Microsoft Entra Permissions Management (EPM) to rozwiązanie CIEM (Cloud Infrastructure Entitlement Management), które zapewniało pełną widoczność uprawnień tożsamości w chmurach Microsoft Azure, AWS i Google Cloud. Uwaga: od 1 kwietnia 2025 r. Microsoft wstrzymał sprzedaż tego produktu, a 1 października 2025 r. całkowicie go wycofał — w 2026 r. funkcje zarządzania uprawnieniami są dostępne w ramach Microsoft Entra ID Governance oraz poprzez rekomendowanego partnera — Delinea Privilege Control for Cloud Entitlements (PCCE).
W skrócie
- EPM = Cloud Infrastructure Entitlement Management (CIEM) — odkrywał, korygował i monitorował uprawnienia w wielu chmurach
- Obejmował Microsoft Azure, Amazon Web Services (AWS) i Google Cloud Platform (GCP)
- Kluczowa metryka: Permission Creep Index (PCI) — wskaźnik rozpełzania uprawnień
- Wycofany: sprzedaż wstrzymana 1.04.2025, pełne wyłączenie 1.10.2025
- Migracja: Microsoft oficjalnie rekomenduje Delinea PCCE jako zamiennik
- Funkcje CIEM częściowo wchłonięte przez Microsoft Entra ID Governance (przeglądy dostępu, PIM, analityka uprawnień)
- Niezależny artykuł — KluczeSoft.pl nie jest powiązany z Microsoft ani Delinea
Czym dokładnie było Microsoft Entra Permissions Management
Microsoft Entra Permissions Management (EPM) było samodzielnym produktem w rodzinie Microsoft Entra, wprowadzonym w 2022 roku po przejęciu przez Microsoft firmy CloudKnox Security w 2021 roku. Jego zadaniem było rozwiązanie narastającego problemu nadmiarowych uprawnień w środowiskach wielochmurowych — sytuacji, w której użytkownicy, konta serwisowe i workloady posiadają znacznie więcej uprawnień, niż faktycznie potrzebują.
EPM należało do kategorii CIEM (Cloud Infrastructure Entitlement Management), zdefiniowanej przez Gartnera jako narzędzia do zarządzania uprawnieniami w infrastrukturze chmurowej. Produkt działał na zasadzie ciągłego skanowania uprawnień przypisanych do wszystkich tożsamości — zarówno ludzkich (pracownicy, administratorzy), jak i maszynowych (service principals, managed identities, konta automatyzacji) — w trzech głównych chmurach publicznych.
Kluczowe pojęcia
| Pojęcie | Definicja |
|---|---|
| CIEM | Cloud Infrastructure Entitlement Management — kategoria narzędzi do zarządzania uprawnieniami w IaaS/PaaS |
| Permission Creep Index (PCI) | Zagregowany wskaźnik ryzyka (0–100) pokazujący, jak bardzo uprawnienia odbiegają od zasady najmniejszego uprawnienia |
| Right-sizing | Automatyczne dostosowywanie uprawnień do faktycznie wykorzystywanych — usuwanie nieużywanych od 90 dni |
| Just-in-Time (JIT) | Przyznawanie uprawnień na żądanie, na ograniczony czas, zamiast stałych przypisań |
| Tożsamość maszynowa | Konto nietworzone dla człowieka — service principal, managed identity, rola IAM dla EC2/Lambda |
Jak działało EPM — trzy filary: Discover, Remediate, Monitor
Architektura Permissions Management opierała się na trzech filarach, które należało realizować sekwencyjnie — nie można naprawiać czegoś, czego się nie odkryło, ani monitorować tego, czego się nie naprawiło.
1. Discover — odkrywanie uprawnień
EPM łączył się z każdą chmurą przez dedykowane kolektory danych (data collectors) i pobierał pełną mapę przypisanych uprawnień. Dla każdej tożsamości — użytkownika, grupy, roli, konta serwisowego — sprawdzał:
- jakie uprawnienia są przypisane (granted permissions),
- jakie uprawnienia są faktycznie używane (used permissions) w ciągu ostatnich 90 dni,
- różnicę między nimi — czyli uprawnienia nadmiarowe i nieużywane.
