Dauerhaft aktive Adminkonten sind eines der größten Einfallstore bei Kompromittierungen im Microsoft-365-Umfeld. Mit Microsoft Entra Privileged Identity Management (PIM) löst du dieses Problem pragmatisch: Admins erhalten ihre Rollen nur noch „just in time" – für eine definierte Zeitspanne, nach MFA-Prüfung und mit vollständigem Audit-Log. Dieser Leitfaden richtet sich an KMU-Admins, die PIM ohne überbordende Bürokratie einführen möchten, und geht ehrlich auf Lizenzkosten, sinnvolle Aktivierungsdauern und typische Fallstricke ein.

Voraussetzungen

Microsoft Entra ID P2-Lizenz (oder EMS E5 / Microsoft Entra ID Governance) für alle Nutzer, die PIM verwenden – einschließlich Approver und Access-Reviewer. Microsoft 365 Business Premium enthält nur P1; hier ist ein separates P2-Add-on nötig (ca. 9 USD / ~8,40 EUR pro Nutzer/Monat).
Mindestens ein Konto in der Rolle Privileged Role Administrator oder Global Administrator für die initiale PIM-Einrichtung.
Microsoft Authenticator oder ein FIDO2 Security Key (z. B. YubiKey) für MFA bei Rollenaktivierungen – alternative MFA-Methoden für Notfälle ebenfalls registrieren.
Mindestens zwei Break-Glass-Konten (cloud-only, Format *.onmicrosoft.com) mit FIDO2 Security Keys und sicher verwahrten Zugangsdaten.
Optional: Microsoft Graph PowerShell SDK für skriptbasierte Verwaltung: Install-Module Microsoft.Graph
Dokumentierte Rollenstrategie: Welche Rollen werden unter PIM gestellt, welche Aktivierungsdauer, welche Genehmiger, welche Review-Frequenz?

Schritt 1: Lizenz-Realität und Kosten-Check

Bevor du PIM aktivierst, kläre die Lizenzfrage – sie ist der häufigste Stolperstein für KMU. Die folgende Tabelle zeigt, welche Lizenzen PIM enthalten und was sie kosten:

Lizenz	PIM enthalten?	Preis (ca.)	Empfehlung
Microsoft 365 Business Premium	Nein (nur Entra ID P1)	22 USD/Nutzer/Monat	P2-Add-on nötig
Entra ID P2 (Add-on)	Ja	~9 USD / ~8,40 EUR/Nutzer/Monat	Nur für Admins kaufen
Microsoft 365 E5	Ja	57 USD/Nutzer/Monat	Wenn E5 ohnehin vorhanden
Entra ID Governance (Add-on)	Ja + erweiterte Reviews	~5,40 GBP/Nutzer/Monat	Für erweiterte Entitlement-Features

Konkretes Beispiel für ein 15-Personen-KMU: Du hast 15 Mitarbeiter mit Microsoft 365 Business Premium und 3 Personen mit Adminrollen. Nur diese 3 Admins benötigen Entra ID P2. Kosten: 3 × 9 USD = 27 USD/Monat. Das ist ein überschaubarer Preis für den Sicherheitsgewinn durch JIT-Access, Audit-Log und MFA-Pflicht. Wichtig: Auch Approver und Access-Reviewer benötigen P2 – rechne das in deine Planung ein.

Schritt 2: PIM aktivieren und erste Rollenstrategie festlegen

Navigiere zum Entra Admin Center: entra.microsoft.com → ID Governance → Privileged Identity Management. Beim ersten Aufruf wirst du gebeten, PIM zu aktivieren (sofern noch nicht geschehen). Nach der Aktivierung siehst du die Übersicht aller verwaltbaren Ressourcen.

Für den pragmatischen KMU-Start empfiehlt sich folgende Reihenfolge:

Phase 1 (sofort): Global Administrator, Privileged Role Administrator
Phase 2 (nach 4 Wochen): Security Administrator, Exchange Administrator
Phase 3 (optional): SharePoint Administrator, Teams Administrator, Helpdesk Administrator

Starte bewusst klein. Wenn du alle Rollen auf einmal umstellst, entstehen Betriebsstörungen, weil Admins den JIT-Prozess noch nicht verinnerlicht haben.

Achtung vor dem Lockout-Fallstrick: Bevor du irgendeine Rolle auf „Eligible" umstellst, stelle sicher, dass deine Break-Glass-Konten als permanent aktive Global Admins konfiguriert sind (siehe Schritt 4). Wenn alle Global Admins nur noch „eligible" sind und der Approval-Workflow aktiv ist, aber kein Genehmiger erreichbar ist, ist der Tenant gesperrt.

