Entra Privileged Identity Management für Berliner KMU

Permanente Administratorkonten gehören zu den größten Angriffsvektoren in Microsoft-365-Umgebungen. Einmal kompromittiert, hat ein Angreifer uneingeschränkten Zugriff auf alle Dienste, ohne zeitliche Begrenzung. Entra Privileged Identity Management (PIM) löst dieses Problem, indem es dauerhaften Admin-Zugriff durch zeitlich begrenzten, genehmigungspflichtigen Just-in-Time-Zugriff ersetzt.

Das Problem mit dauerhaftem Admin-Zugriff

In den meisten kleinen Unternehmen werden Administratorrechte ein Mal vergeben und nie wieder entzogen. Das Konto bleibt permanent privilegiert — auch dann, wenn der Administrator gerade keine Administratoraufgaben ausführt. Wird das Konto durch Phishing, Passwortverlust oder Credential Stuffing kompromittiert, hat der Angreifer sofortigen Vollzugriff.

PIM ändert das Grundprinzip: Rollen werden nicht mehr dauerhaft zugewiesen, sondern nur für den konkreten Bedarf aktiviert. Außerhalb der Aktivierungsphase existieren keine Admin-Rechte — auch nicht im Hintergrund.

Eligible vs. Active Assignment

PIM unterscheidet zwei Zuweisungstypen:

Typ	Bedeutung	Typischer Einsatz
Eligible	Nutzer kann die Rolle bei Bedarf aktivieren	Reguläre Administratoren
Active	Rolle ist permanent aktiv (24/7)	Break-Glass-Konten, Automatisierungskonten

Für fast alle menschlichen Administratoren ist Eligible der richtige Typ. Active sollte auf nicht-interaktive Dienstkonten und auf maximal zwei Break-Glass-Notfallkonten beschränkt bleiben.

Aktivierungsworkflow

Ein berechtigter Nutzer aktiviert seine Rolle über das Entra-Portal oder über myaccount.microsoft.com/roles. Er muss dabei angeben:

Begründung: Warum wird die Rolle jetzt benötigt?
Dauer: Wie lange wird sie gebraucht (konfigurierbar, z. B. max. 8 Stunden)?
MFA-Bestätigung: Authentifizierung wird immer verlangt, unabhängig von bestehenden Sessions.

Optional kann eine Genehmigung eines zweiten Administrators erforderlich sein. Nach Ablauf der konfigurierten Dauer werden die Rechte automatisch entzogen — ohne manuellen Eingriff.

Break-Glass-Konten

PIM erfordert zwei permanente Notfallkonten (Break-Glass-Accounts) mit dauerhafter Global-Admin-Zuweisung. Diese Konten werden verwendet, wenn der normale PIM-Aktivierungsprozess nicht funktioniert — z. B. bei einem Ausfall von Entra ID oder bei MFA-Problemen.

Best Practices für Break-Glass-Konten:

Keine MFA-Anforderung (da MFA selbst ausfallen könnte)
Sicheres, zufälliges Passwort, in einem physisch gesicherten Tresor aufbewahrt
Alarm bei jeder Anmeldung (Log Analytics Alert)
Regelmäßige Verifizierung, dass der Zugang funktioniert (mindestens jährlich)

Zugriffsprüfungen (Access Reviews)

PIM integriert sich mit Entra-Zugriffsprüfungen. Konfigurieren Sie eine regelmäßige Prüfung aller berechtigten Rollenmitglieder — empfohlen viertteljährlich für privilegierte Rollen:

Alle Inhaber privilegierter Rollen werden per E-Mail aufgefordert, ihren Zugang zu bestätigen.
Nicht bestätigte Zugänge werden automatisch entzogen.
Das Ergebnis wird revisionssicher protokolliert.

Lizenzanforderung

PIM ist in Microsoft Entra ID P2 enthalten, das wiederum Bestandteil von Microsoft 365 Business Premium ist. Wenn Sie Business Premium nutzen, ist PIM ohne Aufpreis verfügbar — Sie müssen es nur aktivieren.

Einrichtungsschritte für KMU

Entra-Portal → Identity Governance → Privileged Identity Management → Rollen.
Global Administrator auswählen → Einstellungen → MFA aktivieren, maximale Aktivierungsdauer auf 8 Stunden setzen, Begründung erforderlich aktivieren.
Alle bisherigen Global-Admin-Zuweisungen auf Eligible ändern — mit Ausnahme der zwei Break-Glass-Konten.
Zugriffsprüfung für privilegierte Rollen einrichten (viertteljährlich, Selbstprüfung).
Log Analytics Alert für Break-Glass-Anmeldungen konfigurieren.

Mit diesen Schritten reduzieren Sie die Angriffsoberfläche Ihrer privilegierten Konten erheblich — ohne den Betriebsalltag nennenswert zu stören.

Haben Sie Fragen zur Einrichtung von Entra PIM oder benötigen Sie Unterstützung bei der Konfiguration? Kontaktieren Sie uns für ein kostenloses Gespräch.

Weiterfuehrende Artikel

Auch zu diesem Thema

Entra Governance Lifecycle Workflows: Vollständigen Identitätslebenszyklus neben PIM automatisieren

Entra Privileged Identity Management für Berliner KMU

Das Problem mit dauerhaftem Admin-Zugriff

Eligible vs. Active Assignment

Aktivierungsworkflow

Break-Glass-Konten

Zugriffsprüfungen (Access Reviews)

Lizenzanforderung

Einrichtungsschritte für KMU

Microsoft 365 Copilot for Small Businesses in Berlin: What It Actually Does and What It Costs

Microsoft 365 Backup for Small Businesses in Berlin: What Microsoft Protects vs. What You Must Back Up

Azure AD Connect Health: Hybrid-Identity-Syncüberwachung für kleine Unternehmen in Berlin

IT-Compliance-Checkliste für deutsche KMU: DSGVO, NIS2 und BSI-Grundschutz

Microsoft Purview Insider Risk Management: Detecting Data Theft by Departing Employees

Microsoft 365 Email Security for Small Businesses in Berlin: Complete Protection Guide

Das Problem mit dauerhaftem Admin-Zugriff

Eligible vs. Active Assignment

Aktivierungsworkflow

Break-Glass-Konten

Zugriffsprüfungen (Access Reviews)

Lizenzanforderung

Einrichtungsschritte für KMU

Similar Posts