Privileged Identity Management (PIM)

Pagina: 1
Acties:

Vraag


Acties:
  • 0 Henk 'm!

  • SoulsOnFire
  • Registratie: Juli 2015
  • Laatst online: 19-06 21:05

SoulsOnFire

My soul is on fireee...

Topicstarter
Zoals veel bedrijven willen we onze toegangsrechten dicht schroeven.
Met PIM en JITA zouden we direct op 1 lijn zitten met de huidige security verwachtingen.

Wat mij momenteel stoort is dat je wel een groep kan opzetten waarbij je rollen toekent als elibable maar je deze nog steeds 1 voor 1 moet activeren.

Dit wil zeggen dat, tenzij je Global Admin als rol toekent, je altijd meerdere rolen moet activeren aan het begin van de dag om uw basis werk te kunnen uitvoeren.

Ik had graag gezien dat we een "helpdesk" "sysadmin" ... groep konden opzetten om dan nadien met 1 klik de bijgevoegde rollen te activeren indien nodig.

Uiteraard gaan deze rollen enkel voor admin accounts met MFA.


Hoe lossen jullie dit nu op? _/-\o_
Hopelijk ben ik hier fout en kunnen jullie de perfecte oplossing aanbieden!

[ Voor 5% gewijzigd door SoulsOnFire op 02-05-2025 09:10 ]

learning every day.

Beste antwoord (via SoulsOnFire op 02-05-2025 09:30)


  • CrankyGamerOG
  • Registratie: Juni 2003
  • Laatst online: 16-07 10:26

CrankyGamerOG

Assumption is the mother.....

ralpje schreef op vrijdag 2 mei 2025 @ 09:12:
Of je maakt een custom role met alle rechten die je nodig hebt (uiteraard op basis van least privilege) en die je dus in één keer kunt activeren.
Kan, maar dan deploy je wel meteen heel wat privileges in die ene rol, imho vind ik dat niet fijn.
En ik zou het echt niet aanraden om dit te doen.

Gewoon mee leren leven dat je de rollen moet activeren, en ja ms mag soms wel wat sneller zijn bij het activeren, maar ga gewoon lekker een kop koffie pakken oid.

[ Voor 53% gewijzigd door CrankyGamerOG op 02-05-2025 09:16 ]

KPN - Vodafone Ziggo Partner

Alle reacties


Acties:
  • 0 Henk 'm!

  • CrankyGamerOG
  • Registratie: Juni 2003
  • Laatst online: 16-07 10:26

CrankyGamerOG

Assumption is the mother.....

Niet, je kunt niet anders dan elke rol apart activeren, welkom bij MS PIM. :+

KPN - Vodafone Ziggo Partner


Acties:
  • 0 Henk 'm!

  • SoulsOnFire
  • Registratie: Juli 2015
  • Laatst online: 19-06 21:05

SoulsOnFire

My soul is on fireee...

Topicstarter
CrankyGamerOG schreef op vrijdag 2 mei 2025 @ 09:10:
Niet, je kunt niet anders dan elke rol apart activeren, welkom bij MS PIM. :+
Dus elke rol elke dag afzonderlijk activeren is de enige manier?

learning every day.


Acties:
  • +1 Henk 'm!

  • ralpje
  • Registratie: November 2003
  • Laatst online: 22:40

ralpje

Deugpopje

Of je maakt een custom role met alle rechten die je nodig hebt (uiteraard op basis van least privilege) en die je dus in één keer kunt activeren.

Freelance (Microsoft) Cloud Consultant & Microsoft Certified Trainer


Acties:
  • +1 Henk 'm!

  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 16-07 16:46

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

ralpje schreef op vrijdag 2 mei 2025 @ 09:12:
Of je maakt een custom role met alle rechten die je nodig hebt (uiteraard op basis van least privilege) en die je dus in één keer kunt activeren.
Precies...

Use Azure custom roles in Privileged Identity Management

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B


Acties:
  • Beste antwoord
  • +1 Henk 'm!