Schritt 3: Rollensettings konfigurieren

Navigiere zu: ID Governance → Privileged Identity Management → Microsoft Entra roles → Roles → [Rolle auswählen] → Role settings → Edit

Empfohlene Konfiguration pro Rolle:

Einstellung	Global Admin	Security Admin	Helpdesk Admin
Aktivierungsdauer (max.)	1 Stunde	4 Stunden	8 Stunden
MFA bei Aktivierung	Ja (Pflicht)	Ja (Pflicht)	Ja (Pflicht)
Justification erforderlich	Ja	Ja	Ja
Approval-Workflow	Empfohlen (wenn 2. Admin vorhanden)	Optional	Nein

Für kleine Teams mit nur zwei Admins ist der Approval-Workflow für die meisten Rollen zu aufwendig – wer genehmigt, wenn beide Admins gleichzeitig nicht erreichbar sind? MFA plus Justification-Pflicht ist ein vernünftiger Kompromiss. Für Global Admin empfiehlt sich Approval nur, wenn du mindestens zwei vertrauenswürdige, ständig erreichbare Genehmiger benennen kannst.

Schritt 4: Eligible-Rollenzuweisungen erstellen

Im Portal: PIM → Microsoft Entra roles → Assignments → Add assignments. Wähle die Rolle, den Nutzer und als Assignment type „Eligible". Alternativ per PowerShell (Graph PowerShell SDK):

# Verbindung mit erforderlichen Berechtigungen herstellen
Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

# Eligible-Rollenzuweisung fuer einen Nutzer erstellen
# RoleDefinitionId fuer Global Administrator: 62e90394-69f5-4237-9190-012177145e10
$params = @{
  "PrincipalId"      = "<User-ObjectId>"
  "RoleDefinitionId" = "62e90394-69f5-4237-9190-012177145e10"
  "Justification"    = "Eligible Global Admin fuer IT-Admin"
  "DirectoryScopeId" = "/"
  "Action"           = "AdminAssign"
  "ScheduleInfo"     = @{
    "StartDateTime" = Get-Date
    "Expiration"    = @{
      "Type" = "NoExpiration"
    }
  }
}
New-MgRoleManagementDirectoryRoleEligibilityScheduleRequest -BodyParameter $params

Um alle aktuellen Eligible-Zuweisungen eines Nutzers abzufragen:

Get-MgRoleManagementDirectoryRoleEligibilityScheduleInstance `
  -Filter "principalId eq '<User-ObjectId>'" | Format-List

Schritt 5: Break-Glass-Konten korrekt absichern

Break-Glass-Konten sind dein Notfall-Fallschirm. Microsoft empfiehlt mindestens zwei cloud-only-Konten im Format notfall1@deinmandant.onmicrosoft.com. Diese Konten müssen zwingend als permanent aktive Global Admins konfiguriert sein – nicht als eligible. Der Grund: Wenn PIM nicht verfügbar ist oder MFA-Dienste ausfallen, können eligible Rollen nicht aktiviert werden.

Checkliste für Break-Glass-Konten:

Permanent Active in PIM (nicht eligible) – in PIM unter Assignments → Add assignments → Assignment type: Active
Authentifizierung ausschließlich per FIDO2 Security Key oder Certificate-Based Authentication (CBA) – phishing-resistent
Von allen Conditional Access Policies ausgeschlossen – lege eine separate Sicherheitsgruppe „EmergencyAccess" an und schließe sie in jeder CA-Policy aus
Zugangsdaten physisch sicher verwahrt (Tresor, separater Umschlag)
Alle 90 Tage auf Funktionstüchtigkeit testen – inklusive tatsächlicher Anmeldung

PIM schützt dich vor einem versehentlichen Lockout: Es verhindert das Löschen des letzten aktiven Global Administrators und letzten aktiven Privileged Role Administrators. Diese Schutzfunktion ist eingebaut, aber verlasse dich nicht allein darauf.

Für das Monitoring von Break-Glass-Anmeldungen in Azure Monitor Log Analytics:

// KQL Alert fuer Break-Glass Sign-in
SigninLogs
| project UserId
| where UserId == "<BreakGlass-Account-ObjectId-1>"
   or UserId == "<BreakGlass-Account-ObjectId-2>"

Jede Anmeldung eines Break-Glass-Kontos sollte sofort einen Alert auslösen – im Normalbetrieb meldet sich niemand mit diesen Konten an. Mehr zum Thema MFA-Grundlagen findest du in der Anleitung zu Microsoft 365 MFA und Conditional Access.

