# Übersicht
> **SCU-Kostenschätzung**
>
> Dieser Agent verbraucht typischerweise **1-3 SCUs** pro Analyselauf, abhängig von der Anzahl der analysierten Rollenzuweisungen und Service Principals.
### Einführung
Privileged Admin Watchdog hilft Ihnen, dauerhafte Adminberechtigungen zu beseitigen. Wenn Sie versucht haben, Zero Standing Privilege umzusetzen, aber nicht wissen, wo Sie anfangen sollen, oder wenn Sie alle persistenten Admin-Zugriffe in Ihrer Umgebung finden möchten, ist dieser Agent genau das Richtige für Sie. Er identifiziert systematisch jede dauerhafte administrative Berechtigung, empfiehlt die Migration zu Just-in-Time-(JIT-)Zugriff und stellt die Skripte und Pläne bereit, um dies umzusetzen.
### Was er tut
* **Findet alle dauerhaften Berechtigungen** über Entra ID-Rollen, Service Principals und Azure-Ressourcen hinweg
* **Identifiziert Kandidaten für die JIT-Migration** und zeigt, welche Rollen zu PIM verschoben werden können
* **Erkennt Privilege Creep** indem nachverfolgt wird, wann Berechtigungen über den ursprünglichen Zweck hinaus erweitert werden
* **Analysiert Eskalationspfade** um indirekte Wege zu Adminzugriff zu finden
* **Setzt zeitlich begrenzten Zugriff durch** indem Rollen ohne Ablauf identifiziert werden
* **Überwacht die Aktivitäten privilegierter Konten** auf anomales Verhalten
* **Automatisiert Zugriffszertifizierungen** um eine regelmäßige Überprüfung von Berechtigungen sicherzustellen
* **Erstellt Skripte zur Aufhebungsbereitstellung** um unnötigen dauerhaften Zugriff zu entfernen
* **Berechnet Risikowerte** und zeigt das Potenzial zur Reduzierung der Angriffsfläche
* **Bietet eine Zero-Trust-Reifegradbewertung** für das Berechtigungsmanagement
### Anwendungsfälle
#### 1. Implementierung von Zero Standing Privilege
Sie möchten allen persistenten Adminzugriff entfernen, wissen aber nicht, wo Sie aktuell stehen. Privileged Admin Watchdog inventarisiert jede dauerhafte Berechtigung in Ihrer Umgebung, kategorisiert sie nach Migrationsschwierigkeit und bietet einen stufenweisen Plan, um alles auf Just-in-Time-Zugriff umzustellen.
#### 2. Reduzierung der Angriffsfläche
Persistente Adminberechtigungen sind Ihr größtes Sicherheitsrisiko. Der Agent identifiziert alle dauerhaften administrativen Zugriffe, berechnet die Risikoreduzierung durch das Entfernen jedes einzelnen und stellt automatisierte Skripte bereit, um Rollen auf PIM umzustellen oder vollständig zu entfernen. Sehen Sie genau, wie stark Sie Ihre Angriffsfläche reduzieren können.
#### 3. Bereinigung von Privilege Creep
Im Laufe der Zeit sammeln Benutzer Berechtigungen an, die sie nicht mehr benötigen. Privileged Admin Watchdog analysiert alle Rollenzuweisungen, gleicht sie mit tatsächlichen Nutzungsmustern ab, identifiziert inaktive oder übermäßige Berechtigungen und empfiehlt bestimmte Konten zur Reduzierung oder Entfernung von Berechtigungen.
#### 4. Verwaltung von Notfallzugriff
Sie benötigen Break-Glass-Konten, möchten aber sicherstellen, dass sie ordnungsgemäß geschützt sind. Der Agent überprüft Notfallzugriffskonten, stellt sicher, dass sie gegebenenfalls von PIM-Anforderungen ausgenommen sind, validiert Sicherheitskontrollen (Conditional Access, MFA) und gewährleistet eine ordnungsgemäße Überwachung.
#### 5. Zero-Trust-Compliance
Ihre Organisation verfolgt Zero-Trust-Prinzipien und muss die Reife des Berechtigungsmanagements nachweisen. Privileged Admin Watchdog bewertet Ihren aktuellen Zustand anhand der Zero-Trust-Anforderungen, berechnet einen Reifegrad, identifiziert Lücken und stellt eine Roadmap bereit, um die Compliance mit Zero Standing Privilege zu erreichen.
