Microsoft Entra Permissions Management: CIEM für kleine Unternehmen in Berlin
Cloud-Infrastrukturberechtigungen haben ein dokumentiertes Problem: Sie akkumulieren sich. Ein Entwickler erhält umfangreiche Berechtigungen für eine Cloud-Umgebung für ein Projekt – und diese Berechtigungen werden nie entfernt. Ein Dienstkonto wird mit Eigentümer-Zugriff bereitgestellt, weil es einfacher war als eine korrekte Einschränkung. Ein Auftragnehmer wird für einen Monat zu einem Azure-Abonnement hinzugefügt und sein Zugriff bleibt jahrelang bestehen. Das Ergebnis ist eine Lücke zwischen den Berechtigungen, die Identitäten haben, und den Berechtigungen, die sie tatsächlich nutzen – eine Lücke, die Angriffsoberfläche darstellt. Microsoft Entra Permissions Management ist ein CIEM-Produkt (Cloud Infrastructure Entitlement Management), das Berechtigungen über Azure, AWS und Google Cloud Platform hinweg erkennt, misst und rechts großzügig gestaltet.
Das Berechtigungs-Akkumulierungs-Problem
Das Kernproblem ist nicht, dass Administratoren bewusst übermäßige Berechtigungen vergeben – es ist, dass Berechtigungen leicht vergeben und selten überprüft werden. Speziell in Azure-Umgebungen:
- Azure RBAC-Rollenzuweisungen akkumulieren sich über die Zeit, während neue Ressourcen erstellt werden
- Benutzerdefinierte Rollendefinitionen werden für spezifische Anforderungen erstellt und nie rationalisiert
- Dienstprinzipale und verwaltete Identitäten werden mit Contributor- oder Owner-Rollen bereitgestellt, weil es funktioniert – ohne Einschränkung auf die tatsächlich benötigten Ressourcenoperationen
- Break-Glass-Konten und Notfallzugriffskonten behalten dauerhaft umfangreiche Berechtigungen
- Gastbenutzer aus abgeschlossenen Projekten behalten Verzeichnismitgliedschaft und Ressourcenzugriff
Einzeln sind dies handhabbare Probleme. Im Großmaßstab über Azure, AWS und GCP gleichzeitig produzieren sie eine Umgebung, in der der Explosionsradius eines einzigen kompromittierten Anmeldeinformationssatzes dramatisch größer ist als nötig.
Was Entra Permissions Management misst: Der Permissions Creep Index
Entra Permissions Management führt den Permissions Creep Index (PCI) ein – eine Bewertung von 0-100 für jede Identität, die die Lücke zwischen vergebenen Berechtigungen und genutzten Berechtigungen misst. Eine Identität mit einem PCI von 100 hat Berechtigungen erhalten, viele Aktionen auszuführen, hat aber nur sehr wenige davon im Beobachtungszeitraum ausgeführt. Der PCI wird pro Identität, pro Cloud und aggregiert zu Umgebungsebenen-Scores berechnet.
Dies gibt Sicherheitsteams eine quantitative, priorisierte Sicht auf Berechtigungsrisiken: Welche Identitäten, in welcher Cloud-Umgebung, haben die größte Lücke zwischen dem, was sie können, und dem, was sie tatsächlich tun. Die Abhilfemaßnahme – Berechtigungen auf tatsächliche Nutzung zuschneiden – reduziert den PCI und den Explosionsradius dieser Anmeldeinformationen.
Erkennung: Was die Plattform inventarisiert
Nach der Verbindung von Entra Permissions Management mit Ihren Cloud-Umgebungen inventarisiert die Plattform:
- Alle Identitäten – Benutzer, Gruppen, Dienstprinzipale, verwaltete Identitäten, Rollen und Richtlinien – und ihre Berechtigungszuweisungen
- Alle Ressourcen in den verbundenen Umgebungen und welche Berechtigungen für Operationen auf ihnen erforderlich sind
- Tatsächliche Berechtigungsnutzung über den konfigurierten Beobachtungszeitraum (typischerweise 90 Tage)
- Super-Identitäten – Identitäten mit Berechtigungen zur Ausführung eines hohen Anteils aller Aktionen in der Umgebung
- Inaktive Identitäten – Identitäten, die im Beobachtungszeitraum keine Aktionen ausgeführt haben, aber Berechtigungen behalten
Automatisiertes Right-Sizing: KI-empfohlene Rollen
Basierend auf tatsächlichen Nutzungsmustern generiert Entra Permissions Management Right-Sizing-Rollenempfehlungen: benutzerdefinierte Rollendefinitionen, die nur die spezifischen Berechtigungen enthalten, die jede Identität im Beobachtungszeitraum tatsächlich genutzt hat. Diese Empfehlungen können direkt über die Permissions Management-Schnittstelle überprüft und angewendet werden.
