft Exchange
    • Microsoft SharePoint
    • M365 Migration
    • Security
      • Microsoft 365 Security
      • E-Mail Security
    • Informationsmanagement
  • Business Apps
    • Microsoft Development
    • Microsoft Power Platform
    • Digitale Prozesse
  • Intranet
  • Managed Services
  • Change Management
  • Unternehmen
    • Kontakt
    • Über uns
    • Referenzen
    • Karriere
      • Fach- und Führungskräfte
      • Junge Talente
  • Blog
  • Online-Events
  • Suche
  • Menü Menü
  • Just-in-Time Administration mit Azure AD Privileged Identity Management

Just-in-Time Administration mit Azure AD Privileged Identity Management

Thomas Welslau
Autor: Thomas WelslauCompetence Lead Securityhttps://www.linkedin.com/in/thomas-welslau-866016153/–Auf LinkedIn vernetzen

Azure AD Privileged Identity Management (PIM) ermöglicht Just-in-Time Administration, also bedarfsabhängigen Admin-Zugriff auf Microsoft 365- oder Azure-Ressourcen. Das manuelle Zurücksetzen administrativer Berechtigungen entfällt dadurch. Erfahren Sie, wie Sie die Funktion in nur 6 Schritten ausrollen und damit die Sicherheit Ihrer sensiblen Informationen und Ressourcen deutlich erhöhen können.

In 6 Schritten zum Azure AD Privileged Identity Management

Mit Azure AD Privileged Identity Management (PIM) werden die Benutzerkonten der Administrierenden nur dann den entsprechenden Berechtigungsrollen zugewiesen, wenn der Zugriff benötigt und beantragt wird. Berechtigungen laufen danach automatisch ab, manuelles Zurücksetzen entfällt. Die Vergabe der Rollen kann an einen Genehmigungsprozess geknüpft werden. Dadurch wird das Risiko verringert, dass kompromittierte Benutzerkonten Zugriff auf sichere Informationen oder Ressourcen erhalten. Wie die Funktion PIM ausgerollt wird und was dabei beachtet werden sollte, erläutern wir im Folgenden.

1. Berechtigungen auswerten

Wenn Microsoft 365 oder Azure bereits genutzt wird, gibt es in der Regel auch bereits Konten, die bestimmte administrative Rollen permanent zugewiesen haben. Um einen Überblick zu erhalten, werden zunächst die bestehenden Berechtigungen ausgewertet. Der aktuelle Status kann entweder über die administrative Oberfläche von PIM erfolgen oder die Rollenzuweisung wird per Powershell und den Cmdlets Get-MsolRole bzw. Get-MsolRoleMember ausgewertet.

  • Azure AD Privileged Identity Management

    Azure AD Privileged Identity Management

2. Anforderungen abklären

Danach geht es darum, die Anforderungen im Bereich Microsoft 365 und Azure Administration abzuklären. Folgende Fragen sollten mindestens geklärt werden:

  • Welche Berechtigungen werden für die tägliche Arbeit im Microsoft 365- und Azure-Umfeld benötigt?
  • Wie lange wird mit diesen Berechtigungen in der Regel am Stück gearbeitet?
  • Wie oft kommt es in der Regel vor, dass die Berechtigungen benötigt werden?

3. Rollenbeschreibungen definieren

Daraus lassen sich dann die Einstellungen für die einzelnen Berechtigungsrollen ableiten. Hierbei ist zu berücksichtigen, dass für jede Rolle globale Einstellungen vorgegeben werden. Auch wenn unterschiedliche Benutzergruppen dieselbe Rolle beantragen dürfen, gelten beispielsweise immer die gleichen Genehmigungsprozesse.

  • Azure AD Privileged Identity Management Rolleneinstellungen

    Azure AD Privileged Identity Management Rolleneinstellungen

Beispiele für Berechtigungsrollen

  • Global Admin Rolle

    Die Rolle mit den meisten Berechtigungen im Microsoft 365 Umfeld ist die Rolle der globalen Administration. Die Rechte sollten dementsprechend möglichst sensibel behandelt werden. Bei der Beantragung der Global Admin Rolle könnte eine Begründung oder die Angabe einer Ticketnummer zur Aktivierung erforderlich sein. Danach wird die Aktivierung zur Genehmigung freigegeben. Nachdem die Genehmigung erteilt wurde, steht die Berechtigung für eine Aktivierungsdauer von 2 Stunden zur Verfügung. Sollte diese Zeit für die Tätigkeiten nicht ausreichen, kann die Rolle erneut beantragt werden.

  • Andere Rollen

    Andere Rollen wie Dienst-Administrierende für z. B. Microsoft Exchange oder Teams werden vermutlich regelmäßiger und für einen längeren Zeitraum benötigt. Hier wäre es denkbar, die Berechtigungen bei der Beantragung ohne extra Genehmigungsprozess und für den ganzen Arbeitstag zu vergeben.

