Tags: Azure, Active Directory, Authentifizierung
Mit Privileged Identity Management (PIM) lassen sich privilegierte Konten wie der globale Administrator im Azure AD zeitlich beschränken. Nutzer kommen dann nur noch bei tatsächlichem Bedarf in den Genuss der erhöhten Rechte, wobei sie das im Self Service erledigen können. Dieser Artikel zeigt, wie PIM für den Schutz von Azure AD-Ressourcen funktioniert.
Im lokalen Netzwerk sind Sie während des Alltagsbetriebs üblicherweise als Standardbenutzer unterwegs und verwenden nur für administrative Aufgaben Ihren jeweiligen Administrator-Account.
Dass man dafür mit zwei Benutzerkonten hantieren muss, verleitet leider oft dazu, permanent ein privilegiertes Konto zu nutzen. Wird ein solches allerdings kompromittiert, dann ist der Schaden groß, auch wenn sich der Blast-Radius in einem klassischen Perimeter-Firewall-Szenario noch in Grenzen hält.
Was ist PIM?
In der Public Cloud droht durch die Account-Kompromittierung ein größerer Schaden (Stichwort "Lateral Movement"). Zudem ist auch die Angriffsfläche in aller Regel bekannt bzw. nicht verschleiert.
An dieser Stelle kommt Azure Privileged Identity Management (PIM) ins Spiel. Mit aktiviertem PIM unterscheidet das Azure AD zwischen berechtigter ("eligible") und aktiver ("active") Rollenzuweisung.
Ist ein Benutzer zur Übernahme einer höherwertigen Azure AD-Rolle (dauerhaft oder temporär) berechtigt, dann kann er sie in einem zeitlich begrenzten Rahmen und/oder abhängig von der Genehmigung eines Dritten ("Approval") oder ggf. unter zwingender Anwendung von MFA aktivieren. Zusätzlich protokolliert PIM sämtliche Vorgänge.
Nach Ablauf der konfigurierten Zeit verliert der User die erhöhten Rechte wieder, indem ihm die Rolle entzogen wird. Außerdem ist Azure PIM im Rahmen der Azure Identity Governance mit dem Feature Zugriffsprüfungen ("Access Reviews") für Azure-AD-Rollen verknüpft.
Nutzer können so verpflichtet werden, die Notwendigkeit zur Übernahme einer privilegierten Rolle oder die Mitgliedschaft in einer Azure-AD-Gruppe beispielsweise durch einen Vorgesetzten nach einer bestimmten Zeit überprüfen zu lassen. Auch dieses Ergebnis wird protokolliert.
PIM gewährt übrigens nicht nur den privilegiertem Just-In-Time-Zugriff auf Azure AD-Rollen (der Schwerpunkt in diesem Beitrag), sondern auch auf Azure-Ressourcen.
PIM-Onboarding
Für PIM ist eine Azure AD Premium P2-Lizenz erforderlich. Nutzer eine Free-Lizenz (Default) können allerdings im Azure-AD-Blade unter Lizenzen => Alle Produkte mit einem Klick auf Ausprobieren => Kaufen eine 30-Tage-Test-Version von Azure AD Premium P2 buchen.
Dabei ist zu berücksichtigen, dass nur Benutzer mit der Rolle Administrator für privilegierte Rollen oder der Rolle Globaler Administrator Zuweisungen für andere Administratoren verwalten dürfen.
Das Anzeigen von Azure-AD-Rollen in PIM ist bereits mit den Rollen Sicherheitsadministrator, globale Leser und Benutzer mit Leseberechtigung für die Sicherheitsfunktionen möglich.
Haben Sie eine P2-Lizenz aktiviert, dann differenziert Azure AD bei jedem ausgewählten Benutzer unter Zugewiesene Rollen stets zwischen Berechtigte Zuweisungen, Aktive Zuweisungen und Abgelaufene Zuweisungen.
