Mit Microsoft Entra Privileged Identity Management (PIM) ersetzen Unternehmen in Nürnberg und im gesamten deutschen Mittelstand dauerhaft vergebene Admin-Rechte durch zeitlich begrenzte, genehmigungspflichtige Zugriffe – und erfüllen damit die Kernpflicht aus §30 Abs. 2 Nr. 9 NIS2UmsuCG. Das Gesetz ist seit 6. Dezember 2025 in Kraft, die BSI-Registrierungsfrist lief im März 2026 ab. Wer heute noch zwölf permanente Global Admins betreibt, bietet Angreifern eine dauerhaft offene Angriffsfläche – und riskiert als Geschäftsführer persönliche Haftung nach §38 NIS2. Dieser Leitfaden erklärt, wie PIM funktioniert, was es kostet und wie Sie die Einführung strukturiert angehen.
Warum stehende Admin-Rechte Ihr größtes Sicherheitsrisiko sind
Bei Entra-Tenant-Reviews finden Berater regelmäßig das Gleiche: zu viele permanente Global Admins – weil es sich über die Jahre so ergeben hat. Eine typische mittelständische IT-Abteilung kommt schnell auf acht bis zwölf dauerhaft privilegierte Konten, wenn jeder Zugang erhält, der ihn einmal gebraucht hat.
Ein Angreifer, der ein solches Konto per Phishing oder gestohlenen Credentials kompromittiert, erbt sofort vollständige Mandanten-Kontrolle – ohne Zeitlimit, ohne Protokoll. Laut Verizon Data Breach Investigations Report 2025 waren 74 Prozent aller Sicherheitsvorfälle auf kompromittierte Identitäten zurückzuführen. Permanente Admin-Rechte sind dabei das bevorzugte Ziel: Sie sind weder zeitlich begrenzt noch systematisch protokolliert.
NIS2 reagiert auf genau dieses Risiko: Annex §11.3 der NIS2-Umsetzungsverordnung verlangt, dass privilegierte Konten individuell begrenzt, ausschließlich für Verwaltungsaufgaben genutzt und regelmäßig überprüft werden. PIM übersetzt diese Anforderungen in konkrete Entra-Konfigurationen – Schritt für Schritt nachvollziehbar und audit-fähig.
In unserer Beratungspraxis finden wir bei mittelständischen Unternehmen mit 100 bis 300 Mitarbeitern durchschnittlich 8 bis 14 dauerhaft aktive Global Admins vor – oft ohne dokumentierten Grund für die ursprüngliche Vergabe. In einem typischen Tenant sind davon drei bis vier Konten seit mehr als zwei Jahren inaktiv, bleiben aber weiter privilegiert, weil niemand zuständig für die Bereinigung ist.
Was ist Entra ID Privileged Identity Management (PIM)?
PIM ist ein Dienst innerhalb von Microsoft Entra ID Governance, der privilegierte Rollen und Gruppenberechtigungen nach dem Just-in-Time-Prinzip verwaltet. Statt einem Admin dauerhaft die Rolle „Global Administrator“ zuzuweisen, erhält er den Status „eligible“ – berechtigt, aber nicht aktiv. Erst wenn er die Rolle im MyAccess-Portal explizit aktiviert, erhält er die Rechte, für eine vorab festgelegte Zeitspanne (typisch: ein bis vier Stunden).
Die vier Kernfunktionen:
- Just-in-Time-Zugriff: Rollenaktivierung auf Anfrage, zeitlich begrenzt, automatisch ablaufend – kein manueller Entzug nötig.
- Genehmigungsworkflow: Für sensible Rollen (z. B. Global Admin) kann eine zweite Person genehmigen müssen, bevor die Aktivierung wirksam wird.
- MFA bei Aktivierung: Seit Mai 2026 unterstützt PIM Conditional-Access-Authentifizierungskontext – beim Aktivieren kann phishing-resistente MFA oder Geräte-Compliance erzwungen werden.
- Vollständiges Audit-Log: Jede Aktivierung, Anfrage und Genehmigung wird protokolliert – der exakte Nachweis, den NIS2 §11.3.3 für Dokumentationspflichten verlangt.
Ergänzend gibt es PIM für Gruppen: Auch Gruppenmitgliedschaften lassen sich zeitlich begrenzt vergeben – sinnvoll, wenn Teams sporadisch auf SharePoint-Administrationsgruppen oder Azure-Ressourcengruppen zugreifen müssen.
