circle-info
Dieser Artikel wurde automatisch mit KI übersetzt und kann Fehler oder Ungenauigkeiten enthalten.

Berechtigungen

Übersicht

Diese Seite beschreibt das Berechtigungs- und Zugriffsmodell für diesen Agenten. Der Agent verwendet schreibgeschützten Zugriff zu Microsoft Entra ID-Rollenzuweisungen, Konfigurationen von Privileged Identity Management (PIM) und Protokollen privilegierter Zugriffe über Security Copilot Plugins. Es ist darauf ausgelegt, bestehende administrative Berechtigungen zu identifizieren, die Bereitschaft für die Implementierung von Zero Standing Privilege (ZSP) zu bewerten und Schritte für die Umstellung auf Just-in-Time (JIT)-Zugriff zu empfehlen – ohne Konfigurationsänderungen vorzunehmen.


So funktioniert es

Der Agent stellt über Security Copilot Plugins eine sichere Verbindung zu Microsoft Entra her, um Informationen zu PIM-Konfigurationen, privilegierten Rollenzuweisungen und zugehörigen Service Principals zu sammeln. Er bewertet Ihre Umgebung, um unnötigen oder dauerhaften administrativen Zugriff hervorzuheben, Privilege Creep zu erkennen und strukturierte Migrationspfade zu JIT-Zugriff vorzuschlagen.

Alle Interaktionen folgen diesen Grundsätzen:

  • Schreibgeschützter Zugriff: Der Agent ändert oder entfernt keine Rollenzuweisungen oder Konfigurationen.

  • Prinzip der minimalen Rechtevergabe: Es sind nur die Rollen erforderlich, die zum Lesen privilegierter Zugriffs- und PIM-Daten benötigt werden.

  • Transparenz: Der gesamte Datenzugriff ist innerhalb von Microsoft Entra prüfbar und entspricht den Governance- und Compliance-Standards von Microsoft.


Erforderliche Entra ID-Rollen

Weisen Sie dem Administratorkonto, das den Agenten installiert und ausführt, die folgenden Rollen zu:

Rolle
Beschreibung

Privileged Role Administrator

Bietet Einblick in PIM-Rollenkonfigurationen und -Aktivierungen.

Security Reader

Gewährt Zugriff auf Sicherheitsinformationen, Protokolle privilegierter Zugriffe und Prüfdaten.

Berichtsleser

Ermöglicht Einblick in Berichte und Trendanalysen zur Rollennutzung.

Global Reader

Ermöglicht mandantenweiten Einblick für eine umfassende Rollenbewertung.

Optionale Rollen für die Azure-Ressourcenanalyse

Rolle
Beschreibung

Reader (Azure-Abonnementebene)

Ermöglicht die Analyse bestehender Berechtigungen in Azure-RBAC-Zuweisungen.

circle-info

Diese Rollen folgen dem Prinzip der geringsten Privilegien. Weisen Sie die Azure Reader Rolle nur zu, wenn Sie die Azure-RBAC-Analyse einbeziehen möchten.


Transparenz beim Datenzugriff

Die folgende Tabelle zeigt, auf welche Daten der Agent zugreifen kann und zu welchem Zweck.

Datentyp
Zugriffslevel
Zweck

Privilegierte Rollenzuweisungen

Schreibgeschützt

Um bestehende Privilegien und übermäßig zugewiesenen administrativen Zugriff zu identifizieren.

PIM-Konfigurationen und -Aktivierungen

Schreibgeschützt

Um die Bereitschaft für JIT und Zero Standing Privilege zu bewerten.

Service Principals und App-Registrierungen

Schreibgeschützt

Um Automatisierungs- und Dienstkonten zu erkennen, die dauerhafte Berechtigungen erfordern.

Prüf- und Protokolle privilegierter Zugriffe

Schreibgeschützt

Um historische Aktivierungen nachzuverfolgen, Anomalien zu identifizieren und die Compliance zu validieren.

Datenverarbeitung:

  • Der Agent nicht ändert, löscht oder Daten außerhalb der Mandantengrenze exportiert.