Zum Konfigurieren von PIM suchen Sie im Azure Portal nach Azure AD Priviliged Identity Management. Das PIM-Blade präsentiert Ihnen dann zunächst die Seite Schnellstart.
Hier können Sie mit einem Blick auf den Bereich Verwalten auch erkennen, dass Sie PIM wahlweise für Azure AD Rollen oder Azure Ressourcen aktivieren können. Wir öffnen in unserem Beispiel die Schnellstartseite für PIM für Azure-AD-Rollen.
Sie können nun jede einzelne Azure-Rolle, die Sie unter die Kontrolle von PIM bringen wollen, individuell konfigurieren. Klicken Sie dazu auf Verwalten => Rollen und suchen Sie in der Filterleiste diejenige Rolle heraus, die Sie für PIM konfigurieren möchten, zum Beispiel Globaler Administrator.
Zunächst sehen Sie die aktuell bestehenden Zuweisungen in separaten Tabs für Berechtigte Zuweisungen, Aktive Zuweisungen und Abgelaufene Zuweisungen.
Klicken Sie nun auf Einstellungen, um diese Rolle für die Verwendung von PIM zu konfigurieren. Sie erhalten dann eine ziemlich umfangreiche Übersicht aller für diese Rolle vorhandenen Einstellungen.
Achtung: Die hier getroffenen Einstellungen hängen faktisch an der Rolle selbst und gelten dann für alle später vorgenommenen Zuweisungen.
Klicken Sie nun auf Bearbeiten, um sich einen Überblick über die Optionen zu verschaffen.
Im Tab Aktivierung können Sie etwa entscheiden, wie lange eine spätere Aktivierung maximal bestehen bleiben darf (in Stunden) und ob der Vorgang der Aktivierung einen zweiten Faktor benötigt (MFA).
Ferner können Sie vom Benutzer verlangen, dass er eine Begründung für die Rollenhochstufung eingeben muss, ob für den Vorgang die Erstellung eines Tickets im Ticketsystem erforderlich sein oder ob ein dritter Benutzer die Rollenanforderungen genehmigen soll.
Im Tab Zuweisung können Sie konfigurieren, ob Sie dauerhafte Zuweisungen generell erlauben wollen und wie lange eine berechtigte (eligible) bzw. aktive Zuweisung maximal bestehen bleiben darf.
Im Tab Benachrichtigungen können Sie dann detailliert konfigurieren, bei welchen Ereignissen bzw. unter welchen Bedingungen Benachrichtigungen an Administratoren, Zugewiesene Rollen oder Genehmigende Personen ergehen sollen und wie die einzelnen E-Mail-Adressen lauten.
Rollenzuweisung aktivieren
Um nun eine Rollenzuweisung in PIM für einen anderen Benutzer vornehmen zu können, müssen Sie, wie oben erwähnt, selbst über die Rolle Administrator für privilegierte Rollen verfügen.
Klicken Sie dazu im PIM-Blade ausgehend im Abschnitt Verwalten auf Zuweisungen und dort auf Zuweisungen hinzufügen.
Alternativ können Sie die Zuweisung im Azure AD-Blade bei einem markierten Benutzer unter Zugewiesene Rollen mit Zuweisung hinzufügen vornehmen. Um von PIM zu profitieren, vergeben Sie zunächst nur Berechtigte Zuweisungen.
Nach einem Klick auf Weiter können Sie festlegen, ob die Zuweisung für Berechtigt oder Aktiv, ob sie Permanent berechtigt oder Dauerhaft zugewiesen sein soll bzw. die jeweiligen Zeiträume einschränken.
Eine neue Zuweisung wird dann im vorherigen Blade unter Berechtigte Zuweisungen angezeigt, und zwar sortiert nach Rollen und innerhalb der gleichen Rolle nach Benutzer.
Rollenzuweisung testen
Um den Erfolg zu testen, melden Sie sich als derjenige Benutzer an, für den Sie soeben eine berechtigte Rollenzuweisung in PIM konfiguriert haben. Suchen Sie dann im Azure Portal nach PIM und klicken im Abschnitt Aufgaben auf Meine Rollen.
