Privileged Identity Management (PIM) in der Praxis: Tier-Modell für regulierte Unternehmen
Privileged Identity Management ist seit Jahren in jeder Microsoft 365 E5 Lizenz enthalten. Aktiviert ist es in unter 30 Prozent der Tenants, die wir reviewen. Dieser Artikel zeigt das Tier-0/1/2-Modell aus der AD-Welt, wie es in M365 abgebildet wird, und welche Konfiguration BAIT, VAIT und ISO 27001 standhält.
Warum dauerhafte Admin-Rechte ein Problem sind
Ein klassischer Tenant hat 8 bis 14 dauerhafte Global Admins. Inklusive ehemaliger Mitarbeiter, deren Accounts noch aktiv sind, und Service-Accounts, die "weil schneller" Global Admin gemacht wurden. Die Realität in jedem zweiten Review: dauerhafte privilegierte Rollen sind eine der häufigsten kritischen Findings.
Das Problem ist nicht die Anzahl. Es ist die Permanenz. Ein dauerhafter Global Admin ist ein dauerhaftes Risiko: jeden Moment, in dem niemand admininistriert, ist ein Moment, in dem ein kompromittierter Account erhebliche Schäden anrichten kann. Just-in-Time-Rechte ändern diese Logik fundamental.
Das Tier-Modell aus der AD-Welt strukturiert privilegierte Zugriffe nach kritischer Auswirkung. Es ist die Basis für ein PIM-Setup, das nicht nur konfiguriert, sondern in der Aufsichts-Praxis akzeptiert ist.
Das Tier-Modell verstehen
Tier 0 umfasst Rollen, deren Kompromittierung den gesamten Tenant kompromittiert. Global Administrator, Privileged Role Administrator, Privileged Authentication Administrator. Auswirkung: total. Anzahl: minimal, idealerweise unter 4.
Tier 1 umfasst Rollen, die Service-spezifische Konfigurationen ändern können. Exchange Administrator, SharePoint Administrator, Teams Administrator, Security Administrator. Auswirkung: hoch, aber begrenzt auf den Service-Scope.
Tier 2 umfasst Standard-Privileged-Rollen wie Helpdesk Administrator, User Administrator, License Administrator. Auswirkung: moderat, üblicherweise auf User-Subset begrenzt.
Standard-User sind kein Tier. Sie haben keine privilegierten Rechte und brauchen kein PIM. Die Differenzierung der drei Tiers ist die strategische Voraussetzung für jede PIM-Konfiguration.
Aktion: Tier-0/1/2-Klassifikation für alle Rollen im Tenant durchführen, in Tenant-Dokumentation festhalten, mit Compliance abstimmen.
Konfiguration für Tier-0-Rollen
Für Tier-0-Rollen gilt: keine dauerhaften Mitglieder außer 2 Break-Glass-Accounts. Alle anderen Personen sind "Eligible", also PIM-berechtigt mit Just-in-Time-Aktivierung. Aktivierungsdauer: maximal 4 Stunden.
Approval-Workflow: zwingend. Tier-0-Aktivierung erfordert Genehmigung durch eine zweite Person aus einem definierten Approver-Pool, idealerweise nicht aus der gleichen Abteilung. Das ist das 4-Augen-Prinzip in seiner technischen Form.
MFA für Tier-0-Aktivierung: phishing-resistent. App-Push reicht hier nicht aus. FIDO2 oder Passkey sind die akzeptierten Methoden. Conditional Access Authentication Strength erzwingt das.
Aktion: Tier-0-Rollen in PIM auf "Eligible" umstellen, Approval-Workflow mit Approver-Pool konfigurieren, Authentication Strength "Phishing-resistent" erzwingen.
Konfiguration für Tier-1-Rollen
Für Tier-1-Rollen ist das Modell ähnlich, aber pragmatischer. Aktivierungsdauer: bis 8 Stunden. Approval optional, aber empfohlen für besonders sensible Rollen wie Security Administrator. Begründung beim Aktivieren: zwingend.
MFA: phishing-resistent für Security Administrator und Compliance Administrator, App-Push mit Number Matching ausreichend für andere Tier-1-Rollen. Die Differenzierung erfolgt über Conditional Access Authentication Strength pro Rolle.
