Was ist Azure Privileged Identity Management?
Azure Privileged Identity Management, in älterer Dokumentation auch Azure AD PIM genannt, ist eine Funktion in Microsoft Entra ID. Unternehmen können damit privilegierte Rollenzuweisungen verwalten, kontrollieren und überwachen. Statt Benutzern dauerhaft Administratorrechte zu geben, erhalten sie berechtigte Zuweisungen. Die eigentliche Rolle wird nur bei Bedarf aktiviert – mit zeitlicher Begrenzung, MFA und optionalem Genehmigungsworkflow.
PIM unterstützt Entra ID-Verzeichnisrollen, Azure-Ressourcenrollen über RBAC sowie PIM for Groups. Damit ist PIM das zentrale Microsoft-Werkzeug, um Just-in-Time-Zugriff in Azure- und Cloud-Umgebungen umzusetzen.
Warum Just-in-Time-Zugriff für Azure und Entra ID so wichtig ist
Dauerhaft aktive Administratorrollen sind ein erhebliches Sicherheitsrisiko. Wird ein Konto kompromittiert, das dauerhaft Global-Admin-Rechte besitzt, erhält ein Angreifer sofort weitreichende Kontrolle über den gesamten Tenant.
Just-in-Time-Zugriff in Azure reduziert dieses Risiko deutlich. Privilegierte Rollen sind nur dann aktiv, wenn sie konkret benötigt werden. Die Aktivierungsdauer ist begrenzt, jede Aktivierung wird protokolliert und zusätzliche Kontrollen wie MFA oder Genehmigungen können verpflichtend gemacht werden.
So wird die Angriffsfläche reduziert und gleichzeitig die Einhaltung von Compliance-Anforderungen wie NIS2 oder ISO 27001 unterstützt.
Top 10 Azure PIM-Rollen, die immer geschützt werden sollten
Die folgenden Microsoft Entra-Administratorrollen sind besonders kritisch. Sie sollten nicht dauerhaft aktiv vergeben, sondern konsequent über PIM als berechtigte Rollen verwaltet werden.
1. Global Administrator
Der Global Administrator hat vollständige Kontrolle über den gesamten Entra ID-Tenant und alle Microsoft 365-Dienste. Diese Rolle kann nahezu jede Einstellung ändern, Passwörter zurücksetzen und andere Administratorrollen verwalten.
Sie ist die Rolle mit den höchsten Berechtigungen und damit ein primäres Ziel für Angreifer. Es sollte so wenige dauerhaft aktive Global Admins wie möglich geben – idealerweise keine.
2. Privileged Role Administrator
Der Privileged Role Administrator kann Rollenzuweisungen in PIM verwalten. Dazu gehört auch, Global-Admin-Berechtigungen zu vergeben oder zu ändern.
Wird diese Rolle kompromittiert, kann ein Angreifer seine eigenen Rechte ausweiten und sich weitere Rollen zuweisen. Deshalb sollte sie besonders streng geschützt werden – mit MFA, Genehmigungspflicht und kurzer Aktivierungsdauer.
3. Security Administrator
Der Security Administrator hat Lese- und Schreibzugriff auf sicherheitsrelevante Einstellungen, unter anderem in Entra ID Protection, Defender for Identity, Defender for Cloud Apps und im Compliance Center.
Diese Rolle kann Sicherheitsrichtlinien ändern, Warnmeldungen verwalten und auf sensible Sicherheitsdaten im gesamten Tenant zugreifen. Sie sollte daher nur bei Bedarf und zeitlich begrenzt aktiviert werden.
4. Conditional Access Administrator
Der Conditional Access Administrator steuert Richtlinien, die festlegen, wann und unter welchen Bedingungen Benutzer auf Ressourcen zugreifen dürfen.
Ein kompromittiertes Konto mit dieser Rolle könnte MFA-Anforderungen deaktivieren, standortbasierte Richtlinien umgehen oder Ausnahmen erstellen, die die gesamte Sicherheitsarchitektur schwächen. Diese Rolle gehört deshalb zwingend in PIM.
5. Authentication Administrator
Der Authentication Administrator kann Authentifizierungsmethoden für normale Benutzer zurücksetzen, darunter MFA-Methoden, Passwörter und FIDO2-Schlüssel.
