Was Ist Azure Privileged Access Management?
In Azure Entra ID gewähren privilegierte Rollen — Globaler Administrator, Administrator für privilegierte Rollen, Sicherheitsadministrator — die Fähigkeit, den gesamten Tenant zu verwalten. Diese Rollen sind das Äquivalent von Domain Admin in Cloud-Umgebungen.
Privilegierte Zugriffs-Fehlkonfigurationen gehören zu den kritischsten Risiken in jeder Azure-Umgebung. Zu viele Globale Admins, permanente Rollenzuweisungen ohne Zeitlimit und Admins ohne MFA schaffen eine Angriffsfläche, die Angreifer direkt anvisieren.
Privileged Identity Management (PIM) ersetzt permanente privilegierte Zuweisungen durch Just-in-Time (JIT)-Zugriff, der eine explizite Aktivierung mit MFA und Geschäftsbegründung erfordert.
Die Angriffskette
Schritt 1 - Privilegierte Konten Identifizieren
Connect-MgGraph -Scopes "Directory.Read.All"
Get-MgDirectoryRoleMember -DirectoryRoleId (Get-MgDirectoryRole -Filter "displayName eq 'Global Administrator'").Id |
Select-Object Id, DisplayName, UserPrincipalName
Schritt 2 - Konten ohne MFA Anvisieren
Privilegierte Konten ohne MFA sind Hauptziele. Eine Phishing-E-Mail reicht aus.
Schritt 3 - Backdoor-Konto Erstellen
New-MgUser -DisplayName "IT Support" -UserPrincipalName "[email protected]" `
-PasswordProfile @{Password="BackdoorP@ss!"} -AccountEnabled $true
New-MgDirectoryRoleMemberByRef -DirectoryRoleId $globalAdminRoleId `
-OdataId "https://graph.microsoft.com/v1.0/directoryObjects/$newUserId"
Erkennung
SIEM-Erkennungsabfrage (Elastic KQL)
azure.auditlogs.operation_name: "Add member to role" AND
azure.auditlogs.properties.target_resources.modified_properties.new_value: "*Global Administrator*"
💡 Tipp: Alarmieren Sie bei jeder Globalen Admin-Rollenzuweisung in Echtzeit.
Behebung
⚠️ Kritisch: Kein Konto sollte eine permanente Globale Admin-Zuweisung haben. Alle privilegierten Zugriffe müssen über PIM mit erforderlicher MFA-Aktivierung laufen.
1. Globale Admin-Anzahl Reduzieren
# Microsoft empfiehlt maximal 2-5 Globale Admins
Get-MgDirectoryRoleMember -DirectoryRoleId $globalAdminRoleId |
Select-Object DisplayName, UserPrincipalName
2. PIM Aktivieren und Durchsetzen
In Entra ID > Privileged Identity Management:
1. Privilegierte Rollen entdecken und permanente in berechtigte umwandeln
2. Für Globaler Administrator:
- Maximale Aktivierungsdauer: 4-8 Stunden
- MFA bei Aktivierung erfordern
- Begründung erfordern
3. MFA für Alle Privilegierten Konten Erzwingen
Richtlinie: MFA erfordern — Privilegierte Rollen
Benutzer: Verzeichnisrolle = Globaler Administrator usw.
Steuerungen: MFA + Konformes Gerät erfordern
So Erkennt EtcSec Dies
PA_TOO_MANY_GLOBAL_ADMINS identifiziert Tenants mit mehr als 5 permanenten Globalen Administrator-Zuweisungen.
PA_PERMANENT_ADMIN_ASSIGNMENTS kennzeichnet alle permanenten privilegierten Rollenzuweisungen.
PA_PIM_NOT_ENABLED erkennt Tenants ohne konfiguriertes PIM.
PA_GLOBAL_ADMIN_NOT_MFA identifiziert Globale Administrator-Konten ohne registrierte MFA-Methoden.
ℹ️ Hinweis: EtcSec prüft Azure-Konfiguration für privilegierten Zugriff automatisch. Starten Sie ein kostenloses Audit.