Wynikiem był Permission Creep Index (PCI) — pojedyncza liczba od 0 do 100, która w czasie rzeczywistym pokazywała poziom ryzyka w całej organizacji. PCI = 0 oznaczało idealny stan (zero nieużywanych uprawnień), PCI > 60 sygnalizował poważny problem.
2. Remediate — korygowanie uprawnień
Na podstawie danych z fazy Discover EPM automatycznie proponował — i wykonywał — korekty:
- automatyczne usuwanie uprawnień nieużywanych od 90 dni (tzw. right-sizing),
- tworzenie nowych, ograniczonych ról zastępujących zbyt szerokie przypisania,
- Just-in-Time access — przyznawanie podwyższonych uprawnień tylko na czas wykonania zadania (np. 2 godziny), a nie na stałe.
W praktyce oznaczało to, że administrator bazy danych, który przez ostatnie 3 miesiące tylko odczytywał dane, tracił uprawnienia do zapisu — aż do momentu, gdy faktycznie ich potrzebował.
3. Monitor — ciągły nadzór
EPM wykorzystywał uczenie maszynowe do wykrywania anomalii w użyciu uprawnień. Silnik alertów identyfikował m.in.:
- nagłe eskalacje uprawnień,
- dostęp z nietypowych lokalizacji geograficznych,
- użycie uprawnień, które wcześniej były nieaktywne przez ponad 90 dni,
- podejrzane wzorce dostępu między chmurami (np. konto AWS nagle uzyskujące dostęp do zasobów Azure).
Każdy alert zawierał kontekstowe raporty forensic — kto, co, gdzie, kiedy i z jakim skutkiem — co drastycznie skracało czas reakcji na incydenty (z godzin do minut).
Permission Creep Index — serce EPM
PCI było flagową metryką Entra Permissions Management i jednym z najczęściej cytowanych wskaźników w raportach bezpieczeństwa Microsoftu. Oto jak interpretować wartości:
| PCI | Interpretacja | Zalecane działanie |
|---|---|---|
| 0–20 | Stan idealny — organizacja stosuje zasadę najmniejszego uprawnienia | Utrzymuj, monitoruj trendy |
| 21–40 | Niewielkie odchylenia — kilka tożsamości ma nieużywane uprawnienia | Przegląd kwartalny, right-sizing |
| 41–60 | Umiarkowane ryzyko — istotna część uprawnień jest nadmiarowa | Natychmiastowe korekty, wdrożenie JIT |
| 61–80 | Wysokie ryzyko — organizacja podatna na ataki przez eskalację uprawnień | Priorytetowe działania naprawcze, audyt |
| 81–100 | Krytyczne — masowe rozpełzanie uprawnień, ekstremalne ryzyko naruszenia | Awaryjny plan naprawczy, zespół IR |
W praktyce większość organizacji w momencie pierwszego wdrożenia EPM notowała PCI na poziomie 55–75 — co oznacza, że ponad połowa uprawnień w chmurze była zbędna.
Dlaczego Microsoft wycofał Entra Permissions Management
Decyzja Microsoftu o wycofaniu EPM (ogłoszona na początku 2025 roku) była zaskoczeniem dla wielu użytkowników. Oficjalne powody:
- Konsolidacja portfolio — Microsoft uznał, że funkcje CIEM lepiej zintegrować z szerszym ekosystemem Entra (ID Governance, PIM, Conditional Access), zamiast utrzymywać osobny produkt.
- Strategia partnerska — zamiast konkurować z wyspecjalizowanymi dostawcami PAM/CIEM, Microsoft postawił na współpracę — oficjalnie rekomendując Delinea jako partnera migracyjnego.
- Zmiana priorytetów — inwestycje w Microsoft Entra Suite (Verified ID, Internet Access, Private Access, Workload ID) uznano za ważniejsze niż utrzymanie EPM.
⚠ Ważne: CIEM jako koncepcja nie znika. Funkcjonalność jest rozproszona między Microsoft Entra ID Governance (przeglądy dostępu, lifecycle workflows, PIM) a zewnętrzne rozwiązania, takie jak Delinea PCCE.
