# Implementierung von Privileged Identity Management (PIM) mit dem RealmJoin-Portal

### Übersicht

Dieser Leitfaden führt Sie durch die Implementierung von Microsoft Entra ID Privileged Identity Management (PIM) für Gruppen mit administrativem Zugriff auf das RealmJoin Portal. PIM bietet Just-in-Time-Administratorzugriff und reduziert Sicherheitsrisiken, indem Benutzer ihre privilegierten Rollen bei Bedarf aktivieren müssen.

Durch die Implementierung von PIM mit RealmJoin müssen Administratoren ihre Adminrechte für einen definierten Zeitraum explizit aktivieren, wodurch eine Prüfspur entsteht und die Angriffsfläche eines dauerhaften administrativen Zugriffs verringert wird.

### Voraussetzungen

* Microsoft Entra ID P2-Lizenzierung für Benutzer, die PIM-Zugriff benötigen
* Berechtigungen für Global Administrator oder Privileged Role Administrator
* Zugriff auf die RealmJoin Portal-Konfiguration
* Verständnis von Microsoft Entra ID Groups und Rollenzuweisungen

### Implementierungsschritte

#### Schritt 1: Rollen-zuweisbare Gruppen erstellen

Erstellen Sie zwei Sicherheitsgruppen in Microsoft Entra ID. Während das Attribut „role-assignable“ nicht mehr zwingend erforderlich ist, wird es für eine optimale PIM-Funktionalität weiterhin empfohlen.

**Gruppe 1: Berechtigungsgruppe**

* **Name**: `sec - PIM-Eligibility - RealmJoin Portal - Admins`
* **Zweck**: Enthält Benutzer, die für den RealmJoin-Administratorzugriff berechtigt sind
* **Typ**: Sicherheitsgruppe
* **Rollen-zuweisbar**: Empfohlen (Ja)

**Gruppe 2: Aktive Admin-Gruppe**

* **Name**: `sec - PIM-Enabled - RealmJoin Portal - Admins`
* **Zweck**: Die Zielgruppe, die die tatsächlichen RealmJoin-Administratorberechtigungen bereitstellt
* **Typ**: Sicherheitsgruppe
* **Rollen-zuweisbar**: Empfohlen (Ja)

#### Schritt 2: PIM für Gruppen konfigurieren

**PIM für Gruppen aktivieren**

1. Navigieren Sie zu **Microsoft Entra ID** > **Privileged Identity Management**
2. Wählen Sie **Gruppen** im linken Navigationsbereich
3. Wählen Sie **Gruppen erkennen** um Gruppen zu identifizieren, die für die PIM-Verwaltung geeignet sind
4. Wählen Sie Ihre neu erstellten Gruppen aus, um sie unter PIM-Kontrolle zu bringen

Detaillierte Konfigurationsschritte finden Sie in der offiziellen Microsoft-Dokumentation:

* [Übersicht über Privileged Identity Management (PIM) für Gruppen](https://learn.microsoft.com/en-us/entra/id-governance/privileged-identity-management/concept-pim-for-groups)
* [Gruppen in Privileged Identity Management aufnehmen](https://learn.microsoft.com/en-us/entra/id-governance/privileged-identity-management/groups-discover-groups)

**Gruppeneinstellungen konfigurieren**

1. Aktivierungsdauer festlegen (empfohlen: 1–8 Stunden)
2. Genehmigungsanforderungen bei Bedarf konfigurieren
3. Aktivierungsanforderungen definieren (MFA, geschäftliche Begründung)
4. Richtlinien für die maximale Aktivierungsdauer festlegen

#### Schritt 3: Berechtigung zuweisen

Konfigurieren Sie die Benutzerberechtigung für die PIM-aktivierte Gruppe:

1. Navigieren Sie in PIM zu **Gruppen** > **Zuweisungen**
2. Wählen Sie das `sec - PIM-Enabled - RealmJoin Portal - Admins` Gruppe
3. Wählen Sie **Zuweisungen hinzufügen**
4. Wählen Sie **Berechtigt** Zuweisungstyp
5. Wählen Sie Benutzer oder die Berechtigungsgruppe (`sec - PIM-Eligibility - RealmJoin Portal - Admins`)
6. Legt die Zuweisungsdauer und den Zeitplan nach Bedarf fest

