In meinen Azure-Kursen ist Privileged Identity Management – kurz PIM – eines der Themen, bei denen die meisten Teilnehmer zunächst zögern. Nicht weil es technisch besonders komplex wäre, sondern weil das Konzept einen echten Umstieg im Denken erfordert: Weg von dauerhaft zugewiesenen Adminrollen, hin zu zeitgebundener, genehmigter und protokollierter Rechtevergabe. Wer das einmal verstanden hat, möchte nicht mehr zurück. Und wer es falsch einrichtet, hat schnell einen Tenant, in dem niemand mehr an kritische Ressourcen herankommt – oder umgekehrt: in dem Rechte stillschweigend dauerhaft aktiv bleiben.
Was PIM ist – und warum es für jeden Entra-Tenant relevant ist
Microsoft Entra PIM (Privileged Identity Management) ist ein Dienst innerhalb von Microsoft Entra ID (ehemals Azure Active Directory), der die Zuweisung und Nutzung privilegierter Rollen kontrolliert. Die Grundidee: Niemand braucht dauerhaft Global-Admin-Rechte. Stattdessen wird ein Benutzer als berechtigt (eligible) für eine Rolle eingetragen und kann diese bei Bedarf für einen definierten Zeitraum selbst aktivieren – optional mit Genehmigung, Begründungspflicht und Multi-Faktor-Authentifizierung.
PIM deckt zwei Bereiche ab: Entra-ID-Rollen (z. B. Global Administrator, User Administrator) und Azure-Ressourcenrollen (z. B. Owner, Contributor auf Subscription- oder Ressourcengruppen-Ebene). Beide werden über das Entra-Portal verwaltet, haben aber leicht unterschiedliche Konfigurationsseiten – ein häufiger Verwechslungspunkt in meinen Azure-Kursen.
Merksatz: PIM ersetzt keine Rollenzuweisung – es fügt eine Kontrollschicht darüber. Eine Rolle, die nie in PIM konfiguriert ist, bleibt dauerhaft aktiv, sofern sie direkt zugewiesen wurde.
PIM-Übersicht im Entra Portal: Der Einstieg führt direkt zu den beiden Verwaltungsbereichen für Entra-Rollen und Azure-Ressourcenrollen.
Schritt für Schritt: PIM für eine Entra-ID-Rolle einrichten
Bevor Sie beginnen: PIM setzt eine Microsoft Entra ID P2-Lizenz (oder Entra ID Governance) voraus. Wer lediglich P1 im Einsatz hat, sieht PIM im Portal, kann es aber nicht aktivieren. Das ist ein klassischer Fallstrick, der in der Praxis regelmäßig auftaucht.
Die Einrichtung einer PIM-gesteuerten Rolle läuft in drei Phasen ab:
1. Rolleneinstellungen konfigurieren (Role Settings): Navigieren Sie zu Identity Governance → Privileged Identity Management → Entra-Rollen → Einstellungen. Hier legen Sie pro Rolle fest, wie lange eine Aktivierung maximal gültig ist, ob eine Genehmigung erforderlich ist, ob MFA erzwungen wird und ob eine Begründung angegeben werden muss. Diese Einstellungen gelten global für die Rolle – nicht pro Benutzer.
2. Benutzer als „Eligible“ eintragen: Unter Zuweisungen → Berechtigung hinzufügen wählen Sie die Rolle und den Benutzer aus. Die Zuweisung kann zeitlich begrenzt sein (z. B. 6 Monate), danach muss sie erneuert werden. Das ist gewollt – PIM-Zuweisungen sollen periodisch überprüft werden.
3. Genehmiger festlegen (optional, aber empfohlen): Wer für hochprivilegierte Rollen wie Global Administrator keinen Genehmigungsworkflow erzwingt, verschenkt einen großen Teil des Sicherheitsgewinns. Tragen Sie mindestens zwei Genehmiger ein – einen Fallback für Abwesenheit eingeschlossen.
Rolleneinstellungen für den Global Administrator: MFA, Begründungspflicht und Genehmigungsworkflow lassen sich granular konfigurieren.
