Berechtigungen

Übersicht

Diese Seite beschreibt das Berechtigungs- und Zugriffsmodell für diesen Agenten. Der Agent verwendet Lesezugriff auf Microsoft Entra ID-Rollen­zuweisungen, Privileged Identity Management (PIM)-Konfigurationen und Protokolle für privilegierten Zugriff über Security Copilot-Plugins. Es wurde entwickelt, um dauerhafte administrative Berechtigungen zu identifizieren, die Bereitschaft für die Implementierung von Zero Standing Privilege (ZSP) zu bewerten und Schritte zur Umstellung auf Just‑In‑Time (JIT)-Zugriffe zu empfehlen — ohne Konfigurationsänderungen vorzunehmen.

Funktionsweise

Der Agent verbindet sich sicher mit Microsoft Entra über Security Copilot-Plugins, um Informationen über PIM-Konfigurationen, Zuweisungen privilegierter Rollen und zugehörige Dienstprinzipale zu sammeln. Er bewertet Ihre Umgebung, hebt unnötige oder dauerhafte administrative Zugriffe hervor, erkennt Privilegienausweitung und schlägt strukturierte Migrationspfade hin zu JIT-Zugriffen vor.

Alle Interaktionen folgen diesen Grundsätzen:

• Schreibgeschützter Zugriff: Der Agent ändert oder entfernt keine Rollen­zuweisungen oder Konfigurationen.

• Minimalprinzip (Least Privilege): Es sind nur die Rollen erforderlich, die zum Lesen von Daten zu privilegiertem Zugriff und PIM nötig sind.

• Transparenz: Alle Datenzugriffe sind innerhalb von Microsoft Entra prüfbar und entsprechen den Governance‑ und Compliance‑Standards von Microsoft.

Erforderliche Entra ID-Rollen

Weisen Sie dem Administratorkonto, das den Agenten installiert und ausführt, die folgenden Rollen zu:

Optionale Rollen für die Analyse von Azure‑Ressourcen

Transparenz beim Datenzugriff

Die folgende Tabelle zeigt, auf welche Daten der Agent zugreifen kann und zu welchem Zweck.

Datenverarbeitung:

• Der Agent ändert keine Daten, löscht sie nicht und exportiert sie nicht außerhalb der Mandantengrenze.

• Alle Zugriffe erfolgen über Security Copilot-Plugins unter Verwendung delegierter oder anwendungsbasierter Berechtigungen beschränkt.

• Alle Aktivitäten werden protokolliert in Microsoft Entra-Prüfprotokollen zur Nachvollziehbarkeit und Validierung der Compliance.

Agenteneinstellungen

Beim Ausführen des Agents können Sie Parameter konfigurieren, um Analyse‑ und Migrations­empfehlungen anzupassen.

"2025-01-15T09:00Z"

• "Finde alle dauerhaften Admin‑Berechtigungen"

• "Erstelle einen Plan zur Implementierung von Zero Standing Privilege"

• "Identifiziere Privilegienausweitung in meiner Umgebung"

• "Erzeuge Skripte zum Entfernen unnötiger Admin‑Zugriffe"

• "Bewerte die Zero‑Trust‑Bereitschaft für Privilegienverwaltung"

Migrationsüberlegungen

Bevor Sie Empfehlungen für Zero Standing Privilege oder JIT‑Zugriffe umsetzen, prüfen und planen Sie sorgfältig:

Der Agent liefert strukturierte Empfehlungen, einschließlich:

• Migrationspriorisierungen: Identifiziert zuerst schnelle Erfolge, komplexe Migrationen später.

• Erkennung von Dienstkonten: Markiert nicht‑interaktive Konten, die für JIT‑Zugriff ungeeignet sind.

• Validierung von Notfallzugang: Identifiziert und bewahrt Break‑Glass‑Konten.

• Umgang mit Automatisierungskonten: Hebt Dienstprinzipale hervor, die dauerhafte Berechtigungen benötigen.

Sicherheits- und Compliance-Überlegungen

• Alle Kommunikationen über Security Copilot-Plugins sind verschlüsselt mittels HTTPS und über Microsoft-Identitätsdienste authentifiziert.

• Der Agent hält sich an die Zero-Trust und Prinzipien des geringsten Privilegs .

• Zugriffe können jederzeit über Entra ID-Rollenassignments oder Verwaltung der Anwendungszustimmung.

Nächste Schritte

• Bestätigen Sie, dass dem Administratorenkonto die erforderlichen Rollen zugewiesen sind.

• Führen Sie den Agent aus, um dauerhafte Berechtigungen zu identifizieren und Ihren ZSP‑Bereitschaftsbericht zu erstellen.

• Überprüfen Sie die Migrations­empfehlungen des Agents im Security Copilot, bevor Sie JIT‑ oder PIM‑Änderungen umsetzen.