Ett traditionellt sätt att lösa problematiken kring administrativa konton med höga behörigheter är att använda ett separat konto för detta och till vardags använda ett konto med mer normala behörigheter. Detta fungerar förstås, men ibland är det önskvärt med lite mer flexibilitet på det här området. Ibland kanske du vill tidsbegränsa de administrativa kontona och dessutom införa ett krav på att någon måste godkänna en ansökan om att få tillgång till högre behörigheter i Azure AD?

Det är också troligt att du idag saknar en bra funktion för att regelbundet följa upp de konton och personer som har höga behörigheter och be dem eller deras chef godkänna att de fortfarande har behov av behörigheterna. Lösningen på alla dessa problem kallas för Privileged Identity Management, PIM, och är en funktion som är inbyggd i katalogtjänsten Azure AD.

azure ad rättigheter pim
När en person fått rätt att efterfråga en roll så sker ansökan antingen via Powershell eller i Azure-portalen. Man behöver förstås motivera sitt önskemål och detta sparas i loggningsfunktionen.

PIM är en ganska avancerad funktion och för att få tillgång till den behöver du ha licens för Azure AD Premium 2, till exempel via EMS E5 eller Microsoft 365 E5 eller om du har köpt det separat. Alla personer som är inblandade i en PIM-transaktion, som antingen begär eller godkänner en behörighet, måste ha en P2-licens tilldelad på sitt konto. Detta är inget som Microsoft idag rent tekniskt tvingar fram, men det är likafullt ett licensbrott att inte uppfylla kraven.

Jobba dig igenom roll för roll

För att komma igång måste du först ta en titt på Microsofts standardvärden, det är troligt att de inte passar dig rakt av utan att du vill justera dem något. Jobba dig igenom roll för roll och fundera på vilka personer som ska ha rätt att efterfråga vilken roll, hur länge de ska få ha rollen samt om de ska få tillgång till rollen genom att bara efterfråga den (self approval) eller om någon annan ska behöva godkänna deras önskemål om att få tillgång till en viss roll. I det senare fallet måste du också fundera på vem eller vilka som ska ha rätten att godkänna rolltilldelningen.

För att underlätta det här arbetsmomentet har Microsoft skapat ett inbyggt arbetsflöde som visar vilka personer som har vilka permanenta roller idag och du kan direkt och enkelt ”degradera” dessa konton och ange vilka roller de istället ska ha rätt att efterfråga.

azure ad rättigheter pim
Arbeta dig igenom alla roller och ange vad som ska krävas för att få inneha rollen. Här anger vi att en person som fått rätten att efterfråga rollen Global Reader i så fall får den i en timme, och förfrågan måste godkännas av Henrik innan den tilldelas.

För att den person som har rätt till högre behörigheter ska kunna efterfråga dessa, måste denne logga in i Azure AD-portalen och gå till PIM-funktionen. Detta går inte om du har slagit av möjligheten för ”vanliga” konton att logga in i portalen eftersom personens konto vid det laget är just ett ”vanligt” konto utan högre behörigheter. I en sådan situation kan man använda Powershell för att elevera sitt konto, och därefter logga in i portalen och genomföra de tänkta åtgärderna. Kommandot för detta är Enable-PrivilegedRoleAssignment och det körs efter att personen loggat in i PIM med Connect-PimService.

Välj att skicka ut en schemalagd förfrågan

När allt detta är klart så är det också troligt att du vill slutföra hela konfigurationen med att schemalägga en förfrågan som skickas ut till alla som har rätt att elevera sina behörigheter via PIM, till exempel två gånger per år. Detta innebär att ett de får ett mejl med en fråga om de fortfarande har behov av att inneha rollen och denna förnyelse kan godkännas antingen av dem själva och automatiskt eller via en separat person som får godkänna allas önskemål om fortsatt behörighet.

azure ad rättigheter pim
Det går att konfigurera regelbundna uppföljningar kring rolltilldelning. Kanske vill du några ggr per år säkerställa att olika personer fortfarande har behov av att elevera sig till högre behörigheter?

PIM är ett mycket kraftfullt verktyg som är enkelt att få fart på och som innebär att du finmaskigt kan tilldela personer rätt behörighet och detta på de villkor du själv bestämmer. Fundera på vilka olika roller som idag delas ut på mer eller mindre permanent basis till personer i din organisation och om dessa verkligen behövs, och du är redan på väg mot en förhöjd säkerhet där PIM troligen kan vara det verktyg som behövs för att förverkliga säkerhetshöjningen.

Läs också: Säker inloggning i molnet utan lösenord – vi testar säkerhetsnyckel till Office 365