Sådan bruger du Entra ID Privileged Identity Management (PIM) til admin-roller, JIT-adgang, godkendelser og alerts

25. januar 2026

For mange SMV’er starter problemet stille. En medarbejder får Global Admin “for en stund”, og rollen bliver hængende i måneder. Det svarer til at lade nøglen sidde i døren til serverrummet, fordi man “lige skulle ind og kigge”.

Entra ID PIM (Privileged Identity Management) gør det muligt at give admin-rettigheder som en tidsbegrænset adgang, kun når der er behov. Det giver bedre it-sikkerhed, bedre kontrol og en mere rolig hverdag for intern IT eller en MSP, også når miljøet er bundet op på microsoft 365.

PIM står ikke alene. Det spiller sammen med klassiske kontroller som firewall, antivirus og backup, men det lukker et hul, som mange ellers overser: permanente privilegier.

Hvorfor PIM er den hurtigste vej til “least privilege” i hverdagen

PIM handler om at flytte admin-rettigheder fra “altid tændt” til “tændt i kort tid”. Den lille ændring gør en stor forskel i praksis.

Det, SMV’er typisk får ud af PIM:

  • Færre permanente admin-konti. Mindre angrebsflade.
  • Klare spor i audit logs. Hvem gjorde hvad, hvornår, og hvorfor.
  • En enkel proces for godkendelse, uden at IT mister tempo.
  • Mulighed for at styre varighed, MFA-krav og begrundelser per rolle.

Det er især relevant i virksomheder med 50 til 300 medarbejdere, hvor it-support ofte varetager både drift og projekter, og hvor man ikke har et stort security-team til at “holde øje hele tiden”. I praksis ser NetDK ofte samme mønster hos kunder i århus og lystrup: få personer sidder på mange rettigheder, fordi det var nemt, da man satte det op.

Hvis man vil have Microsofts egen baseline for funktioner og begreber, ligger startpunktet i PIM-dokumentationen.

Do

  • Gør admin-roller “eligible” som standard.
  • Kræv MFA og begrundelse ved aktivering.
  • Tving korte tidsvinduer (typisk 1 til 8 timer).

Don’t

  • Lad mange være Global Admin “for en sikkerheds skyld”.
  • Brug delte admin-konti, det ødelægger sporbarhed.
  • Overstyr governance, bare fordi noget haster.

Opsætning af Entra ID PIM til admin-roller, så det holder i drift

Rolledesign i en SMV: færre Global Admins, mere tydelighed

Modern semi-flat isometric illustration of role management in small businesses using PIM, showing admin roles like Global Admin in eligible and active states with security policies like MFA, set in a professional office conference room. Illustration af rolle-styring med “eligible” vs “active”, lavet med AI.

Start med at kortlægge, hvilke roller der reelt bruges. Mange har roller “bare i tilfælde af”, især Global Admin. PIM gør det nemt at skære ned, fordi man stadig kan få adgang, når det brænder på.

En pragmatisk model for SMV’er:

Rolle (eksempel) Tildeling Aktivering Varighed (typisk)
Global Admin Eligible Godkendelse + MFA + begrundelse 1-4 timer
Privileged Role Administrator Eligible MFA + begrundelse 4-8 timer
User Administrator Eligible MFA 4-8 timer
Security Administrator Eligible Godkendelse + MFA 4-8 timer

Målet er ikke “nul Global Admins”. Målet er at undgå, at 6 personer har den rolle permanent. I mange SMV’er kan man lande på 1-2 faste (men stærkt beskyttede) break-glass-konti, og ellers JIT via PIM.

JIT-adgang (Just-In-Time) med krav, der passer til virkeligheden

Semi-flat isometric vector illustration of an IT administrator in a modern office activating just-in-time access via PIM on a laptop, featuring timer clock, MFA shield, and approval flow icons with professional blue, purple, and gray tones. Illustration af tidsbegrænset JIT-aktivering med MFA og flow, lavet med AI.

Når en bruger er “eligible”, skal rollen aktiveres. Det er her, man sætter kravene. For en SMV giver følgende opsætning en god balance:

  • MFA ved aktivering (ikke valgfrit).
  • Begrundelse (kort tekst, men obligatorisk).
  • Tidsbegrænsning (typisk 1-8 timer).
  • Notifikationer til relevante personer (så aktiveringer ikke sker i stilhed).

