Ein Administrator mit dauerhaft aktivem Global Administrator ist kein Admin, sondern ein wandelndes Risiko. Wer ISO 27001 oder TISAX im Haus hat, weiß das. Und wer Entra ID P2 lizenziert hat, hat das passende Werkzeug bereits bezahlt: Privileged Identity Management, kurz PIM.
PIM ist aber nicht nur dann sinnvoll, wenn ein Audit-Termin im Kalender steht. Auch ohne ISO oder TISAX im Haus profitierst du sofort: weniger Standing Privileges, sauberer Audit-Trail, weniger Bauchgefühl bei der Frage „wer hat eigentlich gerade welche Rechte". Und falls du heute noch keine P2-Lizenz hast: Eine Entra ID P2 kostet aktuell rund 7,80 € pro Benutzer und Monat (Listenpreis, jährliche Abrechnung, zzgl. MwSt., Stand Mai 2026).
Wichtig: Du brauchst die Lizenz nur für die Accounts, die per PIM verwaltet werden, also typischerweise deine Admin-Accounts, nicht für jeden Standard-User. Bei drei bis fünf Admin-Accounts reden wir von 25 bis 45 € im Monat. Das ist günstiger als jede Schadensbegrenzung nach einem kompromittierten Global Admin.
Mit AiTM-Phishing-Kits und Token-Diebstahl als Massenphänomen ist Standing Privileges heute kein theoretisches Restrisiko mehr, sondern der Hauptangriffspfad. Genau dagegen wirkt PIM, weil es dem Angreifer selbst mit gestohlenem Token noch die Aktivierungs-Hürde mit MFA-Challenge und Justification vorsetzt. Genau das habe ich für meinen eigenen Admin-Account vor Jahren umgesetzt und seitdem mehrfach geschärft. Hier ist die Version, die du übernehmen kannst.
Warum PIM, und warum mit Eligible-Zuweisungen
Standing Privileges sind das Hauptproblem. Wenn ein Angreifer per Phishing oder Token-Diebstahl an einen aktiven Global Admin kommt, hat er sofort Tenant-weite Kontrolle. Bei einer Eligible-Zuweisung muss der Angreifer zusätzlich die Aktivierung durchlaufen, also MFA-Challenge, Justification-Eingabe und gegebenenfalls einen Approval-Workflow. Jede dieser Hürden ist ein zusätzlicher Detektionspunkt.
Der zweite Grund ist Audit-Tauglichkeit. Bei jeder PIM-Aktivierung entsteht ein Eintrag mit Zeitstempel, Begründung und Geltungsdauer. Im ISO-27001-Audit ist das Gold wert, weil du Zugriffe nicht nur policy-konform geregelt, sondern auch nachweisbar dokumentiert hast.
Der dritte Grund ist Selbstdisziplin. Wer für jede Aktion eine Justification tippen muss, überlegt zweimal, ob er gerade in der Produktion oder im Testsystem unterwegs ist. Das senkt die Fehlerquote im Tagesgeschäft.
Die kritischen Rollen: kurz aktiv, FIDO2-Pflicht
Kurz sind die Aktivierungsdauern (1 bis 2 Stunden) und entsprechend hart die Authentifizierungs-Anforderungen mit FIDO2 oder Windows Hello for Business als Pflicht.
| Rolle | Bereich | Max. Aktivierung | Justification | MFA |
|---|---|---|---|---|
| Global Administrator | Tenant-weit | 1h | Pflicht | Pflicht (FIDO2/WHfB) |
| Privileged Role Administrator | Identity Governance | 1h | Pflicht | Pflicht (FIDO2/WHfB) |
| Privileged Authentication Administrator | Identity | 2h | Pflicht | Pflicht (FIDO2/WHfB) |
| Conditional Access Administrator | Security | 2h | Pflicht | Pflicht (FIDO2/WHfB) |
| Hybrid Identity Administrator | Identity / Hybrid | 2h | Pflicht | Pflicht (FIDO2/WHfB) |
| Security Administrator | Security | 2h | Pflicht | Pflicht (FIDO2/WHfB) |
| Intune Administrator | Device | 2h | Pflicht | Pflicht (FIDO2/WHfB) |
Den Hybrid Identity Administrator haben viele nicht auf dem Radar, weil die Rolle harmlos klingt. Sie ist es nicht. Wer Entra Connect oder Cloud Sync kontrolliert, kontrolliert die On-Prem-Brücke und damit potenziell die gesamte Identity-Pipeline. Eine kompromittierte Sync-Engine kann Passwörter umschreiben, Gruppen manipulieren oder Privileged Accounts mit Backdoor-Attributen versehen.
