Microsoft Entra PIM – bezpieczny dostęp admina w firmie

Czym jest PIM i dlaczego stałe konta admina są ryzykowne

W większości firm konta administratorów mają stale aktywne uprawnienia – przez całą dobę, siedem dni w tygodniu, niezależnie od tego, czy ktoś z nich korzysta. To poważny problem: przejęcie takiego konta przez cyberprzestępcę oznacza natychmiastową, pełną kontrolę nad całym środowiskiem Microsoft 365 – pocztą, plikami, użytkownikami i ustawieniami bezpieczeństwa.

Microsoft Entra Privileged Identity Management (PIM) eliminuje to ryzyko, stosując zasadę just-in-time access. Uprawnienia są przyznawane tylko na czas faktycznego wykonywania zadania, a nie na stałe. Administrator musi aktywować swoją rolę, podać uzasadnienie, przejść przez MFA – i automatycznie traci dostęp po upływie określonego czasu.

Korzyści wdrożenia PIM są wymierne:

• Drastyczne zmniejszenie okna czasowego, w którym przejęte konto może wyrządzić szkody
• Pełna historia: kto, kiedy i po co aktywował uprawnienia
• Automatyczne wygasanie sesji uprzywilejowanych bez manualnej interwencji
• Możliwość wymagania dodatkowego zatwierdzenia przez innego administratora
• Wsparcie dla wymogów zgodności: NIS2, ISO 27001, DORA

Wymagania licencyjne – co musisz mieć przed wdrożeniem

PIM jest dostępny wyłącznie w planach zawierających Microsoft Entra ID P2. Przed rozpoczęciem konfiguracji sprawdź, czy Twoja firma posiada odpowiednią licencję:

• Microsoft 365 Business Premium – zawiera Entra ID P2, dostępny dla firm do 300 użytkowników. Najczęstszy wybór dla MŚP.
• Microsoft 365 E5 – zawiera Entra ID P2 w pakiecie enterprise.
• Microsoft 365 E3 + dodatek EMS E3 – wymaga dokupienia Entra ID P2 osobno.
• Entra ID P2 jako samodzielna licencja – można dokupić do dowolnego planu Microsoft 365.

Ważna zasada: licencja P2 musi być przypisana do każdego użytkownika zaangażowanego w procesy PIM – zarówno administratorów aktywujących role, jak i osób zatwierdzających wnioski. Nie musisz licencjonować wszystkich pracowników firmy. Jeśli masz 3 administratorów i 1 osobę zatwierdzającą – wystarczą 4 licencje P2.

Konfiguracja PIM krok po kroku

Konfiguracja wymaga uprawnień Global Administrator. Przejdź do entra.microsoft.com, a następnie do sekcji Identity Governance → Privileged Identity Management.

1. Pierwsze uruchomienie – przy inicjalizacji system poprosi o weryfikację tożsamości przez MFA. To jednorazowy krok aktywujący PIM w Twoim tenantcie.
2. Wejdź w Microsoft Entra roles – wybierz Manage → Roles. Zobaczysz pełną listę ról dostępnych w Twojej organizacji.
3. Dodaj użytkownika jako Eligible – kliknij wybraną rolę (np. Global Administrator), wybierz Add assignments i ustaw typ na Eligible. Nie wybieraj Active – to stałe uprawnienia, których właśnie chcemy unikać.
4. Skonfiguruj ustawienia roli – kliknij Settings przy danej roli i ustaw:
   • Maksymalny czas trwania aktywacji – zalecane 2-4 godziny
   • Wymaganie MFA przy każdej aktywacji
   • Wymaganie uzasadnienia biznesowego (pole tekstowe, które administrator musi wypełnić)
   • Opcjonalne zatwierdzenie przez wskazanego administratora
   • Powiadomienia e-mail przy aktywacji roli
5. Przetestuj aktywację – zaloguj się jako użytkownik z rolą Eligible, wejdź do PIM i kliknij My roles → Activate. Upewnij się, że system poprawnie wymaga MFA i uzasadnienia.
6. Zachowaj konto breakglass – przed wyłączeniem stałych uprawnień zawsze utrzymuj jedno konto awaryjne z trwałą rolą Global Admin, przechowywane offline na wypadek awarii systemu uwierzytelniania.