Praktisk eksempel: En intern IT-medarbejder skal lave ændringer i Exchange-indstillinger i microsoft 365. I stedet for permanent rettighed aktiverer personen rollen i 2 timer, skriver “ændring af mailflow-regel, change-ID 1042”, får godkendelse, udfører ændringen, og rollen udløber automatisk.

Microsoft beskriver kernekoncepterne i “What is Privileged Identity Management?”.

Mini-template: enkel PIM-policy til ledelse og revision

Hold den kort. Den skal kunne forstås, også uden IT-baggrund.

Forslag til PIM-policy (1 side):

  • Admin-roller tildeles som eligible . Permanent aktiv adgang kræver undtagelse.
  • Aktivering kræver MFA og begrundelse (sag og change-reference).
  • Global Admin kræver godkendelse og maksimal varighed på 4 timer.
  • Break-glass-konti (2 stk.) opbevares offline, testes kvartalsvist, og overvåges særskilt.
  • Alle aktiveringer og godkendelser gennemgås månedligt (audit trail).

Det er governance, der kan drives. Ikke et skrivebordsdokument.

Godkendelser, alerts og audit trails, så PIM faktisk bliver brugt

Godkendelser, der ikke stopper arbejdet

Modern semi-flat isometric vector illustration of a PIM control panel showing notifications, risk alerts, and audit logs, with IT person and manager approving access in an office setting. Illustration af godkendelser, notifikationer og logning, lavet med AI.

Godkendelser skal bruges selektivt. Hvis alt kræver approval, går folk udenom processen. En god tommelfingerregel:

  • Approval på højrisiko-roller (Global Admin, Privileged Role Administrator, Security Administrator).
  • Ingen approval på lavere roller , men stadig MFA, begrundelse og tidsgrænse.

Sæt også en klar “hvem godkender hvad”. I en SMV giver det mening, at IT-leder eller driftansvarlig godkender, og at der altid findes en backup-godkender ved ferie.

Alerts: få besked, når noget er skævt

PIM kan udløse sikkerhedsadvarsler, når mønstre ligner misbrug, eller når opsætningen bliver svækket (fx for mange Global Admins).

Start med standard alerts og hold øje med:

  • Pludselig stigning i aktiveringer.
  • Roller aktiveret uden begrundelse (hvis det er tilladt).
  • Ændringer i PIM-indstillinger.

Microsofts trin for trin-guide til opsætning ligger her: konfigurér security alerts for Entra-roller i PIM. Hvis man vil udvide governance-advarsler på tværs af processer, kan man også se custom alerts i Entra Identity Governance.

Audit trails og change management: sådan undgår man “skygge-admin”

PIM giver logning, men man skal bruge den. En enkel driftsrutine:

  • Månedlig gennemgang af aktiveringer og godkendelser.
  • Kvartalsvis recertificering af, hvem der er eligible til hvad.
  • Fast proces for undtagelser (dokumentér hvorfor, og hvornår det skal fjernes).

PIM løser ikke alt alene. SMV’er skal stadig have styr på backup, firewall og antivirus, fordi privilegie-styring ikke hjælper, hvis data er krypteret af ransomware og der ikke findes en brugbar restore.

Til sidst en driftsting for 2026: Microsoft har varslet stop for visse ældre Entra-mekanismer i 2026, blandt andet udfasning af “service principal-less authentication” fra marts 2026, og udfasning af PIM Iteration 2 (beta) APIs senere i 2026. Det betyder, at scripts og app-integrationer skal gennemgås i god tid, så it-løsninger ikke knækker under en opdatering.

Konklusion: PIM er kontrol, man kan forklare og måle

Entra ID PIM gør admin-rettigheder midlertidige, sporbare og sværere at misbruge. Det reducerer behovet for mange Global Admins, og det giver et bedre niveau af it-sikkerhed uden at bremse driften.

Næste skridt er enkelt: vælg 3-5 roller, gør dem eligible, sæt MFA og varighed, og indfør approval på de mest følsomme. Når det virker i praksis, skaleres det ud.