### Warum Privileged Admin Watchdog?
| Das Problem, mit dem Sie sich befassen | Wie das hilft |
| ---------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------- |
| **Dauerhafte Berechtigungen überall**: Admins haben dauerhaften Zugriff, den sie nur selten nutzen | **Vollständige Inventarisierung**: Jede dauerhafte Berechtigung wird mit Empfehlungen zur JIT-Migration identifiziert |
| **Zero Standing Privilege scheint unmöglich**: Sie wissen nicht, wo Sie anfangen oder was Sie migrieren sollen | **Stufenweiser Migrationsplan**: Priorisierte Roadmap, die zeigt, welche Berechtigungen zuerst auf JIT umgestellt werden sollen |
| **Privilege Creep ist unsichtbar**: Benutzer sammeln im Laufe der Zeit Berechtigungen an | **Automatisierte Erkennung**: Identifiziert inaktive und übermäßige Berechtigungen zur Entfernung |
| **Die Angriffsfläche ist unklar**: Sie wissen nicht, wie viel persistenter Adminzugriff vorhanden ist | **Risikobewertung**: Kennzahlen zur Angriffsfläche und Berechnungen zur Risikoreduzierung |
| **Manuelle Berechtigungsprüfungen sind mühsam**: Vierteljährliche Zugriffszertifizierungen kosten Tage an Arbeit | **Automatisierte Zertifizierung**: Skripte und Berichte zur Vereinfachung der Berechtigungsprüfung |
| **Eskalationspfade sind verborgen**: Indirekte Wege zum Adminzugriff sind nicht offensichtlich | **Pfadanalyse**: Zeigt, wie Benutzer indirekt privilegierten Zugriff erlangen können |
### So funktioniert es
**Was eingeht:**
* Entra ID-Rollenzuweisungen (Verzeichnisrollen)
* PIM-Konfigurationen und berechtigte Rollen
* Berechtigungen für Service Principals und Anwendungsrollen
* Anwendungszustimmungen (Admin- und Benutzerzustimmungen)
* Protokolle zu privilegiertem Zugriff und Nutzungsmuster
* Conditional Access-Richtlinien, die Admin-Konten betreffen
* Mitgliedschaften in administrativen Einheiten
* Azure-RBAC-Zuweisungen (falls Azure-Ressourcen überwacht werden)
* Konfigurationen von Notfallzugriffskonten
**Was es tut:**
* Scannt alle Rollenzuweisungen in Entra ID und Azure
* Identifiziert, welche Berechtigungen dauerhaft (permanent) bzw. JIT (PIM-fähig) sind
* Analysiert Nutzungsmuster, um inaktive Berechtigungen zu erkennen
* Mappt Pfade zur Berechtigungsausweitung (indirekter Adminzugriff)
* Validiert zeitlich begrenzte Zugriffskontrollen
* Prüft auf Privilege Creep (wachsende Berechtigungen im Laufe der Zeit)
* Bewertet die Sicherheit von Notfallzugriffskonten
* Berechnet Risikowerte für jede dauerhafte Berechtigung
* Erstellt einen Migrationsplan für JIT-Zugriffsmodelle
* Erstellt automatisierte Skripte zur Aufhebungsbereitstellung
**Was Sie erhalten:**
* Inventar dauerhafter Berechtigungen (vollständige Liste persistenter Adminzugriffe)
* JIT-Migrationsplan mit stufenweisem Ansatz und Priorisierungsrangfolgen
* Kennzahlen zur Berechtigungsreduzierung (Angriffsfläche vorher/nachher)
* Risikobewertungen für jede dauerhafte Berechtigung
* Automatisierte Skripte zur Aufhebungsbereitstellung (PowerShell für Entra ID, Azure CLI für RBAC)
* Compliance-Auditbericht, der den aktuellen Zustand mit Zero Standing Privilege vergleicht
* Analyse von Zugriffsmustern (Nutzungshäufigkeit, letzte Nutzung, inaktive Berechtigungen)
* Erkennung von Pfaden zur Berechtigungsausweitung (indirekte Adminzugriffswege)
* Zero-Trust-Reifegradbewertung mit Reifegrad-Scoring
* Validierung von Notfallzugriffskonten und Sicherheitsempfehlungen
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://agents.glueckkanja.com/de/agents/privileged-admin-watchdog/overview.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.