Entra Permissions Management Entra Permissions Management
Cloud Infrastructure Entitlement Management (CIEM) für Azure, AWS und GCP – Permissions Creep Index, Remediation, Alerts und Reporting. Cloud Infrastructure Entitlement Management (CIEM) for Azure, AWS, and GCP – Permissions Creep Index, remediation, alerts, and reporting.
Einheitliche Sicht auf Berechtigungen in Azure, AWS und GCP in einem Dashboard.Unified view of permissions across Azure, AWS, and GCP in a single dashboard.
Numerischer Score, der angibt, wie weit die tatsächliche Nutzung von den vergebenen Berechtigungen abweicht.Numerical score indicating how much actual usage deviates from granted permissions.
Automatisierte oder manuelle Rechtekorrektur: Overprovisioned Identities auf Minimum reduzieren.Automated or manual rights correction: reduce overprovisioned identities to minimum.
Echtzeit-Benachrichtigungen bei anomalen Berechtigungsnutzungen und regelmäßige Compliance-Reports.Real-time notifications for anomalous permission usage and periodic compliance reports.
Überblick – CIEMOverview – CIEM
Microsoft Entra Permissions Management ist ein Cloud Infrastructure Entitlement Management (CIEM)-Produkt, das den Grundsatz des Least Privilege auf Multi-Cloud-Infrastrukturberechtigungen anwendet. Es analysiert, welche Berechtigungen für alle Identitäten (Benutzer, Rollen, Service Accounts, Managed Identities) in Azure, AWS und GCP vergeben wurden, und vergleicht dies mit dem tatsächlichen Nutzungsverhalten. Microsoft Entra Permissions Management is a Cloud Infrastructure Entitlement Management (CIEM) product that applies the principle of least privilege to multi-cloud infrastructure permissions. It analyzes which permissions are granted to all identities (users, roles, service accounts, managed identities) in Azure, AWS, and GCP, and compares this with actual usage behavior.
Entra Permissions Management ist eine separate Add-on-Lizenz (nicht in P1/P2 enthalten) und wird pro verwalteter Ressource abgerechnet. Es ist auch Bestandteil der Microsoft Entra Suite. Die Einrichtung erfordert keinen Azure-Konnector-Agenten; die Datenerfassung erfolgt über API-Verbindungen. Entra Permissions Management is a separate add-on license (not included in P1/P2) and is billed per managed resource. It is also part of the Microsoft Entra Suite. Setup requires no Azure connector agent; data collection happens via API connections.
Unterstützte PlattformenSupported platforms
| PlattformPlatform | VerbindungstypConnection type | Erhobene DatenCollected data |
|---|---|---|
| Microsoft AzureMicrosoft Azure | App-Registrierung mit Leseberechtigungen auf Subscription-EbeneApp registration with read permissions at subscription level | RBAC-Zuweisungen, Azure Activity Log, Ressourcen-InventoryRBAC-Zuweisungen, Azure Activity Log, Ressourcen-Inventory |
| Amazon Web Services (AWS)Amazon Web Services (AWS) | IAM-Rolle mit AWS-managed ReadOnlyAccess PolicyIAM role with AWS-managed ReadOnlyAccess policy | IAM Users, Roles, Policies, CloudTrail EventsIAM Users, Roles, Policies, CloudTrail Events |
| Google Cloud Platform (GCP)Google Cloud Platform (GCP) | Service Account mit Viewer + Security Reviewer + Audit Log-LeserechtenService account with Viewer + Security Reviewer + Audit Log read permissions | IAM Bindings, Audit Logs, Resource HierarchyIAM Bindings, Audit Logs, Resource Hierarchy |
Permission Creep Index (PCI)Permission Creep Index (PCI)
Der Permissions Creep Index (PCI) ist eine zentrale Kennzahl. Er berechnet für jede Identität das Verhältnis zwischen vergebenen und tatsächlich genutzten Berechtigungen. Ein hoher PCI-Wert (0–100) bedeutet, dass die Identität deutlich mehr Rechte hat, als sie nutzt. The Permissions Creep Index (PCI) is a central metric. For each identity it calculates the ratio between granted and actually used permissions. A high PCI value (0–100) means the identity has significantly more rights than it uses.
