Was ist Microsoft PIM?
Microsoft Privileged Identity Management ist ein Dienst innerhalb von Microsoft Entra ID, mit dem sich Zugriffe auf privilegierte Rollen kontrollieren lassen. Statt Administratorrechte dauerhaft zu vergeben, aktivieren Benutzer ihre Rollen nur bei Bedarf und nur für einen begrenzten Zeitraum. Dieses Prinzip wird als Just-in-Time-Zugriff bezeichnet.
PIM macht Rollen also „berechtigt“, aber nicht dauerhaft „aktiv“. Ein Global Administrator verfügt nur während eines festgelegten Aktivierungsfensters über die entsprechenden Berechtigungen. Danach werden die Rechte automatisch wieder entzogen. Als Lösung für privilegiertes Identitätsmanagement deckt PIM Entra ID-Rollen, Azure-Ressourcenrollen sowie Mitgliedschaften in Microsoft 365-Gruppen ab.
So funktioniert die Lizenzierung von Microsoft PIM
Microsoft PIM ist in zwei Lizenzstufen enthalten:
- Microsoft Entra ID P2
- Microsoft 365 E5
Unternehmen mit Microsoft 365 E3, Business Premium oder Entra ID P1 müssen entsprechend upgraden. Jeder Benutzer, der für eine PIM-verwaltete Rolle berechtigt ist, benötigt eine passende Lizenz. Deshalb ist es wichtig, die Preise für Entra ID P2 und Microsoft 365 E5 genau zu verstehen, bevor PIM ausgerollt wird.
Microsoft PIM Preise: Mit welchen Kosten müssen Sie rechnen?
Relevante Listenpreise pro Benutzer und Monat, Stand 2026:
- Entra ID P2 standalone: ca. 9,00 US-Dollar / ca. 8,40 Euro – PIM enthalten
- Microsoft 365 E5: ca. 57,00 US-Dollar / ca. 57,00 Euro – PIM enthalten
- Microsoft 365 E3: ca. 36,00 US-Dollar / ca. 36,00 Euro – PIM nicht enthalten
- Entra ID P1: ca. 6,00 US-Dollar / ca. 5,60 Euro – PIM nicht enthalten
Bei Microsoft 365 E5 ist PIM bereits enthalten. Bei E3 ist der übliche Weg, Entra ID P2 zusätzlich zu lizenzieren. Bei 9 US-Dollar pro Benutzer und Monat kosten 50 berechtigte Benutzer bereits mehr als 5.400 US-Dollar pro Jahr – allein für die PIM-Nutzung.
Entra ID P2 enthält zusätzlich Funktionen wie Identity Protection und Access Reviews. Wenn diese Features ebenfalls benötigt werden, kann sich die Lizenz lohnen. Wird jedoch hauptsächlich PIM benötigt, sollte der Business Case genau geprüft werden.
Warum Microsoft PIM schnell teuer werden kann
Technisch ist Microsoft PIM eine starke Lösung. Die Herausforderung liegt vor allem im Lizenzmodell.
Jede Person, die eine privilegierte Rolle aktivieren könnte, benötigt eine P2- oder E5-Lizenz. Sobald Helpdesk-Mitarbeiter, Projektadministratoren oder Second-Level-Support-Teams gelegentlich erhöhte Rechte benötigen, wächst die Zahl der erforderlichen Lizenzen schnell.
The technology is solid. The licensing model is the challenge.
Every person who could activate a privileged role needs a P2 or E5 license. When helpdesk staff, project admins, and second-level support all need occasional elevation, the license count grows fast.
Ein Upgrade von E3 auf E5 nur wegen PIM bedeutet zusätzliche Kosten von rund 20 US-Dollar pro Benutzer und Monat. Für reinen Just-in-Time-Admin-Zugriff lässt sich das oft nur schwer rechtfertigen.
Hinzu kommt: Microsoft PIM deckt keine lokalen Active Directory-Umgebungen ab. Unternehmen mit Dateiservern, Legacy-Anwendungen oder lokalen Administratorgruppen benötigen für diese Szenarien zusätzliche Software für privilegiertes Identitätsmanagement.
