# Berechtigungen

### Übersicht

Diese Seite beschreibt das Berechtigungs- und Zugriffsmodell für diesen Agenten.\
Der Agent verwendet **schreibgeschützten Zugriff** zu Microsoft Entra ID-Rollenzuweisungen, Konfigurationen von Privileged Identity Management (PIM) und Protokollen privilegierter Zugriffe über **Security Copilot Plugins**.\
Es ist darauf ausgelegt, bestehende administrative Berechtigungen zu identifizieren, die Bereitschaft für die Implementierung von Zero Standing Privilege (ZSP) zu bewerten und Schritte für die Umstellung auf Just-in-Time (JIT)-Zugriff zu empfehlen – ohne Konfigurationsänderungen vorzunehmen.

***

### So funktioniert es

Der Agent stellt über Security Copilot Plugins eine sichere Verbindung zu Microsoft Entra her, um Informationen zu PIM-Konfigurationen, privilegierten Rollenzuweisungen und zugehörigen Service Principals zu sammeln.\
Er bewertet Ihre Umgebung, um unnötigen oder dauerhaften administrativen Zugriff hervorzuheben, Privilege Creep zu erkennen und strukturierte Migrationspfade zu JIT-Zugriff vorzuschlagen.

Alle Interaktionen folgen diesen Grundsätzen:

* **Schreibgeschützter Zugriff:** Der Agent ändert oder entfernt keine Rollenzuweisungen oder Konfigurationen.
* **Prinzip der minimalen Rechtevergabe:** Es sind nur die Rollen erforderlich, die zum Lesen privilegierter Zugriffs- und PIM-Daten benötigt werden.
* **Transparenz:** Der gesamte Datenzugriff ist innerhalb von Microsoft Entra prüfbar und entspricht den Governance- und Compliance-Standards von Microsoft.

***

### Erforderliche Entra ID-Rollen

Weisen Sie dem Administratorkonto, das den Agenten installiert und ausführt, die folgenden Rollen zu:

| Rolle                             | Beschreibung                                                                                    |
| --------------------------------- | ----------------------------------------------------------------------------------------------- |
| **Privileged Role Administrator** | Bietet Einblick in PIM-Rollenkonfigurationen und -Aktivierungen.                                |
| **Security Reader**               | Gewährt Zugriff auf Sicherheitsinformationen, Protokolle privilegierter Zugriffe und Prüfdaten. |
| **Berichtsleser**                 | Ermöglicht Einblick in Berichte und Trendanalysen zur Rollennutzung.                            |
| **Global Reader**                 | Ermöglicht mandantenweiten Einblick für eine umfassende Rollenbewertung.                        |

#### Optionale Rollen für die Azure-Ressourcenanalyse

| Rolle                              | Beschreibung                                                                 |
| ---------------------------------- | ---------------------------------------------------------------------------- |
| **Reader (Azure-Abonnementebene)** | Ermöglicht die Analyse bestehender Berechtigungen in Azure-RBAC-Zuweisungen. |

{% hint style="info" %}
Diese Rollen folgen dem Prinzip der geringsten Privilegien. Weisen Sie die Azure **Reader** Rolle nur zu, wenn Sie die Azure-RBAC-Analyse einbeziehen möchten.
{% endhint %}

***

### Transparenz beim Datenzugriff

Die folgende Tabelle zeigt, auf welche Daten der Agent zugreifen kann und zu welchem Zweck.

| Datentyp                                         | Zugriffslevel    | Zweck                                                                                                       |
| ------------------------------------------------ | ---------------- | ----------------------------------------------------------------------------------------------------------- |
| **Privilegierte Rollenzuweisungen**              | Schreibgeschützt | Um bestehende Privilegien und übermäßig zugewiesenen administrativen Zugriff zu identifizieren.             |
| **PIM-Konfigurationen und -Aktivierungen**       | Schreibgeschützt | Um die Bereitschaft für JIT und Zero Standing Privilege zu bewerten.                                        |
| **Service Principals und App-Registrierungen**   | Schreibgeschützt | Um Automatisierungs- und Dienstkonten zu erkennen, die dauerhafte Berechtigungen erfordern.                 |
| **Prüf- und Protokolle privilegierter Zugriffe** | Schreibgeschützt | Um historische Aktivierungen nachzuverfolgen, Anomalien zu identifizieren und die Compliance zu validieren. |

**Datenverarbeitung:**

* Der Agent **nicht** ändert, löscht oder Daten außerhalb der Mandantengrenze exportiert.
* Der gesamte Zugriff erfolgt über **Security Copilot Plugins** unter Verwendung delegierter Berechtigungen oder Berechtigungen auf Anwendungsebene.
* Alle Aktivitäten werden in **Microsoft Entra-Auditprotokollen** zur Nachverfolgbarkeit und Compliance-Validierung.