| PCI-BereichPCI-Bereich | RisikostufeRisk level | EmpfehlungRecommendation |
|---|---|---|
| 0–330–33 | Niedrig (grün)Low (green) | Akzeptabel; reguläres ReviewAcceptable; regular review |
| 34–6634–66 | Mittel (gelb)Medium (yellow) | Ungenutzte Berechtigungen prüfen und reduzierenReview and reduce unused permissions |
| 67–10067–100 | Hoch (rot)High (red) | Sofortige Remediation; Right-size auf genutzte BerechtigungenImmediate remediation; right-size to used permissions |
Der PCI aggregiert auf Tenant-, Account- oder Ressourcengruppenebene und erlaubt sowohl eine Gesamtübersicht als auch einen Drill-down auf einzelne Identitäten. The PCI aggregates at tenant, account, or resource group level and allows both an overall view and a drill-down to individual identities.
Unterstützte IdentitätstypenSupported identity types
| IdentitätstypIdentity type | AzureAzure | AWSAWS | GCPGCP |
|---|---|---|---|
| BenutzerUsers | ✅✅ | ✅✅ | ✅✅ |
| GruppenGroups | ✅✅ | ✅✅ | ✅✅ |
| Service Principals / AnwendungenService principals / Applications | ✅✅ | ✅ (Roles)✅ (Roles) | ✅ (Service Accounts)✅ (Service Accounts) |
| Managed IdentitiesManaged Identities | ✅✅ | –– | –– |
| Serverless FunctionsServerless Functions | ✅✅ | ✅ (Lambda)✅ (Lambda) | ✅ (Cloud Functions)✅ (Cloud Functions) |
| EC2-/VM-InstanzenEC2/VM instances | ✅✅ | ✅✅ | ✅✅ |
RemediationRemediation
Entra Permissions Management bietet verschiedene Remediationsoptionen, von manuellen Empfehlungen bis hin zu automatisierten On-Demand-Requests über einen Just-in-Time-Mechanismus. Entra Permissions Management offers various remediation options, from manual recommendations to automated on-demand requests via a Just-in-Time mechanism.
| RemediationstypRemediation type | BeschreibungDescription | AutomatisierbarAutomatable |
|---|---|---|
| Right-sizeRight-size | Berechtigungen auf tatsächlich genutzte Aktionen reduzierenReduce permissions to actually used actions | Halbautomatisch (Vorschlag + Genehmigung)Semi-automated (suggestion + approval) |
| Revoke Unused PermissionsRevoke Unused Permissions | Seit X Tagen nicht genutzte Berechtigungen entfernenRemove permissions not used for X days | ✅✅ |
| Permissions on Demand (JIT)Permissions on Demand (JIT) | Zeitgebundene Berechtigungseskalation auf Anfrage; Workflow mit GenehmigungTime-bound permission escalation on request; workflow with approval | ✅ (Approval Workflow)✅ (Approval Workflow) |
| Role GenerationRole Generation | Automatisch custom Role/Policy aus tatsächlicher Nutzung generierenAutomatically generate custom role/policy from actual usage | ✅✅ |
Erkennung und AlertsDetection and alerts
Entra Permissions Management erkennt anomale Berechtigungsnutzungen und sendet Alerts in Echtzeit. Alerts können an E-Mail, ServiceNow oder andere ITSM-Systeme weitergeleitet werden. Entra Permissions Management detects anomalous permission usage and sends alerts in real time. Alerts can be forwarded to email, ServiceNow, or other ITSM systems.