Schritt 6: Rollen aktivieren und deaktivieren

Als berechtigter Nutzer navigierst du zur Aktivierung: entra.microsoft.com → ID Governance → PIM → My roles. Dort siehst du alle eligible Rollen und kannst sie per Klick aktivieren – inklusive MFA-Prompt und Justification-Feld.

Per PowerShell (z. B. für Automatisierungen oder wenn das Portal nicht verfügbar ist):

# Rolle selbst aktivieren (als berechtigter Nutzer, fuer 2 Stunden)
$params = @{
  "PrincipalId"      = "<User-ObjectId>"
  "RoleDefinitionId" = "62e90394-69f5-4237-9190-012177145e10"
  "Justification"    = "Konfigurationsaenderung an Exchange Online"
  "DirectoryScopeId" = "/"
  "Action"           = "SelfActivate"
  "ScheduleInfo"     = @{
    "StartDateTime" = Get-Date
    "Expiration"    = @{
      "Type"     = "AfterDuration"
      "Duration" = "PT2H"
    }
  }
}
New-MgRoleManagementDirectoryRoleAssignmentScheduleRequest -BodyParameter $params

Aktive Rollenzuweisungen abfragen:

Get-MgRoleManagementDirectoryRoleAssignmentScheduleInstance `
  -Filter "principalId eq '<User-ObjectId>'" | Format-List

Rolle manuell deaktivieren (erst nach 5 Minuten möglich):

$params = @{
  "PrincipalId"      = "<User-ObjectId>"
  "RoleDefinitionId" = "62e90394-69f5-4237-9190-012177145e10"
  "Justification"    = "Aufgabe abgeschlossen"
  "DirectoryScopeId" = "/"
  "Action"           = "SelfDeactivate"
}
New-MgRoleManagementDirectoryRoleAssignmentScheduleRequest -BodyParameter $params

Die Azure Mobile App (iOS/Android) unterstützt ebenfalls PIM-Rollenaktivierungen – praktisch, wenn du unterwegs eine Rolle aktivieren musst. Auch hier gilt: P2-Lizenz für den angemeldeten Nutzer erforderlich.

Schritt 7: Access Reviews einrichten

Access Reviews verhindern, dass sich Eligible-Zuweisungen im Laufe der Zeit unkontrolliert anhäufen – zum Beispiel nach Projektenden oder Stellenwechseln. Navigiere zu: ID Governance → Access Reviews → New access review.

Empfohlene Konfiguration für privilegierte Rollen:

Scope: Entra roles → wähle Global Administrator, Privileged Role Administrator (und weitere relevante Rollen)
Frequenz: Quartalsweise (alle 90 Tage)
Reviewer: Entweder die Rolleninhaber selbst (Self-review) oder ein dedizierter Reviewer (z. B. IT-Leitung)
Auto-apply: Aktivieren – falls ein Reviewer nicht reagiert, wird die Zuweisung automatisch entfernt
Duration: 14 Tage für den Review-Zeitraum

Eligible- und Active-Zuweisungen werden separat geprüft. Starte mit den Active-Zuweisungen, da diese das höchste Risiko darstellen. Für die Benutzerverwaltung generell bietet sich die Anleitung Entra ID: Benutzer, Gruppen und Lizenzen verwalten als Ergänzung an.

Troubleshooting / Typische Fehler

Tenant-Lockout durch fehlende Genehmiger: Wenn alle Global Admins nur „eligible" sind, Approval aktiviert ist und keine expliziten Genehmiger eingetragen sind, kann sich niemand mehr aktivieren. Lösung: immer zwei Break-Glass-Konten als permanent active konfigurieren und explizite Genehmiger eintragen, bevor der Approval-Workflow aktiviert wird.
MFA-Ausfall blockiert Aktivierung: Wenn das Authenticator-Gerät nicht verfügbar ist (Handyverlust, Netzausfall), ist keine Rollenaktivierung möglich. Lösung: alternative MFA-Methoden registrieren, FIDO2 Keys für kritische Admins einsetzen.
Break-Glass-Konten von Conditional Access gesperrt: Wenn Break-Glass-Konten nicht aus allen CA-Policies ausgeschlossen sind (insbesondere „compliant device" oder „MFA always"), werden sie bei echten Notfällen blockiert. Lösung: separate Sicherheitsgruppe „EmergencyAccess" anlegen und in jeder CA-Policy explizit ausschließen.
Cache-Verzögerung nach Aktivierung: Nach PIM-Aktivierung kann es vorkommen, dass Applikationen den neuen Rollenstatus noch nicht erkennen. Lösung: einmal ab- und neu anmelden.
Service Principals können keine eligible Rollen erhalten: Automatisierungen und Skripte, die Adminrollen benötigen, erhalten keine JIT-Rollen. Alternative: PIM for Groups nutzen oder direkte Active-Zuweisungen mit Ablaufdatum vergeben.
Approver und Reviewer ohne P2: Wenn Genehmiger oder Access-Reviewer keine P2-Lizenz haben, entstehen Lizenz-Compliance-Verletzungen. Prüfe vor der Konfiguration, dass alle beteiligten Personen lizenziert sind.
Deaktivierung erst nach 5 Minuten: Eine per PIM aktivierte Rolle kann nicht sofort wieder deaktiviert werden – Wartezeit mindestens 5 Minuten nach Aktivierung.