  • CrankyGamerOG
  • Registratie: Juni 2003
  • Laatst online: 16-07 10:26

CrankyGamerOG

Assumption is the mother.....

ralpje schreef op vrijdag 2 mei 2025 @ 09:12:
Of je maakt een custom role met alle rechten die je nodig hebt (uiteraard op basis van least privilege) en die je dus in één keer kunt activeren.
Kan, maar dan deploy je wel meteen heel wat privileges in die ene rol, imho vind ik dat niet fijn.
En ik zou het echt niet aanraden om dit te doen.

Gewoon mee leren leven dat je de rollen moet activeren, en ja ms mag soms wel wat sneller zijn bij het activeren, maar ga gewoon lekker een kop koffie pakken oid.

[ Voor 53% gewijzigd door CrankyGamerOG op 02-05-2025 09:16 ]

KPN - Vodafone Ziggo Partner


Acties:
  • +2 Henk 'm!

  • Semt-x
  • Registratie: September 2002
  • Laatst online: 19:27
dat kan wel met pim for groups. maar lijkt me niet wenselijk

je maakt een groep aan die je permanent de gewenste entra rollen toekent.
die groep maak je PIM enabled.
dan activeer je je lidmaatschap van die groep en heb je alle rollen in 1 keer actief.

waarom het me niet wenselijk lijkt is dat je geen onderscheid meer kan maken tussen groepen. je global admin altijd actief houden als je global reader dat ook is. lijkt me niet slim.
maargoed, technisch kan het wel.

Acties:
  • 0 Henk 'm!

  • SoulsOnFire
  • Registratie: Juli 2015
  • Laatst online: 19-06 21:05

SoulsOnFire

My soul is on fireee...

Topicstarter
CrankyGamerOG schreef op vrijdag 2 mei 2025 @ 09:14:
[...]

Kan, maar dan deploy je wel meteen heel wat privileges in die ene rol, imho vind ik dat niet fijn.
En ik zou het echt niet aanraden om dit te doen.

Gewoon mee leren leven dat je de rollen moet activeren, en ja ms mag soms wel wat sneller zijn bij het activeren, maar ga gewoon lekker een kop koffie pakken oid.
Jullie hebben dus ook geen "meer basic" security rechten toegekend aan admin profielen? Alles gaat via PIM?

learning every day.


Acties:
  • +1 Henk 'm!

  • CrankyGamerOG
  • Registratie: Juni 2003
  • Laatst online: 16-07 10:26

CrankyGamerOG

Assumption is the mother.....

SoulsOnFire schreef op vrijdag 2 mei 2025 @ 09:19:
[...]


Jullie hebben dus ook geen "meer basic" security rechten toegekend aan admin profielen? Alles gaat via PIM?
Ja, bij alle tenants waar ik admin in ben, moet ik alle rollen apart activeren, ik heb ermee leren leven.
Het kost even wat tijd om de irritatie van dat wachten af te leren, maar zoals ik al zei, tijd voor kopje koffie.

KPN - Vodafone Ziggo Partner


Acties:
  • +1 Henk 'm!

  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 16-07 16:46

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

CrankyGamerOG schreef op vrijdag 2 mei 2025 @ 09:20:
[...]

Ja, bij alle tenants waar ik admin in ben, moet ik alle rollen apart activeren, ik heb ermee leren leven.
Het kost even wat tijd om de irritatie van dat wachten af te leren, maar zoals ik al zei, tijd voor kopje koffie.
En vervolgens activeert men de rollen maar voor de hele werkdag, omdat opnieuw activeren relatief veel werk is, waarmee het "just-in-time" principe niet haalbaar wordt.

Het is een beetje dezelfde discussie rondom het afdwingen van complexe wachtwoorden. Hoe complexer, hoe veiliger, maar op een gegeven kom je op een punt dat men memo-briefjes met wachtwoorden op schermen gaat plakken.

Het blijft altijd een beetje een kwestie van een goede afweging maken.. :)

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B


Acties:
  • +1 Henk 'm!

  • CrankyGamerOG
  • Registratie: Juni 2003
  • Laatst online: 16-07 10:26

CrankyGamerOG

Assumption is the mother.....

Question Mark schreef op vrijdag 2 mei 2025 @ 10:49:
[...]