Damit kann diese Rolle faktisch Benutzerkonten übernehmen, indem Zugangsdaten zurückgesetzt oder neu konfiguriert werden. Für Unternehmen, die MFA als zentrale Schutzmaßnahme einsetzen, ist diese Rolle besonders sensibel.
6. Privileged Authentication Administrator
Der Privileged Authentication Administrator besitzt ähnliche Rechte wie der Authentication Administrator, kann diese aber auf alle Benutzer anwenden – einschließlich anderer Administratoren.
Diese Rolle kann beispielsweise das Passwort oder die MFA-Methoden eines Global Administrators zurücksetzen. Damit gehört sie zu den gefährlichsten Rollen, wenn sie dauerhaft aktiv bleibt.
7. Application Administrator
Der Application Administrator kann Anwendungsregistrierungen und Enterprise Applications erstellen, ändern und löschen. Außerdem hat diese Rolle Zugriff auf Anwendungsanmeldeinformationen wie Secrets und Zertifikate.
Ein kompromittierter Application Administrator könnte versteckte App-Registrierungen mit weitreichenden API-Berechtigungen anlegen und so dauerhafte Hintertüren schaffen.
8. Cloud Application Administrator
Der Cloud Application Administrator ist dem Application Administrator sehr ähnlich, darf jedoch Application Proxy nicht verwalten.
Trotzdem hat diese Rolle umfassende Kontrolle über App-Registrierungen, Enterprise Applications und deren Anmeldeinformationen. Das Risiko durch offengelegte oder missbrauchte Credentials ist daher ebenfalls hoch.
9. Exchange Administrator
Der Exchange Administrator hat umfassenden administrativen Zugriff auf Exchange Online. Dazu gehören Postfächer, Transportregeln, Mailflow und Compliance-Funktionen.
Diese Rolle kann unter anderem über eDiscovery auf E-Mails zugreifen, Mailrouting verändern oder Weiterleitungsregeln erstellen. Gerade in regulierten Branchen ist sie hochsensibel und sollte strikt zeitlich begrenzt vergeben werden.
10. SharePoint Administrator
Der SharePoint Administrator verwaltet alle SharePoint Online-Websites, OneDrive-Einstellungen und Freigaberichtlinien.
Da diese Rolle Zugriff auf SharePoint-Websites und deren Inhalte ermöglichen kann, ist sie besonders kritisch für Unternehmen, die vertrauliche Dokumente in SharePoint oder OneDrive speichern.
Bonus: 11. Global Reader
Auch reiner Lesezugriff kann in bestimmten Szenarien ausreichen, um sensible Informationen zu sammeln. Deshalb sollte auch die Rolle Global Reader bewusst verwaltet und im PIM-Katalog bereitgestellt werden.
So können Administratoren und Auditoren bei Bedarf lesenden Zugriff erhalten, ohne dauerhaft weitergehende Berechtigungen zu besitzen.
Wie die Rollenaktivierung in Azure PIM funktioniert
Ein typischer Ablauf für eine Rollenaktivierung in Azure PIM sieht so aus:
- Der Administrator sieht die Rolle im PIM-Portal als „eligible“.
- Er klickt auf „Activate“ und wählt eine Dauer aus, zum Beispiel eine Stunde.
- Er gibt eine Begründung an, warum der Zugriff benötigt wird.
- Falls konfiguriert, wird eine Genehmigungsanfrage an einen definierten Approver gesendet.
- Vor der Aktivierung wird MFA erzwungen.
- Die Rolle wird für die festgelegte Dauer aktiv.
- Nach Ablauf der Zeit wird die Rolle automatisch wieder deaktiviert.
- Der gesamte Vorgang wird im Audit-Protokoll dokumentiert.
Dadurch sind Azure PIM-Rollen nur dann aktiv, wenn sie wirklich gebraucht werden – und jede Aktivierung bleibt vollständig nachvollziehbar.
Best Practices für Azure PIM-Rollen
- Dauerhaft aktive Zuweisungen für kritische Rollen vermeiden: Kritische Rollen sollten grundsätzlich nur als berechtigte Zuweisungen vergeben werden.