Was Microsoft PIM bietet
Zu den wichtigsten Funktionen gehören:
- Berechtigte Rollenzuweisungen statt dauerhaft aktiver Rollen
- Zeitlich begrenzte Aktivierung mit automatischem Entzug der Rechte
- Genehmigungsworkflows vor der Freigabe von Zugriffen
- MFA-Pflicht bei der Aktivierung
- Begründungspflicht für eine bessere Nachvollziehbarkeit
- Audit-Logs und Benachrichtigungen
- Regelmäßige Access Reviews
PIM ist eng in Entra ID, Azure RBAC und Microsoft 365 integriert. Die Audit-Funktionen unterstützen Unternehmen außerdem bei Compliance-Anforderungen wie ISO 27001, SOC 2 oder NIS2.
Wann eine Alternative zu Microsoft PIM sinnvoller ist
Microsoft PIM ist nicht für jedes Unternehmen die beste Lösung. Alternativen sollten insbesondere dann geprüft werden, wenn einer der folgenden Punkte zutrifft:
Die Lizenzkosten stehen nicht im Verhältnis zur tatsächlichen Nutzung
Wenn für 100 oder mehr Benutzer P2-Lizenzen benötigt werden, obwohl nur wenige Personen PIM regelmäßig aktiv nutzen, wird das Modell schnell teuer.
Es gibt hybride oder lokale IT-Umgebungen
Microsoft PIM verwaltet keine lokalen AD-Rollen, lokalen Administratorgruppen oder Berechtigungen auf Dateiservern. In solchen Fällen wird eine Lösung benötigt, die Cloud- und On-Premises-Welten miteinander verbindet.
Die Anwendungsfälle sind klar begrenzt
Temporäre Helpdesk-Berechtigungen oder die Verwaltung von AD-Gruppen erfordern nicht zwangsläufig eine vollständige PIM-Implementierung.
Das IT-Team ist klein
PIM erfordert eine sorgfältige Konfiguration von Rollen, Richtlinien, Genehmigungen und Access Reviews. Eine schlankere Self-Service-Lösung kann schneller eingeführt und leichter betrieben werden.
Microsoft PIM vs. PIM-Alternative: Die wichtigsten Entscheidungskriterien
- Lizenzierung: Microsoft PIM erfordert P2 oder E5 pro berechtigtem Benutzer. Alternativen sind häufig unabhängig von der Microsoft-Lizenzstufe.
- Cloud-Rollen: PIM bietet umfassende Unterstützung für Entra ID und Azure. Der Funktionsumfang von Alternativen variiert je nach Anbieter.
- Lokales Active Directory: Microsoft PIM unterstützt keine lokalen AD-Szenarien. Viele Alternativen decken diese Anforderungen ab.
- Hybride Umgebungen: PIM fokussiert sich auf Cloud-Rollen. Alternativen können Cloud- und On-Premises-Szenarien verbinden.
- Implementierung: PIM erfordert oft mehrere Wochen für Richtlinien- und Rollendesign. Spezialisierte Alternativen lassen sich häufig innerhalb weniger Tage einführen.
- Self-Service: PIM bietet grundlegende Aktivierungsfunktionen. Alternativen verfügen oft über umfassendere Anfrage- und Genehmigungsworkflows.
- Kostenmodell: PIM wird pro Benutzer und Monat lizenziert. Alternativen setzen oft auf nutzungsbasierte Modelle oder Pauschalpreise.
Lizenzierung und Total Cost of Ownership
Microsoft 365 E5 kostet rund 57 US-Dollar pro Benutzer und Monat und enthält PIM bereits. Wenn PIM jedoch der Hauptgrund für E5 ist, ist dieses Modell teuer. Entra ID P2 als Standalone-Lizenz kostet rund 9 US-Dollar pro Benutzer und Monat, summiert sich bei vielen berechtigten Benutzern aber ebenfalls schnell.
Alternativen können privilegierten Zugriff von der Microsoft-Lizenzstufe entkoppeln und dadurch die Gesamtkosten senken.
