Przejdź do treści
KluczeSoft Wiedza
Powrót do Centrum Pomocy
Microsoft 365
Bezpieczeństwo

Entra ID Privileged Identity Management (PIM) — konfiguracja krok po kroku i najlepsze praktyki (2026)

Privileged Identity Management to nie pojedyncze narzędzie, a warstwa bezpieczeństwa osadzona w ekosystemie Microsoft Entra (dawniej Azure AD). Jej zadaniem jes

9 min czytania·Zaktualizowano dzisiaj
Faktura VAT 23% + KSeFDostawa 1-3 min e-mailemGwarancja działania klucza5,0 / 5,0(KluczeSoft)

Microsoft Entra ID Privileged Identity Management (PIM) to usługa w ramach Microsoft Entra ID Governance, która umożliwia zarządzanie, kontrolowanie i monitorowanie dostępu do uprzywilejowanych ról w organizacji. Zamiast przyznawać administratorom stałe uprawnienia, PIM dostarcza model just-in-time (JIT) — użytkownik aktywuje rolę tylko na czas potrzebny do wykonania zadania, po czym uprawnienia wygasają automatycznie.

W skrócie

  • PIM jest częścią Microsoft Entra ID Governance i wymaga licencji Entra ID P2 lub Microsoft 365 E5
  • Zastępuje model stałych uprawnień Global Administrator modelem czasowej aktywacji z uzasadnieniem i akceptacją
  • Obsługuje role Entra ID, role zasobów Azure oraz role grup (PIM for Groups, GA od 2024)
  • Konfiguracja wymaga uprawnień Privileged Role Administrator lub Global Administrator
  • Aktywacja roli może wymagać MFA, zgody wyznaczonego aprobanta oraz podania uzasadnienia biznesowego
  • Wszystkie aktywacje i zmiany przypisań są rejestrowane w dzienniku audytu na potrzeby zgodności (ISO 27001, SOC 2)

Czym dokładnie jest Entra ID PIM?

Privileged Identity Management to nie pojedyncze narzędzie, a warstwa bezpieczeństwa osadzona w ekosystemie Microsoft Entra (dawniej Azure AD). Jej zadaniem jest egzekwowanie zasady least privilege — każdy użytkownik ma tylko minimum uprawnień niezbędnych do wykonania swojej pracy, i to wyłącznie w momencie, gdy faktycznie ich potrzebuje.

PIM operuje na dwóch fundamentalnych stanach przypisania roli:

StanOpis
Eligible (kwalifikujący się)Użytkownik może aktywować rolę po spełnieniu warunków (MFA, uzasadnienie, zgoda). Nie ma uprawnień, dopóki nie aktywuje.
Active (aktywny)Użytkownik ma stałe uprawnienia roli bez dodatkowych kroków. Microsoft rekomenduje minimalizację liczby stałych aktywnych przypisań.

Dodatkowo PIM rozróżnia przypisania permanent (bezterminowe) i time-bound (ograniczone datą początkową i końcową). W praktyce zaleca się, aby nawet użytkownicy z przypisaniem active mieli je ograniczone czasowo — np. na 90 dni, z obowiązkowym przeglądem dostępu (access review) przed odnowieniem.

Jak działa aktywacja roli w PIM

Proces aktywacji roli w PIM jest wieloetapowy i każdy z etapów można skonfigurować niezależnie dla każdej roli:

  1. Użytkownik wybiera rolę w portalu PIM (entra.microsoft.com → Identity Governance → Privileged Identity Management) i klika „Activate”.
  2. Weryfikacja tożsamości — w zależności od polityki, PIM może wymusić uwierzytelnianie wieloskładnikowe (MFA), nawet jeśli użytkownik niedawno je przeszedł przy logowaniu.
  3. Uzasadnienie biznesowe — użytkownik wpisuje powód aktywacji (np. „Konfiguracja nowego łącznika Exchange Hybrid dla migracji skrzynek — zgłoszenie #IT-2847”). Pole jest obowiązkowe i zapisywane w audycie.
  4. Zatwierdzenie (opcjonalne) — jeśli polityka wymaga aprobaty, wyznaczony approver (lub grupa aprobantów) otrzymuje powiadomienie e-mail i musi zatwierdzić żądanie.
  5. Aktywacja — po spełnieniu wszystkich warunków rola jest aktywna przez skonfigurowany czas (domyślnie 8 godzin, maksymalnie 24 godziny dla ról Entra ID). Po upływie czasu PIM automatycznie dezaktywuje rolę.

