Herausforderung

Ziel ist es eine einzelne oder mehrere Personen zu bestimmen, die die Freigaben für PIM machen. Diese Freigaben beinhalten die Freigabe von Rollen und damit Rechten für andere Personen.

Lösung

Rechte

Im Rahmen der Konfiguration kann man mit den folgenden Rechten arbeiten. Diese sind aber meinst zu weitreichend und man möchte nicht jedem diese erweiterten Rechte geben.

• Global Admin
• Benutzerdienstadministrator

Alternative für eine granularere Rechtezuweisung

Administrator für privilegierte Rollen

Benutzer mit dieser Rolle können Rollenzuweisungen in Azure Active Directory sowie innerhalb von Azure AD Privileged Identity Management verwalten. Darüber hinaus erlaubt diese Rolle die Verwaltung aller Aspekte von Privileged Identity Management.

Hinweis: Diese Rolle ist jedoch auch nicht nur auf die Freigabe beschränkt, sondern mit dieser Rolle könnte der User alle Freigaben ändern und auch andere Rollen sich selber zuweisen. Damit wird diese Rolle wieder gefährdet für Angriffe.

Was kann man nun tun? wenige Schritte zum Erfolg

Die Lösung ist dann doch recht einfach, auch wenn es nicht der Logik der Berechtigungen und Zuweisungen folgt.

Wir wollen für die Teams Administrator-Rolle verschiedene genehmigende Personen auswählen, die aber weder die Global noch die Administrator-Rolle für privilegierte Rollen besitzt, da diese zu weitreichend sind für den Abteilungsleiter. Es sollen nur Freigaben erteilt werden.

1. Anlegen einer AAD Security Gruppe -> z.B. PIM-Freigaben-Teams-Admin
2. Besitzer und Mitglieder hinzufügen oder auch dynamisch an Hand eines Attributes, wie z.B. Abteilungsleiter Modern Work

4. Dann weiter zum Teams Administrator /auch über die Suche möglich /

5. Den Teams Administrator auswählen und auf bearbeiten klicken

6. Teams Administrator Rolle bearbeiten

a) „Genehmigung zum Aktivieren anfordern“

b) Gruppe auswählen und Bestätigen

c) OPTIONAL: Azure MFA aktivieren

d) Aktualisieren drücken