Praxistipp: Setzen Sie die maximale Aktivierungsdauer für Global Administrator auf 1–2 Stunden. Das klingt kurz, ist aber in der Praxis ausreichend – und wer wirklich länger braucht, aktiviert einfach erneut. Der Protokolleintrag bleibt in jedem Fall erhalten.
Typische Fehler und wie Sie sie vermeiden
Folgendes Problem aus der Praxis: Ein Unternehmen richtet PIM ein, trägt alle Administratoren als „eligible“ ein – und vergisst dabei, die bisher dauerhaft zugewiesenen Rollen zu entfernen. Ergebnis: PIM ist aktiv, aber wirkungslos, weil die direkten Rollenzuweisungen weiterhin bestehen. PIM kann nur steuern, was über PIM läuft.
Die häufigsten Fehler im Überblick:
| Fehler | Auswirkung | Lösung |
|---|---|---|
| Dauerhafte Rollenzuweisung bleibt neben PIM bestehen | PIM-Kontrolle greift nicht, Rechte dauerhaft aktiv | Direkte Zuweisung entfernen, nur noch „eligible“ nutzen |
| Kein Genehmiger für kritische Rollen | Selbstgenehmigung möglich, kein Vier-Augen-Prinzip | Mindestens zwei Genehmiger je hochprivilegierter Rolle |
| Aktivierungsdauer zu lang gewählt (z. B. 24 h) | Rechte bleiben unbeaufsichtigt lange aktiv | Max. 1–4 Stunden je nach Rolle und Anforderung |
| Keine Lizenz (nur P1 vorhanden) | PIM nicht nutzbar, trotz Sichtbarkeit im Portal | Entra ID P2 oder Entra ID Governance Lizenz sicherstellen |
| Access Reviews nicht eingerichtet | Eligible-Zuweisungen wachsen unkontrolliert | Quartalsweise Access Reviews (Zugriffsüberprüfungen) aktivieren |
Ein weiteres Detail, das oft übersehen wird: Für Azure-Ressourcenrollen (Owner, Contributor etc.) müssen Sie PIM separat über den Bereich Azure-Ressourcen konfigurieren. Die Einstellungen aus dem Entra-Rollen-Bereich übertragen sich nicht automatisch. Ich hatte mich in diesem Zusammenhang selbst einmal vertippt und eine Subscription-Owner-Rolle ungeschützt gelassen, weil ich die Konfiguration im falschen Bereich vorgenommen hatte.
Praxisempfehlung: KMU-taugliche PIM-Grundstruktur
Noch mal in Kürze – kurz, knapp und strukturiert, zum Abharken:
| Rolle | Typ | Max. Aktivierungsdauer | Genehmigung | MFA |
|---|---|---|---|---|
| Global Administrator | Eligible | 1 Stunde | Ja (2 Genehmiger) | Ja |
| User Administrator | Eligible | 4 Stunden | Optional | Ja |
| Billing Administrator | Eligible | 4 Stunden | Ja (1 Genehmiger) | Ja |
| Subscription Owner (Azure) | Eligible | 2 Stunden | Ja (2 Genehmiger) | Ja |
| Contributor (Ressourcengruppe) | Eligible | 8 Stunden | Nein | Ja |
Diese Struktur lässt sich auch in kleineren Umgebungen mit zwei bis drei Administratoren umsetzen. Der administrative Mehraufwand ist gering – eine Aktivierung dauert weniger als eine Minute, wenn MFA bereits eingerichtet ist. Der Sicherheitsgewinn durch vollständige Protokollierung, zeitliche Begrenzung und optionalen Genehmigungsworkflow ist dagegen erheblich.
Wenn Sie PIM zusammen mit Conditional Access (Richtlinien für bedingten Zugriff) und regelmäßigen Access Reviews kombinieren, haben Sie die Grundlage einer Zero-Trust-konformen Identitätsverwaltung gelegt. Genau das besprechen wir auch vertieft in meinen Azure-Kursen – einschließlich der Frage, welche Rollen in welchen Szenarien dauerhaft aktiv bleiben dürfen und welche nicht.
Merksatz: Kein Benutzer sollte dauerhaft Global-Admin sein. Wenn der Notfallzugang (Break-Glass-Account) korrekt eingerichtet ist, braucht es diese dauerhafte Zuweisung nicht – auch nicht für den ersten Admin im Tenant.