Berechtigungen
Überblick
Auf dieser Seite werden das Berechtigungs- und Zugriffsmodell für diesen Agenten beschrieben. Der Agent verwendet Nur-Lese-Zugriff auf Privileged Identity Management (PIM)-Daten, Prüfprotokolle und Identitätsaktivitätsinformationen über Security Copilot-Plugins. Er ist darauf ausgelegt, PIM-Aktivierungen, privilegiertes Zugriffsverhalten und Compliance-Metriken zu analysieren, ohne Konfigurationsänderungen vorzunehmen.
Funktionsweise
Der Agent verbindet sich sicher mit Ihrer Microsoft Entra-Umgebung über Security Copilot-Plugins, um PIM-Aktivierungsdaten, Prüfprotokolle und Anmeldeinformationen abzurufen. Er bewertet Rollenverwendungsmuster, die Einhaltung von Aktivierungsrichtlinien und die Erkennung von Anomalien bei privilegierten Aktivitäten. Optional kann der Agent Azure Workbooks für kontinuierliches PIM-Monitoring und Visualisierung erstellen.
Alle Interaktionen folgen diesen Grundsätzen:
Nur-Lese-Zugriff: Der Agent ändert oder weist keine Rollen zu, ändert keine PIM-Einstellungen und verändert keine Prüfungsdaten.
Prinzip der minimalen Berechtigungen: Es werden nur die Berechtigungen verwendet, die zum Lesen von PIM- und Prüfungsdaten erforderlich sind.
Transparenz: Alle Datenzugriffe sind in Microsoft Entra prüfbar und entsprechen den Microsoft-Compliance-Standards.
Erforderliche Entra ID-Rollen
Weisen Sie dem Administratorkonto, das den Agenten installiert und ausführt, die folgenden Rollen zu:
Privileged Role Administrator
Bietet Einblick in PIM-Rollen-Zuweisungen und Aktivierungshistorie.
Security Reader
Gewährt Zugriff auf Sicherheitsanalysen und Identitätsrisikodaten.
Reports Reader
Ermöglicht den Zugriff auf Nutzungs- und Prüfungsberichte.
Global Reader
Ermöglicht umfassende Nur-Lese-Zugriffe im Entra ID-Mandanten für eine umfassende Analyse.
Diese Rollen stellen die empfohlene Least-Privilege-Konfiguration dar. Passen Sie sie an die Sicherheits- und Compliance-Richtlinien Ihrer Organisation an.
Transparenz beim Datenzugriff
Die folgende Tabelle zeigt auf, auf welche Daten der Agent zugreifen kann und zu welchem Zweck.
PIM-Rollenaktivierungen und -zuweisungen
Nur-Lese
Zur Bewertung der Aktivierungsfrequenz, der Rollenverwendung und der Einhaltung des Prinzips der minimalen Berechtigungen.
Prüfprotokolle
Nur-Lese
Um Aktivierungsereignisse, MFA-Verifizierungen und Genehmigungsabläufe nachzuverfolgen.
Anmelde- und Identitätsrisikoprotokolle
Nur-Lese
Um anomalisches privilegiertes Zugriffsverhalten zu identifizieren.
Rollendefinitionen und Richtlinien
Nur-Lese
Um die Konfigurationsausrichtung mit internen Governance-Standards zu bewerten.
Datenverarbeitung:
Der Agent ändert keine Daten, löscht oder exportiert sie außerhalb der Mandantengrenze.
Alle Zugriffe erfolgen über Security Copilot-Plugins unter Verwendung von delegierten oder Anwendungsberechtigungen.
Zugriffsereignisse werden aufgezeichnet in Microsoft Entra-Prüfprotokollen zur Sichtbarkeit und Nachverfolgbarkeit.
Agenteneinstellungen
Beim Ausführen des Agenten können Sie optionale Einstellungen konfigurieren, um die Analyse und Berichterstattung zu verfeinern.
Zeitraum
30 oder 2025-01-01/2025-01-31
Definiert den Zeitraum für die Analyse von PIM-Aktivierungsereignissen.
GenerateWorkbook
wahr
Erstellt eine Azure Workbook-Datei für kontinuierliches PIM-Monitoring.
Ausgabeformat
Zusammenfassung oder detailliert
Gibt den Detaillierungsgrad des Berichts und die enthaltenen Metriken an.
Beispielabfragen
"Analysiere PIM-Aktivierungen für die letzten 30 Tage""Zeige mir Global Administrator-Zugriffe diese Woche""Erstelle einen PIM-Compliance-Bericht für das letzte Quartal""Erkenne Anomalien beim privilegierten Zugriff mit Azure Workbook"
Erstellung von Azure Workbooks
Wenn GenerateWorkbook: true angegeben ist, erzeugt der Agent eine Azure Workbook-Konfigurationsdatei die für die fortlaufende PIM-Überwachung bereitgestellt werden kann.
Das Workbook enthält Dashboards für:
Echtzeit-Trends bei PIM-Aktivierungen
Fehlgeschlagene Aktivierungsversuche
Rollenverwendung und Häufigkeitsmetriken
Nachverfolgung der Einhaltung von Aktivierungsgründen
Anomalie-Benachrichtigungen und Risikovisualisierung
Stellen Sie das Workbook im Azure-Portal bereit unter: Monitor → Workbooks → Importieren → Konfigurationsdatei hochladen
Datenanforderungen
Um genaue und aussagekräftige Ergebnisse sicherzustellen, verifizieren Sie, dass:
PIM aktiv genutzt wird mit regelmäßig auftretenden Rollenaktivierungen.
Aktivierungsgründe in der PIM-Richtlinie für die Compliance-Analyse erforderlich sind.
Mindestens 7–30 Tage Aktivierungsdaten verfügbar sind.
MFA erzwungen wird für PIM-Aktivierungen.
Prüfprotokollierung ist in Microsoft Entra aktiviert.
Entra ID-Prüfprotokolle werden in einer Microsoft Sentinel-Instanz gespeichert
Gesagt Microsoft Sentinel Instanz muss in Microsoft Defender XDR (früher Microsoft Security Center) für einheitliche Sicherheitsabläufe und erweiterte Analysen integriert sein.
Sicherheits- und Compliance-Überlegungen
Alle Kommunikationen über Security Copilot-Plugins sind mit HTTPS verschlüsselt und über Microsoft-Identitätsdienste authentifiziert.
Der Agent hält sich an Microsofts Zero Trust und Prinzip der minimalen Berechtigungen Prinzipien.
Zugriffe können jederzeit überprüft oder widerrufen werden über Entra ID-Rollen-Zuweisungen oder Anwendungs-Zustimmungsverwaltung.
Nächste Schritte
Bestätigen Sie, dass das Administratorkonto alle erforderlichen Rollen zugewiesen hat.
Führen Sie den Agenten aus, um PIM-Aktivitätsdaten und den Compliance-Status zu analysieren.
Stellen Sie optional das Azure Workbook für die kontinuierliche Überwachung privilegierter Zugriffe bereit.
Zuletzt aktualisiert
War das hilfreich?