Sie sehen nun alle Rollen, für die Sie momentan berechtigt sind. Klicken Sie nun rechts von der gewünschten Rolle (hier Globaler Administrator) auf den Link Aktivieren. Sie können nun entweder die in der Rolle vorkonfigurierte Dauer der Aktivierung (hier 8 Stunden) beibehalten oder mit Hilfe des Schiebereglers etwa auf eine Stunde heruntersetzen. Alternativ können Sie auch die Startzeit der benutzerdefinierten Aktivierung festlegen.
Gemäß unserer Vorkonfiguration müssen Sie außerdem eine Begründung für die Hochstufung angeben. Wie oben erläutert hätten Sie zusätzlich auch eine Genehmigung durch einen Dritten oder eine Bestätigung mittels MFA erzwingen können.
Der Aktivierungsprozess durchläuft selbständig die drei Stufen Ihre Rollenaktivierungsanforderung wird verarbeitet, Die aktivierte Rolle wird in ihrem Verzeichnis überprüft und Die Aktivierung wurde erfolgreich angeschlossen.
Anschließend aktualisiert sich die Browser-Sitzung automatisch und der gewählte Benutzer ist für die gewählte Zeitspanne nun Globaler Administrator. Das können Sie im Tab Aktive Zuweisungen verifizieren.
Dabei werden sämtliche PIM-Aktivierungsvorgänge sauber protokolliert. Das lässt sich im PIM-Blade für Azure-AD-Rollen unter dem Abschnitt Aktivität unter Ressourcenüberwachung und Meine Überwachung überprüfen.
Fazit
Diese kleine Einführung in Azure Priviliged Identity Management zeigt die Mächtigkeit des Features, befasst sich aber zunächst nur mit Azure-AD-Rollen. Dabei haben wir viele Spezialfunktionen wie Approvals oder MFA ausgelassen, ebenso wie Zugriffsprüfungen oder das Aktivieren von PIM für Azure Ressourcen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Thomas Drilling arbeitet ist seit fast 30 Jahren selbständig in der IT-Welt sowohl als Consultant, als auch als Redakteur, Buchautor und Journalist für viele ehemalige und aktuelle IT-Magazine sowie Blogs.
Aktuell bestätigt sich Thomas schwerpunktmäßig als IT-Trainer für Cloud-Computing in den Bereichen Microsoft Azure, Amazon Web Services und VMware.
Thomas ist zertifizierter Microsoft-Trainer für nahe das gesamte Portfolio an Microsoft Azure Trainings. Thomas ist außerdem zertifizierter Microsoft Azure Solutions Architect Expert sowie VMware Certified Professional und wurde von VMware in den Jahren 2016 bis 2022 mit dem Blogger-Status vExpert ausgezeichnet.
Thomas führt aktuell jeden Monat zwei selbstkonziperte 4-tägigen Grundlagenkurse in Cloud Computing mit Azure durch, die sich inhaltlich bewusst von den Microsft-Kursen abheben und vorzuweise als Bootcamp in eine besonderen Lokation stattfinden. Optional kann aber aber auch remote via Microsoft Teams teilgenommen werden.
Das aktuelle Trainingsprogramm findet sich unter Azure-Trainings. Weitere Informationen und Anmeldung über sein Azure-Blog.
Verwandte Beiträge
- Neue Policy für Authentifizierung ohne Passwort und erweiterte Web-Anmeldung für Windows 11
- Microsoft fasst alle Authentifizierungsmethoden des Azure AD in einer Policy zusammen
- Azure AD: Bevorzugte Methode für Multi-Faktor-Authentifizierung festlegen
- Microsoft Authenticator: Push-Nachrichten für MFA absichern
- Microsoft ergänzt zertifikatbasierte Authentifizierung am Azure AD um Support für Smartcards
Weitere Links