Ressourcenzugriff in Azure AD sichern - Hackerangriffe abwehren Privileged Identity Management in Azure AD und Microsoft 365

Von Thomas Joos

Privileged Identity Management (PIM) schützt Ressourcen und Benutzerkonten in Azure AD und damit auch in Microsoft 365 oder Endpoint Manager. Mit der Technik lassen sich Angriffe auf privilegierte Benutzerkonten weitgehend verhindern.

Anbieter zum Thema

Tipps zum Privileged Identity Management in Azure AD und Microsoft 365 geben wir in diesem Artikel und seiner Bildergalerie.
Tipps zum Privileged Identity Management in Azure AD und Microsoft 365 geben wir in diesem Artikel und seiner Bildergalerie.
(© Rawf8 - stock.adobe.com)

Die Verwaltung der Benutzerkonten in Azure AD spielt natürlich vor allem bezüglich des Schutzes von privilegierten Konten eine Rolle. Dabei handelt es sich vor allem um den Benutzerkonten, die mehr Rechte in der Umgebung haben als normale Benutzerkonten. Es geht daher vor allem um Adminkonten oder Konten von Support-Mitarbeitern und Benutzern mit weitreichenden Berechtigungen.

Tipps zum Privileged Identity Management in Azure AD und Microsoft 365 zeigen wir in der Bildergalerie!

Bildergalerie
Bildergalerie mit 16 Bildern

Darum ist der Einsatz von Privileged Identity Management sinnvoll und das kostet der Dienst

Der Schutz von Benutzerkonten mit erhöhten Rechten ist ein wichtiger Faktor für mehr Sicherheit in Clouddiensten. Dadurch steigt auch die Sicherheit der verschiedenen Ressourcen in Microsoft 365 und anderen Clouddiensten. Es gibt in jeder Umgebung Benutzer, die Zugriff auf besonders viele Ressourcen oder komplette Anwendungen haben.

Dabei stellt sich die Frage, ob die jeweiligen Benutzerkonten diese Rechten dauerhaft benötigen, oder nur bei bestimmten Aufgaben und zu speziellen Zeiten. In den meisten Fällen sind die Rechte nur selten umfassend notwendig. Es macht also Sinn diese Rechte für die Benutzerkonten dann einzuschränken, wenn sie diese Rechte nicht benötigen. Selbst, wenn ein Adminkonto durch Angreifer erfolgreich übernommen wurden, sind in diesem Fall die Ressourcen geschützt, da das Konto seine Rechte nicht ausführen kann.

Der Schutz der Adminkonten ist die Aufgabe von Azure AD Privileged Identity Management (PIM). Dieser Dienst schützt Konten in Microsoft Azure, Microsoft 365 und auch in Diensten, wie Microsoft Endpoint Manager. Können Angreifer Konten in Infrastrukturen mit diesen Diensten übernehmen, können sie meistens weitreichende, schädliche Aktionen durchführen, bis hinein in das lokale Rechenzentrum. PIM schützt dadurch auch Clouddienste wie Exchange Online, SharePoint Online und auch alle anderen Dienste und Ressourcen, die Unternehmen in Microsoft Azure und Microsoft 365 nutzen.

Für die Verwendung von Azure AD PIM benötigen Unternehmen eine Lizenz für Azure AD Premium P2. Wie die Lizenzierung genau aussieht zeigt Microsoft auf der Seite „Lizenzanforderungen für die Verwendung von Privileged Identity Management“.

Azure AD Privileged Identity Management verwalten

Die Verwaltung von Azure AD PIM erfolgt im Azure-Portal. Dieses wird über die URL https://portal.azure.com erreicht. Über die Suche nach „Azure AD Privileged Identity Management“ im Portal öffnet sich die Verwaltungsoberfläche für den Dienst, mit dem sich Zugriffe in Microsoft Azure und Microsoft 365 sowie Microsoft Endpoint Manager steuern lassen.

Auf der Seite zur Verwaltung des Dienstes sind mit „Azure AD-Rollen“ die verschiedenen Rollen zu sehen sowie die Möglichkeit diese Rollen zu schützen. Durch Anklicken von „Rollen“ sind die einzelnen Rollen zu sehen, die Rechte in der Umgebung haben Verwaltungsaufgaben durchzuführen.

