Microsoft Entra Privileged Identity Management (PIM) für kleine Unternehmen Berlin

ByAnthony Stewart

Microsoft Entra Privileged Identity Management (PIM) ist ein Identitäts-Governance-Dienst, der dauerhaft zugewiesene privilegierte Rollen in Ihrer Microsoft 365- und Azure-Umgebung eliminiert. Anstatt dass Benutzer Global Administrator-, SharePoint-Administrator- oder Azure-Owner-Rechte dauerhaft halten, ermöglicht PIM Just-in-Time-Zugriff: Benutzer können für ein definiertes Zeitfenster erhöhten Zugriff anfordern – mit Pflichtbegründung und optionaler Genehmigung – wonach die Berechtigung automatisch verfällt.

Das Risiko dauerhaft zugewiesener Privilegien

Privilegierte Konten sind in der Mehrzahl der Unternehmensangriffe das primäre Ziel. Ein Benutzerkonto mit dauerhaft zugewiesener Global-Administrator-Rolle ist ein konstantes, hochwertiges Angriffsziel: Werden die Anmeldeinformationen durch Phishing, Passwortspray oder Token-Diebstahl kompromittiert, hat der Angreifer sofort vollständige Kontrolle über den gesamten Microsoft 365-Mandanten und alle verbundenen Azure-Abonnements.

Für kleine Unternehmen in Berlin besteht das praktische Problem häufig darin, dass IT-Admins und Geschäftsführung einige wenige Konten mit Global Admin dauerhaft aus Bequemlichkeitsgründen teilen. Genau diese Konfiguration trifft Incident-Response-Teams am häufigsten bei Ransomware- und Business-Email-Compromise-Fällen an.

Wie PIM funktioniert

PIM basiert auf dem Grundsatz, dass privilegierter Zugriff zeitlich begrenzt, begründet und protokolliert sein soll. Der Ablauf ist unkompliziert:

  1. Ein Benutzer wird für eine privilegierte Rolle als berechtigt eingestuft – die Rolle wird jedoch nicht aktiv zugewiesen. Im normalen Arbeitszustand hat der Benutzer keine erhöhten Berechtigungen.
  2. Wenn eine Verwaltungsaufgabe ansteht, navigiert der Benutzer im Entra ID-Portal zu Meine Rollen und aktiviert die Rolle mit einer Geschäftsbegründung und einer Zeitdauer (typischerweise ein bis acht Stunden).
  3. Je nach PIM-Konfiguration ist die Aktivierung sofort wirksam oder erfordert eine Genehmigung durch einen designierten Genehmiger.
  4. Die Rolle ist zeitbegrenzt: Sie verfällt automatisch am Ende des gewünschten Zeitfensters und der Benutzer kehrt in seinen nicht privilegierten Zustand zurück.
  5. Alle Aktivierungen – Begründungstext, Genehmigungsentscheidung und während des Aktivierungsfensters durchgeführte Aktionen – werden im Entra ID-Prüfprotokoll festgehalten.

PIM für Entra-Rollen vs. Azure-Ressourcenrollen

PIM verwaltet zwei Kategorien privilegierter Zugriffe:

Microsoft Entra-Rollen: Global Administrator, Benutzeradministrator, SharePoint-Administrator, Exchange-Administrator, Sicherheitsadministrator und alle weiteren Entra ID-Verzeichnisrollen. Diese steuern die mandantenweite Konfiguration und den Benutzer-Lebenszyklus in Microsoft 365.

Azure-Ressourcenrollen: Owner, Contributor, Benutzerzugriffsadministrator und benutzerdefinierte Rollen auf Azure-Abonnements, Ressourcengruppen und einzelnen Ressourcen. Diese steuern die Azure-Infrastrukturbereitstellung und -konfiguration.

Beide Kategorien werden über dieselbe PIM-Oberfläche und denselben Aktivierungsworkflow verwaltet, unter Entra ID → Identitäts-Governance → Privileged Identity Management. Für kleine Unternehmen, die Azure-Workloads neben Microsoft 365 betreiben, schließt die PIM-Aktivierung für beide Kategorien die häufigsten Privilege-Escalation-Pfade.

Zugriffsprüfungen für privilegierte Rollen

PIM ist in die Entra ID Governance-Zugriffsprüfungen integriert und ermöglicht periodische Rezertifizierungen privilegierter Berechtigungen. Eine Zugriffsprüfung sendet E-Mail-Benachrichtigungen an die Rollenmitglieder selbst (Selbstprüfung) oder an designierte Prüfer und fordert diese auf zu bestätigen, ob jedes berechtigte Mitglied den Zugriff noch benötigt.

Wenn ein Prüfer eine Berechtigung als „Verweigern“ markiert, entfernt PIM die Berechtigungszuweisung automatisch. Für kleine Unternehmen, die Auftragnehmer, Projektmitarbeiter oder externe IT-Unterstützung einbinden, verhindern Zugriffsprüfungen die Rechteakkumulation – den schrittweisen Aufbau von Zugriffsrechten, die nie bereinigt werden, wenn die Rolle einer Person endet.

