> For the complete documentation index, see [llms.txt](https://agents.glueckkanja.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://agents.glueckkanja.com/de/agents/pim-insights/permissions.md). # Berechtigungen ### Übersicht Diese Seite beschreibt das Berechtigungs- und Zugriffsmodell für diesen Agenten.\ Der Agent verwendet **schreibgeschützten Zugriff** zu Daten aus Privileged Identity Management (PIM), Überwachungsprotokollen und Informationen zur Identitätsaktivität über **Security Copilot Plugins**.\ Es ist darauf ausgelegt, PIM-Aktivierungen, privilegiertes Zugriffsverhalten und Compliance-Metriken zu analysieren, ohne Konfigurationsänderungen vorzunehmen. *** ### So funktioniert es Der Agent stellt über Security Copilot Plugins eine sichere Verbindung zu Ihrer Microsoft Entra-Umgebung her, um PIM-Aktivierungsdaten, Überwachungsprotokolle und Anmeldeinformationen abzurufen.\ Er bewertet Nutzungsmuster von Rollen, die Einhaltung von Aktivierungsrichtlinien und die Erkennung von Anomalien bei privilegierten Aktivitäten.\ Optional kann der Agent Azure Workbooks für die kontinuierliche PIM-Überwachung und Visualisierung generieren. Alle Interaktionen folgen diesen Grundsätzen: * **Schreibgeschützter Zugriff:** Der Agent ändert oder weist keine Rollen zu, ändert keine PIM-Einstellungen und manipuliert keine Überwachungsdaten. * **Prinzip der minimalen Rechtevergabe:** Es werden nur die Berechtigungen verwendet, die zum Lesen von PIM- und Überwachungsdaten erforderlich sind. * **Transparenz:** Der gesamte Datenzugriff ist in Microsoft Entra überprüfbar und folgt den Microsoft-Compliance-Standards. *** ### Erforderliche Entra ID-Rollen Weisen Sie dem Administratorkonto, das den Agenten installiert und ausführt, die folgenden Rollen zu: | Rolle | Beschreibung | | --------------------------------- | ------------------------------------------------------------------------------------------------- | | **Privileged Role Administrator** | Bietet Einblick in PIM-Rollenzuweisungen und Aktivierungsverlauf. | | **Security Reader** | Gewährt Zugriff auf Sicherheitsinformationen und Identitätsrisikodaten. | | **Berichtsleser** | Ermöglicht Zugriff auf Nutzungs- und Überwachungsberichte. | | **Global Reader** | Ermöglicht schreibgeschützten Zugriff im gesamten Entra ID-Mandanten für eine umfassende Analyse. | {% hint style="info" %} Diese Rollen stellen die empfohlene Konfiguration mit minimalen Rechten dar. Passen Sie sie anhand der Sicherheits- und Compliance-Richtlinien Ihrer Organisation an. {% endhint %} *** ### Transparenz beim Datenzugriff Die folgende Tabelle beschreibt, auf welche Daten der Agent zugreifen kann und zu welchem Zweck. | Datentyp | Zugriffslevel | Zweck | | -------------------------------------------- | ---------------- | ----------------------------------------------------------------------------------------------------------------- | | **PIM-Rollenaktivierungen und -zuweisungen** | Schreibgeschützt | Zur Bewertung der Aktivierungshäufigkeit, der Rollennutzung und der Einhaltung des Prinzips der minimalen Rechte. | | **Auditprotokolle** | Schreibgeschützt | Zum Nachverfolgen von Aktivierungsereignissen, MFA-Überprüfung und Genehmigungs-Workflows. | | **Anmelde- und Identitätsrisikoprotokolle** | Schreibgeschützt | Zur Identifizierung anomalen privilegierten Zugriffsverhaltens. | | **Rolldefinitionen und Richtlinien** | Schreibgeschützt | Zur Bewertung der Konfigurationsausrichtung mit internen Governance-Standards. | **Datenverarbeitung:** * Der Agent **nicht** ändert, löscht oder Daten