Zurück zum Blog

Entra ID Security Split – Tag 3: Schutz durch kontrollierte Power

Warum permanente Admin-Rechte deine größte Schwachstelle sind und wie du Privilegien auf Abruf implementierst.

EntraIDSecurity
Entra ID Security Split – Tag 3: Schutz durch kontrollierte Power

Stell dir vor, du gehst ins Gym — und trägst den ganzen Tag deinen Gewichthebergürtel. Im Büro. Beim Essen. Im Bett. Klingt absurd? Genau so absurd ist es, wenn Admins permanent mit Global-Admin-Rechten arbeiten.

Die Gefahr von Standing Access

Ein Account mit permanenten Global-Admin-Rechten ist ein leuchtendes Ziel. Für jeden Angreifer. Rund um die Uhr.

Das Problem ist nicht, dass du diesen Rechten nicht vertraust. Das Problem ist:

  • Phishing trifft auch Admins
  • Session Hijacking braucht nur einen kompromittierten Browser
  • Lateral Movement nutzt genau diese überprivilegierten Accounts
  • Insider Threats — nicht jeder Admin braucht jederzeit Zugriff auf alles

Permanente Rechte bedeuten permanentes Risiko. Und das ist ein Preis, den du nicht zahlen musst.

Privilegien auf Abruf — Entra ID PIM

Privileged Identity Management (PIM) ist dein Gewichthebergürtel, den du nur anlegst, wenn du ihn wirklich brauchst:

  1. Aktive Anforderung — der Admin fordert die Rolle bewusst an
  2. Zusätzliche Identitätsprüfung — MFA oder Phishing-resistente Authentifizierung
  3. Dokumentierte Begründung — warum wird diese Berechtigung jetzt benötigt?
  4. Zeitlich begrenzt — die Rolle ist aktiv für maximal 4 Stunden, dann fällt sie automatisch weg
  5. Vier-Augen-Prinzip — für kritische Rollen wie Global Admin ist eine Genehmigung durch eine zweite Person erforderlich

Das bedeutet: Selbst wenn ein Admin-Account kompromittiert wird, hat der Angreifer keine aktiven Privilegien. Er müsste die Rolle erst anfordern — und dabei durch MFA, Begründung und Approval kommen.

Gezielte Muskelisolation — Least Privilege

Im Training weißt du: Wer nur Bankdrücken macht, baut keinen ausgewogenen Körper. Genauso ist es mit Berechtigungen — Global Admin für alles ist das Äquivalent von “ich mach nur eine Übung”.

Statt Global Admin brauchst du spezialisierte Rollen:

  • Exchange Administrator — für Mailbox-Verwaltung
  • Intune Administrator — für Geräteverwaltung
  • Conditional Access Administrator — für CA-Policies
  • User Administrator — für Benutzerverwaltung
  • Security Reader — für Sicherheitsberichte ohne Änderungsrechte

Jede Rolle hat genau die Berechtigungen, die für die Aufgabe nötig sind. Nicht mehr, nicht weniger. Das reduziert den Blast Radius massiv — wenn ein Account kompromittiert wird, ist der Schaden begrenzt.

Trainingsplan: PIM einrichten

  • Audit durchführen — wer hat aktuell permanente Admin-Rechte? Liste erstellen und hinterfragen
  • PIM aktivieren — für alle administrativen Rollen Just-in-Time-Zuweisung einrichten
  • Global Admin aufbrechen — analysiere, wer wirklich Global Admin braucht (Spoiler: fast niemand) und ersetze durch spezifische Rollen
  • Approval Workflow einrichten — für kritische Rollen das Vier-Augen-Prinzip aktivieren
  • Zeitlimits definieren — maximale Aktivierungsdauer pro Rolle festlegen (Empfehlung: 4 Stunden)

Der Grundsatz ist einfach: Kein Mensch braucht 24/7 die volle Power. Gib Rechte auf Abruf, nimm sie automatisch wieder weg.

Gruß Micha