🧩 Del 7: Privileged Identity Management
- Bjørnar Aassveen
- 4 days ago
- 3 min read
Sikre rettigheter når du trenger dem
Hvorfor PIM?
I mange organisasjoner har brukere permanente rettigheter som de sjelden trenger – for eksempel global administrator, SharePoint admin eller Intune admin. Dette øker risikoen for feil, misbruk og angrep.
Privileged Identity Management (PIM) i Microsoft Entra ID lar deg gi midlertidig tilgang til sensitive roller, med godkjenning, varsling og logging. Du får just-in-time-tilgang, bedre sikkerhet og full oversikt.
Trenger du egentlig en aktiv Global Administrator rolle når du ligger å sover? Eller har ferie?
🔐 Hva er PIM?
PIM er en funksjon i Entra ID som lar deg:
Gjøre roller berettigede i stedet for permanente
Kreve aktivering før bruk
Legge til godkjenning, MFA og begrunnelser
Få varsler og logg over alle aktiveringer
I enkleste form kan man her sette varsel ved elevering til e-post eller eksempelvis en Teams kanal, der man igjen kan varsle når det er aktivitet utenfor arbeidstid. Man kan også aktivere standard varslene som ligger under "Alerts", se bilde under.
🧑💼 PIM for roller
Dette er den klassiske bruken av PIM: Du gjør en bruker berettiget til en rolle (f.eks. Exchange Administrator), og brukeren må aktivere rollen når den trengs.
Eksempel:
Ola er berettiget til rollen "SharePoint Administrator"
Når han trenger tilgang, aktiverer han rollen i Entra-portalen
Han må oppgi begrunnelse, godkjenning og/eller MFA
Tilgangen varer i f.eks. 8 timer, og logges
Eksempel på oppsett for Sharepoint Administrator
Videre setter jeg hvor lenge man har rettigheter til å elevere seg opp og/eller ligge med aktive roller.

I siste steg setter jeg opp varslinger. Legg merke til at jeg har satt opp så det går et varsel i en Teams kanal når noen aktiverer rollen, dette er mest fordi det er hentet fra et demo miljø som flere bruker samtidig og man da lett får en logg over hvem som har elevert seg til hvilken tid om noe skulle brekke neste gang man skal kjøre en demo 🥸

👥 PIM for grupper
PIM kan også brukes på grupper – spesielt nyttig når du har mange roller som skal tildeles samlet.
Hva er forskjellen?
Funksjon | PIM for roller | PIM for grupper |
Bruker får | Én rolle | Alle rettigheter gruppen har |
Bruksområde | Enkeltroller | Samlepakker av rettigheter |
Typisk bruk | Adminroller | Prosjektroller, DevOps, sikkerhetsgrupper |
Fordel | Presis kontroll | Skalerbarhet og enkel administrasjon |
Når bør du bruke PIM for grupper?
Bruk PIM for grupper når:
Flere brukere trenger samme sett med rettigheter
Du vil delegere administrasjon av tilgang
Du ønsker å kombinere roller og ressurstilgang i en pakke - Kan eksempelvis legges bak en access package med en godkjenningsflyt og utløpstid.
Eksempel:
Du har en gruppe "Prosjekt X Admins" som har:
Teams eierskap
SharePoint redigering
Entra rolle: Teams Administrator
Brukere aktiverer medlemskap i gruppen via PIM
De får alle tilganger i en operasjon
Anbefalinger:
Bruk PIM for roller når det er få brukere og spesifikke roller
Bruk PIM for grupper når du har mange brukere med like behov
Krev godkjenning og begrunnelse for sensitive roller
Overvåk aktiveringer og bruk varsler
Kombiner med Access Reviews for jevnlig vurdering
Begrensninger:
Krever Microsoft Entra ID P2
Ikke alle roller støtter PIM
PIM for grupper krever at gruppen er aktivert for PIM og at den brukes i tilgangsstyring
🚀 Neste steg
I neste og siste innlegg ser vi på helhetlig tilgangsstyring i praksis – hvordan du kan kombinere alle verktøyene vi har sett på i serien for å bygge en trygg, effektiv og automatisert identitetsplattform.
Bjørnar&AI
Comments