Privilegierte Konten mit Azure PIM schützen


    Tags: , ,

    Azure Privileged Identity Management (PIM)Mit Privileged Identity Management (PIM) lassen sich privilegierte Konten wie der globale Admini­strator im Azure AD zeitlich beschränken. Nutzer kommen dann nur noch bei tatsächlichem Bedarf in den Genuss der erhöhten Rechte, wobei sie das im Self Service erledigen können. Dieser Artikel zeigt, wie PIM für den Schutz von Azure AD-Ressourcen funktioniert.

    Im lokalen Netzwerk sind Sie während des Alltagsbetriebs üblicherweise als Standard­benutzer unterwegs und verwenden nur für administrative Aufgaben Ihren jeweiligen Administrator-Account.

    Dass man dafür mit zwei Benutzerkonten hantieren muss, verleitet leider oft dazu, permanent ein privi­legiertes Konto zu nutzen. Wird ein solches allerdings kompromittiert, dann ist der Schaden groß, auch wenn sich der Blast-Radius in einem klassischen Perimeter-Firewall-Szenario noch in Grenzen hält.

    Was ist PIM?

    In der Public Cloud droht durch die Account-Kompromittierung ein größerer Schaden (Stichwort "Lateral Movement"). Zudem ist auch die Angriffsfläche in aller Regel bekannt bzw. nicht verschleiert.

    An dieser Stelle kommt Azure Privileged Identity Management (PIM) ins Spiel. Mit aktiviertem PIM unterscheidet das Azure AD zwischen berechtigter ("eligible") und aktiver ("active") Rollenzuweisung.

    Bestehende Rollenzuweisungen in Azure PIM

    Ist ein Benutzer zur Übernahme einer höherwertigen Azure AD-Rolle (dauerhaft oder temporär) berechtigt, dann kann er sie in einem zeitlich begrenzten Rahmen und/oder abhängig von der Genehmigung eines Dritten ("Approval") oder ggf. unter zwingender Anwendung von MFA aktivieren. Zusätzlich protokolliert PIM sämtliche Vorgänge.

    Nach Ablauf der konfigurierten Zeit verliert der User die erhöhten Rechte wieder, indem ihm die Rolle entzogen wird. Außerdem ist Azure PIM im Rahmen der Azure Identity Governance mit dem Feature Zugriffs­prüfungen ("Access Reviews") für Azure-AD-Rollen verknüpft.

    Nutzer können so verpflichtet werden, die Notwendigkeit zur Übernahme einer privilegierten Rolle oder die Mitgliedschaft in einer Azure-AD-Gruppe beispielsweise durch einen Vorgesetzten nach einer bestimmten Zeit überprüfen zu lassen. Auch dieses Ergebnis wird protokolliert.

    PIM gewährt übrigens nicht nur den privilegiertem Just-In-Time-Zugriff auf Azure AD-Rollen (der Schwerpunkt in diesem Beitrag), sondern auch auf Azure-Ressourcen.

    PIM-Onboarding

    Für PIM ist eine Azure AD Premium P2-Lizenz erforderlich. Nutzer eine Free-Lizenz (Default) können allerdings im Azure-AD-Blade unter Lizenzen => Alle Produkte mit einem Klick auf Ausprobieren => Kaufen eine 30-Tage-Test-Version von Azure AD Premium P2 buchen.

    Dabei ist zu berücksichtigen, dass nur Benutzer mit der Rolle Administrator für privilegierte Rollen oder der Rolle Globaler Administrator Zuweisungen für andere Administratoren verwalten dürfen.

    Das Anzeigen von Azure-AD-Rollen in PIM ist bereits mit den Rollen Sicherheits­administrator, globale Leser und Benutzer mit Leseberechtigung für die Sicherheits­funktionen möglich.

    Haben Sie eine P2-Lizenz aktiviert, dann differenziert Azure AD bei jedem ausgewählten Benutzer unter Zugewiesene Rollen stets zwischen Berechtigte Zuweisungen, Aktive Zuweisungen und Abgelaufene Zuweisungen.

    Azure PIM differenziert zwischen verschiedenen Zuweisungsarten

    Zum Konfigurieren von PIM suchen Sie im Azure Portal nach Azure AD Priviliged Identity Management. Das PIM-Blade präsentiert Ihnen dann zunächst die Seite Schnellstart.