Häufige Fragen

Lohnt sich Entra ID P2 für ein 15-Personen-KMU?

Ja – wenn 2–3 Personen administrative Rollen haben. Da nur PIM-nutzende Admins P2 benötigen (nicht alle 15 Mitarbeiter), sind die Kosten bei 3 lizenzierten Admins ca. 27 USD/Monat. Das ist ein günstiger Preis für den Sicherheitsgewinn durch JIT-Access, Audit-Log und MFA-Pflicht. Prüfe zunächst, ob Microsoft 365 Business Premium bereits genutzt wird (enthält P1) – dann zahlst du nur den Delta-Betrag für P2.

Muss ich PIM für alle Adminrollen aktivieren?

Nein. Für einen pragmatischen Start genügen Global Administrator und Privileged Role Administrator. Diese haben die weitreichendsten Rechte und profitieren am meisten von JIT. Danach erweiterst du schrittweise um Security Administrator, Exchange Administrator und weitere Rollen. PIM kann selektiv pro Rolle aktiviert werden.

Wie lange sollte eine Aktivierungsdauer maximal sein?

Microsoft empfiehlt maximal 8 Stunden. Für Global Administrator wird 1 Stunde als Best Practice angegeben. Helpdesk-Rollen können auf 8 Stunden gesetzt werden. Die technisch maximal konfigurierbare Dauer beträgt 24 Stunden.

Kann ich PIM auch ohne Genehmigungsworkflow nutzen?

Ja. Für kleine Teams ist der Approval-Workflow oft zu aufwendig – wer genehmigt, wenn nur zwei Admins vorhanden sind und einer im Urlaub ist? Ohne Approval-Workflow bleiben MFA-Pflicht und Justification-Pflicht als Kontrolle bestehen. Für Global Admin empfiehlt sich Approval, sobald ein zweiter vertrauenswürdiger Admin als Genehmiger verfügbar ist.

Was passiert, wenn eine PIM-Aktivierung ausläuft, während der Nutzer arbeitet?

Die aktive Rollenzuweisung wird automatisch innerhalb von Sekunden nach Ablauf entzogen. Applikationen mit gecachtem Zustand können den Zugriff kurz weiter gewähren. Der Nutzer kann die Rolle sofort erneut aktivieren (neuer JIT-Request mit MFA und Justification).

Wie integriert sich PIM mit Access Reviews?

PIM bietet direkt in ID Governance die Möglichkeit, Access Reviews für privilegierte Rollen zu erstellen (ID Governance → Access Reviews → New review). Diese prüfen eligible und/oder active Zuweisungen quartalsweise. Auto-deny-Regeln sorgen dafür, dass inaktive Zuweisungen bei fehlender Reviewer-Reaktion automatisch entfernt werden.

Fazit

Entra PIM ist kein Enterprise-Only-Feature mehr – für ein KMU mit 2–3 Admins ist es mit überschaubaren Kosten (ca. 27 USD/Monat für 3 P2-Lizenzen) und einem halben Arbeitstag Einrichtungsaufwand realisierbar. Der größte Sicherheitsgewinn entsteht sofort: Adminrechte sind nicht mehr dauerhaft aktiv, jede Nutzung wird geloggt, und MFA ist bei Aktivierung Pflicht. Beginne mit Global Admin und Privileged Role Administrator, konfiguriere Break-Glass-Konten sorgfältig als permanent active außerhalb von PIM, und ergänze quartalsweise Access Reviews. Wer sichere Passwortstrategie und PIM kombiniert, hat zwei der wichtigsten Säulen der Identitätssicherheit abgedeckt – mehr dazu in der Anleitung Sichere Passwörter und Passkeys im Unternehmen.

Weiterführende Anleitungen und Quellen

Offizielle Quellen: Microsoft Learn: What is Privileged Identity Management · Microsoft Learn: Plan a PIM deployment · Microsoft Learn: Manage emergency access admin accounts · Microsoft Entra Pricing