Beim Security Administrator habe ich bewusst FIDO2 statt klassischer App-MFA gewählt, weil die Rolle Defender-Policies, Identity Protection und Secure Score steuert. Wer das deaktivieren kann, schaltet die Detection ab, bevor er den eigentlichen Angriff fährt.
Das Tagesgeschäft: 4 bis 8 Stunden, ohne Approval
Die zweite Tabelle ist der pragmatische Teil. Hier geht es um die Rollen, die du im Daily Business brauchst, vom User-Onboarding bis zur Exchange-Mailbox-Konfiguration. Justification, MFA und Logging reichen hier in der Regel aus.
| Rolle | Bereich | Max. Aktivierung | Justification | MFA |
|---|---|---|---|---|
| Global Reader | Tenant-weit | 8h | Optional | Pflicht |
| User Administrator | Identity | 4h | Pflicht | Pflicht |
| Authentication Administrator | Identity | 4h | Pflicht | Pflicht |
| Groups Administrator | Identity | 4h | Pflicht | Pflicht |
| Application Administrator | Identity / Apps | 4h | Pflicht | Pflicht |
| Cloud Application Administrator | Identity / Apps | 4h | Pflicht | Pflicht |
| Security Reader | Security | 8h | Optional | Pflicht |
| Security Operator | Security | 8h | Pflicht | Pflicht |
| Compliance Administrator | Purview / Compliance | 4h | Pflicht | Pflicht |
| Compliance Data Administrator | Purview / Compliance | 4h | Pflicht | Pflicht |
| eDiscovery Manager | Purview | 8h | Pflicht | Pflicht |
| Exchange Administrator | Workload | 8h | Pflicht | Pflicht |
| Exchange Recipient Administrator | Workload | 8h | Pflicht | Pflicht |
| SharePoint Administrator | Workload | 8h | Pflicht | Pflicht |
| Teams Administrator | Workload | 8h | Pflicht | Pflicht |
| Helpdesk Administrator | Identity | 4h | Pflicht | Pflicht |
| License Administrator | Lizenz | 8h | Optional | Pflicht |
| Billing Administrator | Commerce | 4h | Pflicht | Pflicht |
| Reports Reader | Reporting | 8h | Optional | Pflicht |
| Attribute Definition Administrator | Identity Governance | 4h | Pflicht | Pflicht |
| Identity Governance Administrator | Identity Governance | 4h | Pflicht | Pflicht |
Die Aufteilung folgt einer einfachen Logik: Je breiter der Wirkbereich der Rolle, desto kürzer die Aktivierungsdauer. Ein Exchange Administrator bekommt 8 Stunden, weil er typischerweise an einer konkreten Migrations- oder Troubleshooting-Aufgabe arbeitet, die einen halben Arbeitstag dauern kann. Ein User Administrator bekommt nur 4 Stunden, weil User-Manipulation in der Regel punktuelle Aktionen sind und längere Aktivierungen nur unnötig Angriffsfläche schaffen.
Reader-Rollen bekommen großzügige 8 Stunden, weil sie keinen Schaden anrichten können und du den Global Reader oder Security Reader oft als Hintergrund-Tab beim Troubleshooting offen hast. Justification ist hier optional, weil reines Lesen kein Audit-Event rechtfertigt, das jedes Mal eine Begründung erfordert.