  • Der gesamte Zugriff erfolgt über Security Copilot Plugins unter Verwendung delegierter Berechtigungen oder Berechtigungen auf Anwendungsebene.

  • Alle Aktivitäten werden in Microsoft Entra-Auditprotokollen zur Nachverfolgbarkeit und Compliance-Validierung.


Agenteneinstellungen

Beim Ausführen des Agents können Sie Parameter konfigurieren, um Analyse- und Migrations-Empfehlungen anzupassen.

Einstellung
Beispiel
Beschreibung

TimeRange

30, 90, oder 2025-01-01/2025-03-31

Definiert den Analysezeitraum für PIM- und privilegierte Zugriffs-Daten.

IncludeAzureRBAC

true

Bezieht Azure Role-Based Access Control-(RBAC)-Daten in die Analyse ein.

OutputFormat

summary oder detailed

Gibt die Detailstufe des generierten Berichts an.

MigrationMode

simulation oder plan

Bestimmt, ob der Agent eine Bereitschaftsbewertung durchführt oder Migrationspläne erstellt.

Beispielabfragen

  • "Alle bestehenden administrativen Privilegien finden"

  • "Einen Plan zur Implementierung von Zero Standing Privilege erstellen"

  • "Privilege Creep in meiner Umgebung identifizieren"

  • "Skripts generieren, um unnötigen administrativen Zugriff zu entfernen"

  • "Zero-Trust-Bereitschaft für das Privilegiemanagement bewerten"


Überlegungen zur Migration

Bevor Sie Zero Standing Privilege oder JIT-Zugriffsempfehlungen implementieren, prüfen und planen Sie sorgfältig:

Bereich
Empfehlung

Konten für Notfallzugriff

Stellen Sie sicher, dass Break-Glass-Konten weiterhin funktionieren und von JIT-Workflows ausgenommen sind.

Pilotphase

Testen Sie JIT-Aktivierungs-Workflows zunächst mit einer kleinen Benutzergruppe, bevor Sie sie breit einführen.

PIM-Genehmiger

Stellen Sie sicher, dass Genehmiger-Konfigurationen für kritische Rollen festgelegt sind.

Automatisierungskonten

Validieren Sie, dass Service Principals bei Bedarf für Automatisierung über angemessene dauerhafte Berechtigungen verfügen.

Kommunikation von Änderungen

Informieren Sie betroffene Administratoren und Teams, bevor Sie Rollenbeschränkungen einführen.

Workflow-Validierung

Bestätigen Sie, dass Aktivierungsanfragen, MFA-Durchsetzung und Genehmigungsprozesse wie erwartet funktionieren.

Der Agent liefert strukturierte Empfehlungen, darunter:

  • Priorisierung der Migration: Identifiziert zuerst schnelle Erfolge, komplexe Migrationen später.

  • Erkennung von Dienstkonten: Kennzeichnet nicht interaktive Konten, die für JIT-Zugriff ungeeignet sind.

  • Validierung des Notfallzugriffs: Identifiziert und bewahrt Break-Glass-Konten.

  • Umgang mit Automatisierungskonten: Hebt Service Principals hervor, die dauerhafte Privilegien benötigen.


Sicherheits- und Compliance-Überlegungen

  • Die gesamte Kommunikation über Security Copilot Plugins wird mit HTTPS verschlüsselt und über Microsoft-Identitätsdienste authentifiziert.

  • Der Agent hält sich an Microsofts Zero Trust und Prinzip der minimalen Rechtevergabe .

  • Der Zugriff kann jederzeit überprüft oder widerrufen werden über Entra ID-Rollenzuweisungen oder Verwaltung von Anwendungszustimmungen.


Nächste Schritte

  • Bestätigen Sie, dass dem Administratorkonto die erforderlichen Rollen zugewiesen sind.

  • Führen Sie den Agenten aus, um bestehende Privilegien zu identifizieren und Ihren ZSP-Bereitschaftsbericht zu erstellen.

  • Überprüfen Sie die Migrations-Empfehlungen des Agents in Security Copilot, bevor Sie JIT- oder PIM-Änderungen vornehmen.

Zuletzt aktualisiert

War das hilfreich?