außerhalb der Mandantengrenze exportiert. * Der gesamte Zugriff erfolgt über **Security Copilot Plugins** unter Verwendung delegierter Berechtigungen oder Berechtigungen auf Anwendungsebene. * Zugriffsereignisse werden aufgezeichnet in **Microsoft Entra-Auditprotokollen** für Sichtbarkeit und Nachverfolgbarkeit. *** ### Agenteneinstellungen Beim Ausführen des Agents können Sie optionale Einstellungen konfigurieren, um Analyse- und Berichtsausgaben zu verfeinern. | Einstellung | Beispiel | Beschreibung | | -------------------- | --------------------------------- | ---------------------------------------------------------------------------- | | **TimeRange** | `30` oder `2025-01-01/2025-01-31` | Definiert den Zeitraum für die Analyse von PIM-Aktivierungsereignissen. | | **GenerateWorkbook** | `true` | Generiert eine Azure Workbook-Datei für die kontinuierliche PIM-Überwachung. | | **OutputFormat** | `summary` oder `detailed` | Legt den Detaillierungsgrad des Berichts und die enthaltenen Metriken fest. | #### Beispielabfragen * `„Analysiere PIM-Aktivierungen der letzten 30 Tage“` * `„Zeige mir den Zugriff des Global Administrators dieser Woche“` * `„Generiere einen PIM-Compliance-Bericht für das letzte Quartal“` * `„Erkenne Anomalien im privilegierten Zugriff mit Azure Workbook“` *** ### Azure Workbook-Generierung Wenn `GenerateWorkbook: true` angegeben ist, erstellt der Agent eine **Azure Workbook-Konfigurationsdatei** die für die fortlaufende PIM-Überwachung bereitgestellt werden kann. Das Workbook enthält Dashboards für: * PIM-Aktivierungstrends in Echtzeit * Fehlgeschlagene Aktivierungsversuche * Metriken zur Rollennutzung und -häufigkeit * Nachverfolgung der Einhaltung von Aktivierungsgründen * Anomaliealarme und Risikovisualisierung Bereitstellen Sie das Workbook im Azure-Portal unter:\ **Überwachen → Workbooks → Importieren → Konfigurationsdatei hochladen** *** ### Datenanforderungen Um genaue und aussagekräftige Ergebnisse sicherzustellen, überprüfen Sie Folgendes: * **PIM wird aktiv genutzt** wobei Rollenaktivierungen regelmäßig stattfinden. * **Aktivierungsgründe** sind in der PIM-Richtlinie für die Compliance-Analyse erforderlich. * mindestens **7–30 Tage Aktivierungsdaten** verfügbar sind. * **MFA wird erzwungen** für PIM-Aktivierungen. * **Protokollierung von Überwachungsdaten** ist in Microsoft Entra aktiviert. * **Entra ID-Überwachungsprotokolle** werden in einer Microsoft Sentinel-Instanz gespeichert * Genannt **Microsoft Sentinel** Instanz muss integriert sein mit **Microsoft Defender XDR** (früher **Microsoft Security Center**) für einheitliche Sicherheitsabläufe und erweiterte Analysen. *** ### Sicherheits- und Compliance-Überlegungen * Die gesamte Kommunikation über Security Copilot Plugins wird mit HTTPS verschlüsselt und über Microsoft-Identitätsdienste authentifiziert. * Der Agent hält sich an Microsofts **Zero Trust** und **Prinzip der minimalen Rechtevergabe** . * Der Zugriff kann jederzeit überprüft oder widerrufen werden über **Entra ID-Rollenzuweisungen** oder **Verwaltung von Anwendungszustimmungen**. *** ### Nächste Schritte * Stellen Sie sicher, dass dem Administratorkonto alle erforderlichen Rollen zugewiesen sind. * Führen Sie den Agenten aus, um PIM-Aktivitäts- und Compliance-Status zu analysieren. * Bereitstellen Sie das optionale Azure Workbook für die kontinuierliche Überwachung privilegierten Zugriffs. --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://agents.glueckkanja.com/de/agents/pim-insights/permissions.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.