    Schnellstart zur Konfiguration von Azure PIM

    Hier können Sie mit einem Blick auf den Bereich Verwalten auch erkennen, dass Sie PIM wahlweise für Azure AD Rollen oder Azure Ressourcen aktivieren können. Wir öffnen in unserem Beispiel die Schnell­startseite für PIM für Azure-AD-Rollen.

    Der PIM-Schnellstart für Azure-AD-Rollen

    Sie können nun jede einzelne Azure-Rolle, die Sie unter die Kontrolle von PIM bringen wollen, individuell konfigurieren. Klicken Sie dazu auf Verwalten => Rollen und suchen Sie in der Filterleiste diejenige Rolle heraus, die Sie für PIM konfigurieren möchten, zum Beispiel Globaler Administrator.

    Jede Azure-AD-Rolle kann für PIM konfiguriert werden.

    Zunächst sehen Sie die aktuell bestehenden Zuweisungen in separaten Tabs für Berechtigte Zuweisungen, Aktive Zuweisungen und Abgelaufene Zuweisungen.

    Bestehende aktive Zuweisungen in PIM anzeigen

    Klicken Sie nun auf Einstellungen, um diese Rolle für die Verwendung von PIM zu konfigurieren. Sie erhalten dann eine ziemlich umfangreiche Übersicht aller für diese Rolle vorhandenen Einstellungen.

    Die für die ausgewählte Rolle konfigurierten PIM-Einstellungen

    Achtung: Die hier getroffenen Einstellungen hängen faktisch an der Rolle selbst und gelten dann für alle später vorgenommenen Zuweisungen.

    Klicken Sie nun auf Bearbeiten, um sich einen Überblick über die Optionen zu verschaffen.

    Im Tab Aktivierung können Sie etwa entscheiden, wie lange eine spätere Aktivierung maximal bestehen bleiben darf (in Stunden) und ob der Vorgang der Aktivierung einen zweiten Faktor benötigt (MFA).

    Ferner können Sie vom Benutzer verlangen, dass er eine Begründung für die Rollen­hochstufung eingeben muss, ob für den Vorgang die Erstellung eines Tickets im Ticketsystem erforderlich sein oder ob ein dritter Benutzer die Rollenanforderungen genehmigen soll.

    Aktivierungseinstellungen bearbeiten

    Im Tab Zuweisung können Sie konfigurieren, ob Sie dauerhafte Zuweisungen generell erlauben wollen und wie lange eine berechtigte (eligible) bzw. aktive Zuweisung maximal bestehen bleiben darf.

    Zuweisungseinstellungen in Azure PIM

    Im Tab Benachrichtigungen können Sie dann detailliert konfigurieren, bei welchen Ereignissen bzw. unter welchen Bedingungen Benachrichtigungen an Administratoren, Zugewiesene Rollen oder Genehmigende Personen ergehen sollen und wie die einzelnen E-Mail-Adressen lauten.

    Benachrichtigungseinstellungen in Azure PIM bearbeiten

    Rollenzuweisung aktivieren

    Um nun eine Rollenzuweisung in PIM für einen anderen Benutzer vornehmen zu können, müssen Sie, wie oben erwähnt, selbst über die Rolle Administrator für privilegierte Rollen verfügen.

    Klicken Sie dazu im PIM-Blade ausgehend im Abschnitt Verwalten auf Zuweisungen und dort auf Zuweisungen hinzufügen.

    Rollenzuweisungen lassen sich direkt im PIM-Blade vornehmen.

    Alternativ können Sie die Zuweisung im Azure AD-Blade bei einem markierten Benutzer unter Zugewiesene Rollen mit Zuweisung hinzufügen vornehmen. Um von PIM zu profitieren, vergeben Sie zunächst nur Berechtigte Zuweisungen.

    Eine Rollenzuweisung unter PIM-Kontrolle im Azure AD

    Nach einem Klick auf Weiter können Sie festlegen, ob die Zuweisung für Berechtigt oder Aktiv, ob sie Permanent berechtigt oder Dauerhaft zugewiesen sein soll bzw. die jeweiligen Zeiträume einschränken.