Am Beispiel von Exchange Online spielt hier zum Beispiel die Rolle „Exchange-Administrator“ eine wichtige Rolle. Benutzer mit dieser Rolle können nahezu alle Einstellungen in Exchange Online verwalten. Durch einen Klick auf die Rolle, zeigt das Azure-Portal die verschiedenen Verwaltungsmöglichkeiten für diese Rolle an.

Um Benutzerkonten in Azure AD und damit auch in Microsoft 365 und Endpoint Manager zu einer Rolle hinzuzufügen, reicht ein Klick auf „Zuweisungen hinzufügen“ bei „Rollen“ aus. Danach kann bei „Rolle auswählen“ die gewünschte Rolle ausgewählt werden. Bei „Mitglieder auswählen“ können danach die Benutzuerkonten zu der Rolle hinzugefügt werden, die in Zukunft Exchange Online oder andere Ressourcen verwalten sollen, aber durch PIM geschützt sind.

Tipps zum Privileged Identity Management in Azure AD und Microsoft 365 zeigen wir in der Bildergalerie!

Bildergalerie
Bildergalerie mit 16 Bildern

Zugriffszeiten und -Szenarien steuern

Wenn die Rolle ausgewählt und die Mitglieder hinzugefügt wurden, besteht der nächste Schritt darin festzulegen, wie der Zugriffstyp für die Rolle sein soll. Neben der Genehmigung für Verwaltungszugriffe ist es an dieser Stelle auch möglich die Zeiten zu steuern, an denen Benutzerkonten überhaupt erst Berechtigungen zur Verwaltung erhalten sollen. Über „Zuweisen“ wird aber zunächst die Mitgliedschaft gespeichert. In den Einstellungen der Rolle lassen sich jederzeit neue Mitglieder hinzufügen und auch Mitglieder wieder entfernen. Beim Hinzufügen erhalten die Mitglieder automatisch eine E-Mail zugestellt, in der sie auch Informationen zur Rolle erhalten.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Nach dem Aufrufen der Rolle sind die Mitglieder zu sehen und es ist mit „Einstellungen“ auch möglich weitere Anpassungen vorzunehmen. Im oberen Bereich der Details kann die Anpassung über „Bearbeiten“ gestartet werden. An dieser Stelle ist es zum Beispiel möglich auch das Benutzerkonto zu definieren, das den Verwaltungszugriff für die Benutzer der Rolle genehmigt.

In den Einstellungen für die Rollenverwaltung lässt sich festlegen, wie lange der Zugriff erlaubt sein soll, wenn die genehmigende Person den Zugriff gestattet hat. Außerdem kann hier auch festgelegt werden, dass für den Zugriff auf die Rechte der Rolle immer Multifaktor-Authentifizierung notwendig ist. Diese Technik sollte aber ohnehin generell für alle Benutzerkonten in Azure AD und Microsoft 365 genutzt werden.

Über die Schaltflächen im unteren Bereich lassen sich danach weitere Einstellungen vornehmen, zum Beispiel ob ein Anwender dauerhafte Rechte erhält, oder wann Rechte ablaufen sollen. In den Einstellungen ist es auch möglich E-Mails zu versenden, wenn ein Benutzer die Rolle anfordert und erhält.

So fordern Administratoren die Rollen an

Sobald die Anpassungen vorgenommen wurden, kann bei „Schnellstart“ im Azure AD Portal bei der Verwaltung von PIM mit „Ihre Rolle aktivieren“ den Zugriff über die Rolle durchführen. Hier sehen die Admins die Rollen, für die sie berechtigt sind und können den Zugriff aktivieren. Bei der Aktivierung muss der Admin auch eine Begründung eingeben. Sobald der Administrator den Zugriff beantragt, erhält der genehmigende Benutzer eine E-Mail, in welcher er den Zugriff freischalten kann. Das Freischalten kann aber auch direkt im Azure-Portal bei der Verwaltung der Azure AD-Rollen erfolgen. Sobald der Zugriff genehmigt ist, erhält der Admin eine E-Mail, dass seine Anfrage genehmigt wurde. Alle Vorgänge sind in Microsoft Azure auch in der Überwachung nachvollziehbar.

Tipps zum Privileged Identity Management in Azure AD und Microsoft 365 zeigen wir in der Bildergalerie!

Bildergalerie
Bildergalerie mit 16 Bildern

(ID:48022713)