I takt med att vi placerar fler och fler funktioner i Azure är det extremt viktigt att skydda och ha koll på administrativa konton. Skulle exempelvis ett global adminkonto komma i fel händer kan det bli förödande för en verksamhet.

Med hjälp av en roll vid namn Azure AD Privileged Identity Management (PIM) som vi tidigare haft i Microsoft Identity Manager (MIM) 2016, får verksamheten möjligheten att:

• Tilldela flera administratörsroller till en användare
• Central övervakning och hantering av alla administratörer
• Övervaka när en användare preliminärt tilldelas en administratörsroll
• Definiera hur länge användaren har en viss behörighet
• Begära förstärkt autentisering i form av multifaktorautentisering

Tack vare Privileged Identity Management får verksamheten inte bara kontroll utan minskar även attackytan med minskade antal aktiva administratörer och på det sättet ökar säkerheten.

PIM är en roll i Azure som vid start börjar med att inventera alla administratörsroller inom verksamhetens Azure miljö.
PIM skapar även en ny behörighetsroll vid namn Security Administrator som med automatik tilldelar den Global Administrator som initialt konfigurerar PIM.

I nästa steg ges möjlighet att konvertera permanenta administratörer till att bli temporära. Det här resulterar då att användaren enbart är administratör under en begränsad tid (vilket konfigureras i nästa steg).

I sista steget definieras hur länge en viss administratörsroll är aktiv innan den behöver aktiveras igen. Här aktiveras även notifiering och krav på multifaktorautentisering (MFA). En stor fördel är att den här funktionen påtvingar multifaktorautentisering oavsett övriga undantag för MFA som till exempel definierade undantag på IP adresser.

Efter den initiala konfigurationen ges tillgång till konsolen med både övervaknings och konfigurationsmöjligheter.

Det ges en tydlig överblick över hur många administrativa roller som för tillfället är aktiva och möjlighet att få fram en historik.

Via PIM konsolen kan vi även tilldela flera administrativa roller till en och samma användare.

Fördelen med att tilldela fler roller till en och samma användare är att när användaren väl behöver ha en administrativ roll behöver den bara begära den roll som behövs för den uppgift användaren skall utföra.

Efter tilldelad roll kan användaren se hur lång tid den innehar den här rollen vilket baserat på tidgränsen som definierades i steg tre under den initiala konfigurationen.

Det går att definiera om varje request med automatik skall godkännas (med spårbarhet) eller om det skall krävas ett godkännande baserat på angiven anledning enligt bilden nedan: 

Tack vare Privileged Identity Management får verksamheten kontroll på sin Azure miljö och används inte motsvarande lösning i den lokala miljön via exempelvis MIM 2016 är det hög tid att se över rutiner och processer för att minimera risk för intrång och skadlig kod på motsvarande sätt.