Privilegierte Konten mit Azure AD PIM schützen

Der privilegierte Zugriff auf Anwendungen, Ressourcen und Verwaltungsportale ist ein heikles Thema in vielen Unternehmen. Die erforderlichen Konzepte zur "guten" Administration sind bekannt, erweisen sich in der Umsetzung hinsichtlich der Balance von Risikominimierung und Bedienfreundlichkeit zuweilen aber als schwierig. Wer erweiterte Berechtigungen sein Eigen nennen darf, sollte nicht mit dem zugehörigen Account ebenfalls E-Mails lesen oder im Netz surfen. Wer viele Privilegien besitzt, sollte sie nicht alle auf ein Konto konzentrieren, um im Fall einer Kompromittierung den "Blast Radius" gering zu halten. Einige Unternehmen trennen Admin-Konten auch anhand der Nutzung – Cloud-Admins müssen andere privilegierte Accounts nutzen als On-Premises-Admins.

Die Schutzkonzepte hinter diesen Szenarien sind bekannt: "Just in Time" (JIT) bedeutet, dass der eigentlich privilegierte Account nur durch aktives Freischalten der Privilegien zu einem Admin-Account wird. Das kann entweder durch den Besitzer manuell erfolgen oder lässt sich durch einen Prozess zusätzlich schützen – nämlich wenn ein Vier-Augen-Prinzip die Freigabe durch einen Kollegen erfordert und der Besitzer Multifaktor-Authentifizierung (MFA) ausführt oder den Account nur von einem bestimmten Computer, eine Admin-Workstation, also eine "Privileged Admin Workstation" (PAW) oder "Secure Admin Workstation" (SAW), nutzt. Die Freischaltung ist dann zeitgebunden, sodass der Admin die Privilegien manuell zurückgibt oder sie automatisch entfallen.

Mit "Just Enough Administration" (JEA) erhält ein Account nie alle zugewiesenen Rechte gleichzeitig, sondern muss sie getrennt voneinander freischalten. Ein gleichzeitiges Freischalten der Privilegien wäre zwar möglich, kommt aber selten vor, wenn die wichtigen Rechte systemspezifisch oder tätigkeitsspezifisch aufgeteilt sind. So kann im Fall einer Account-Kompromittierung zwar ein Satz

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.