PIM einrichten: Schritt für Schritt
Schritt 1: Lizenz prüfen
PIM erfordert mindestens Microsoft Entra ID P2 oder Microsoft Entra ID Governance. Microsoft 365 Business Premium enthält Entra ID P1 – das reicht nicht aus. Für zehn Administratoren mit P2-Lizenz rechnen Sie mit ca. 70–85 € pro Monat zusätzlich. Wer ohnehin über M365 E5 nachdenkt: E5 enthält Entra ID P2 inklusive. Nicht alle Mitarbeiter benötigen P2 – nur diejenigen, die eligible Rollen aktivieren oder Genehmigungen bearbeiten.
Schritt 2: Break-Glass-Konten absichern
Bevor Sie eine Rolle auf „eligible“ umstellen, müssen mindestens zwei Notfallkonten (Break-Glass-Accounts) angelegt und abgesichert sein: dedizierte Global-Admin-Konten, die von MFA-Pflicht und Conditional-Access-Richtlinien ausgenommen sind und deren Passwörter sicher verwahrt werden. Diese Konten bleiben dauerhaft aktiv. Ohne sie riskieren Sie, sich bei einem PIM-Konfigurationsfehler dauerhaft selbst auszusperren – die Wiederherstellung dauert dann Tage und erfordert Microsoft-Support.
Schritt 3: Permanente Rollenzuweisungen identifizieren
Im Microsoft Entra Admin Center navigieren Sie zu Identity Governance → Privileged Identity Management → Entra-Rollen → Global Administrator → Zuweisungen. Alle Konten mit Typ „Aktiv“ sind dauerhaft privilegiert – das ist Ihre Prioritätsliste für die Migration. Wiederholen Sie dies für Privileged Role Administrator, Exchange Administrator und SharePoint Administrator.
Schritt 4: Rolleneinstellungen konfigurieren
Für jede Rolle definieren Sie die Aktivierungsregeln: Maximale Aktivierungsdauer (1–4 Stunden für Global Admin, bis 8 Stunden für weniger kritische Rollen), Begründungspflicht (immer aktivieren – erzeugt den Audit-Trail für NIS2), Genehmigungsworkflow (für Global Admin und Privileged Role Admin empfohlen) und MFA-Anforderung bei Aktivierung (immer einschalten). Ab Mai 2026 können Sie hier einen Conditional-Access-Authentifizierungskontext hinterlegen und damit phishing-resistente MFA oder Geräte-Compliance als Voraussetzung erzwingen.
Schritt 5: Zuweisungen von „Aktiv“ auf „Eligible“ umstellen
Wandeln Sie permanente Zuweisungen schrittweise um. Beginnen Sie mit den sensibelsten Rollen (Global Administrator, Privileged Role Administrator) und arbeiten Sie sich zu weniger kritischen Rollen vor (Exchange Admin, SharePoint Admin). Testen Sie jeden Schritt, bevor Sie den nächsten angehen – und stellen Sie sicher, dass die Break-Glass-Konten aus Schritt 2 jederzeit funktionsfähig sind.
Schritt 6: Aktivierungsprozess testen
Melden Sie sich mit einem betroffenen Konto an und aktivieren Sie eine eligible Rolle manuell unter myaccess.microsoft.com → Privilegierte Rollen. Prüfen Sie: greift die MFA-Anforderung? Wird die Begründung gespeichert? Erhält ein Genehmiger die E-Mail-Benachrichtigung? Läuft die Rolle nach Ablauf der Zeit automatisch ab? Erst wenn alle vier Punkte funktionieren, schalten Sie weitere Rollen um.
Schritt 7: Access Reviews einrichten
PIM ohne regelmäßige Überprüfung ist unvollständig. Richten Sie unter PIM → Access Reviews → Neuer Review quartalsweise Zugriffsüberprüfungen ein: Rolleninhaber oder ihre Vorgesetzten bestätigen, dass die Zuweisung noch berechtigt ist. Können oder wollen sie nicht bestätigen, wird der Zugriff automatisch entzogen. Das erfüllt direkt NIS2 §11.3.3 – Überprüfung in geplanten Abständen, dokumentiert und exportierbar.
