onichan91
Goto Top

Azure PIM - Entzug aller Rollen zu spezifischem Zeitpunkt

Moin zusammen,

ich bin gerade in unserem Azure Tenant die PIM Regelung am überarbeiten und mir kam die Idee, zu einem Spezifischen Zeitpunkt alle Rollen von allen privilegierten Konten zu entziehen.
Hintergrund ist, dass wir recht liberal bei der Zeitlichen Zuweisung sind, ich aber manche Admins nicht erziehen kann, dass diese auch um 17 Uhr sich nicht für 8h eine Adminrolle zuweisen. Daher der Gedanke um 18:00 Uhr alle Rollen von allen Accounts zu entziehen und sollte wirklich jemand noch darüber hinaus arbeiten, kann er sich ja easy die Rollen, die er braucht wieder zuweisen.

Hat jemand solch einen zeitgesteuerten Eingriff schonmal realisiert?
Mein erster Gedanke galt PowerShell aber das sollte doch auch mit Azure Bordmitteln funktionieren?

Many Thanks in advance
Oni

Content-Key: 4156891242

Url: https://administrator.de/contentid/4156891242

Printed on: December 4, 2022 at 20:12 o'clock

Member: Mr-Gustav
Mr-Gustav Oct 06, 2022 at 12:50:39 (UTC)
Goto Top
Du könntest hier etwas mit der Azure Powershell oder Cloudshell ( keine Ahnung wie genau das heißt ) bauen und als Task laufen lassen.

Eine einfache Klicki Bunti Version wird da wohl eher nicht direkt geben es sei denn du Investierst in ein IDM bzw. in den Microsoft Identity Manager. Hierzu ist aber auch das passende Konzept wichtig.
Eventuell hilft dir ja JEA bzw. PAM weiter.

Wie Verteilt ihr denn die Berechtigungen ? Hab Ihr eine Lokale Gruppe im AD welche dann als Bsp. Admin_Azure heißt und der Admin kann sich dann in die Gruppe packen ? Ein Entsprechender AD Sync nach Azure AD muss vorhanden sein.
Wenn du das mit den LOKALEN Gruppen im LOKALEN AD machst kannst du das ganze sogar relativ einfach per Powershell machen und dieses PS Script dann als Task um 17 Uhr ausführen.

Was ich jetzt nicht so ganz verstehe ist wozu das ganze gut ist bzw. sein soll.
Ich meine wenn du um X Uhr allen die Berechtigung weg nimmst und der Admin fügt sich dann wieder in die Gruppe hinzu aus der er entfernt wurde dann sehe ich den Sinn nicht ganz ? Wenn man jetzt JEA oder PAM als Bsp. nimmt so sollten die Rechte je nach Möglichkeit sowieso nur Zeitlich begrenzt vergeben werden. Heißt ich brauche die Berechtigung und dann Trage ich mich über eine GUI oder wie auch immer in die Gruppe ein und werde dann nach Zeit x wieder entfernt