- PIM auch für Azure-Ressourcenrollen nutzen: Neben Entra ID-Rollen sollten auch Owner- und Contributor-Zuweisungen für wichtige Subscriptions und Ressourcengruppen geschützt werden.
- MFA für jede Aktivierung verlangen: Jede Rollenaktivierung sollte durch Multi-Faktor-Authentifizierung abgesichert sein.
- Genehmigungsworkflows für kritische Rollen aktivieren: Mindestens Global Administrator und Privileged Role Administrator sollten eine Genehmigung erfordern.
- Aktivierungsdauer so kurz wie möglich halten: Für die meisten Administrationsaufgaben reichen ein bis vier Stunden aus.
- Begründung für jede Aktivierung verlangen: So entsteht ein nachvollziehbarer Audit Trail.
- Regelmäßige Access Reviews durchführen: Mindestens quartalsweise sollte geprüft werden, ob berechtigte Rollenzuweisungen noch angemessen sind.
- Aktivierungsmuster überwachen: Ungewöhnliche Uhrzeiten oder auffällige Häufigkeiten können auf kompromittierte Konten hinweisen.
- PIM-Warnmeldungen nutzen: Benachrichtigungen für kritische Rollenaktivierungen helfen Sicherheitsteams, schnell zu reagieren.
- Anzahl der Global Admins begrenzen: Microsoft empfiehlt, weniger als fünf dauerhaft aktive Global Administratoren zu haben. Mit PIM sollte das Ziel sein: keine dauerhaft aktiven Global Admins, sondern ausschließlich berechtigte Zuweisungen.
Fazit: Kritische Azure PIM-Rollen mit Just-in-Time-Zugriff schützen
Die genannten Rollen gehören zu den riskantesten Administratorrollen in Microsoft Entra ID. Werden sie dauerhaft aktiv vergeben, entsteht unnötige Angriffsfläche.
Azure Privileged Identity Management bietet die notwendigen Funktionen, um diese Rollen als berechtigt zu verwalten, zeitlich begrenzte Aktivierungen durchzusetzen und eine vollständige Nachvollziehbarkeit sicherzustellen.
Für reine Cloud-Umgebungen ist PIM die naheliegende Wahl. Unternehmen mit hybriden IT-Landschaften oder lokalem Active Directory sollten zusätzlich prüfen, ob ergänzende Lösungen sinnvoll sind, um Just-in-Time-Zugriff auch dort abzubilden, wo Microsoft PIM nativ nicht greift.
Häufig gestellte Fragen
Azure PIM-Rollen sind Microsoft Entra ID-Verzeichnisrollen und Azure-Ressourcenrollen über RBAC, die über Privileged Identity Management verwaltet werden können. Sie lassen sich als „eligible“ zuweisen, sodass Benutzer sie bei Bedarf aktivieren, statt dauerhaft Zugriff zu haben.
Microsoft stuft Rollen als privilegiert ein, wenn sie weitreichende Kontrolle über den Tenant ermöglichen. Besonders kritisch sind unter anderem Global Administrator, Privileged Role Administrator, Security Administrator und Conditional Access Administrator.
Just-in-Time-Zugriff bedeutet, dass Administratorrollen nur bei Bedarf und nur für eine begrenzte Zeit aktiviert werden. Die Aktivierung erfolgt mit Begründung und optionaler Genehmigung. PIM automatisiert diesen Prozess und entzieht die Rechte nach Ablauf des Aktivierungsfensters automatisch.
Zu den wichtigsten Best Practices gehören: dauerhaft aktive Rollenzuweisungen vermeiden, MFA und Begründungen für jede Aktivierung verlangen, Genehmigungsworkflows für kritische Rollen einrichten, regelmäßige Access Reviews durchführen und die Anzahl der Global Administratoren stark begrenzen.
Ein Benutzer mit einer berechtigten Rolle klickt auf „Activate“, gibt eine Begründung an, bestätigt die Aktivierung per MFA und erhält bei Bedarf eine Genehmigung. Die Rolle wird anschließend für die konfigurierte Dauer aktiv und danach automatisch wieder entzogen.