MFA-Pflicht und risikobasierte Aktivierung

PIM-Aktivierungsrichtlinien können Multi-Faktor-Authentifizierung als Pflichtbedingung für jede Aktivierung vorschreiben – auch wenn das Basiskonto des Benutzers für den normalen Microsoft 365-Zugriff keine MFA benötigt. Dies ist eine kritische Schutzmaßnahme: Ein Angreifer, der das Passwort eines Benutzers gestohlen hat, kann ohne das MFA-Gerät keine Global-Administrator-Rolle aktivieren.

PIM ist auch in die Risikosignale von Entra ID Protection integriert. Aktivierungsanfragen können automatisch blockiert werden, wenn der anfordernde Benutzer eine aktive Risikoerkennung hat – Anmeldung von einem ungewöhnlichen Standort, anomales Token-Verhalten oder geleakte Anmeldeinformationen. Ein kompromittiertes Konto, das versucht eine privilegierte Rolle selbst zu aktivieren, wird blockiert, bevor ein menschlicher Prüfer überhaupt einbezogen ist.

PIM-Warnungen und Sicherheitsüberwachung

PIM generiert integrierte Sicherheitswarnungen für risikobehaftete Konfigurationen: Rollen ohne berechtigte Zuweisungen (nur dauerhafte Zuweisungen), Konten, die ihren berechtigten Zugriff seit 30 oder mehr Tagen nicht genutzt haben, und Rollen, bei denen für die Aktivierung keine MFA erforderlich ist. Diese Warnungen erscheinen im PIM-Dashboard und können zur Korrelation mit anderen Sicherheitsereignissen in Microsoft Sentinel exportiert werden.

Bereitstellung für kleine Unternehmen

Für ein kleines Unternehmen mit ein bis drei IT-Admins und Microsoft Entra ID P2-Lizenzierung (enthalten in Microsoft 365 Business Premium):

  1. Dauerhafte Global-Admin-Zuweisungen prüfen: In Entra ID → Rollen und Administratoren alle Konten identifizieren, die Global Administrator dauerhaft halten. Dies ist der Bereich mit der höchsten Priorität.
  2. Dauerhaft in berechtigt umwandeln: Die dauerhafte Zuweisung entfernen und jede Person als berechtigtes PIM-Mitglied hinzufügen. Maximale Aktivierungsdauer auf vier bis acht Stunden setzen und MFA bei jeder Aktivierung vorschreiben.
  3. Break-Glass-Konto erstellen: Ein dauerhaft zugewiesenes Global-Administrator-Konto beibehalten – ein dediziertes Notfallzugangskonto, das keiner Einzelperson zugeordnet ist – sicher offline gespeichert. Speicherort der Anmeldeinformationen dokumentieren und viertteljährlich testen.
  4. PIM auf weitere privilegierte Rollen ausweiten: Nachdem Global Admin abgedeckt ist, dasselbe Modell auf Exchange-Administrator, SharePoint-Administrator, Sicherheitsadministrator und benutzerdefinierte privilegierte Rollen anwenden.
  5. Azure PIM aktivieren: Für Azure-Abonnements PIM auf Owner- und Contributor-Rollen auf Abonnementebene anwenden.
  6. Vierteljährliche Zugriffsprüfungen einrichten: Für alle PIM-verwalteten Rollen Zugriffsprüfungen mit dem IT-Manager oder Geschäftsführer als Prüfer einrichten, vierteljährlich durchführen.

Lizenzierung

Microsoft Entra Privileged Identity Management erfordert Microsoft Entra ID P2-Lizenzierung, die in Microsoft 365 Business Premium, Microsoft 365 E5 und dem Microsoft Entra ID Governance-Add-on enthalten ist. Die P2-Lizenz muss allen Benutzern zugewiesen werden, die über PIM für privilegierte Rollen berechtigt sind, genehmigen oder prüfen.

Fazit

Microsoft Entra PIM ist die wirkungsvollste verfügbare Identitätssicherheitskontrolle im Microsoft-Ökosystem zur Eliminierung des Dauerberechtigungsrisikos. Für kleine Berliner Unternehmen, bei denen wenige Personen administrative Rechte über den gesamten Microsoft 365-Mandanten und die Azure-Umgebung halten, reduziert die Migration von dauerhaften Global-Admin-Zuweisungen zu PIM-verwaltetem Just-in-Time-Zugriff den Strahlungsradius einer Kontokompromittierung direkt. Die Bereitstellung ist ressourcenschonend, die Lizenzierung ist in Business Premium enthalten und das PIM-Prüfprotokoll erfüllt sowohl interne Governance-Anforderungen als auch externe Compliance-Anfragen.

Similar Posts