| Alert-TypAlert type | BeschreibungDescription |
|---|---|
| Statistisch ungewöhnliche AktionStatistically unusual action | Identität nutzt Aktion, die zuvor selten oder nie ausgeführt wurdeIdentity uses an action rarely or never performed before |
| Privilege EscalationPrivilege Escalation | Identität führt Aktionen aus, die eigene Berechtigungen erhöhen könntenIdentity performs actions that could increase own permissions |
| Cross-Account AccessCross-Account Access | Zugriff über Account-Grenzen hinweg (z. B. AWS AssumeRole auf fremdes Konto)Access across account boundaries (e.g. AWS AssumeRole on foreign account) |
| Inactive IdentityInactive Identity | Identität mit hohem PCI, die seit Langem inaktiv istIdentity with high PCI that has been inactive for a long time |
| Data Exfiltration RiskData Exfiltration Risk | Ungewöhnlich viele Leseaktionen auf Storage-RessourcenUnusually high number of read actions on storage resources |
| Anomalous MFA BypassAnomalous MFA Bypass | Service Account nutzt Aktionen, die normalerweise MFA-Schütz erfordernService account uses actions that normally require MFA protection |
BerichteReports
| BerichtReport | InhaltContent | FormatFormat |
|---|---|---|
| PCI DistributionPCI Distribution | PCI-Verteilung aller Identitäten nach RisikostufePCI distribution of all identities by risk level | CSV, PDFCSV, PDF |
| Identity DetailIdentity Detail | Alle vergebenen und genutzten Aktionen einer spezifischen IdentitätAll granted and used actions of a specific identity | CSVCSV |
| Permissions AnalyticsPermissions Analytics | Top-Über-Berechtigte, inaktive Identitäten, ungenutzte RollenTop over-permissioned, inactive identities, unused roles | Dashboard + CSVDashboard + CSV |
| ActivityActivity | Alle Aktionen aller Identitäten im BeobachtungszeitraumAll actions of all identities in the observation period | CSVCSV |
| Privilege CreepPrivilege Creep | Trend des PCI über Zeit pro Account oder RessourcengruppePCI trend over time per account or resource group | DashboardDashboard |
BerechtigungsanalysePermissions analysis
Die Berechtigungsanalyse in Microsoft Entra Permissions Management zeigt, welche Berechtigungen tatsächlich genutzt werden und welche ungenutzt sind. Basis ist das Konzept Permissions Used vs. Granted. The permissions analysis in Microsoft Entra Permissions Management shows which permissions are actually used and which are unused. It is based on the concept of Permissions Used vs. Granted.
| AnalysetypAnalysis type | BeschreibungDescription |
|---|---|
| Permissions UsedPermissions Used | In den letzten 90 Tagen ausgeführte AktionenActions executed in the last 90 days |
| Permissions GrantedPermissions Granted | Alle zugewiesenen Berechtigungen inkl. ungenutzterAll assigned permissions including unused ones |
| High-Risk PermissionsHigh-Risk Permissions | Kritische Aktionen (Datenzugriff, IAM-Änderungen, Compute)Critical actions (data access, IAM changes, compute) |
| Identity Risk ScoreIdentity Risk Score | Risikobewertung pro Identität basierend auf PCI und NutzungsmusternRisk score per identity based on PCI and usage patterns |
Permissions MonitoringPermissions monitoring
Das kontinuierliche Monitoring überwacht Berechtigungsänderungen, unerwartete Aktivitäten und neu erkannte Risiken in AWS, Azure und GCP. Alerts können an E-Mail, Microsoft Teams oder SIEM weitergeleitet werden. Continuous monitoring tracks permission changes, unexpected activities, and newly identified risks across AWS, Azure, and GCP. Alerts can be forwarded to email, Microsoft Teams, or SIEM.
| Monitoring-TypMonitoring type | BeschreibungDescription | Beispiel-AlertExample alert |
|---|---|---|
| Activity TriggersActivity Triggers | Regelbasierte Alerts bei bestimmten API-AufrufenRule-based alerts on specific API calls | iam:CreateAccessKeyiam:CreateAccessKey |
| Anomaly DetectionAnomaly Detection | KI-basierte Erkennung ungewöhnlicher MusterAI-based detection of unusual patterns | Zugriff um 3 Uhr morgens aus unbekannter RegionAccess at 3 AM from unknown region |
| New High-Risk PermissionsNew High-Risk Permissions | Neu zugewiesene kritische BerechtigungenNewly assigned critical permissions | s3:DeleteBuckets3:DeleteBucket |
Onboarding und EinrichtungOnboarding and setup
Azure
# App-Registrierung für Permissions Management anlegen
# Create app registration for Permissions Management
$app = New-MgApplication -DisplayName "EntraPermissionsManagement" -SignInAudience "AzureADMyOrg"
$sp = New-MgServicePrincipal -AppId $app.AppId
# Leseberechtigungen auf Subscription-Ebene vergeben
# Grant read permissions at subscription level
$subscriptionId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
New-AzRoleAssignment -ObjectId $sp.Id `
-RoleDefinitionName "Reader" `
-Scope "/subscriptions/$subscriptionId"
# Zusätzlich benötigte Microsoft Graph-Berechtigungen für Gruppenauflösung
# Additionally required Microsoft Graph permissions for group resolution
# → In App-Registrierung: Directory.Read.All (Application Permission, Admin Consent)AWS
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::123456789012:oidc-provider/sts.windows.net/tenant-id"
},
"Action": "sts:AssumeRoleWithWebIdentity",
"Condition": {
"StringEquals": {
"sts.windows.net/tenant-id:aud": "api://AzureADTokenExchangeEntraPermissionsManagement"
}
}
}
]
}
# AWS Policy für die Rolle: ReadOnlyAccess (AWS Managed) + SecurityAuditIntegration mit Conditional AccessIntegration with Conditional Access
Entra Permissions Management identifiziert hochriskante Identitäten, die dann als Grundlage für verschärfte CA-Policies dienen können. Durch die Kombination beider Tools entsteht ein geschlossener Regelkreis aus Erkennung und Durchsetzung. Entra Permissions Management identifies high-risk identities, which can then serve as the basis for stricter CA policies. By combining both tools, a closed feedback loop of detection and enforcement is created.
