Globaler Admin-Zugang für tägliche Wartung.
Eligible via PIM, Just-in-Time-Aktivierung
Dauerhafte Global-Admin-Rechte erhöhen das Angriffspotenzial.
PIM - Privileged Identity Management
PIM stellt privilegierte Rechte zeitlich begrenzt und nachvollziehbar bereit.
Aufgabenstellung
Kritische Rollen werden eligible gehalten und nur bei Bedarf mit MFA, Begründung und ggf. Genehmigung aktiviert.
Die Lösungen sind direkt sichtbar, damit die Seite als ruhiges Nachschlagewerk funktioniert.
Kernwissen
- Lifecycle: eligible, aktivieren, aktiv, automatisch abgelaufen.
- PIM ist für menschliche privilegierte Rollen gedacht, nicht für reguläre App-Automation.
- Jede Aktivierung ist auditierbar und sollte begründet werden.
Lösungen zu Aufgabe 05
PIM-Entscheidungen
Service Principal erzeugt automatisches Reporting.
Managed Identity + minimaler Scope
PIM schützt menschliche Rollen; Apps brauchen enge App-Berechtigungen und Secret-/Key-Management.
Externer Berater braucht zwei Tage Exchange-Admin.
Befristete Eligibility, MFA und Genehmigung
Die Berechtigung läuft automatisch aus; jede Sitzung wird separat aktiviert.
Identität -> Schutzmaßnahme
| Aufgabe | Lösung |
|---|---|
| Interner IT-Admin | Mensch, PIM, JIT-Aktivierung |
| Externer Berater | Gast, befristete PIM-Eligibility |
| Backup-Tool / App | Maschine, Managed Identity, kein PIM |
| Helpdesk-Mitarbeiter | Mensch, dauerhaft möglich mit MFA und Audit |
Rollen-Sensitivität
Global Administrator
Kritisch
Nie dauerhaft für Alltagsarbeit; stark begrenzen.
Privileged Role Administrator
Kritisch
Kann Rollen vergeben und muss besonders geschützt werden.
Security Administrator / Conditional Access Administrator
Sehr hoch
PIM mit MFA, Begründung und meist Genehmigung.
Global Reader
Niedrig
Read-only, kann dauerhaft vertretbar sein.