EPM vs alternatywy — porównanie
| Cecha | EPM (wycofany) | Entra ID Governance | Delinea PCCE |
|---|---|---|---|
| Status 2026 | ❌ Wycofany (10.2025) | ✅ Aktywny | ✅ Aktywny, rekomendowany przez MS |
| PCI / wskaźnik ryzyka | ✅ Tak | ⚠ Ograniczona analityka | ✅ Tak |
| Multi-cloud (AWS, Azure, GCP) | ✅ Pełne | ❌ Tylko Azure | ✅ Pełne |
| Automatyczne right-sizing | ✅ Tak | ❌ Ręczne przeglądy | ✅ Tak |
| Just-in-Time access | ✅ Tak | ✅ Tak (przez PIM) | ✅ Tak |
| Wykrywanie anomalii ML | ✅ Tak | ❌ Nie | ✅ Tak |
| Tożsamości maszynowe | ✅ Pełne wsparcie | ⚠ Workload ID (Azure) | ✅ Pełne |
| Raporty forensic | ✅ Tak | ❌ Logi audytu | ✅ Tak |
| Model licencjonowania | Subskrypcja (per user) | Microsoft Entra Suite / P2 | Subskrypcja (roczna) |
Co robić w 2026 roku — migracja z EPM
Jeśli Twoja organizacja korzystała z EPM przed wycofaniem, Microsoft zaleca następującą ścieżkę:
Opcja 1: Delinea Privilege Control for Cloud Entitlements (rekomendowana przez Microsoft)
Delinea PCCE to natywnie chmurowe rozwiązanie CIEM, które oferuje funkcjonalność porównywalną z EPM — ciągłe odkrywanie uprawnień, PCI, right-sizing i JIT — dla Azure, AWS i GCP. Delinea to uznany lider w kategorii PAM (Privileged Access Management), siedmiokrotnie wyróżniony w Gartner Magic Quadrant.
Zalety:
- Pełna kompatybilność ze środowiskami Microsoft,
- Zaawansowane funkcje wykraczające poza EPM (m.in. vaulting poświadczeń, Continuous Identity Discovery),
- Oficjalne partnerstwo z Microsoftem — dokumentacja migracji dostępna na docs.microsoft.com.
Opcja 2: Microsoft Entra ID Governance (dla środowisk wyłącznie Azure)
Jeśli Twoja organizacja korzysta tylko z Microsoft Azure i nie potrzebuje wsparcia multi-cloud, funkcje zarządzania uprawnieniami dostępne w Entra ID Governance (wymaga licencji Microsoft Entra Suite lub Entra ID P2) mogą być wystarczające:
- Przeglądy dostępu (Access Reviews) — cykliczna certyfikacja uprawnień użytkowników i gości,
- Privileged Identity Management (PIM) — Just-in-Time dostęp do ról uprzywilejowanych,
- Lifecycle Workflows — automatyzacja przyznawania i odbierania dostępu przy onboardingu/offboardingu,
- Workload ID — zarządzanie tożsamościami maszynowymi w Azure.
Opcja 3: Inne rozwiązania CIEM na rynku
Poza Delinea PCCE, na rynku istnieją również:
- Wiz — platforma CNAPP (Cloud-Native Application Protection Platform) z modułem CIEM,
- CrowdStrike Falcon Cloud Security — CIEM jako część platformy CNAPP,
- Palo Alto Prisma Cloud — moduł zarządzania uprawnieniami w ramach platformy CNAPP.
Każde z tych rozwiązań wymaga osobnego wdrożenia i integracji z posiadanymi licencjami Microsoft.
Częste pytania
Czym różni się CIEM od PAM?
CIEM (Cloud Infrastructure Entitlement Management) koncentruje się na uprawnieniach w chmurze publicznej (IaaS/PaaS) — skanuje wszystkie tożsamości, wykrywa nadmiarowe uprawnienia i koryguje je. PAM (Privileged Access Management) zarządza kontami uprzywilejowanymi — przechowuje hasła w vaultcie, rotuje poświadczenia, sesje monitoringu. CIEM to "co kto może w chmurze", PAM to "kto ma klucze do serwerowni". Oba rozwiązania się uzupełniają.