1. PCI-Bericht abrufen und Identitäten mit hohem Score exportieren. 2. Identitäten mit PCI > 67 sofort auf Right-size setzen. 3. Service Accounts und Managed Identities auf Permissions-on-Demand umstellen. 4. Regelmäßige CA Access Reviews für überberechtigte Benutzer. 5. Alerts in SIEM oder ITSM weiterleiten für proaktives Incident Management. 1. Retrieve PCI report and export identities with high score. 2. Immediately right-size identities with PCI > 67. 3. Convert service accounts and managed identities to Permissions on Demand. 4. Regular CA access reviews for over-permissioned users. 5. Forward alerts to SIEM or ITSM for proactive incident management.
Abgrenzung zu PIMDistinction from PIM
| MerkmalAspect | Entra PIMEntra PIM | Entra Permissions ManagementEntra Permissions Management |
|---|---|---|
| FokusFocus | Entra ID-Rollen und Azure RBACEntra ID roles and Azure RBAC | Multi-Cloud IAM (Azure, AWS, GCP)Multi-cloud IAM (Azure, AWS, GCP) |
| JITJIT | Rollenaktivierung für Entra/AzureRole activation for Entra/Azure | Permissions on Demand für alle drei CloudsPermissions on Demand for all three clouds |
| ErkennungDetection | Rollenüberprüfung / Access ReviewsRole review / Access Reviews | PCI, Anomalie-Erkennung, NutzungsanalysePCI, anomaly detection, usage analytics |
| LizenzLicense | Entra ID P2Entra ID P2 | Permissions Management Add-on / Entra SuitePermissions Management add-on / Entra Suite |
Permissions on Demand – Just-in-Time WorkflowPermissions on demand – just-in-time workflow
Permissions on Demand ermöglicht eine JIT-Eskalation von Cloud-Berechtigungen für Azure, AWS und GCP. Benutzer können erhöhte Berechtigungen für einen definierten Zeitraum anfordern; ein Genehmigungsworkflow und automatische Revokation stellen sicher, dass dauerhaft überhöhte Rechte vermieden werden. Permissions on Demand enables JIT escalation of cloud permissions for Azure, AWS, and GCP. Users can request elevated permissions for a defined time period; an approval workflow and automatic revocation ensure that permanently excessive rights are avoided.
