Privileged Access Management in Azure: Ueber Just-In-Time hinaus mit PIM und PAM

Privilegierte Konten sind der Generalschluessel zu Ihrer Azure-Umgebung. Ein kompromittierter Global Administrator kann jede Sicherheitskontrolle deaktivieren, alle Daten exfiltrieren und Ihre gesamte Infrastruktur in Minuten zerstoeren. Privileged Access Management ist kein Feature zum Aktivieren — es ist eine Architektur zum Aufbauen.

Dieser Leitfaden behandelt den vollstaendigen Privileged-Access-Management-Stack auf Azure: von der Entra-PIM-Konfiguration ueber Tiered Administration bis zu Privileged Access Workstations.

Das Privileged-Access-Problem

Die meisten Azure-Umgebungen, die wir auditieren, haben dieselben Probleme:

• Zu viele permanente Admins. Wir finden regelmaessig 10-20 Benutzer mit stehendem Global-Administrator-Zugriff. Die empfohlene Anzahl ist null (abgesehen von Break-Glass-Accounts).
• Kein Aktivierungs-Workflow. Admins nutzen ihre privilegierten Konten fuer die taegliche Arbeit, was bedeutet, dass ihr erhoehter Zugriff immer aktiv und immer gefaehrdet ist.
• Keine Session-Grenzen. Einmal aktiviert, bleiben Privilegien unbegrenzt oder bis zum Session-Ablauf nach Stunden aktiv.
• Geteilte Admin-Konten. Mehrere Personen nutzen ein einzelnes Admin-Konto, was die Nachvollziehbarkeit zerstoert.
• Admin-Arbeit auf Standard-Workstations. Privilegierte Aufgaben werden vom selben Geraet ausgefuehrt, das fuer E-Mail und Web-Browsing genutzt wird.

Jedes dieser Probleme vergroessert den Blast Radius einer Kompromittierung dramatisch.

Entra PIM: Das Fundament

Stehende Zuweisungen in Eligible umwandeln

Der erste Schritt ist die Umwandlung aller permanenten (aktiven) Rollenzuweisungen in Eligible Assignments. Eligible Assignments erfordern explizite Aktivierung, bevor die Rolle nutzbar wird.

Zu konvertierende Rollen (Minimum):

• Global Administrator
• Security Administrator
• Privileged Role Administrator
• Exchange Administrator
• SharePoint Administrator
• Intune Administrator
• Azure Subscription Owner
• Azure Subscription Contributor (fuer Production Subscriptions)

Prozess:

1. Alle aktuellen permanenten Zuweisungen inventarisieren: Entra ID > Rollen und Administratoren > Nach "Dauerhaft zugewiesen" filtern
2. Fuer jeden Benutzer mit permanenter Zuweisung eine Eligible Assignment erstellen
3. Die permanente Zuweisung entfernen
4. Die Aenderung kommunizieren und Aktivierungsanleitung bereitstellen

Ausnahme: Break-Glass-Accounts (genau 2) behalten permanenten Global Administrator. Diese sind Ihr Notfallzugangsmechanismus.

PIM-Rolleneinstellungen konfigurieren

Konfigurieren Sie jede Rolle mit angemessenen Kontrollen. Empfohlene Konfiguration fuer Global Administrator:

Fuer weniger sensible Rollen (z.B. Intune Administrator) Reibung reduzieren und Nachvollziehbarkeit beibehalten:

PIM-Aktivierungs-Workflow

Wenn ein Administrator erhoehten Zugriff benoetigt:

1. Zu Entra ID > Privileged Identity Management > Meine Rollen navigieren
2. Die erforderliche Rolle auswaehlen und "Aktivieren" klicken
3. Eine Begruendung angeben, die die Aufgabe erklaert, die erhoehten Zugriff erfordert
4. Wenn Genehmigung erforderlich, wird die Anfrage an designierte Genehmiger weitergeleitet
5. Nach Genehmigung wird MFA erzwungen
6. Die Rolle wird fuer die konfigurierte Dauer aktiv
7. Nach Ablauf der Dauer wird die Rolle automatisch deaktiviert

Alle Aktivierungsereignisse werden im PIM Audit Log protokolliert und koennen an Sentinel fuer Monitoring und Alerting weitergeleitet werden.

PIM fuer Groups

PIM fuer Groups erweitert Just-in-Time-Zugriff auf Azure AD-Gruppenmitgliedschaften. Dies ist maechtig fuer Szenarien, in denen Zugriff durch Gruppenmitgliedschaft statt direkter Rollenzuweisung gewaehrt wird.

