Implementierung von Privileged Identity Management (PIM) mit dem RealmJoin-Portal
Übersicht
Dieser Leitfaden führt Sie durch die Implementierung von Microsoft Entra ID Privileged Identity Management (PIM) für Gruppen mit administrativem Zugriff auf das RealmJoin-Portal. PIM bietet Just-in-Time-Administratorzugriff und reduziert Sicherheitsrisiken, indem Benutzer ihre privilegierten Rollen bei Bedarf aktivieren müssen.
Durch die Implementierung von PIM mit RealmJoin müssen Administratoren ihre Administratorrechte für einen definierten Zeitraum explizit aktivieren, was eine Prüfspur erzeugt und die Angriffsfläche persistenter Administratorzugänge verringert.
Voraussetzungen
Microsoft Entra ID P2-Lizenzierung für Benutzer, die PIM-Zugriff benötigen
Berechtigungen als Globaler Administrator oder Privileged Role Administrator
Zugriff auf die RealmJoin-Portal-Konfiguration
Verständnis von Microsoft Entra ID-Gruppen und Rollenzuweisungen
Implementierungsschritte
Schritt 1: Erstellen von rollenzuweisbaren Gruppen
Erstellen Sie zwei Sicherheitsgruppen in Microsoft Entra ID. Obwohl das Attribut „role-assignable“ nicht mehr eine strikte Voraussetzung ist, bleibt es für optimale PIM-Funktionalität empfohlen.
Gruppe 1: Berechtigungsgruppe
Name:
sec - PIM-Eligibility - RealmJoin Portal - AdminsZweck: Enthält Benutzer, die für RealmJoin-Adminzugriff berechtigt sind
Typ: Sicherheitsgruppe
Rollenzuweisbar: Empfohlen (Ja)
Gruppe 2: Aktive Admin-Gruppe
Name:
sec - PIM-Enabled - RealmJoin Portal - AdminsZweck: Die Zielgruppe, die tatsächliche RealmJoin-Adminberechtigungen bereitstellt
Typ: Sicherheitsgruppe
Rollenzuweisbar: Empfohlen (Ja)
Schritt 2: PIM für Gruppen konfigurieren
PIM für Gruppen aktivieren
Navigieren Sie zu Microsoft Entra ID > Privileged Identity Management
Wählen Sie Gruppen aus dem linken Navigationsbereich
Wählen Sie Gruppen entdecken um Gruppen zu identifizieren, die für die PIM-Verwaltung in Frage kommen
Wählen Sie Ihre neu erstellten Gruppen aus, um sie der PIM-Verwaltung zu unterstellen
Für detaillierte Konfigurationsschritte beziehen Sie sich auf die offizielle Microsoft-Dokumentation:
Gruppeneinstellungen konfigurieren
Aktivierungsdauer festlegen (empfohlen: 1–8 Stunden)
Genehmigungsanforderungen konfigurieren, falls erforderlich
Aktivierungsanforderungen definieren (MFA, geschäftliche Begründung)
Richtlinien für maximale Aktivierungsdauer festlegen
Schritt 3: Berechtigung zuweisen
Konfigurieren Sie die Benutzerberechtigung für die PIM-aktivierte Gruppe:
Navigieren Sie in PIM zu Gruppen > Zuweisungen
basierend auf Ihrem bevorzugten Erneuerungsintervall und klicken Sie
sec - PIM-Enabled - RealmJoin Portal - AdminsGruppeWählen Sie Zuweisungen hinzufügen
Wählen Sie Berechtigt Zuweisungstyp
Wählen Sie Benutzer oder die Berechtigungsgruppe (
sec - PIM-Eligibility - RealmJoin Portal - Admins)Legen Sie die Dauer und den Zeitplan der Zuweisung nach Bedarf fest
Für umfassende Anweisungen zur Zuweisung siehe: Berechtigung für eine Gruppe in Privileged Identity Management zuweisen
Konfigurationslogik
Benutzerverwaltungs-Workflow
Benutzer zur Berechtigungsgruppe hinzufügen: Fügen Sie Benutzerkonten hinzu zu
sec - PIM-Eligibility - RealmJoin Portal - AdminsDiese Gruppe dient als Quelle von Benutzern, die Adminzugriff anfordern können
Benutzer in dieser Gruppe können die Mitgliedschaft in der PIM-aktivierten Gruppe aktivieren
RealmJoin-Portal konfigurieren: Legen Sie fest
sec - PIM-Enabled - RealmJoin Portal - Adminsals die administrative Gruppe in den RealmJoin-Portal-EinstellungenNur aktive Mitglieder dieser Gruppe haben Administratorrechte
Benutzer müssen ihre Mitgliedschaft über PIM aktivieren, um Zugriff zu erhalten
Zugriffsaktivierungsprozess
Wenn Benutzer RealmJoin-Administratorzugriff benötigen:
Der Benutzer navigiert zu Mein Zugriff Portal- oder PIM-Oberfläche
Fordert die Aktivierung der Mitgliedschaft in
sec - PIM-Enabled - RealmJoin Portal - AdminsGibt eine geschäftliche Begründung an (falls erforderlich)
Schließt die MFA-Herausforderung ab (falls konfiguriert)
Erhält zeitlich begrenzten Administratorzugang zum RealmJoin-Portal
Der Zugriff läuft nach der definierten Dauer automatisch ab
Sicherheitsvorteile
Just-in-Time-Zugriff: Administratorrechte werden nur bei Bedarf gewährt
Prüfpfad: Alle Aktivierungsanfragen und Genehmigungen werden protokolliert
Verringerte Angriffsfläche: Weniger persistente Administratorenkonten
Compliance: Unterstützt regulatorische Anforderungen für das Management privilegierter Zugriffe
Kontrollierte Dauer: Administratorzugriff verfällt automatisch
Genehmigungsworkflows: Optionale Genehmigungsprozesse für sensible Rollen
Best Practices
Regelmäßige Zugriffsüberprüfungen: Überprüfen Sie regelmäßig Gruppenmitgliedschaften und PIM-Zuweisungen
Angemessene Dauer: Legen Sie Aktivierungszeiträume basierend auf der typischen Dauer von Administrationsaufgaben fest
Durchsetzung von MFA: Fordern Sie bei Aktivierung stets Multi-Faktor-Authentifizierung an
Geschäftliche Begründung: Fordern Sie Benutzer auf, Gründe für Zugriffsanfragen anzugeben
Überwachung: Prüfen Sie regelmäßig PIM-Auditprotokolle auf ungewöhnliche Aktivierungsmuster
Dokumentation: Pflegen Sie klare Verfahren für Notfallzugriffsszenarien
Fehlerbehebung
Häufige Probleme
Benutzer können die Aktivierungsoption nicht sehen: Überprüfen Sie PIM-Lizenzierung und Gruppenzuweisungen
Aktivierung schlägt fehl: Überprüfen Sie die MFA-Konfiguration und die Einstellungen des Genehmigungsworkflows
RealmJoin-Zugriff verweigert: Bestätigen Sie, dass die richtige Gruppe in den RealmJoin-Portal-Einstellungen konfiguriert ist
Verifizierungsmaßnahmen
Testen Sie den Aktivierungsprozess mit einem Pilotbenutzer
Verifizieren Sie, dass das RealmJoin-Portal die PIM-aktivierte Gruppe erkennt
Bestätigen Sie, dass die Auditprotokollierung korrekt funktioniert
Testen Sie Notfallzugriffsverfahren
Zusätzliche Ressourcen
Zuletzt aktualisiert
War das hilfreich?