| SchrittStep | AktionAction | AkteurActor |
|---|---|---|
| 11 | Berechtigung anfordernRequest permission | Benutzer über Self-Service-Portal oder APIUser via self-service portal or API |
| 22 | Anfrage weiterleitenForward request | Entra Permissions Management → GenehmigerEntra Permissions Management → approver |
| 33 | Genehmigen oder ablehnenApprove or deny | Resource Owner oder AdministratorResource owner or administrator |
| 44 | Berechtigung zeitlich begrenzt vergebenGrant time-limited permission | Entra Permissions Management → Cloud Provider IAMEntra Permissions Management → cloud provider IAM |
| 55 | Automatische Revokation nach AblaufAutomatic revocation after expiry | Entra Permissions ManagementEntra Permissions Management |
GCP OnboardingGCP onboarding
# Service Account erstellen
gcloud iam service-accounts create entra-pm-reader \
--description="Entra Permissions Management Reader" \
--display-name="Entra PM Reader"
# Viewer-Rolle auf Projektebene zuweisen
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="serviceAccount:entra-pm-reader@PROJECT_ID.iam.gserviceaccount.com" \
--role="roles/viewer"
# Security Reviewer-Rolle hinzufügen
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="serviceAccount:entra-pm-reader@PROJECT_ID.iam.gserviceaccount.com" \
--role="roles/iam.securityReviewer"
# Audit Log Viewer hinzufügen
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="serviceAccount:entra-pm-reader@PROJECT_ID.iam.gserviceaccount.com" \
--role="roles/logging.viewer"
# Workload Identity Federation konfigurieren
gcloud iam workload-identity-pools create entra-pm-pool \
--location="global" --description="Pool for Entra Permissions Management"Kennzahlen und KPIsMetrics and KPIs
| KPIKPI | ZielwertTarget value | BedeutungSignificance |
|---|---|---|
| Durchschnittlicher PCIDurchschnittlicher PCI | < 33< 33 | Geringe Über-Provisionierung im DurchschnittLow over-provisioning on average |
| % Identitäten mit PCI > 67% identities with PCI > 67 | < 5 %< 5 % | Wenige hochriskante IdentitätenFew high-risk identities |
| Inaktive Identitäten (> 90 Tage)Inactive identities (> 90 days) | < 2 %< 2 % | Wenige verwaiste Konten und RollenFew orphaned accounts and roles |
| JIT-NutzungsrateJIT-Nutzungsrate | > 80 % privilegierter Zugriffe> 80 % privilegierter Zugriffe | Hohe Adoption des JIT-ModellsHigh adoption of JIT model |
| Offene AlertsOffene Alerts | MTTR < 24 hMTTR < 24 h | Schnelle Reaktion auf AnomalienFast response to anomalies |
Beginnen Sie mit dem Read-Only-Onboarding aller drei Cloud-Plattformen und dem PCI-Dashboard, bevor Sie Remediation-Aktionen ausführen. Das initiale Inventar benötigt 24–48 Stunden für die erste vollständige Analyse. Start with the read-only onboarding of all three cloud platforms and the PCI dashboard before executing remediation actions. The initial inventory requires 24–48 hours for the first complete analysis.
Lifecycle-Policies für Cloud-IdentitätenLifecycle policies for cloud identities
Entra Permissions Management empfiehlt die Implementierung von Lifecycle-Policies für Cloud-Identitäten, um automatisch verwaiste Konten, ungenutzte Rollen und abgelaufene Berechtigungen zu erkennen und zu behandeln. Entra Permissions Management recommends implementing lifecycle policies for cloud identities to automatically detect and address orphaned accounts, unused roles, and expired permissions.
| IdentitätstypIdentity type | Lifecycle-EreignisLifecycle event | Empfohlene AktionRecommended action |
|---|---|---|
| Benutzer (Abgang)User (offboarding) | Account deaktiviert/gelöschtAccount disabled/deleted | Cloud-Berechtigungen sofort entfernenRemove cloud permissions immediately |
| Service AccountService Account | Anwendung außer BetriebApplication decommissioned | IAM-Rolle und Schlüssel widerrufenRevoke IAM role and keys |
| Managed IdentityManaged Identity | Azure-Ressource gelöschtAzure resource deleted | RBAC-Zuweisungen prüfen und bereinigenReview and clean up RBAC assignments |
| Temporäre Rolle (JIT)Temporary role (JIT) | Zeitfenster abgelaufenTime window expired | Automatische Revokation durch Permissions ManagementAutomatic revocation by Permissions Management |
Best PracticesBest practices
- Beginnen Sie mit Read-Only-Onboarding aller Accounts; führen Sie erst nach dem ersten PCI-Inventar Remediations durch.Start with read-only onboarding of all accounts; only perform remediations after the first PCI inventory.
- Priorisieren Sie Identitäten mit PCI > 67 und mehr als 30 Tagen Inaktivität – diese sind das höchste Risiko.Prioritize identities with PCI > 67 and more than 30 days of inactivity – these represent the highest risk.
