# Implementierung von Privileged Identity Management (PIM) mit dem RealmJoin-Portal ### Übersicht Dieser Leitfaden führt Sie durch die Implementierung von Microsoft Entra ID Privileged Identity Management (PIM) für Groups mit RealmJoin Portal-Verwaltungszugriff. PIM bietet Just-in-Time-Verwaltungszugriff und reduziert Sicherheitsrisiken, indem Benutzer ihre privilegierten Rollen bei Bedarf aktivieren müssen. Durch die Implementierung von PIM mit RealmJoin müssen Administratoren ihre Admin-Berechtigungen ausdrücklich für einen definierten Zeitraum aktivieren, wodurch ein Prüfprotokoll erstellt und die Angriffsfläche eines dauerhaften Verwaltungszugriffs verringert wird. ### Voraussetzungen * Microsoft Entra ID P2-Lizenzierung für Benutzer, die PIM-Zugriff benötigen * Berechtigungen als Global Administrator oder Privileged Role Administrator * Zugriff auf die RealmJoin Portal-Konfiguration * Verständnis von Microsoft Entra ID Groups und Rollenzuweisungen ### Implementierungsschritte #### Schritt 1: Rollen-zuweisbare Gruppen erstellen Erstellen Sie zwei Security Group in Microsoft Entra ID. Obwohl das Attribut „role-assignable“ nicht mehr zwingend erforderlich ist, wird es weiterhin für eine optimale PIM-Funktionalität empfohlen. **Gruppe 1: Berechtigungsgruppe** * **Name**: `sec - PIM-Eligibility - RealmJoin Portal - Admins` * **Zweck**: Enthält Benutzer, die für den RealmJoin-Adminzugriff berechtigt sind * **Typ**: Security Group * **Rollen-zuweisbar**: Empfohlen (Ja) **Gruppe 2: Aktive Admin-Gruppe** * **Name**: `sec - PIM-Enabled - RealmJoin Portal - Admins` * **Zweck**: Die Zielgruppe, die tatsächliche RealmJoin-Administratorberechtigungen bereitstellt * **Typ**: Security Group * **Rollen-zuweisbar**: Empfohlen (Ja) #### Schritt 2: PIM für Groups konfigurieren **PIM für Groups aktivieren** 1. Navigieren Sie zu **Microsoft Entra ID** > **Privileged Identity Management** 2. Wählen Sie **Gruppen** im linken Navigationsbereich 3. Wählen Sie **Gruppen erkennen** um Gruppen zu identifizieren, die für die PIM-Verwaltung geeignet sind 4. Wählen Sie Ihre neu erstellten Gruppen aus, um sie unter die PIM-Kontrolle zu stellen Ausführliche Konfigurationsschritte finden Sie in der offiziellen Microsoft-Dokumentation: * [Überblick über Privileged Identity Management (PIM) für Groups](https://learn.microsoft.com/en-us/entra/id-governance/privileged-identity-management/concept-pim-for-groups) * [Gruppen in Privileged Identity Management aufnehmen](https://learn.microsoft.com/en-us/entra/id-governance/privileged-identity-management/groups-discover-groups) **Gruppeneinstellungen konfigurieren** 1. Aktivierungsdauer festlegen (empfohlen: 1–8 Stunden) 2. Genehmigungsanforderungen bei Bedarf konfigurieren 3. Aktivierungsanforderungen definieren (MFA, geschäftliche Begründung) 4. Richtlinien für die maximale Aktivierungsdauer festlegen #### Schritt 3: Berechtigung zuweisen Konfigurieren Sie die Benutzerberechtigung für die PIM-aktivierte Gruppe: 1. Navigieren Sie in PIM zu **Gruppen** > **Zuweisungen** 2. Wählen Sie die `sec - PIM-Enabled - RealmJoin Portal - Admins` Gruppe 3. Wählen Sie **Zuweisungen hinzufügen** 4. Wählen Sie **Berechtigt** Zuweisungstyp 5. Wählen Sie Benutzer oder die Berechtigungsgruppe (`sec - PIM-Eligibility - RealmJoin Portal - Admins`) 6. Legen Sie bei Bedarf die Zuweisungsdauer und den Zeitplan fest Ausführliche Hinweise zur Zuweisung finden Sie unter: [Berechtigung für eine Gruppe in Privileged Identity Management zuweisen](https://learn.microsoft.com/en-us/entra/id-governance/privileged-identity-management/groups-assign-member-owner) ### Konfigurationslogik #### Workflow der Benutzerverwaltung 1. **Benutzer zur Berechtigungsgruppe hinzufügen**: Fügen Sie Benutzerkonten zu `sec - PIM-Eligibility - RealmJoin Portal - Admins` * Diese Gruppe dient als Quelle für Benutzer, die Adminzugriff anfordern können * Benutzer in dieser Gruppe können die Mitgliedschaft in der PIM-aktivierten Gruppe aktivieren 2. **RealmJoin Portal konfigurieren**: Setzen Sie `sec - PIM-Enabled - RealmJoin Portal - Admins` als Verwaltungsgruppe in den RealmJoin Portal-Einstellungen * Nur aktive Mitglieder dieser Gruppe haben Admin-Berechtigungen * Benutzer müssen ihre Mitgliedschaft über PIM aktivieren, um Zugriff zu erhalten #### Prozess zur Zugriffsaktivierung Wenn Benutzer RealmJoin-Adminzugriff benötigen: 1. Benutzer navigiert zu **Mein Zugriff** Portal oder PIM-Oberfläche 2. Fordert die Aktivierung der Mitgliedschaft in `sec - PIM-Enabled - RealmJoin Portal - Admins` 3. Gibt eine geschäftliche Begründung an (falls erforderlich) 4. Schließt die MFA-Abfrage ab (falls konfiguriert) 5. Erhält zeitlich begrenzten Adminzugriff auf RealmJoin Portal 6. Der Zugriff läuft nach der definierten Dauer automatisch ab ### Sicherheitsvorteile * **Just-in-Time-Zugriff**: Admin-Rechte werden nur bei Bedarf gewährt * **Prüfprotokoll**: Alle Aktivierungsanfragen und Genehmigungen werden protokolliert * **Reduzierte Angriffsfläche**: Weniger dauerhafte Admin-Konten * **Compliance**: Unterstützt regulatorische Anforderungen für das Privileged Access Management * **Kontrollierte Dauer**: Adminzugriff läuft automatisch ab * **Genehmigungs-Workflows**: Optionale Genehmigungsprozesse für sensible Rollen ### Best Practices * **Regelmäßige Zugriffsüberprüfungen**: Überprüfen Sie regelmäßig Gruppenmitgliedschaften und PIM-Zuweisungen * **Angemessene Dauer**: Legen Sie Aktivierungszeiträume basierend auf der typischen Dauer von Adminaufgaben fest * **MFA-Durchsetzung**: Für die Aktivierung immer Multi-Faktor-Authentifizierung verlangen * **Geschäftliche Begründung**: Verlangen Sie von Benutzern, Gründe für Zugriffsanfragen anzugeben * **Überwachung**: Überprüfen Sie regelmäßig die PIM-Prüfprotokolle auf ungewöhnliche Aktivierungsmuster * **Dokumentation**: Halten Sie klare Verfahren für Notfallzugriffsszenarien vor ### Problembehandlung #### Häufige Probleme * **Benutzer können die Aktivierungsoption nicht sehen**: Überprüfen Sie die PIM-Lizenzierung und Gruppenzuweisungen * **Aktivierung schlägt fehl**: Überprüfen Sie die MFA-Einrichtung und die Konfiguration des Genehmigungs-Workflows * **RealmJoin-Zugriff verweigert**: Bestätigen Sie, dass die richtige Gruppe in den RealmJoin Portal-Einstellungen konfiguriert ist #### Überprüfungsschritte 1. Testen Sie den Aktivierungsprozess mit einem Pilotbenutzer 2. Überprüfen Sie, ob RealmJoin Portal die PIM-aktivierte Gruppe erkennt 3. Bestätigen Sie, dass die Prüfprotokollierung korrekt funktioniert 4. Testen Sie die Verfahren für den Notfallzugriff ### Zusätzliche Ressourcen * [Microsoft Entra ID Governance-Dokumentation](https://learn.microsoft.com/en-us/entra/id-governance/) * [PIM-Best Practices](https://learn.microsoft.com/en-us/entra/id-governance/privileged-identity-management/pim-deployment-plan) * [RealmJoin Portal-Dokumentation](https://docs.realmjoin.com/) --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.realmjoin.com/de/realmjoin-einstellungen/permission/implementing-privileged-identity-management-pim-with-realmjoin-portal.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.