Härtungs-Settings: das, was unter der Tabelle wirkt
Die Aktivierungsdauer ist nur die halbe Miete. Die andere Hälfte sind die Notification- und Assignment-Einstellungen, die du einmal pro Rolle konfigurierst und danach vergisst.
| Setting | Begründung | |
|---|---|---|
| Notification on activation | ein Postfach für das Logging & ein Benutzer-Postfach für die direkte Benachrichtigung | Transparenz bei Aktivierungen |
| Notification on assignment | ein Postfach für das Logging | Audit-Trail für Eligible-Zuweisungen |
| Permanent Active assignment | Verboten | Nur Eligible, keine Standing Privileges |
| Permanent Eligible assignment | Access Review jährlich | Regelmäßige Überprüfung der Rollen Zuweisungen. |
| Activation maximum duration | 1 bis 8h (siehe Rolle) | Minimiert Angriffsfenster |
| Break-Glass Accounts | 1 bis 2 Stück, ausgenommen von CA + PIM | Notfallzugang bei MFA/CA-Ausfall |
Permanent Active Assignments sind in dieser Konfiguration komplett verboten. Das ist die zentrale Härtungs-Entscheidung. Wenn du eine Rolle dauerhaft brauchst, machst du sie Eligible mit langer Aktivierungsdauer, nicht Active. Die einzige Ausnahme sind die Break-Glass-Accounts, die per Definition außerhalb der PIM-Logik stehen, weil sie bei einem MFA- oder Conditional-Access-Ausfall den letzten Zugang zum Tenant darstellen.
Permanent Eligible mit jährlichem Access Review sorgt dafür, dass alte Eligible-Zuweisungen, die nach Projektende vergessen wurden, automatisch auf den Tisch kommen. Das ist gleichzeitig der Audit-Nachweis für „Need-to-know" und „Need-to-have", den ISO 27001 explizit fordert.
Conditional Access Auth Context als Verstärker
Ein Detail, das oft übersehen wird: PIM lässt sich mit Conditional Access Auth Contexts verknüpfen. Damit erzwingst du beim Activation-Request zusätzlich Compliant Device und phishing-resistente MFA, unabhängig davon, womit der User beim ursprünglichen Login angekommen ist.
Konkret heißt das: Selbst wenn jemand mit gültigem Refresh Token, aber ohne Compliant Device PIM aktivieren will, schlägt die Aktivierung am CA-Auth-Context fehl. Für die kritischen Rollen aus der ersten Tabelle ist das Pflicht, für die Tagesgeschäft-Rollen optional.
Dedizierte Admin-Accounts: PIM braucht saubere Identitäten
PIM auf einem Account, der parallel für Mail, Teams und private Browser-Sessions genutzt wird, verschenkt einen Großteil seiner Schutzwirkung. Jeder Admin sollte einen separaten, ausschließlich administrativen Cloud-Only-Account haben, der weder Mailbox noch Teams-Lizenz besitzt. Der reguläre Account bleibt für die normale Arbeit, der Admin-Account ist die Hülle, in die du PIM-Aktivierungen lädst.
Break-Glass Konten: was oft falsch gemacht wird
Ein Break-Glass-Konto ist kein Notfall-Account, sondern deine Versicherung gegen deine eigenen Richtlinien. Genau dieser Unterschied wird in den meisten Tenants verwischt, und entsprechend schwach sind die Konfigurationen, die ich in Audits sehe.
Typische Fehler: Das Break-Glass nutzt dieselbe Authenticator-App wie der reguläre Admin-Account. Der Account hängt im selben Conditional-Access-Scope wie alle anderen User. Das Passwort liegt in der gleichen Vault, in der auch die regulären Admin-Credentials gespeichert sind. Die letzte erfolgreiche Anmeldung war vor acht Monaten, einen dokumentierten Test gibt es nicht. Und auf den Sign-In schaut niemand.
Jeder dieser Punkte killt die Schutzwirkung. Wenn der Authenticator des Admins kompromittiert ist, ist das Break-Glass mitkompromittiert. Wenn eine fehlerhafte CA-Policy alle Admins aussperrt, sperrt sie auch das Break-Glass aus. Wenn das Passwort in der gleichen Vault liegt wie die normalen Admin-Credentials, hilft es bei einem Vault-Kompromiss exakt nichts.
