Privileged Identity Management (PIM)

Erhöhte Rechte können über PIM selbständig aktiviert werden. Dieses Verhalten entspricht gängigen Sicherheitsstandards. Standardmässig wird mit den wenigsten Berechtigungen (sogenanntes Least Privilege Principle) gearbeitet und diese werden nur erhöht, wenn die Arbeit dies erfordert.

In Azure gibt es zwei unterschiedliche Arten von PIM:

• PIM-aktivierte Entra-Gruppen

  Für eine festgelegte Dauer wird eine Person in eine Entra-Gruppe aufgenommen und verfügt durch diese Gruppenmitgliedschaft temporär über erweiterte Rechte. Eine PIM-aktivierte Gruppe kann nur von den Informatikdiensten administriert werden.

• PIM für Azure-Ressourcenrollen

  Für eine festgelegte Dauer wird einer Person eine Azure-Ressourcenrolle zugewiesen, womit erweiterte Rechte einhergehen.

Auf beiden Wegen können temporär erweiterte Rechte erworben werden.

PIM-aktivierte Entra-Gruppe aktivieren

1. Im Portal anmelden.

   

2. Zum PIM-Modul navigieren. Dazu PIM in die Suchleiste eingeben und den Sucheintrag Microsoft Entra Privileged Identity Management auswählen.

   

3. Im PIM-Modul im linken Menüband unter Aufgaben Meine Rollen auswählen.

   

4. Im linken Menüband Gruppen auswählen.

   

5. In der Liste der PIM-Gruppen diejenige Rolle, die der Subscription zugeordnet wurde, mit Aktivieren aktivieren.

   

6. Eine Dauer der Aktivierung und eine Begründung eingeben.

   

PIM für Azure-Ressourcenrollen aktivieren

1. Im Portal anmelden.

   

2. Zum PIM-Modul navigieren. Dazu PIM in die Suchleiste eingeben und den Sucheintrag Microsoft Entra Privileged Identity Management auswählen.

   

3. Im PIM-Modul im linken Menüband unter Aufgaben Meine Rollen auswählen.

   

4. Im linken Menüband Azure-Ressourcen auswählen.

   

5. Es werden alle Rollen aufgelistet, welche beantragt werden können. In der Spalte Aktion der Rolle, die aktiviert werden soll, Aktivieren auswählen.

   

6. Eine Dauer der Aktivierung und eine Begründung eingeben und Aktivieren auswählen.