Które role zabezpieczyć w pierwszej kolejności

Nie wszystkie role wymagają identycznego poziomu kontroli. Zacznij od tych, które niosą największe ryzyko dla Twojej organizacji:

• Global Administrator – absolutny priorytet. Nikt nie powinien mieć tej roli aktywnej na stałe. Utrzymuj minimum dwa konta Eligible na wypadek niedostępności jednego z administratorów.
• Privileged Role Administrator – zarządza samym PIM i przypisaniami ról. Równie wrażliwa jak Global Admin, bo pozwala zmienić ustawienia całego systemu uprawnień.
• Security Administrator – może wyłączyć polityki bezpieczeństwa, polityki Conditional Access i ustawienia Defendera.
• Exchange Administrator – ma dostęp do wszystkich skrzynek pocztowych firmy, może eksportować całą korespondencję.
• SharePoint Administrator – pełny dostęp do wszystkich plików, witryn i bibliotek dokumentów.
• User Administrator – może tworzyć konta, modyfikować dane użytkowników i resetować hasła.

Praktyczna zasada dla MŚP: jeśli rola pozwala na odczyt lub modyfikację danych innych użytkowników albo zmianę ustawień bezpieczeństwa – powinna wymagać aktywacji przez PIM, nie być przyznana na stałe.

Monitorowanie i przeglądy dostępu

PIM dostarcza dwóch potężnych narzędzi nadzoru: logów audytowych i przeglądów dostępu (Access Reviews).

Logi audytowe PIM rejestrują każdą aktywację roli – kto, kiedy, skąd (adres IP), jak długo i z jakim uzasadnieniem. Znajdziesz je w sekcji Audit history. Warto skonfigurować alerty w Microsoft Sentinel lub Defender XDR na podejrzane wzorce: aktywacje poza godzinami pracy, z nieznanych lokalizacji geograficznych lub w krótkich odstępach czasu.

Przeglądy dostępu to cykliczne audyty, w których recenzenci potwierdzają, że dany użytkownik nadal potrzebuje dostępu uprzywilejowanego. Konfiguracja:

1. Wejdź w PIM → Microsoft Entra roles → Access reviews → New
2. Określ recenzenta – np. przełożony danego administratora lub inny wyznaczony administrator
3. Ustaw częstotliwość – zalecane co kwartał dla ról krytycznych, co pół roku dla pozostałych
4. Włącz opcję automatycznego usuwania dostępu, jeśli recenzent nie odpowie w wyznaczonym terminie

Przeglądy dostępu pomagają też spełnić wymagania compliance: NIS2, ISO 27001 oraz wewnętrzne polityki IT firmy. To dokumentacja, że Twoja organizacja aktywnie zarządza uprawnieniami, a nie tylko je przyznaje.

Najczęstsze błędy przy wdrożeniu PIM

Wdrożenie PIM to nie tylko kliknięcie kilku przycisków. To zmiana procesów i nawyków całego zespołu IT. Oto błędy, których warto unikać:

• Pozostawianie kont w trybie Active zamiast Eligible – najczęstszy błąd. Pamiętaj: Active = stałe uprawnienia, Eligible = uprawnienia na żądanie. Celem PIM jest przeniesienie wszystkich wrażliwych ról do trybu Eligible.
• Zbyt długi czas aktywacji – ustawienie 24 godzin zamiast 2-4 godzin znacznie zwiększa ryzyko. Czas aktywacji powinien odpowiadać realnej potrzebie zadania, nie wygodzie administratora.
• Brak konta breakglass – zawsze utrzymuj co najmniej jedno konto awaryjne z trwałymi uprawnieniami Global Admin, przechowywane offline z silnym hasłem, wyłączone z Conditional Access. To zabezpieczenie na wypadek awarii systemu MFA.
• Ignorowanie logów – PIM zbiera cenne dane, ale tylko jeśli ktoś je regularnie analizuje. Ustaw alerty na podejrzane aktywacje i przeglądaj raporty co najmniej raz w miesiącu.
• Brak szkolenia administratorów – zmiana procesu wymaga komunikacji. Administratorzy muszą rozumieć, dlaczego PIM istnieje, i wiedzieć, jak poprawnie aktywować role, zanim stary sposób działania zostanie wyłączony.