So sieht ein Break-Glass aus, das im Ernstfall trägt:
- Cloud-only, nicht hybrid, eigener Tenant-Domain-Suffix wie breakglass1@pxyz.onmicrosoft.com
- Aus allen Conditional-Access-Policies ausgeschlossen, nicht nur aus der MFA-Policy
- FIDO2-Key als zweiter Faktor, kein Authenticator, keine SMS
- Zugangsdaten physisch im Tresor, nicht in derselben Vault wie Admin-Passwörter
- Sentinel-Alert oder SIEM-Regel auf jeden erfolgreichen Sign-In, nicht nur auf „abnormal"
- Quartalsweise getestet, Testergebnis dokumentiert
Zwei dieser Accounts gehören in den Tenant, nicht einer und auch nicht drei! Echte Redundanz heißt: Wenn der eine FIDO2-Stick im Tresor defekt ist oder ein Passwort-Lifecycle abgelaufen ist, übernimmt der zweite. Ein einzelner Break-Glass-Account ist kein Backup, sondern ein Single Point of Failure.
Der wichtigste Satz zum Schluss, weil er in der Praxis am häufigsten ignoriert wird: Wenn der Alert auf einen Break-Glass-Sign-In feuert und du nicht selbst gerade im Notfall-Szenario bist, hast du ein Problem.
Ein Break-Glass-Account, der nicht überwacht wird, ist keine Notfall-Vorsorge, sondern eine offene Hintertür.
Fazit
Ein PIM-Rollenkonzept lebt nicht von der Anzahl der eingebundenen Rollen, sondern von der Konsequenz, mit der du Standing Privileges eliminierst. Die hier gezeigte Aufteilung in „kritische Rollen" mit kurzen Aktivierungsfenstern und FIDO2-Pflicht plus „Tagesgeschäft-Rollen" mit pragmatischen 4 bis 8 Stunden funktioniert in Solo-Admin-Setups genauso wie in kleinen bis mittleren Teams ohne formelle Approver-Rollen.
Was diese Konfiguration leistet: Sie reduziert das Angriffsfenster auf Stunden statt permanent, sie erzeugt einen lückenlosen Audit-Trail, sie macht Privilege Escalation für einen Angreifer messbar aufwendiger, und sie ist in unter zwei Stunden produktiv ausgerollt. Was sie nicht leistet: Sie ersetzt keine harten Detection-Regeln in Sentinel oder Defender. PIM ist der Zugangsschutz, nicht das Monitoring. Beides muss zusammenspielen.
Wer noch keine Access Reviews konfiguriert hat, sollte mit den jährlichen Reviews der Eligible-Zuweisungen anfangen, bevor er das Konzept weiter ausbaut. Das ist der einzige Weg, wie das Rollenkonzept über Jahre nicht zur historischen Altlast verkommt. ISO-27001-Auditoren prüfen genau das, und zwar als Erstes.
Begriffsklärung
PIM hat sein eigenes Vokabular. Wer ISO-27001-konform dokumentieren oder mit Auditoren reden will, sollte die folgenden Begriffe sicher verwenden können.