Gaengige Use Cases:

• Eine Security Group gewaehrt Contributor-Zugriff auf eine Production Subscription. Statt Benutzer zu permanenten Mitgliedern zu machen, aktivieren sie die Mitgliedschaft bei Bedarf ueber PIM.
• Eine Gruppe steuert den Zugriff auf eine sensible Anwendung. Mitglieder muessen die Gruppenmitgliedschaft aktivieren.
• Break-Glass-Gruppe: Eine Gruppe mit erhoehten Berechtigungen, die PIM-Aktivierung erfordert.

Access Reviews

Access Reviews stellen sicher, dass Eligible Assignments ueber die Zeit angemessen bleiben. Konfigurieren Sie quartalsweise Access Reviews fuer alle privilegierten Rollen:

Access Review-Einstellungen:

• Haeufigkeit: Quartalsweise
• Umfang: Alle eligible und aktiven Zuweisungen fuer jede privilegierte Rolle
• Reviewer: Rolleninhaber pruefen ihren eigenen Zugriff + Vorgesetzten-Review
• Wenn Reviewer nicht antwortet: Zugriff entfernen
• Ergebnisse automatisch anwenden: Ja (nach 7-Tage-Karenzzeit)

Kritische Erkenntnis: Die Einstellung "Wenn Reviewer nicht antwortet: Zugriff entfernen" macht Access Reviews effektiv. Ohne sie werden Reviews zu einer Checkbox-Uebung ohne Konsequenzen.

Emergency Access Accounts

Emergency-Access-(Break-Glass-)Accounts sind Ihr Sicherheitsnetz, wenn alle anderen Zugangsmechanismen versagen.

Konfiguration

Account 1:

• Cloud-only Account (keine Federation-Abhaengigkeit)
• Benutzername: Nicht beschreibend (z.B. opsaccount1@domain.onmicrosoft.com)
• Passwort: 128+ Zeichen zufaellig generierter String
• Permanente Global Administrator-Rolle
• Von ALLEN Conditional Access Policies ausgeschlossen
• Keine MFA konfiguriert (um MFA-System-Abhaengigkeit zu vermeiden)
• Passwort in einem physischen Tresor aufbewahrt, aufgeteilt auf zwei Standorte

Account 2:

• Gleiche Konfiguration wie Account 1
• Anderes Passwort, anderer physischer Aufbewahrungsort
• Idealerweise andere Authentifizierungsmethode (z.B. FIDO2 Key im Tresor)

Monitoring

Erstellen Sie eine Sentinel Analytics Rule, die bei jeder Anmeldung eines Break-Glass-Accounts ausloest:

SigninLogs
| where UserPrincipalName in ("opsaccount1@domain.onmicrosoft.com", "opsaccount2@domain.onmicrosoft.com")
| project TimeGenerated, UserPrincipalName, IPAddress, Location, AppDisplayName, Status

Setzen Sie den Alert auf sofortige Ausloesung mit hohem Schweregrad. Jede Break-Glass-Anmeldung ausserhalb eines geplanten Tests ist ein kritisches Sicherheitsereignis.

Tests

Testen Sie jeden Break-Glass-Account quartalsweise:

1. Credentials aus dem physischen Tresor holen
2. Von einem sauberen Geraet anmelden
3. Global-Administrator-Zugriff verifizieren
4. Verifizieren, dass der Sentinel Alert ausloest
5. Abmelden und Credentials wieder sichern
6. Test mit Datum, Tester und Ergebnissen dokumentieren

Privileged Access Workstations (PAW)

Eine Privileged Access Workstation ist ein gehaertetes Geraet, das ausschliesslich fuer administrative Aufgaben verwendet wird. Es reduziert die Angriffsflaeche, indem es privilegierte Sessions von taeglichen Computeraktivitaeten isoliert.

PAW-Architektur

Tier-0-PAW (fuer Identity und Security Admins):

• Dedizierte physische Hardware — keine VM auf einem geteilten Host
• Windows 11 Enterprise mit Secured-core-PC-Features
• Verwaltet durch ein dediziertes Intune Policy-Set (separat von Standard-Device-Policies)
• Kein E-Mail-Client, kein Web-Browser (ausser fuer Admin-Portale auf der Allowlist)
• Keine persoenliche Softwareinstallation
• Application Control via Windows Defender Application Control (WDAC)
• Netzwerkzugriff beschraenkt auf Azure Management Endpoints

Tier-1-PAW (fuer Server und Application Admins):

• Gleiche physische Isolationsanforderungen
• Leicht gelockerte Application Control fuer notwendige Management-Tools
• Netzwerkzugriff zu Server-Management-Endpoints

Implementierung mit Intune:

Dediziertes Device Configuration Profile erstellen:

• USB-Speichergeraete deaktivieren
• BitLocker-Verschluesselung erzwingen
• Windows Defender Credential Guard konfigurieren
• Alle Anwendungen blockieren ausser einer expliziten Allowlist
• Windows Firewall konfigurieren, nur ausgehend HTTPS zu Azure Management URLs erlauben
• Windows Store-Zugriff deaktivieren
• Microsoft Defender for Endpoint mit maximalem Schutzlevel konfigurieren

Tiered Administration Model

Das Tiered Model segmentiert Ihre Umgebung in Stufen abnehmender Sensitivitaet und verhindert Credential Exposure ueber Stufen hinweg.