En vervolgens activeert men de rollen maar voor de hele werkdag, omdat opnieuw activeren relatief veel werk is, waarmee het "just-in-time" principe niet haalbaar wordt.

Het is een beetje dezelfde discussie rondom het afdwingen van complexe wachtwoorden. Hoe complexer, hoe veiliger, maar op een gegeven kom je op een punt dat men memo-briefjes met wachtwoorden op schermen gaat plakken.

Het blijft altijd een beetje een kwestie van een goede afweging maken.. :)
mwah, nee niet echt want je kan gewoon consequenties verbinden aan dit soort dingen, als jij de useradmin rol activeert voor 8 uur omdat je een kleine wijziging moet doen hoor je gewoon aangesproken te worden dat dat niet ok is.
En bij herhaling gewoon dossieropbouw.

Managers/bazen moeten eens gvd wat meer aan opvoeding doen, want tegenwoordig zijn managers echt graftak lui en vermijden ze confrontaties als een leprapatient.

(excuses voor de rant :+)

[ Voor 7% gewijzigd door CrankyGamerOG op 02-05-2025 11:11 ]

KPN - Vodafone Ziggo Partner


Acties:
  • 0 Henk 'm!

  • thof
  • Registratie: Oktober 2008
  • Laatst online: 13:26

thof

FP ProMod
Hier ook langere tijd met PIM aan de slag geweest, maar vanuit een iets ander perspectief. Daar had ik by default alleen lees rechten en kon indien het toch een keer nodig was opgeschaald worden naar een hogere rol. Dat was echter wel uitzonderlijk, omdat de inrichting in de Azure Portal eigenlijk vooral vanuit GitOps (desired state) ingericht en bijgewerkt wordt. Dat is echter de infra, applicatie, app registrations etc. kant.

Ik zou zeggen als je de rol echt continue nodig hebt, je ook continue toegang zou moeten hebben tot die rol. Als je namelijk aan het begin van de dag moet PIM-en om iets te doen dan bereik je vrijwel hetzelfde... Heb je het er al eens over gehad waarom dit zo ingericht is en waarom dit voor jullie niet lekker werkt?

Server 1: Intel N305 | 48GB RAM | 5*4TB NVME | 4x 2.5GbE
Server 2: Intel N5105 | 64GB RAM | 1TB NVME | 4x 2.5GbE
Server 3: Intel Xeon E5-2670 | 128GB RAM | 512+750GB SATA SSD | 6x10TB HDD | 6x 1GbE [Buiten gebruik]


Acties:
  • +1 Henk 'm!

  • SoulsOnFire
  • Registratie: Juli 2015
  • Laatst online: 19-06 21:05

SoulsOnFire

My soul is on fireee...

Topicstarter
thof schreef op vrijdag 2 mei 2025 @ 11:17:
Hier ook langere tijd met PIM aan de slag geweest, maar vanuit een iets ander perspectief. Daar had ik by default alleen lees rechten en kon indien het toch een keer nodig was opgeschaald worden naar een hogere rol. Dat was echter wel uitzonderlijk, omdat de inrichting in de Azure Portal eigenlijk vooral vanuit GitOps (desired state) ingericht en bijgewerkt wordt. Dat is echter de infra, applicatie, app registrations etc. kant.

Ik zou zeggen als je de rol echt continue nodig hebt, je ook continue toegang zou moeten hebben tot die rol. Als je namelijk aan het begin van de dag moet PIM-en om iets te doen dan bereik je vrijwel hetzelfde... Heb je het er al eens over gehad waarom dit zo ingericht is en waarom dit voor jullie niet lekker werkt?
Als je PIM met MFA forceert dan krijg je na de werkuren een melding mocht uw account compromised zijn.
Ik heb de opties voorgelegd aan mijn manager met de ene methode wat veiliger en de andere wat meer werkbaar. We zijn er nog niet 100% aan uit wat het zal worden en uiteindelijk zal onze SIEM hopelijk ook wat alerts maken.

Het gaat ons niet om wat lekker werkt maar om wat veilig is zonder de werkbaarheid zodanig in het gedrang te brengen dat ik op mijn kop krijg. |:( Een dunne lijn waar we op willen balanceren! :)

learning every day.

Pagina: 1