Umfassende Hinweise zur Zuweisung finden Sie unter: [Berechtigung für eine Gruppe in Privileged Identity Management zuweisen](https://learn.microsoft.com/en-us/entra/id-governance/privileged-identity-management/groups-assign-member-owner)

### Konfigurationslogik

#### Benutzerverwaltungs-Workflow

1. **Benutzer zur Berechtigungsgruppe hinzufügen**: Fügen Sie Benutzerkonten zu `sec - PIM-Eligibility - RealmJoin Portal - Admins`
   * Diese Gruppe dient als Quelle für Benutzer, die Adminzugriff anfordern können
   * Benutzer in dieser Gruppe können die Mitgliedschaft in der PIM-aktivierten Gruppe aktivieren
2. **RealmJoin Portal konfigurieren**: Setzen Sie `sec - PIM-Enabled - RealmJoin Portal - Admins` als administrative Gruppe in den RealmJoin Portal-Einstellungen
   * Nur aktive Mitglieder dieser Gruppe verfügen über Administratorberechtigungen
   * Benutzer müssen ihre Mitgliedschaft über PIM aktivieren, um Zugriff zu erhalten

#### Prozess zur Zugriffsaktivierung

Wenn Benutzer RealmJoin-Administratorzugriff benötigen:

1. Benutzer navigiert zu **My Access** Portal oder PIM-Oberfläche
2. Fordert die Aktivierung der Mitgliedschaft in `sec - PIM-Enabled - RealmJoin Portal - Admins`
3. Gibt eine geschäftliche Begründung an (falls erforderlich)
4. Schließt die MFA-Abfrage ab (falls konfiguriert)
5. Erhält zeitlich begrenzten Administratorzugriff auf das RealmJoin Portal
6. Der Zugriff läuft nach Ablauf der definierten Dauer automatisch ab

### Sicherheitsvorteile

* **Just-in-Time-Zugriff**: Administratorrechte werden nur bei Bedarf gewährt
* **Prüfspur**: Alle Aktivierungsanfragen und Genehmigungen werden protokolliert
* **Reduzierte Angriffsfläche**: Weniger dauerhafte Administratorkonten
* **Compliance**: Unterstützt regulatorische Anforderungen an die Verwaltung privilegierter Zugriffe
* **Kontrollierte Dauer**: Administratorzugriff läuft automatisch ab
* **Genehmigungsworkflows**: Optionale Genehmigungsprozesse für sensible Rollen

### Best Practices

* **Regelmäßige Zugriffsüberprüfungen**: Überprüfen Sie regelmäßig Gruppenmitgliedschaften und PIM-Zuweisungen
* **Angemessene Dauer**: Legen Sie Aktivierungszeiträume basierend auf der typischen Dauer administrativer Aufgaben fest
* **MFA-Durchsetzung**: Verlangen Sie für die Aktivierung immer eine Multi-Faktor-Authentifizierung
* **Geschäftliche Begründung**: Verlangen Sie von Benutzern, Gründe für Zugriffsanfragen anzugeben
* **Überwachung**: Überprüfen Sie regelmäßig die PIM-Prüfprotokolle auf ungewöhnliche Aktivierungsmuster
* **Dokumentation**: Behalten Sie klare Verfahren für Notfallzugriffsszenarien bei

### Problembehandlung

#### Häufige Probleme

* **Benutzer können die Aktivierungsoption nicht sehen**: Überprüfen Sie die PIM-Lizenzierung und Gruppen zuweisungen
* **Aktivierung schlägt fehl**: Überprüfen Sie die MFA-Einrichtung und die Konfiguration des Genehmigungsworkflows
* **RealmJoin-Zugriff verweigert**: Stellen Sie sicher, dass die richtige Gruppe in den RealmJoin Portal-Einstellungen konfiguriert ist

#### Überprüfungsschritte

1. Testen Sie den Aktivierungsprozess mit einem Pilotbenutzer
2. Überprüfen Sie, ob das RealmJoin Portal die PIM-aktivierte Gruppe erkennt
3. Bestätigen Sie, dass die Protokollierung korrekt funktioniert
4. Testen Sie Notfallzugriffsverfahren

### Zusätzliche Ressourcen

* [Microsoft Entra ID Governance-Dokumentation](https://learn.microsoft.com/en-us/entra/id-governance/)
* [PIM-Best Practices](https://learn.microsoft.com/en-us/entra/id-governance/privileged-identity-management/pim-deployment-plan)
* [RealmJoin Portal-Dokumentation](https://docs.realmjoin.com/)