Czy Entra ID P2 zastępuje Permissions Management?
Nie w pełni. Entra ID P2 zapewnia Privileged Identity Management (JIT dla ról Azure AD/Entra ID) i Access Reviews, ale nie oferuje: analityki wielochmurowej (AWS, GCP), wskaźnika PCI, automatycznego right-sizingu uprawnień w IaaS ani wykrywania anomalii ML. P2 jest wystarczające dla organizacji działających wyłącznie na Microsoft Azure.
Czy EPM był darmowy?
Nie. Microsoft Entra Permissions Management był płatnym produktem w modelu subskrypcyjnym (per-user, per-month). Dokładne ceny zależały od wolumenu licencji i umowy Enterprise Agreement. Po 1 kwietnia 2025 r. nie można już kupić nowych licencji.
Jakie dane zbierał EPM z mojej chmury?
EPM pobierał wyłącznie metadane o uprawnieniach — listy ról, przypisań, polityk dostępu i logów użycia. Nie miał dostępu do treści zasobów (danych w storage, bazach danych, maszynach wirtualnych). Uprawnienia przyznawane były przez OIDC (OpenID Connect) z minimalnym zestawem ról tylko-do-odczytu.
Co się stało z moimi danymi po wycofaniu EPM?
Zgodnie z oficjalnym przewodnikiem Microsoftu, 1 października 2025 r. wszystkie dane zebrane przez EPM zostały automatycznie usunięte. Organizacje, które nie zdążyły przeprowadzić migracji przed tą datą, utraciły historyczne dane o uprawnieniach. Dlatego Microsoft zalecał wcześniejsze przejście na Delinea PCCE i sporządzenie notatek z portalu EPM.
Czy małe firmy potrzebują narzędzia CIEM?
Jeśli firma korzysta z jednej chmury (np. tylko Microsoft 365 + Azure dla kilku maszyn wirtualnych), pełne CIEM może być przesadą — wystarczy Entra ID P2 z Access Reviews i PIM. Jeśli jednak organizacja działa na AWS i Azure, ma kilkudziesięciu użytkowników technicznych i używa kont serwisowych (CI/CD, automatyzacje), ryzyko rozpełzania uprawnień rośnie wykładniczo — i wtedy CIEM staje się koniecznością.
Czy KluczeSoft oferuje licencje Microsoft Entra?
KluczeSoft.pl specjalizuje się w legalnych, używanych licencjach Microsoft — przede wszystkim na systemy operacyjne (Windows 11, Windows Server) i pakiety biurowe (Microsoft Office, Microsoft 365). Pełen pakiet Microsoft Entra Suite (obejmujący Entra ID Governance) jest dostępny wyłącznie w ramach umów Enterprise Agreement bezpośrednio od Microsoftu.
Zabezpiecz swoje środowisko Windows i Microsoft 365
Zarządzanie uprawnieniami w chmurze zaczyna się od solidnej podstawy — legalnego, w pełni aktywowanego systemu operacyjnego i pakietu biurowego. Jeśli Twoja organizacja planuje wdrożenie polityki Zero Trust i zasady najmniejszego uprawnienia, potrzebujesz pewności, że fundament — Windows i Office — jest prawidłowo licencjonowany.
→ Microsoft Windows 11 Professional — klucz licencyjny — dla firm wymagających zaawansowanego zarządzania tożsamością, BitLockera i integracji z Azure AD/Entra ID.
→ Microsoft 365 Business Standard — pełny pakiet biurowy z Exchange Online, SharePoint i Teams, współpracujący z Microsoft Entra ID.
→ Windows Server 2025 — licencje serwerowe — dla środowisk on-premises i hybrydowych integrujących się z Azure Arc i Entra.
Artykuł ma charakter wyłącznie informacyjny i edukacyjny. KluczeSoft.pl jest niezależnym sprzedawcą używanych licencji Microsoft i nie jest powiązany z Microsoft Corporation, Delinea ani żadnym z wymienionych dostawców CIEM. Wszystkie znaki towarowe należą do ich właścicieli.