NIS2 §11.3 in der Praxis: Welche PIM-Einstellung welche Anforderung erfüllt
Die NIS2-Umsetzungsverordnung (NIS2UmsVO) listet in Annex §11.3 konkrete technische Pflichten für privilegierte Konten. Die folgende Tabelle zeigt, welche PIM-Einstellung jeweils greift – und wo im Entra Admin Center Sie sie finden:
| NIS2 §11.3 Anforderung | PIM-Einstellung | Pfad im Entra Admin Center |
|---|---|---|
| §11.3.2(a): Starke Authentifizierung bei Aktivierung (MFA) | MFA oder CA-Kontext bei Rollenaktivierung einschalten | PIM → Rolleneinstellungen → Aktivierung → MFA erforderlich |
| §11.3.2(b): Dedizierte Admin-Konten nur für Verwaltungsaufgaben | Separate cloud-only Admin-Konten anlegen; kein Postfach, keine Produktivlizenz | Entra Admin Center → Benutzer → Neues Konto |
| §11.3.2(c): Minimale Rechte (Least Privilege) | Permanent-Zuweisungen auf Eligible umstellen; nur die tatsächlich benötigte Rolle zuweisen | PIM → Zuweisungen → Typ: Eligible |
| §11.3.2(d): Admin-Konten ausschließlich für Admin-Systeme | Conditional Access blockiert für Admin-Konten den Zugriff auf normale Ressourcen | Entra → Conditional Access → Neue Richtlinie |
| §11.3.3: Regelmäßige Überprüfung und Dokumentation | Quartalsweise Access Reviews aktivieren; Audit-Logs exportieren | PIM → Access Reviews → Neuer Review |
Diese Zuordnung können Sie direkt als Nachweis gegenüber dem BSI oder einem externen Auditor verwenden. Drucken Sie die Tabelle mit den zugehörigen Screenshots aus Ihrem Entra Admin Center aus – das ist Ihre NIS2-Compliance-Dokumentation für privilegierte Konten.
Vorteile für Unternehmen im Mittelstand
Drastisch reduzierte Angriffsfläche
Ein kompromittiertes eligible-Konto gewährt ohne gültige Aktivierung und MFA keinerlei Adminrechte. Angreifer, die per Phishing oder gestohlenen Credentials eindringen, finden keinen stehenden privilegierten Zugang vor – der Kernmechanismus von Golden-Ticket- und Pass-the-Hash-Angriffen läuft ins Leere. Das ist der zentrale Sicherheitsgewinn von PIM gegenüber jeder anderen Maßnahme, die lediglich Monitoring hinzufügt, ohne Rechte zu entfernen.
Persönlicher Haftungsschutz für die Geschäftsleitung
§38 NIS2UmsuCG verankert die persönliche Haftung der Geschäftsführung für nicht umgesetzte Sicherheitsmaßnahmen – bis hin zu direkten Bußgeldern gegen natürliche Personen. Ein vollständiges PIM-Audit-Log, das jede Rollenaktivierung mit Zeitstempel, Begründung und genehmigender Person dokumentiert, ist im Ernstfall der Unterschied zwischen nachgewiesener Sorgfaltspflicht und persönlicher Haftung.
Schnellere, stressfreiere externe Audits
BSI-Prüfungen, ISO-27001-Rezertifizierungen und Cyber-Versicherungs-Audits stellen regelmäßig Fragen zu privilegierten Zugriffen: Wer hat wann welche Adminrechte gehabt? Mit PIM beantworten Sie diese Fragen mit einem exportierbaren Log – kein manuelles Zusammensuchen aus verschiedenen Systemen, keine Lücken in der Dokumentation. Mittelständische Unternehmen berichten typischerweise von deutlich kürzeren Audit-Vorbereitungszeiten nach der PIM-Einführung.
In typischen PIM-Projekten reduzieren wir die Anzahl dauerhafter Global-Admin-Zuweisungen um 60 bis 80 Prozent. Unternehmen berichten anschließend von deutlich kürzeren Vorbereitungszeiten für Compliance-Audits: Statt Informationen aus verschiedenen Systemen manuell zusammenzusuchen, exportieren sie den vollständigen Aktivierungsverlauf direkt aus dem Entra-Audit-Log.
Typische Fehler bei der PIM-Einführung
Kein Break-Glass-Konto angelegt. Der häufigste und folgenschwerste Fehler: Alle Global Admins werden auf eligible umgestellt, die MFA schlägt fehl oder die Genehmigungskette ist falsch konfiguriert – und kein Konto kommt in den Tenant. Die Wiederherstellung dauert Tage und erfordert Microsoft-Support.
PIM nur für Entra-Rollen, nicht für Azure-Ressourcen. PIM deckt sowohl Entra-Verzeichnisrollen als auch Azure-Ressourcenrollen ab (Subscription Owner, Contributor auf Ressourcengruppen). Wer nur die Entra-Seite einrichtet, lässt Azure-seitige Admin-Rechte dauerhaft bestehen.
Zu lange Aktivierungszeiträume. Acht oder vierundzwanzig Stunden maximale Aktivierungsdauer hebt den JIT-Vorteil weitgehend auf. Für Global Admin sind ein bis vier Stunden die richtige Spanne.