Anforderungen an Just-in-Time-Admin-Zugriff
PIM eignet sich sehr gut für die Aktivierung von Entra ID-Rollen. Wenn jedoch lokale AD-Gruppen, lokale Administratorrechte oder anwendungsspezifische Zugriffe verwaltet werden sollen, ist eine Lösung erforderlich, die diese Szenarien nativ unterstützt.
Cloud-, Hybrid- und Active-Directory-Szenarien
Cloud-only-Unternehmen profitieren am meisten von Microsoft PIM. Hybride Umgebungen mit synchronisiertem Active Directory, Dateiservern und Legacy-Anwendungen benötigen dagegen eine Lösung, die beide Welten abdeckt.
Implementierung und operativer Aufwand
Für PIM müssen Rollen, Aktivierungsregeln, Genehmigungsketten und Access Reviews definiert werden. Bei klar eingegrenzten Anwendungsfällen wie temporärer Helpdesk-Eskalation kann eine einfachere Lösung schneller produktiv gehen und weniger laufenden Aufwand verursachen.
Anwendungsfälle, in denen eine Alternative Kosten senken kann
Helpdesk-Teams: 50 Helpdesk-Benutzer mit P2-Lizenzen kosten mehr als 5.400 US-Dollar pro Jahr. Ein Self-Service-Portal mit Genehmigungsworkflows kann dieselben Aufgaben oft günstiger abbilden.
AD-Gruppenmanagement: Temporäre Gruppenmitgliedschaften für Projektzugriffe oder Berechtigungen auf freigegebene Ordner werden von Microsoft PIM nicht für lokale AD-Gruppen abgedeckt.
Spezifische Admin-Aufgaben: Skripte ausführen, auf Server zugreifen oder monatliche Compliance-Prüfungen durchführen – solche Aufgaben lassen sich oft gezielt automatisieren, ohne eine vollständige PIM-Infrastruktur aufzubauen.
Gemischte Lizenzlandschaften: Wenn nur ein Teil des Unternehmens E5 nutzt, führen PIM-Anforderungen für E3-Benutzer häufig zu zusätzlichen Lizenzkosten. Eine Alternative ermöglicht Just-in-Time-Zugriff, ohne die Microsoft-Lizenzstufe ändern zu müssen.
Fazit
Microsoft PIM ist eine starke Lösung für privilegiertes Identitätsmanagement in reinen Cloud-Umgebungen. Für Unternehmen mit Microsoft 365 E5 ist PIM gut integriert und bereits in der Lizenz enthalten.
Für Organisationen mit E3-Lizenzen, hybriden IT-Landschaften oder begrenzten Anwendungsfällen können die Lizenzkosten jedoch unverhältnismäßig hoch sein. Häufig ist ein kombinierter Ansatz am sinnvollsten: Microsoft PIM für Cloud-Rollen und eine ergänzende Lösung für lokale und hybride Szenarien.
So lässt sich umfassender Just-in-Time-Admin-Zugriff umsetzen, ohne unnötig viele Benutzer höher zu lizenzieren.
Häufig gestellte Fragen
Microsoft PIM erfordert Entra ID P2 für rund 9 US-Dollar pro Benutzer und Monat oder Microsoft 365 E5 für rund 57 US-Dollar pro Benutzer und Monat. Jeder berechtigte Benutzer benötigt eine passende Lizenz.
Ja. Microsoft PIM ist in Microsoft 365 E5 enthalten. In E3, E1 oder Business Premium ist PIM nicht enthalten.
Ja. Microsoft PIM erfordert Entra ID P2 oder eine Lizenz, die Entra ID P2 enthält, zum Beispiel Microsoft 365 E5. Entra ID P1 enthält PIM nicht.
Microsoft PIM konzentriert sich vor allem auf Entra ID- und Azure-Rollen. Eine breiter aufgestellte Lösung kann zusätzlich lokales Active Directory, hybride Umgebungen, lokale Administratorrechte und individuelle Genehmigungsworkflows abdecken.
Eine Alternative ist sinnvoll, wenn lokale AD-Szenarien abgedeckt werden müssen, wenn die P2-Lizenzkosten unverhältnismäßig hoch sind, wenn hybride Umgebungen verwaltet werden sollen oder wenn ein schlankerer Self-Service-Ansatz bevorzugt wird.
