Beheerders hebben permanent Owner-rechten, dat voelt te ruim
Privileged Identity Management (PIM) in Entra ID geeft just-in-time-rechten: beheerder activeert rol voor 1-8 uur, met goedkeuring of MFA. Standaard hebben ze alleen lezen.
Probeer dit eerst zelf
- 1Activeer Entra ID P2 (vereist) of een Microsoft 365 E5-licentie voor de beheerders die PIM gaan gebruiken. Zonder P2 geen PIM.
- 2Maak rollen 'eligible' in plaats van 'active'. Beheerder is dus toegekend, maar alleen lezen tot ze de rol activeren.
- 3Stel approval-workflow in voor de zwaarste rollen (Global Admin, Owner op subscription). Bij activatie krijgt een tweede admin een vraag.
- 4Activeer audit-logs en alerts op rol-activatie. Als iemand om middernacht Global Admin claimt, moet jij dat zien.
- 5Voor break-glass: hou twee 'permanent' Global Admin accounts buiten PIM, met hardware-MFA en strikt offline-bewaarde wachtwoorden. Voor als PIM zelf onbereikbaar is.
Wanneer ons inschakelen
Loop je tegen IT-Auditing of NIS2-controles aan, dan is een PIM-baseline plus een eenmalige review met je security-architect meestal het voorbereiden waard.
Zie ook
- Iedereen logt in met het root-account van AWSHet root-account is voor noodgevallen en facturatie. Dagelijks werk hoort via IAM-users of SSO.
- Iedere developer heeft AdministratorAccessAdministratorAccess overal is gemak nu, drama later. Begin met rolgebaseerde policies.
- Iedereen heeft losse IAM-users met eigen wachtwoordIdentity Center (voorheen AWS SSO) koppelt aan je IdP en geeft tijdelijke credentials per sessie.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.