MFA-Anforderung deaktiviert, um Reibung zu reduzieren. In kleinen IT-Teams entsteht Druck, PIM „praktisch“ zu halten. Ohne MFA bei Aktivierung ist PIM kein Zero-Trust-Control mehr – nur ein verlangsamter stehender Zugang.
Keine Begründungspflicht eingerichtet. Ohne Begründungsfeld fehlt der Audit-Trail, den NIS2 §11.3.3 verlangt – und fehlt das Signal für ungewöhnliche Aktivierungen außerhalb der Geschäftszeiten.
Was AURUM für Sie übernimmt
AURUM begleitet Mittelstandsunternehmen von der Lizenzprüfung bis zum produktiven PIM-Betrieb. Wir beginnen mit einem IAM-Assessment, bei dem wir alle bestehenden Rollenzuweisungen in Ihrem Entra-Tenant analysieren und die kritischsten Lücken priorisieren. Anschließend richten wir PIM gemeinsam mit Ihrem IT-Team ein, testen jeden Schritt vor der produktiven Umstellung und schulen Ihre Admins im Aktivierungsprozess. Für Unternehmen, die bereits die NIS2-Roadmap mit Microsoft 365 mit AURUM durchgeführt haben, ist PIM der nächste logische Schritt – oft kombiniert mit Conditional Access und Cloud-Security-Härtung.
Eine PIM-Einführung für einen typischen Mittelstandstenant dauert drei bis sechs Wochen – inklusive Tenant-Assessment, Konfiguration aller Rolleneinstellungen, gemeinsamem Testdurchlauf und Admin-Schulung. Der laufende Betrieb danach erfordert keinen dauerhaften Mehraufwand: Access Reviews und Audit-Log-Exporte laufen weitgehend automatisiert.
Häufige Fragen zu Entra ID Privileged Identity Management
PIM ist nicht in Microsoft 365 Business Premium oder E3 enthalten, da diese Pläne nur Entra ID P1 beinhalten. Sie benötigen mindestens Entra ID P2 – als Standalone-Lizenz (ca. 7–8 € pro Benutzer/Monat) oder über Microsoft 365 E5, das P2 inklusive enthält. Nur Benutzer, die eligible Rollen aktivieren oder Genehmigungen verwalten, benötigen die P2-Lizenz – in der Praxis typischerweise Ihre IT-Admins, nicht alle Mitarbeiter.
Er kann die Administrationsaufgabe nicht ausführen, bis er die Rolle im MyAccess-Portal aktiviert hat. Nach Ablauf der Aktivierungsdauer erlöschen die Rechte automatisch, ohne dass eine Aktion erforderlich ist. Das ist der gewollte Mechanismus: kein Vergessen, kein manueller Cleanup, kein Restrisiko.
Ja. Externe Gäste im Entra-Tenant können ebenfalls als eligible für bestimmte Rollen konfiguriert werden, sofern sie über ein Microsoft-Konto oder eine Entra-ID-Identität verfügen. Besonders sinnvoll für MSP-Zugänge: Der Dienstleister erhält nur dann Adminrechte, wenn er sie explizit anfordert und Sie genehmigt haben.
Weitere häufige Fragen
Nein, aber die sensibelsten Rollen sollten es sein. Priorität haben: Global Administrator, Privileged Role Administrator, Exchange Administrator und SharePoint Administrator. Weniger kritische Rollen können vorerst aktiv belassen werden – solange sie korrekt dokumentiert und regelmäßig überprüft werden.
PIM regelt Entra-Verzeichnisrollen und Azure-Ressourcenrollen – nicht on-premises Active Directory-Gruppen und -Rollen. In hybriden Umgebungen müssen daher parallele Maßnahmen für lokale Admin-Konten ergriffen werden, etwa getrennte Admin-Tier-Modelle. AURUM empfiehlt, beide Seiten im Rahmen einer ganzheitlichen IAM-Strategie zu adressieren.
Fazit: PIM ist die technische Antwort auf NIS2 §30
Entra ID Privileged Identity Management eliminiert das größte Sicherheitsrisiko im Mittelstandstenant: dauerhaft offene Admin-Rechte. Es erfüllt gleichzeitig die konkreten Anforderungen aus NIS2 §30 und §11.3 NIS2UmsvO – mit audit-fähigen Protokollen, genehmigungspflichtigen Aktivierungen und zeitlich begrenzten Zugriffen. Wer heute beginnt, hat die kritischsten Rollen in wenigen Wochen abgesichert.

