- Implementieren Sie Permissions on Demand als Standard für alle privilegierten Aktionen (IAM-Änderungen, Ressourcenerstellung).Implement Permissions on Demand as standard for all privileged actions (IAM changes, resource creation).
- Exportieren Sie PCI-Trends nach Log Analytics für Compliance-Reporting und Trend-Analyse über Quartalsgrenzen hinweg.Export PCI trends to Log Analytics for compliance reporting and trend analysis across quarters.
- Integrieren Sie Alerts in bestehende ITSM/SIEM-Infrastruktur für nahtloses Incident Management.Integrate alerts into existing ITSM/SIEM infrastructure for seamless incident management.
PowerShell & CLI-ReferenzPowerShell & CLI Reference
Für die Automatisierung von Entra Permissions Management stehen REST-APIs und CLI-Tools zur Verfügung.For automating Entra Permissions Management, REST APIs and CLI tools are available.
# Azure – Rollenzuweisungen mit PCI analysieren (Azure Resource Graph)
$query = "AuthorizationResources
| where type =~ 'Microsoft.Authorization/roleAssignments'
| extend principalId = tostring(properties.principalId)
| extend roleDefId = tostring(properties.roleDefinitionId)
| project principalId, roleDefId, subscriptionId, resourceGroup"
Search-AzGraph -Query $query | Export-Csv -Path ".\role-assignments.csv" -NoTypeInformation
# AWS – IAM Berechtigungsanalyse via Access Analyzer
aws accessanalyzer list-findings --analyzer-arn arn:aws:access-analyzer:eu-west-1:123456789012:analyzer/ConsoleAnalyzer
# GCP – IAM Policy Bindings für Projekt abrufen
gcloud projects get-iam-policy myproject --format=json | ConvertFrom-Json |
Select-Object -ExpandProperty bindings |
Where-Object { $_.role -like "*admin*" }Alerttypen & SchweregradeAlert Types & Severity Levels
Entra Permissions Management generiert automatisierte Alerts für verdächtige Berechtigungsaktivitäten.Entra Permissions Management generates automated alerts for suspicious permissions activities.
| Alert-TypAlert Type | SchweregradSeverity | BeschreibungDescription |
|---|---|---|
| Super Identity entdecktSuper identity detected | KritischCritical | Identität mit globalem Admin-BerechtigungenIdentity with global admin permissions |
| Ungenutzte hochprivilegierte RolleUnused high-privilege role | HochHigh | 90+ Tage keine Nutzung trotz hohen Berechtigungen90+ days unused despite high permissions |
| PCI-AnstiegPCI increase | MittelMedium | PCI stieg um >20 Punkte in 7 TagenPCI increased by >20 points in 7 days |
| Anomale RessourcennutzungAnomalous resource usage | MittelMedium | Ungewöhnliche Aktivität außerhalb der ArbeitszeitUnusual activity outside working hours |
| Neuer Admin-BenutzerNew admin user | NiedrigLow | Admin-Rolle in letzten 24 Stunden vergebenAdmin role granted in last 24 hours |
Remediation-WorkflowRemediation Workflow
Der Remediation-Workflow in Entra Permissions Management folgt einem standardisierten Prozess von der Erkennung bis zur Korrektur.The remediation workflow in Entra Permissions Management follows a standardised process from detection to correction.
| PhasePhase | AktivitätActivity | ToolTool |
|---|---|---|
| 1. ErkennungDetection | PCI & Alert ReviewPCI & alert review | DashboardDashboard |
| 2. AnalyseAnalysis | Analytics-Berichte, AktivitätshistorieAnalytics reports, activity history | Analytics TabAnalytics Tab |
| 3. EmpfehlungRecommendation | Right-Size Permission EmpfehlungenRight-size permission recommendations | Remediation TabRemediation tab |
| 4. GenehmigungApproval | JIT-Anfrage oder TicketJIT request or ticket | ServiceNow / EmailServiceNow / Email |
| 5. KorrekturCorrection | Rollenentfernung oder AnpassungRole removal or adjustment | Azure RBAC / IAMAzure RBAC / IAM |
| 6. VerifikationVerification | PCI-Rückgang bestätigenConfirm PCI decrease | Dashboard nach 24hDashboard after 24h |