4. Konten zuweisen

Sind die Rollenbeschreibungen definiert, dann können die Konten der Admins den Berechtigungsrollen zugewiesen werden. Dabei kann ein Konto auch mehreren Rollen zugewiesen werden. In der Zuweisung gibt es entweder die Möglichkeit der direkten Mitgliedschaft oder die Berechtigung wird über eine Sicherheitsgruppe vergeben. Für Letzteres ist eine Azure AD Gruppe erforderlich. Für eine synchronisierte Gruppe aus dem lokalen AD steht die Funktion der Rollenzuweisung nicht zur Verfügung. Die Funktion muss außerdem direkt bei der Anlage der Gruppe aktiviert werden und kann später nicht mehr geändert werden.

  • Erstellung einer neuen Azure AD Sicherheitsgruppe

    Erstellung einer neuen Azure AD Sicherheitsgruppe

5. On- und Offboardingprozess

Bei der Auswahl des Zuweisungsverfahrens sollte der On- und Offboardingprozess für Benutzerkonten berücksichtigt werden, damit neue Konten später möglichst automatisch Mitglied der benötigten Sicherheitsrollen werden und nicht mehr benötigte Rollen wieder entfernt werden.

6. Azure AD Privileged Identity Management Rollout und Schulung

Als Nächstes schließt sich dann der Rollout an. Auch bei PIM empfiehlt sich vorher eine Test- und Pilotphase, um ggfs. Konfigurationen nachzubessern. Im Rollout sollten dann alte Berechtigungen für separate Admin-Konten entfernt und die neuen Berechtigungen vergeben werden. Auch die Administrierenden sollten für den neuen Prozess geschult werden. Gerade bei der Zuweisung von mehreren Berechtigungsgruppen sollte ein Admin in der Lage sein, die richtige Berechtigung für den Zweck auszuwählen.

Kostenfreie Security-Beratung

In einem ersten, kostenfreien Beratungstermin besprechen wir Ihre individuellen Anforderungen und Herausforderungen. Als erfahrener Partner im Microsoft 365- und Azure-Umfeld greifen wir auf zahlreiche Best Practices zurück und erarbeiten auf dieser Grundlage einen Vorschlag für Ihre nächsten individuellen Schritte.

Jetzt Termin vereinbaren!

Weitere News zu diesem Thema

Checkliste: Microsoft 365 Offboarding-Prozess ohne Datenverlust

Checkliste: Microsoft 365 Offboarding-Prozess ohne Datenverlust

Alle News, News IT-Betrieb, News Microsoft Office 365, News Security, Unsere Top-News
Weiterlesen
2023-03-15
Endpoint DLP & Defender for Cloud Apps – Schutz vor dem Upload sensibler Daten

Endpoint DLP & Defender for Cloud Apps – Schutz vor dem Upload sensibler Daten

Alle News, News IT-Betrieb, News Microsoft Office 365, News Security, Unsere Top-News
Weiterlesen
2023-03-02

Pressekontakt

Aysel Nixdorf, Marketing Managerin bei Net at Work.
Gerne stehe ich Ihnen bei Fragen zu Net at Work und unserem Angebot jederzeit zur Verfügung. Sprechen Sie mich an.

Aysel Nixdorf
Marketing & PR
Telefon +49 5251 304627

Unsere Themen
Kompetenzen
Unternehmen
Termine
NoSpamProxy
Alle News

Net at Work-Newsletter

Jetzt abonnieren

Jetzt Beitrag teilen!

  • teilen 
  • mitteilen 
  • twittern 
  • E-Mail 

Unternehmen

  • Profil
  • Kontakt
  • Karriere
  • Impressum
  • Datenschutzerklärung
  • Allgemeine Geschäftsbedingungen (AGB)
  • Datenschutzinformation für Geschäftspartner und Bewerber

Kompetenzen

  • Microsoft 365
  • Change Management
  • Managed Services Provider
  • Microsoft Teams
  • Microsoft Teams Telefonie
  • Microsoft Teams Contact Center
  • Microsoft 365 Security
  • Microsoft SharePoint
  • Microsoft Exchange
  • Microsoft Power Platform
  • Informationsmanagement
  • Intranet
  • E-Mail-Sicherheit

News

  • Newsletter abonnieren
  • Kompetenzen
  • Unternehmen
  • Termine
  • Alle News

Letzte News

  • Checkliste: Microsoft 365 Offboarding-Prozess ohne DatenverlustCheckliste: Microsoft 365 Offboarding-Prozess ohne Datenverlust2023-03-15 - 11:00
  • Endpoint DLP & Defender for Cloud Apps – Schutz vor dem Upload sensibler DatenEndpoint DLP & Defender for Cloud Apps – Schutz vor dem Upload sensibler Daten2023-03-02 - 12:30
  • Microsoft Teams Premium – diese Features werden ab März lizenzpflichtigMicrosoft Teams Premium – diese Features werden ab März lizenzpflichtig2023-02-09 - 11:00
IMPRESSUM  •  © 2023 Net at Work GmbH
  • Twitter
  • Xing
  • LinkedIn
  • Instagram
  • Youtube
  • Datenschutzerklärung
  • Kontakt
Nach oben scrollen