Privileged Identity Management für die Cloud

Sichere Admin-Konten mit Azure AD PIM

| Autor / Redakteur: Thomas Joos / Peter Schmitz

Mit Azure Active Directory Privileged Identity Management können Unternehmen ihre privilegierten Benutzerkonten auch in der Cloud optimal schützen.
Mit Azure Active Directory Privileged Identity Management können Unternehmen ihre privilegierten Benutzerkonten auch in der Cloud optimal schützen. (Bild: VIT)

Angriffe auf Netzwerke und Cloud-Dienste sind besonders dann gefährlich, wenn privilegierte Benutzerkonten, beispielsweise von Administratoren, kompromittiert werden. Diese Konten müssen also besonders geschützt werden, vor allem in der Cloud. Microsoft Azure Active Directory Privileged Identity Management ist ein Verwaltungstool, das hierbei helfen kann

Gerade bei der Nutzung von Cloud-Diensten müssen privilegierte Benutzerkonten besonders geschützt werden. Microsoft bietet dazu mit Azure Active Directory Privileged Identity Management eine Verwaltungslösung für den Umgang mit Admin-Konten an. So wie in herkömmlichen AD-Strukturen, sollten auch in Azure Active Directory wichtige Admin-Konten nur für die notwendigen Aufgaben verwendet werden und die Verwendung dieser Konten so stark wie möglich eingeschränkt werden.

Just-in-Time-Administration in Azure und Windows Server 2016

Microsoft hat in Windows Server 2016 mit Just-in-Time-Administration ein Feature eingeführt, mit dem sich privilegierte Benutzerkonten besser schützen lassen. Dadurch kann festgelegt werden, dass Administrator-Konten nur für fest definierte Aufgaben und einen bestimmten Zeitraum genutzt werden dürfen.

In Microsoft Azure Active Directory gibt es mit Privileged Identity Management (PIM) ähnliche Funktionen. Mit diesem Dienst lässt sich auch der Zugriff auf Office 365 und Microsoft Intune. Mit Privileged Identity Management kann auch überprüft werden, welche privilegierte Konten es in einem AAD gibt und welche Konten Verwaltungszugriff auf Dienste wie Office 365 und Intune haben. Außerdem kann PIM Berichte über alle Änderungen erstellen, die durch Administratoren vorgenommen wurden. Außerdem können Alarme definiert werden, die PIM auslöst, sobald ein Administrator-Konto in Microsoft Azure verwendet wird.

So funktioniert PIM

Wenn PIM für ein Azure-Abonnement aktiviert wird, können Benutzerkonten, die administrative Rechte für eine Aufgabe benötigen, für eine Zeitlang diese Rechte erhalten. Sobald der Dienst aktiviert wurde, können permanente Administratorkonten und temporäre zentral im Azure-Portal überwacht werden. Die Aktivierung erfolgt über den Menüpunkt „Weitere Dienste“ im Azure-Portal.

Sobald der Dienst im Portal aktiviert wurde, kann er entweder über das Web-Portal von Microsoft Azure verwaltet werden, oder Administratoren nutzen das Azure AD Privileged Identity Management-PowerShell-Modul.

Die Verwaltung und Einrichtung erfolgt über die verschiedenen Menüpunkte im Unterpunkt „Privileged Identity Management“. Hier können Administratoren die verschiedenen Rollen verwalten und Administrator-Anforderungen genehmigen und überwachen.

Sichere Benutzerkonten in Windows Server 2016

Just-In-Time-Administration (JIT)

Sichere Benutzerkonten in Windows Server 2016

29.08.17 - Mit Privileged Account Management (PAM), Just-In-Time-Administration (JIT) und Just Enough Administration (JEA) können Unternehmen unter Windows Server 2016 sicherstellen, dass die Administratorkonten nicht für Angriffe auf das Netzwerk verwendet werden können, und nur die notwendigen Sicherheitsberechtigungen genau für den Zeitpunkt erhalten, der notwendig ist. lesen

Administratorrollen mit PIM verwalten

Über „Meine Rollen“ ist zu sehen welche Administratoren die einzelnen Rollen nutzen und welche Administrator-Anfragen genehmigt wurden. Für die Verwaltung der Adminrollen in Microsoft Azure stehen die beiden neuen Rollen „Sicherheitsadministrator“ und „Administrator für privilegierte Rollen“ zur Verfügung.

