Microsoft Entra Permissions Management (wcześniej CloudKnox) było wielochmurowym rozwiązaniem CIEM (Cloud Infrastructure Entitlement Management), które wykrywało, analizowało i automatycznie ograniczało nadmiarowe uprawnienia tożsamości w Microsoft Azure, Amazon Web Services (AWS) i Google Cloud Platform (GCP). Microsoft wycofał produkt z końcem 2025 roku, a jego oficjalnym następcą jest Delinea Privilege Control for Cloud Entitlements (PCCE).
W skrócie
- Rozwiązanie CIEM do zarządzania uprawnieniami w chmurze: Azure, AWS i GCP
- Powstało z przejęcia startupu CloudKnox przez Microsoft w lipcu 2021 roku
- Kluczowy wskaźnik: Permission Creep Index (PCI) — mierzy ryzyko związane z niewykorzystanymi uprawnieniami
- Automatyczne wykrywanie i usuwanie uprawnień nieużywanych przez 90+ dni
- Microsoft wycofał produkt: od 1 kwietnia 2025 brak nowych zakupów, pełne wyłączenie 1 października 2025
- Oficjalny następca: Delinea Privilege Control for Cloud Entitlements
- Cena przed wycofaniem: 125 USD/zasób/rok (~10,40 USD/zasób/miesiąc)
Pełna definicja — czym było Entra Permissions Management
Microsoft Entra Permissions Management było platformą CIEM, której zadaniem było zapewnienie pełnej widoczności w uprawnienia przypisane do wszystkich tożsamości — zarówno użytkowników (pracownicy, partnerzy zewnętrzni), jak i tożsamości maszynowych (maszyny wirtualne, kontenery, funkcje serverless, klucze API). Produkt odpowiadał na fundamentalny problem bezpieczeństwa w chmurze: rozwarstwienie uprawnień (ang. permissions sprawl), czyli sytuację, w której użytkownicy i workloady gromadzą przez lata uprawnienia, których nigdy nie wykorzystują.
Produkt wywodził się ze startupu CloudKnox Security, założonego w 2016 roku w Sunnyvale w Kalifornii. Microsoft przejął firmę w lipcu 2021 roku, a w 2022 roku — wraz z premierą rodziny produktów Microsoft Entra — przemianował CloudKnox na Microsoft Entra Permissions Management.
Architektura — trzy fazy działania
Permissions Management działało w trzech fazach, które Microsoft zalecał przechodzić po kolei:
- Discover (Odkryj) — pełna inwentaryzacja wszystkich tożsamości i ich uprawnień w Azure, AWS i GCP. Produkt tworzył znormalizowany, wielochmurowy widok uprawnień, niezależnie od natywnych modeli dostępu każdego dostawcy chmury (IAM w AWS, RBAC w Azure, IAM w GCP).
- Remediate (Napraw) — automatyczne usuwanie uprawnień niewykorzystywanych przez ostatnie 90 dni, przyznawanie uprawnień na żądanie (permissions on-demand) na ograniczony czas oraz egzekwowanie zasady najmniejszych uprawnień (least privilege).
- Monitor (Monitoruj) — ciągłe monitorowanie anomalii z użyciem uczenia maszynowego, generowanie raportów forensycznych i śledzenie wskaźnika PCI.
Permission Creep Index (PCI) — jak mierzono ryzyko
Permission Creep Index był flagowym wskaźnikiem Permissions Management. PCI to ilościowa miara ryzyka powiązana z tożsamością lub rolą, obliczana przez porównanie uprawnień przyznanych z uprawnieniami faktycznie wykorzystanymi. Im więcej nieużywanych, szerokich uprawnień posiadała tożsamość, tym wyższy był jej PCI — i tym większe potencjalne szkody mogła wyrządzić w przypadku przejęcia konta. Wskaźnik był odświeżany co godzinę przez silnik uczenia maszynowego.
Od CloudKnox do Entra — historia przejęcia i rebrandingu
| Data | Wydarzenie |
|---|---|
| 2016 | Powstanie startupu CloudKnox Security (Sunnyvale, Kalifornia) |
| Lipiec 2021 | Microsoft przejmuje CloudKnox za nieujawnioną kwotę |
| Maj 2022 | Microsoft ogłasza rodzinę produktów Microsoft Entra; CloudKnox staje się Microsoft Entra Permissions Management |
| Lipiec 2022 | Koniec darmowego dostępu — wymagana licencja próbna (45 dni) lub płatna (125 USD/zasób/rok) |
| 1 kwietnia 2025 | Koniec sprzedaży — brak możliwości zakupu nowych licencji |
| 1 października 2025 | Pełne wycofanie produktu — automatyczne offboardowanie i usunięcie danych |
Dlaczego Microsoft wycofał Entra Permissions Management?
Decyzja o wycofaniu produktu została ogłoszona w pierwszym kwartale 2025 roku. Według oficjalnego komunikatu Microsoftu, powodem było skupienie portfela innowacji na obszarach różnicujących oraz decyzja o przekazaniu niszy CIEM partnerowi ekosystemowemu — firmie Delinea. Microsoft utrzymał pozostałe produkty z rodziny Entra: Entra ID, Entra ID Governance, Entra ID Protection, Entra Verified ID, Entra Internet Access, Entra Private Access i Entra Workload ID.
W praktyce CIEM był produktem niszowym — konkurował w segmencie, który nie stanowił kluczowego priorytetu dla Microsoftu wobec dominacji rozwiązań takich jak Entra ID P2 czy Microsoft 365 E5 Security.