***

### Agenteneinstellungen

Beim Ausführen des Agents können Sie Parameter konfigurieren, um Analyse- und Migrations-Empfehlungen anzupassen.

| Einstellung          | Beispiel                                 | Beschreibung                                                                                 |
| -------------------- | ---------------------------------------- | -------------------------------------------------------------------------------------------- |
| **TimeRange**        | `30`, `90`, oder `2025-01-01/2025-03-31` | Definiert den Analysezeitraum für PIM- und privilegierte Zugriffs-Daten.                     |
| **IncludeAzureRBAC** | `true`                                   | Bezieht Azure Role-Based Access Control-(RBAC)-Daten in die Analyse ein.                     |
| **OutputFormat**     | `summary` oder `detailed`                | Gibt die Detailstufe des generierten Berichts an.                                            |
| **MigrationMode**    | `simulation` oder `plan`                 | Bestimmt, ob der Agent eine Bereitschaftsbewertung durchführt oder Migrationspläne erstellt. |

#### Beispielabfragen

* `"Alle bestehenden administrativen Privilegien finden"`
* `"Einen Plan zur Implementierung von Zero Standing Privilege erstellen"`
* `"Privilege Creep in meiner Umgebung identifizieren"`
* `"Skripts generieren, um unnötigen administrativen Zugriff zu entfernen"`
* `"Zero-Trust-Bereitschaft für das Privilegiemanagement bewerten"`

***

### Überlegungen zur Migration

Bevor Sie Zero Standing Privilege oder JIT-Zugriffsempfehlungen implementieren, prüfen und planen Sie sorgfältig:

| Bereich                          | Empfehlung                                                                                                                  |
| -------------------------------- | --------------------------------------------------------------------------------------------------------------------------- |
| **Konten für Notfallzugriff**    | Stellen Sie sicher, dass Break-Glass-Konten weiterhin funktionieren und von JIT-Workflows ausgenommen sind.                 |
| **Pilotphase**                   | Testen Sie JIT-Aktivierungs-Workflows zunächst mit einer kleinen Benutzergruppe, bevor Sie sie breit einführen.             |
| **PIM-Genehmiger**               | Stellen Sie sicher, dass Genehmiger-Konfigurationen für kritische Rollen festgelegt sind.                                   |
| **Automatisierungskonten**       | Validieren Sie, dass Service Principals bei Bedarf für Automatisierung über angemessene dauerhafte Berechtigungen verfügen. |
| **Kommunikation von Änderungen** | Informieren Sie betroffene Administratoren und Teams, bevor Sie Rollenbeschränkungen einführen.                             |
| **Workflow-Validierung**         | Bestätigen Sie, dass Aktivierungsanfragen, MFA-Durchsetzung und Genehmigungsprozesse wie erwartet funktionieren.            |

Der Agent liefert strukturierte Empfehlungen, darunter:

* **Priorisierung der Migration:** Identifiziert zuerst schnelle Erfolge, komplexe Migrationen später.
* **Erkennung von Dienstkonten:** Kennzeichnet nicht interaktive Konten, die für JIT-Zugriff ungeeignet sind.
* **Validierung des Notfallzugriffs:** Identifiziert und bewahrt Break-Glass-Konten.
* **Umgang mit Automatisierungskonten:** Hebt Service Principals hervor, die dauerhafte Privilegien benötigen.

***

### Sicherheits- und Compliance-Überlegungen

* Die gesamte Kommunikation über Security Copilot Plugins wird mit HTTPS verschlüsselt und über Microsoft-Identitätsdienste authentifiziert.
* Der Agent hält sich an Microsofts **Zero Trust** und **Prinzip der minimalen Rechtevergabe** .
* Der Zugriff kann jederzeit überprüft oder widerrufen werden über **Entra ID-Rollenzuweisungen** oder **Verwaltung von Anwendungszustimmungen**.

***

### Nächste Schritte

* Bestätigen Sie, dass dem Administratorkonto die erforderlichen Rollen zugewiesen sind.
* Führen Sie den Agenten aus, um bestehende Privilegien zu identifizieren und Ihren ZSP-Bereitschaftsbericht zu erstellen.
* Überprüfen Sie die Migrations-Empfehlungen des Agents in Security Copilot, bevor Sie JIT- oder PIM-Änderungen vornehmen.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://agents.glueckkanja.com/de/agents/privileged-admin-watchdog/permissions.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.