    Neue Zuweisung konfigurieren

    Eine neue Zuweisung wird dann im vorherigen Blade unter Berechtigte Zuweisungen angezeigt, und zwar sortiert nach Rollen und innerhalb der gleichen Rolle nach Benutzer.

    Alle berechtigten Zuweisungen in Azure PIM

    Rollenzuweisung testen

    Um den Erfolg zu testen, melden Sie sich als derjenige Benutzer an, für den Sie soeben eine berechtigte Rollenzuweisung in PIM konfiguriert haben. Suchen Sie dann im Azure Portal nach PIM und klicken im Abschnitt Aufgaben auf Meine Rollen.

    Ein berechtigter Nutzer kann sich in PIM selbst hochstufen.

    Sie sehen nun alle Rollen, für die Sie momentan berechtigt sind. Klicken Sie nun rechts von der gewünschten Rolle (hier Globaler Administrator) auf den Link Aktivieren. Sie können nun entweder die in der Rolle vorkonfigurierte Dauer der Aktivierung (hier 8 Stunden) beibehalten oder mit Hilfe des Schiebereglers etwa auf eine Stunde heruntersetzen. Alternativ können Sie auch die Startzeit der benutzerdefinierten Aktivierung festlegen.

    Gemäß unserer Vorkonfiguration müssen Sie außerdem eine Begründung für die Hochstufung angeben. Wie oben erläutert hätten Sie zusätzlich auch eine Genehmigung durch einen Dritten oder eine Bestätigung mittels MFA erzwingen können.

    Das Aktivieren einer Rolle im Self Service

    Der Aktivierungsprozess durchläuft selbständig die drei Stufen Ihre Rollenaktivierungsanforderung wird verarbeitet, Die aktivierte Rolle wird in ihrem Verzeichnis überprüft und Die Aktivierung wurde erfolgreich angeschlossen.

    Der Aktivierungsprozess im Verlauf

    Anschließend aktualisiert sich die Browser-Sitzung automatisch und der gewählte Benutzer ist für die gewählte Zeitspanne nun Globaler Administrator. Das können Sie im Tab Aktive Zuweisungen verifizieren.

    Der Benutzer ist nun im Besitz einer aktiven Zuweisung.

    Dabei werden sämtliche PIM-Aktivierungsvorgänge sauber protokolliert. Das lässt sich im PIM-Blade für Azure-AD-Rollen unter dem Abschnitt Aktivität unter Ressourcenüberwachung und Meine Überwachung überprüfen.

    Die Protokollierung in PIM gehört zu den wichtigsten Governance-Funktionen.

    Fazit

    Diese kleine Einführung in Azure Priviliged Identity Management zeigt die Mächtigkeit des Features, befasst sich aber zunächst nur mit Azure-AD-Rollen. Dabei haben wir viele Spezial­funktionen wie Approvals oder MFA ausgelassen, ebenso wie Zugriffs­prüfungen oder das Aktivieren von PIM für Azure Ressourcen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Thomas Drilling

    Thomas Drilling arbeitet ist seit fast 30 Jahren selb­ständig in der IT-Welt sowohl als Consultant, als auch als Redakteur, Buchautor und Journalist für viele ehe­malige und aktuelle IT-Magazine sowie Blogs.

    Aktuell bestätigt sich Thomas schwerpunktmäßig als IT-Trainer für Cloud-Computing in den Bereichen Microsoft Azure, Amazon Web Services und VMware.

    Thomas ist zertifizierter Microsoft-Trainer für nahe das gesamte Portfolio an Microsoft Azure Trainings. Thomas ist außerdem zerti­fi­zierter Microsoft Azure Solutions Architect Expert sowie VMware Certified Professional und wurde von VMware in den Jahren 2016 bis 2022 mit dem Blogger-Status vExpert ausge­zeichnet.

    Thomas führt aktuell jeden Monat zwei selbstkonziperte 4-tägigen Grund­lagenkurse in Cloud Computing mit Azure durch, die sich inhaltlich bewusst von den Microsft-Kursen abheben und vorzuweise als Bootcamp in eine besonderen Lokation stattfinden. Optional kann aber aber auch remote via Microsoft Teams teilgenommen werden.

    Das aktuelle Trainingsprogramm findet sich unter Azure-Trainings. Weitere Infor­mationen und Anmel­dung über sein Azure-Blog.

    Verwandte Beiträge

    Weitere Links