Ein Thema mit dem sich jeder Administrator zwangsweise Beschäftigen muss, ist die Vergabe von Berechtigungen. Schnell wird eine permanente Rolle mit hohen Berechtigungen innerhalb der Infrastruktur an einen Helpdeskmitarbeiter vergeben. Für gewöhnlich benötigt dieser Mitarbeiter zur Problemlösung oder auch zur Konfiguration diese Rolle nur einige Stunden. Die Zuweisung der Rolle ist jedoch permanent und wird selten nach erledigter Arbeit wieder Rückgängig gemacht. Dies stellt ein enormes Sicherheitsrisiko dar. Genau darauf zielt Microsoft ab und stellt mit Azure AD Privileged Identity Management (PIM) eine Möglichkeit zur Verfügung eine granulare Rollenzuweisung durchzuführen. Diese Rollenzuweisung / Berechtigungsvergabe ist nach Freigabe lediglich für einen gewissen Zeitraum wie z.B. 8 Stunden aktiv und wird nach Ablauf automatisch wieder entfernt. Das Feature Azure AD Privileged Identity Management ist in der Premium P2 Edition von Azure Active Directory enthalten. Diese ist Bestandteil des Enterprise Mobility and Security (EMS) E5 Plans.

Azure AD PIM bringt folgende Funktionen mit:

  • Ermitteln der permanenten Administratoren
  • Aktivieren der bedarfsgesteuerten Administratorenzugriffe auf z.B. Office 365, Intune oder weitere
  • Abrufen von Berichten zum Administratorzugriffsverlauf
  • Aktivieren von Benachrichtigungen für Anfragen zur Verwendung einer privilegierte Rolle

Folgende Schritte werden benötigt um die AD PIM zu aktivieren:

  • Anmeldung als globaler Admin beim Azure Portal
  • Aufrufen von Azure AD Privileged Identity Management
  • Der Sicherheits-Assistent führt Sie nun durch die Erstkonfiguration
  • dem aktuellen User werden nun automatisch die Rollen „Sicherheitsadministrator“ und „Administrator für privilegierte Rollen“ innerhalb des Verzeichnisses zugewiesen

 

Innerhalb des Dashboards von Azure AD Privileged Identity Management werden unter anderem folgende wichtige Informationen aufgelistet:

  • Sicherheitswarnungen
  • Anzahl der permanenten Administratoren
  • Anzahl der Benutzer, welche eine privilegierte Rollenzuweisung besitzen

Um eine Rolle zu aktivieren, fordert ein Benutzer welcher eine privilegierte Rolle hält, eine zeitgebundene Aktivierung der Rolle an. Hierbei muss ein Grund und evtl. auch eine Ticketnummer mit angegeben werden. Der Administrator für privilegierte Rollen kann im Anschluss die Aktivierung durchführen, oder ablehnen.

Bei erfolgter Aktivierung durch den Administrator kann der Benutzer auf die benötigte Ressource bzw. das angeforderte Recht innerhalb den genehmigten Zeitraum zugreifen. Danach wird die Rolle automatisch wieder deaktiviert und kann jederzeit erneut Beantragt werden.

Dieses Feature bringt ohne großen Aufwand eine zusätzliche Sicherheitsstufe in eine Azure Active Directory Cloud Infrastruktur.

 

Redakt.: Michael Kasper