Für Berliner KMU, die sich Sorgen um den betrieblichen Aufwand des Right-Sizings machen, adressiert diese Automatisierung die Hauptpräktische Hürde: Es ist nicht notwendig, manuell jede Berechtigungszuweisung zu prüfen. Die Plattform leitet die minimale Rolle aus der beobachteten Nutzung ab und schlägt sie vor.
On-Demand-Berechtigungen: Just-Enough-Access-Workflows
Entra Permissions Management umfasst einen On-Demand-Berechtigungsworkflow, der Identitäten ermöglicht, temporäre erhöhte Berechtigungen für spezifische Aufgaben anzufordern, mit automatischer Aufhebung nach Ablauf des Aufgabenfensters. Dies adressiert das gängige betriebliche Muster, dauerhafte erhöhte Zugriffsrechte zu vergeben, weil temporäre Zugriffsprozesse zu umständlich sind.
Multi-Cloud-Umfang: Azure, AWS und GCP vereint
Für Berliner KMU, die in mehreren Cloud-Umgebungen operieren, ist die einheitliche Ansicht über Azure, AWS und GCP bedeutsam. Berechtigungsrisiken in einem AWS-Konto können nicht über das Azure-Portal beobachtet werden und umgekehrt. Entra Permissions Management verbindet sich mit allen drei großen Clouds über Cloud-Provider-spezifische Nur-Lese-Connectors und präsentiert eine einheitliche Berechtigungsrisikoansicht über alle verbundenen Umgebungen.
Integration mit Entra ID Governance
Entra Permissions Management integriert sich in Entra ID Governance-Zugriffsprüfungen – von Permissions Management als ungenutzt identifizierte Berechtigungen können für Prüfungen in Entra-Zugriffsprüfungen markiert werden und einen Prüfworkflow für die Ressourcenverantwortlichen auslösen. Dies verbindet die CIEM-Erkennungsschicht mit der Governance-Durchsetzungsschicht.
Lizenzierung
Microsoft Entra Permissions Management ist ein Add-on-Produkt, das nicht in Microsoft Entra ID P1/P2 oder Microsoft 365 Business Premium enthalten ist. Es wird pro Ressource in jeder verbundenen Cloud-Umgebung lizenziert. Für Berliner KMU, die CIEM-Lösungen evaluieren, ist die Testversion der geeignete Ausgangspunkt – die Erkennungsphase offenbart den tatsächlichen Permissions Creep in der Umgebung, bevor eine laufende Lizenzierung eingegangen wird.
Weiterführende Artikel
- Microsoft Entra Conditional Access: Durch Permissions Management richtig dimensionierte Berechtigungen reduzieren den Explosionsradius kompromittierter Anmeldeinformationen – Conditional Access bietet das Authentifizierungstor, das bestimmt, wann und von wo diese Berechtigungen ausgeführt werden können, als zweite Schutzschicht
- Microsoft Entra Verified ID: Permissions Management passt Berechtigungen für bestehende Identitäten an – Verified ID erweitert die Identitätssicherheit auf externe Parteien, deren Anmeldeinformationen nicht über Ihr eigenes Verzeichnis geprüft werden können, und adressiert verschiedene Enden des Berechtigungs- und Identitätsrisikospektrums
Auch zu diesem Thema
- Microsoft Entra ID Protection: Permissions Management quantifiziert, auf was eine Identität zugreifen kann; ID Protection bewertet, ob diese Identität kompromittiert wurde — gemeinsam beantworten sie beide Seiten der Privilegienrisikofrage: wie groß der Explosionsradius ist und ob der Inhaber dieses Zugriffs gerade angegriffen wird
- Microsoft Entra Privileged Identity Management: Während Permissions Management dauerhafte Überprivilegierung in der Cloud-Infrastruktur beseitigt, eliminiert PIM dauerhafte Admin-Rollenzuweisungen in Microsoft 365 und Azure — gemeinsam erzwingen sie Just-in-Time-Zugriff sowohl auf der Infrastrukturberechtigungs- als auch auf der Verzeichnisrollenebene