Czym zastąpić Entra Permissions Management? Delinea PCCE
Microsoft oficjalnie rekomenduje Delinea Privilege Control for Cloud Entitlements (PCCE) jako bezpośredni zamiennik. PCCE oferuje porównywalną funkcjonalność:
| Funkcja | Entra Permissions Management | Delinea PCCE |
|---|---|---|
| Wspierane chmury | Azure, AWS, GCP | Azure, AWS, GCP |
| Odkrywanie uprawnień (discovery) | ✅ Tak | ✅ Tak |
| Wskaźnik ryzyka uprawnień | Permission Creep Index (PCI) | Identity Posture scoring |
| Automatyczna remediacja | ✅ Tak (90 dni nieużywania) | ✅ Tak |
| Uprawnienia na żądanie (JIT) | ✅ Tak | ✅ Tak |
| Wykrywanie anomalii ML | ✅ Tak | ✅ Tak (Delinea Iris AI) |
| Integracja z ITSM | W roadmapie | ✅ Tak (ServiceNow i inne) |
| Cennik | $125/zasób/rok | Wycena indywidualna (kontakt z Delinea) |
| Dostępność w UE | ✅ Tak | ✅ Tak |
Entra Permissions Management a Entra ID PIM — czym się różniły
Częstym błędem było mylenie Permissions Management z Microsoft Entra ID Privileged Identity Management (PIM). To dwa różne produkty o różnych zadaniach:
- Entra ID PIM — zarządza dostępem just-in-time do ról administracyjnych w Azure AD/Entra ID i Microsoft Online Services (np. rola Global Administrator, rola SharePoint Admin). Działa w obrębie ekosystemu Microsoft.
- Entra Permissions Management — działał wielochmurowo (Azure, AWS, GCP) i obejmował uprawnienia na poziomie infrastruktury IaaS — role AWS IAM, role Azure RBAC na subskrypcjach, uprawnienia GCP IAM. Nie ograniczał się do ról administracyjnych Entra ID.
Produkty były komplementarne — PIM chronił role administracyjne Microsoft, Permissions Management chronił uprawnienia infrastrukturalne w wielu chmurach.
Częste pytania
Czym dokładnie był CloudKnox przed przejęciem przez Microsoft?
CloudKnox był startupem z Doliny Krzemowej, który jako jeden z pierwszych zbudował platformę CIEM zdolną do zarządzania uprawnieniami tożsamości w środowiskach wielochmurowych. Jego główną innowacją był Permission Creep Index — ilościowy wskaźnik ryzyka uprawnień, który Microsoft zachował po przejęciu jako centralny element Permissions Management.
Dlaczego Microsoft wycofał Entra Permissions Management, zamiast rozwijać je dalej?
Microsoft uznał, że segment CIEM nie jest wystarczająco różnicujący wobec konkurencji i że lepiej skoncentrować zasoby na flagowych produktach Entra (ID, ID Governance, Verified ID). Zamiast konkurować z wyspecjalizowanymi dostawcami PAM/CIEM, Microsoft nawiązał partnerstwo z Delinea — liderem rynku Privileged Access Management.
Czy mogę jeszcze uzyskać dostęp do Entra Permissions Management w 2026 roku?
Nie. Produkt został całkowicie wycofany 1 października 2025 roku. Wszystkie dane zebrane przez kolektory zostały automatycznie usunięte, a aplikacja CIEM w Microsoft Entra Admin Center przestała być dostępna. Klienci, którzy nie zdążyli przeprowadzić migracji przed tą datą, stracili dostęp do historycznych danych.
Czym różni się CIEM od PAM (Privileged Access Management)?
PAM koncentruje się na zarządzaniu uprzywilejowanymi kontami i sesjami (np. vaultowanie haseł administratora, nagrywanie sesji RDP). CIEM działa warstwę wyżej — analizuje same uprawnienia (nie konta) w infrastrukturze chmurowej i odpowiada na pytanie: „czy ta tożsamość naprawdę potrzebuje dostępu do tego zasobu?”. Permissions Management było rozwiązaniem CIEM, Delinea PCCE łączy CIEM z klasycznym PAM.
Czy Permission Creep Index był dostępny dla wszystkich trzech chmur jednocześnie?
Tak. PCI był obliczany jako zagregowany wskaźnik dla wszystkich trzech platform (Azure, AWS, GCP) jednocześnie. W dashboardzie Permissions Management można było zobaczyć zarówno globalny PCI organizacji, jak i rozbicie na poszczególne chmury oraz pojedyncze tożsamości. Wskaźnik odświeżał się co godzinę na podstawie danych z kolektorów.
Jak wyglądała migracja z Entra Permissions Management do Delinea PCCE?
Microsoft opublikował szczegółowy przewodnik offboardingu. Proces obejmował: (1) usunięcie uprawnień przypisanych w AWS, Azure i GCP podczas onboardingu, (2) usunięcie aplikacji OIDC dla AWS i GCP, (3) zatrzymanie kolektorów danych, (4) wyłączenie logowania do aplikacji CIEM. Zalecano wykonanie tych kroków i równoległe wdrożenie Delinea PCCE przed terminem wyłączenia.
Czy Entra Permissions Management było dostępne w języku polskim?
Tak — wraz z premierą wersji GA (General Availability) w 2022 roku Microsoft Entra Permissions Management było dostępne w 18 językach, w tym po polsku. Interfejs można było przełączyć przez parametr ?lang=pl-PL w adresie URL lub na podstawie ustawień przeglądarki.
Potrzebujesz licencji Microsoft do swojego środowiska — Azure, Windows Server, Microsoft 365? W KluczeSoft.pl znajdziesz legalne, w pełni zgodne z prawem UE klucze Microsoft w cenach nawet 30–50% niższych od oficjalnego cennika — ze wsparciem technicznym i fakturą VAT.