Aktion: Tier-1-Rollen in PIM auf "Eligible", Approval für Security- und Compliance-Rollen, Begründung beim Aktivieren erzwingen.
Konfiguration für Tier-2-Rollen
Tier-2-Rollen sind operativ und werden mehrfach täglich gebraucht. Helpdesk Administrator, User Administrator. Hier wäre ein 8-Stunden-PIM-Aktivierungs-Zyklus ein Produktivitäts-Killer. Praxis: Aktivierungsdauer 8 Stunden, Begründung optional, MFA App-Push ausreichend.
Wichtig ist trotzdem die PIM-Aktivierung, weil sie den Audit-Trail erzeugt. Ein Helpdesk-Mitarbeiter, der 200 mal pro Monat seine Rolle aktiviert hat, hinterlässt eine prüfbare Spur. Das ist im VAIT- und BAIT-Audit der relevante Punkt: nicht ob die Aktivierung dauerhaft sicher ist, sondern ob sie nachvollziehbar dokumentiert ist.
Aktion: Tier-2-Rollen in PIM auf "Eligible", längere Aktivierungsfenster, einfacheres MFA-Niveau, aber zwingender Audit-Trail.
Quarterly Access Reviews
PIM ohne regelmäßige Access Reviews ist halbe Miete. Über die Zeit sammeln sich Eligible-Mitgliedschaften an: jemand wechselt das Team, behält aber die alte PIM-Berechtigung. Quarterly Reviews für jede Tier-Rolle räumen diese Schichten ab.
Microsoft Entra ID Access Reviews kann den Prozess automatisieren. Quartalsweise wird der Rollen-Owner aufgefordert, jedes Eligible-Mitglied zu bestätigen oder zu entfernen. Wer in 7 Tagen nicht bestätigt, verliert die Berechtigung automatisch.
Aktion: Access Reviews pro Tier-Rolle aktivieren, Quartals-Rhythmus einstellen, Auto-Removal nach 7 Tagen Nicht-Antwort, Review-Ergebnisse im Compliance-Register dokumentieren.
Was BAIT, VAIT und ISO 27001 prüfen
BAIT (Banken) und VAIT (Versicherungen) prüfen Berechtigungsmanagement zentral. Die Standardfrage: "Zeigen Sie uns die Liste der Personen mit Global Admin-Rechten und wann diese zuletzt verwendet wurden." Mit dauerhaften Admins ist diese Frage schwer zu beantworten. Mit PIM steht jede Aktivierung im Log.
ISO 27001 Annex A.5.15 (Access Control) und A.5.18 (Access Rights) verlangen ein dokumentiertes Berechtigungskonzept mit periodischer Überprüfung. PIM plus Access Reviews erfüllen das technisch und prozessual. Plus: ein 2-seitiges Konzept, das die Tier-Logik beschreibt.
Aktion: Berechtigungs-Konzept als 2-Seiten-Doku schreiben, Tier-Modell mit konkreten Rollen abbilden, Access-Review-Protokolle archivieren, im jährlichen ISMS-Review aktualisieren.
Faustregel: PIM ohne Tier-Modell ist eine technische Spielerei. PIM mit Tier-Modell ist eine audit-prüfbare Berechtigungs-Architektur. Der Unterschied liegt nicht in der Technik, sondern in der Klassifikation der Rollen.
Die Einführung dauert in einem mittleren Tenant 4 bis 8 Wochen, abhängig von der Größe der privilegierten Population. Der größte Aufwand liegt in der initialen Klassifikation und in den Workshops mit den Rollen-Ownern. Die technische Konfiguration ist in einem Tag erledigt. Das Ergebnis ist eine Berechtigungs-Architektur, die jedes BAIT-, VAIT- oder ISO-Audit problemlos übersteht.
Microsoft 365 Governance Blueprint
Wir entwickeln mit Ihnen ein PIM-Tier-Modell für Ihren Tenant: Klassifikation der Rollen, Approval-Workflows, Authentication Strength, Quarterly Access Reviews, Audit-Doku. In 6 bis 8 Wochen produktiv.
Zum Governance Blueprint