Tiered-Administration-Uebersicht

Tier-Definition

Tier 0 — Identity und Security-Infrastruktur:

• Entra ID, Active Directory Domain Controllers
• ADFS/PingFederate Server
• Zertifizierungsstellen
• Security-Monitoring-Infrastruktur (Sentinel, Defender for Cloud)
• Backup-Infrastruktur

Tier 1 — Server und Anwendungen:

• Application Server
• Datenbank-Server
• File Server
• Azure Subscriptions, die Geschaeftsanwendungen hosten

Tier 2 — Endbenutzer-Geraete und Workstations:

• Benutzer-Workstations und Laptops
• Mobile Geraete

Tiered-Access-Regeln

Die Kernregel: Credentials einer hoeheren Stufe duerfen nie auf einer niedrigeren Stufe exponiert werden.

• Ein Tier-0-Admin-Konto darf sich nie auf einem Tier-1- oder Tier-2-Geraet anmelden
• Ein Tier-1-Admin-Konto darf sich nie auf einem Tier-2-Geraet anmelden
• Jeder Admin hat ein separates Konto pro administrierter Stufe

Durchsetzung mit Conditional Access:

• Tier-0-Admin-Konten: Nur Anmeldung von PAW-Geraeten erlauben (Device Filter: device.extensionAttribute1 -eq "PAW-T0")
• Tier-1-Admin-Konten: Nur von PAW oder designierten Management-Servern erlauben
• Tier-2-Admin-Konten: Von konformen Unternehmensgeraeten erlauben

Praktische Implementierung

Die meisten Organisationen uebernehmen das Tiered Model inkrementell:

1. Phase 1: Admin-Konten von Alltags-Konten trennen
2. Phase 2: PIM fuer alle privilegierten Rollen mit Just-in-Time-Aktivierung implementieren
3. Phase 3: PAW-Geraete fuer Tier-0-Administratoren deployen
4. Phase 4: Conditional-Access-Einschraenkungen pro Tier durchsetzen
5. Phase 5: PAW auf Tier-1-Administratoren ausweiten

Jede Phase liefert messbare Risikoreduktion. Sie muessen nicht alles auf einmal implementieren.

Monitoring von Privileged Access

Erstellen Sie ein Sentinel Workbook, das eine einheitliche Sicht auf privilegierten Zugriff bietet:

Zu verfolgende Metriken:

• Anzahl permanenter vs. eligible Rollenzuweisungen (Trend ueber Zeit)
• PIM-Aktivierungshaeufigkeit nach Rolle und Benutzer
• Durchschnittliche Aktivierungsdauer
• Abgelehnte Aktivierungsanfragen
• Access Review Completion Rates
• Break-Glass-Account-Anmeldeereignisse
• Admin-Anmeldungen von Non-PAW-Geraeten (sollte fuer Tier 0 null sein)

Erstellen Sie Alerts fuer:

• Jede neue permanente Rollenzuweisung (sollte Review ausloesen)
• PIM-Aktivierung ausserhalb der Geschaeftszeiten
• Admin-Anmeldung von einem nicht verwalteten Geraet
• Mehrfache fehlgeschlagene Aktivierungsversuche

Fazit

Privileged Access Management ist kein einzelnes Produktkonfiguration — es ist eine geschichtete Architektur. PIM liefert das Just-in-Time-Fundament. Access Reviews halten die Hygiene ueber die Zeit aufrecht. PAW-Geraete isolieren privilegierte Sessions. Das Tiered Model verhindert Credential-Leakage. Zusammen reduzieren sie den Blast Radius einer Kompromittierung von "gesamte Umgebung" auf "einzelne Session, begrenzter Umfang, begrenzte Dauer."

Beginnen Sie mit PIM. Wandeln Sie stehende Zuweisungen in eligible um. Dann bauen Sie nach aussen: Access Reviews, PAW fuer Tier 0, Tiered Conditional Access. Jeder Schritt reduziert Ihr Risiko messbar.

Wenn Sie Hilfe bei der Konzeption und Implementierung einer Privileged-Access-Architektur fuer Ihre Azure-Umgebung benoetigen, kontaktieren Sie uns unter mbrahim@conceptualise.de. Wir sind spezialisiert auf den Aufbau von PAM-Programmen, die sowohl sicher als auch operativ nachhaltig sind.