| Begriff | Bedeutung | Praxis |
|---|---|---|
| Standing Privileges | Dauerhaft aktive Admin-Rechte ohne Aktivierung. Account hat Rolle 24/7 verfügbar. | Genau das, was du mit PIM eliminieren willst. Nur Break-Glass-Accounts dürfen das. |
| Eligible Assignment | Berechtigung ist hinterlegt, aber inaktiv. Muss vor jeder Nutzung explizit aktiviert werden. | Standard-Modus für alle PIM-Rollen. Aktivierung mit Justification, MFA, optional Approval. |
| Active Assignment | Rolle ist sofort wirksam ohne Aktivierungs-Schritt. Permanent oder zeitlich begrenzt möglich. | In PIM nur für eng begrenzte Sonderfälle. Standardregel: verboten. |
| Time-bound Assignment | Eligible oder Active mit festem Start- und Endzeitpunkt. Läuft automatisch ab. | Pflicht für Projekt-Mitarbeiter, externe Berater, befristete Vertretungen. |
| Just-in-Time (JIT) | Prinzip dahinter: Rechte nur dann verfügbar, wenn sie tatsächlich gebraucht werden. | Das Kernkonzept von PIM. Aktivierungsdauer bemisst sich am Task, nicht am Arbeitstag. |
| Just-Enough-Access (JEA) | Prinzip: minimal notwendiger Rechteumfang pro Aufgabe. | Lieber Exchange Recipient Administrator statt Exchange Administrator, wenn nur Mailboxen verwaltet werden. |
| Privileged Role | Rollen mit Tenant-weiter oder sicherheitskritischer Wirkung. | Global Admin, Privileged Role Admin, Privileged Authentication Admin, Conditional Access Admin, Security Admin, Hybrid Identity Admin. |
| High Privileges | Sammelbegriff für Rechte, die Konfiguration ändern, User manipulieren oder Sicherheits-Settings beeinflussen können. | Alles oberhalb von Reader-Rollen. Erfordert PIM, MFA, Logging. |
| Low Privileges | Read-only oder rein operative Rollen ohne Konfigurations-Wirkung. | Global Reader, Security Reader, Reports Reader. Kandidaten für lange Aktivierungsdauer ohne Approval. |
| Break-Glass Account | Notfall-Account mit Standing Global Admin, ausgenommen von CA und PIM. | Zwei Stück, Cloud-only, langes Random-Passwort im Tresor, alarmiertes Sentinel-Monitoring auf jede Anmeldung. |
| Approval Workflow | Aktivierung erfordert Bestätigung durch einen oder mehrere Approver. | Pflicht für Global Admin und Privileged Role Admin. Bei Solo-Admins über Peer-Approver oder externen CSP lösbar. |
| Justification | Pflichtfeld bei Aktivierung, in das der Aktivierende den Grund einträgt. | Audit-Gold. Inhalt landet im Audit-Log und ist im Sentinel auswertbar. |
| Access Review | Wiederkehrende Überprüfung, ob bestehende Eligible- oder Active-Zuweisungen noch gebraucht werden. | Mindestens jährlich für alle privilegierten Rollen. ISO-27001-Pflicht. |
| Authentication Context | Conditional-Access-Marker (z.B. c1), der bei PIM-Aktivierung zusätzliche Auth-Anforderungen erzwingt. | Damit setzt du Compliant Device + FIDO2 als Pflicht für die Aktivierung kritischer Rollen. |
| Activation Maximum Duration | Längste Zeitspanne, die eine Aktivierung am Stück gültig bleibt. | 1h bis 8h, je nach Rollen-Kritikalität. Danach Re-Aktivierung nötig. |
| Persistent vs. On-Demand | Persistent = Rechte bleiben bestehen, On-Demand = Rechte entstehen pro Aktivierung neu. | PIM ist On-Demand. Standing Privileges sind Persistent. |
weitere Links
| MS LEARN | Was ist Microsoft Entra Privileged Identity Management? | https://learn.microsoft.com/de-de/entra/id-governance/privileged-identity-management/pim-configure |
| MS LEARN | Einstieg in Privileged Identity Management | https://learn.microsoft.com/de-de/entra/id-governance/privileged-identity-management/pim-getting-started |
| DynamicGroup | Microsoft Entra ID P1 und P2 Lizenzen besser verstehen | https://www.dynamicgroup.net/de/news/microsoft-entra-id-p1-p2-lizenzen-verstehen/ |
| security-insider.de | Admin-Konten in Azure, Entra ID und Microsoft 365 schützen | https://www.security-insider.de/microsoft-entra-pim-sicheres-zugriffsmanagement-a-8bf8ee48bc6d6d40ca2ede4779b4ff89/ |
| PHINIT.DE | Was ist Microsoft EntraID? | https://phinit.de/2025/01/17/microsoft-entra-id/ |
| PHINIT.DE | Microsoft 365 TUTORIALS | https://phinit.de/tutorials-ms365 |
Sei der Erste und starte die Diskussion mit einem hilfreichen Beitrag.
Kommentar hinterlassen
Dein Beitrag wird vor der Veröffentlichung kurz geprüft — fachlich, respektvoll und auf den Punkt ist hier genau richtig.