top of page

🧩 Del 7: Privileged Identity Management

  • Writer: Bjørnar Aassveen
    Bjørnar Aassveen
  • 4 days ago
  • 3 min read

Sikre rettigheter når du trenger dem


Hvorfor PIM?

I mange organisasjoner har brukere permanente rettigheter som de sjelden trenger – for eksempel global administrator, SharePoint admin eller Intune admin. Dette øker risikoen for feil, misbruk og angrep.


Privileged Identity Management (PIM) i Microsoft Entra ID lar deg gi midlertidig tilgang til sensitive roller, med godkjenning, varsling og logging. Du får just-in-time-tilgang, bedre sikkerhet og full oversikt.


Trenger du egentlig en aktiv Global Administrator rolle når du ligger å sover? Eller har ferie?

🔐 Hva er PIM?

PIM er en funksjon i Entra ID som lar deg:

  • Gjøre roller berettigede i stedet for permanente

  • Kreve aktivering før bruk

  • Legge til godkjenning, MFA og begrunnelser

  • Få varsler og logg over alle aktiveringer


    I enkleste form kan man her sette varsel ved elevering til e-post eller eksempelvis en Teams kanal, der man igjen kan varsle når det er aktivitet utenfor arbeidstid. Man kan også aktivere standard varslene som ligger under "Alerts", se bilde under.


🧑‍💼 PIM for roller

Dette er den klassiske bruken av PIM: Du gjør en bruker berettiget til en rolle (f.eks. Exchange Administrator), og brukeren må aktivere rollen når den trengs.


Eksempel:

  • Ola er berettiget til rollen "SharePoint Administrator"

  • Når han trenger tilgang, aktiverer han rollen i Entra-portalen

  • Han må oppgi begrunnelse, godkjenning og/eller MFA

  • Tilgangen varer i f.eks. 8 timer, og logges

    Eksempel på oppsett for Sharepoint Administrator


Videre setter jeg hvor lenge man har rettigheter til å elevere seg opp og/eller ligge med aktive roller.


I siste steg setter jeg opp varslinger. Legg merke til at jeg har satt opp så det går et varsel i en Teams kanal når noen aktiverer rollen, dette er mest fordi det er hentet fra et demo miljø som flere bruker samtidig og man da lett får en logg over hvem som har elevert seg til hvilken tid om noe skulle brekke neste gang man skal kjøre en demo 🥸

👥 PIM for grupper

PIM kan også brukes på grupper – spesielt nyttig når du har mange roller som skal tildeles samlet.


Hva er forskjellen?

Funksjon

PIM for roller

PIM for grupper

Bruker får

Én rolle

Alle rettigheter gruppen har

Bruksområde

Enkeltroller

Samlepakker av rettigheter

Typisk bruk

Adminroller

Prosjektroller, DevOps, sikkerhetsgrupper

Fordel

Presis kontroll

Skalerbarhet og enkel administrasjon

Når bør du bruke PIM for grupper?

Bruk PIM for grupper når:

  • Flere brukere trenger samme sett med rettigheter

  • Du vil delegere administrasjon av tilgang

  • Du ønsker å kombinere roller og ressurstilgang i en pakke - Kan eksempelvis legges bak en access package med en godkjenningsflyt og utløpstid.


Eksempel:

  • Du har en gruppe "Prosjekt X Admins" som har:

    • Teams eierskap

    • SharePoint redigering

    • Entra rolle: Teams Administrator

  • Brukere aktiverer medlemskap i gruppen via PIM

  • De får alle tilganger i en operasjon


Anbefalinger:

  • Bruk PIM for roller når det er få brukere og spesifikke roller

  • Bruk PIM for grupper når du har mange brukere med like behov

  • Krev godkjenning og begrunnelse for sensitive roller

  • Overvåk aktiveringer og bruk varsler

  • Kombiner med Access Reviews for jevnlig vurdering


Begrensninger:

  • Krever Microsoft Entra ID P2

  • Ikke alle roller støtter PIM

  • PIM for grupper krever at gruppen er aktivert for PIM og at den brukes i tilgangsstyring


🚀 Neste steg

I neste og siste innlegg ser vi på helhetlig tilgangsstyring i praksis – hvordan du kan kombinere alle verktøyene vi har sett på i serien for å bygge en trygg, effektiv og automatisert identitetsplattform.


Bjørnar&AI

Comments


bottom of page