Mitglieder der Rolle „Administrator für privilegierte Rollen“ dürfen Berechtigungen zeitweise an Benutzerkonten delegieren und Anfragen dieser Benutzer genehmigen. Über „Azure-AD-Verzeichnisrollen“ finden Administratoren das zentrale Dashboard zur Verwaltung der PIM-Umgebung. Über den Menüpunkt „Zugriff überprüfen“ kann angezeigt werden, welche Rollen aktuell temporär zugewiesen sind, und wann die Zuweisung endet.

Wichtige Rollen in PIM

Die wichtigste Rolle in Microsoft Azure, und damit die Rolle die besonders geschützt werden muss, ist „Globaler Administrator“. Diese Rolle hat Zugriff auf alle Funktionen in Microsoft Azure und damit auch den Diensten, die mit Microsoft Azure verknüpft sind, zum Beispiel Office 365 oder Microsoft Intune. Für die Verwaltung der Rollen kann auch das PowerShell-Modul von Microsoft Azure verwendet werden. Die beiden wichtigsten CMDlets in diesem Bereich sind Get-MsolUserRole und Get-AzureADDirectoryRoleMember. Hierüber lassen sich auch die Rollen anzeigen, die einzelnen Benutzern zugewiesen wurden, zum Beispiel mit:

Get-MsolUserRole -UserPrincipalName user@cexample.onmicrosoft.com

Die Verwendung der Rollen kann wiederum über „Mein Überwachungsverlauf“ angezeigt werden. Hier können Administratoren die Verwendung der zugewiesenen Rollen überwachen.

Die wichtigsten Rollen für die Zuweisung sind folgende:

  • Globaler Administrator – Übergeordneter Administrator mit umfassenden Rechten.
  • Administrator für privilegierte Rollen – Verwaltet PIM und kann Rollenzuweisungen durchführen
  • Rechnungsadministrator – Verwaltet die Lizenzen, Abonnements und Käufe in Azure
  • Kennwortadministrator – Setzt Kennwörter der Benutzer zurück
  • Dienstadministrator - Verwaltet Dienstanforderungen

Wurde Office 365 mit Azure PIM verbunden, kann auch hier mit delegierten Rechten gearbeitet werden. Dazu lassen sich auch die Rollen in Office 365 anbinden und sichern:

  • Benutzerverwaltungsadministrator – Verwaltet Benutzer in Office 365
  • Exchange-Administrator – Verwaltet Exchange Online in Office 365
  • SharePoint-Administrator – Verwaltet SharePoint Online in Office 365
  • Skype for Business-Administrator – Verwaltet Skype for Business Online in Office 365

Azure PIM einrichten

Über den Menüpunkt „Azure AD-Verzeichnisrollen“ können Administratoren alle notwendigen Einstellungen zur Verwaltung und Verwendung von PIM einrichten. Hier erfolgt auch die Anmeldung an PIM. Bei der Einrichtung von PIM hilft auch der Sicherheits-Assistent. Dieser kann über „Azure-AD-Verzeichnisrollen\Assistent“ gestartet werden.

Cloud-Apps mit PIM absichern

Mit dem Azure-Dienst „Azure AD Cloud App Discovery“ können Administratoren genau überprüfen welche Cloud-Apps das Azure Active Directory verwenden und an welchen dieser Apps sich Benutzer mit Azure Active Directory-Konten anmelden. Zusammen mit PIM lässt sich der Zugriff auf die Apps, vor allem zur Verwaltung der Umgebung absichern.

Fazit

Mit Azure Active Directory Privileged Identity Management lassen sich privilegierte Benutzerkonten in der Cloud optimal schützen. Unternehmen, die auf Azure AD setzen und auch noch andere Cloud-Dienste angebunden haben, sollten sich die Möglichkeiten von PIM ansehen. Denn die Kompromittierung eines Administrator-Kontos in Microsoft Azure kann große Probleme mit sich bringen, zum Beispiel Datendiebstahl oder der Übernahme von Workloads. Aus diesem Grund sollten Unternehmen nicht nur die Sicherheit von Konten in lokalen Netzwerken im Auge behalten, sondern auch die Sicherheit in Azure AD.

Sichere Authentifizierung mit Azure Active Directory

Video-Tipp: Azure Active Directory

Sichere Authentifizierung mit Azure Active Directory

10.10.17 - Immer mehr Unternehmen setzen auf Cloud-Dienste. Azure Active Directory ermöglicht Unternehmen den Aufbau einer zentralen, Cloudfähigen Single-Sign-on (SSO)-Infrastruktur, damit sich Anwender an Cloud-Diensten sicher authentifizieren können. Benutzer lassen sich sogar zwischen AAD und lokalen AD-Gesamtstrukturen synchronisieren. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44926735 / Benutzer und Identitäten)