Azure PIM: Ordnung ins Admin Chaos

Verfasst vonClick Coach - Approach the CoachVeröffentlicht inCloud Dienste, Identität, M365, Multifaktor, Netzwerk, Passwort-Sicherheit, Risiken absichernSchlagwörter:, , , , , , , , ,
time for change sign with led light

English Version

Die Sicherheits-Landschaft ist in Bewegung und altbewährte Konzepte müssen überdacht und erneuert werden. Der Trend geht weg von Zonierung und Segmentierung über Firewalls und hin zu „Zero Trust“ und „Conditional Access“, was bedeutet, dass bei jedem Zugriff immer wieder geprüft wird ob ich berechtigt bin. Dazu habe ich schon einiges geschrieben aber heute soll es speziell um Admin Konten und Rechtezuteilung gehen.

Pseudo-Sicherheit durch viele Admin Konten

Altbewährte Konzepte zielen eigentlich im Grunde immer auf die eine oder andere Art auf „Schadensbegrenzung“ hin. Auch wenn ein Hacker sich Zugang verschafft hat, soll er dann auf Grund der Abgrenzung nicht auf weitere Systeme kommen. Der Verwaltungsaufwand für nicht voll integrierte Lösungen ist aber enorm und ist meistens gegenläufig zur Benutzerfreundlichkeit. Ein Beispiel davon ist die Idee von unterschiedlichen Administratorenkonten für unterschiedliche Aufgaben (RBAC). Die theoretische Idee dahinter: Der Admin hat je nach Rolle ein anderes, massgeschneidertes Konto. Ein Konto um Mailserver zu administrieren, ein anderes um den Fileserver zu verwalten… etc. etc. Klingt doch gut? Je nachdem für welche Aufgaben ein IT Admin zuständig ist, hat er dann vielleicht zehn Konten. Alle mit MFA geschützt und komplexem Passwort…. Den halben Tag ist er mit Einloggen beschäftigt, den anderen Teil damit sich zu erinnern welches Konto für welche Aufgaben genutzt werden muss und über welches Portal er sich wo einloggen kann. Auch der Lifecycle (Neueintritt / Austritt / Funktionswechsel) ist dabei eine Herausforderung. Das Ergebnis: Es gibt viele manuelle Prozesse und es besteht die Gefahr einer Pseudo-Sicherheit.

Besser sind Systeme wie PIM. Man bestellt sich die Rechte, die man gerade braucht und definiert ein Ablaufdatum. Der Prozess muss nicht kompliziert sein, es kann auch nur geloggt werden. Jeder Prozess sollte im Verhältnis zum geschützten Asset stehen. Wenig Sinn macht es für einfache Rollen einen Approval-Prozess über mehrere Personen aufzubauen.

administration ancient antique architecture
PIM – Drei Säulen für ein Hallelujah

PIM hat drei Grundideen:

  • Least Privilege – man hat immer nur die Rechte, die man gerade braucht und nicht mehr
  • Just in Time – Der Zugriff wird gewährt und ist dann wieder weg. Keine dauerhaften Rechte
  • Monitoring – Es muss jederzeit nachvollziehbar sein wer wann welche Zugriffsrechte hat

PIM kann über das Azure Portal konfiguriert werden. Im Fokus stehen die vordefinierten M365 Adminrollen. Typische Rollen, die über PIM zugewiesen werden können:

  • Global Administrator
  • Exchange Administrator
  • Sharepoint Administrator
  • Teams Administrator

…. und viele mehr. Es können aber nur Rollen an Personen oder Gruppen zugewiesen werden, die vorher über ‚Assignments‘ definiert wurden. Als erste Sicherheits-Stufe wird also definiert wer überhaupt das Recht hat eine Rolle anzufordern. Auch das könnte weiter eingeschränkt werden. Läuft ein Projekt für einen Monat, könnte man festlegen, dass die Rechte nur während diesem Monat bestellt werden können.

Ebenfalls muss pro Rolle vorab geklärt werden:

  • Wie lange der Zugriff gilt
  • Ob eine zusätzliche MFA Abfrage nötig ist um das Recht zu erhalten
  • Ob eine Bewilliung nötig ist oder nur geloggt wird
  • Ob eine zusätziche Begründung nötig ist
Pro Rolle ist definierbar: Dauer und Bewilligunsprozes

Wie läuft nun der PIM Prozess ab? Sehen wir uns ein praktisches Beispiel an. Kurt arbeitet bei der dynamischen Import-Export AG und hat sich vorgenommen, heute mal die Teams Umgebung im M365 aufzuräumen und ein paar nicht benutzte Teams Workspaces zu löschen. Er weiss, dass er dazu Teams Administrator Rechte braucht. Kürzlich wurde in der Firma PIM für M365 eingeführt, daher ist ihm klar, dass er sich die Rechte bestellen muss. Bestellt wird auch wieder über das Azure Portal.

Kurt hat Glück und er wurde vom Azure Administrator bereits als eine der Personen definiert, die sich ‚Teams Administrator‘ Rechte bestellen dürfen. Alle Rollen, für die er berechtigt ist werden im Portal angezeigt. Also wählt er die Teams Rolle aus und klickt ‚Activate‘.

Für die Rolle ‚Teams Administrator‘ ist definiert, dass sie jeweils für 1 Woche gültig ist und danach ein neuer Antrag gestellt werden muss. Weil die Import-Export Firma von Kurt ein kleines IT Team hat wurde auf eine aktive Bewilligung verzichtet. Kurt muss sich zusätzlich per MFA ausweisen und es geht ein ein e-mail an den IT Leiter, zur Information. Der IT Leiter weiss, dass Kurt diese Woche die Teams Umgebung aufräumen will und ist daher nicht überrascht. Für grössere Umgebungen oder wenn es sich um sehr kritische Rollen handelt, kann auch ein Bewilligung verlangt werden.

Unterdessen ist es ist Jahresende bei der Import-Export AG. Auf Grund einer extrem wichtigen ISO Zertifizierung ist wieder mal ein externes Audit angesagt. Der Auditor möchte wissen wer dieses Jahr alles Teams Administrator Rechte hatte und wann. Statt mühsam in Logs zu forschen, lässt der IT Leiter per Knopfdruck einen PIM Auditbericht erstellen.

PIM benötigt eine P2 Azure Lizenz und ist damit ein ‚Premium Feature‘. Aber da es sich um einen integrierten, vollautomatischen Workload handelt, mit einem vollständigen Audit-Trail lohnt sich das allemal. PIM ist einfach aufzusetzen und kann in wenigen Tagen in Betrieb genommen werden.

Ordnung ins Chaos, dank PIM

Veröffentlicht von Click Coach - Approach the Coach

I’ve been working in IT for over 20 years, mainly within the Microsoft world. Over the years, I’ve come across the same questions and problems again and again. On my blog, I share tips and tricks on all kinds of IT topics. It’s not meant for IT pros — but they’re welcome to read along too! 😊

Hinterlasse einen Kommentar