Konfiguracja PIM — pierwsze uruchomienie i kreator

Przy pierwszym wejściu do PIM (wymagana rola Global Administrator lub Privileged Role Administrator) kreator przeprowadza przez trzy kluczowe kroki:

Krok 1: Odnajdywanie i przypisywanie ról

PIM skanuje katalog Entra ID i wyświetla wszystkich użytkowników z aktualnie przypisanymi rolami uprzywilejowanymi. Kreator umożliwia masową konwersję stałych przypisań (active) na kwalifikujące się (eligible) — kliknięcie „Convert” przy każdym użytkowniku zmienia jego przypisanie z permanent active na eligible. To najważniejszy moment całego wdrożenia: redukujesz liczbę stałych administratorów z kilkunastu do 2-3 kont awaryjnych (break-glass).

Krok 2: Konfiguracja polityki aktywacji

Dla każdej roli definiujesz:

  • Maksymalny czas aktywacji (1–24 godziny)
  • Wymóg MFA przy aktywacji (włączone/wyłączone)
  • Wymóg uzasadnienia (włączone/wyłączone — Microsoft zaleca zawsze włączone)
  • Wymóg zatwierdzenia (opcjonalny, z możliwością wskazania konkretnych użytkowników jako approverów)
  • Powiadomienia — kto dostaje e-mail przy aktywacji/dezaktywacji

Krok 3: Przeglądy dostępu (access reviews)

Ostatni etap kreatora umożliwia skonfigurowanie cyklicznych przeglądów — np. co kwartał każdy właściciel grupy lub menedżer otrzymuje zadanie potwierdzenia, że jego podwładni nadal potrzebują przypisanych ról. Niepotwierdzone przypisania są automatycznie usuwane.

PIM dla ról Entra ID vs PIM dla zasobów Azure — porównanie

PIM obsługuje dwa główne obszary, które różnią się zakresem i konfiguracją:

CechaPIM dla ról Entra IDPIM dla zasobów Azure
ZakresRole w katalogu (Global Admin, User Admin, Exchange Admin itd.)Subskrypcje, grupy zasobów, grupy zarządzania (management groups)
Kto konfigurujePrivileged Role Administrator lub Global AdministratorOwner lub User Access Administrator zasobu
Jednostka przypisaniaUżytkownik lub grupa w Entra IDUżytkownik, grupa lub service principal
Maks. czas aktywacjiDo 24 godzinDo 12 miesięcy (zalecane max 8 godzin dla codziennych zadań)
Domyślna rola przy konfiguracjiGlobal AdministratorOwner na poziomie subskrypcji
Obsługa PIM for GroupsTak (GA od 2024)Nie (ale grupa Entra ID może mieć przypisanie do zasobu Azure)

Dobre praktyki wdrożenia PIM w organizacji

  1. Konta awaryjne (break-glass) — zawsze pozostaw 2-3 konta Global Administrator z permanentnym aktywnym przypisaniem, wyłączone z polityki PIM, z alertem monitorującym każde logowanie. To twoja polisa ubezpieczeniowa na wypadek błędnej konfiguracji Conditional Access, która zablokowałaby wszystkich.

  2. Nigdy nie konwertuj wszystkich na eligible — scenariusz, w którym nikt nie może aktywować roli Privileged Role Administrator, bo… potrzebuje Privileged Role Administrator do zmiany polityki. Zostaw minimum jedno stałe przypisanie Privileged Role Administrator.

  3. Krótki czas aktywacji jako domyślny — dla codziennych zadań administracyjnych 4 godziny to zazwyczaj wystarczająco. Dla zadań wymagających dłuższego okna (np. migracja, weekendowe wdrożenie) możesz skonfigurować wyjątek z aprobatą.

  4. Wymagaj uzasadnienia zawsze — nawyk pisania jednozdaniowego powodu aktywacji nie spowalnia pracy, a wartość audytowa jest bezcenna. W razie incydentu bezpieczeństwa zespół SOC widzi dokładnie, dlaczego ktoś aktywował Global Admin o 3:00 w nocy.

  5. Skonfiguruj alerty Microsoft Sentinel / Defender XDR — PIM generuje zdarzenia w dzienniku audytu Entra ID. Podłącz je do SIEM-a i skonfiguruj alerty na aktywacje krytycznych ról (Global Admin, Privileged Role Administrator, Application Administrator) poza godzinami pracy.

  6. Access reviews co kwartał dla ról o krytycznym znaczeniu — nawet jeśli polityka PIM jest perfekcyjna, ludzie zmieniają role, odchodzą z firmy, przechodzą między zespołami. Kwartalny przegląd przypisań eligible usuwa martwe dusze.

Wymagania licencyjne PIM

Pełna funkcjonalność PIM wymaga jednej z następujących licencji dla każdego użytkownika, który aktywuje rolę lub podlega przeglądowi dostępu:

  • Microsoft Entra ID P2 (dawniej Azure AD Premium P2)
  • Microsoft 365 E5 (zawiera Entra ID P2)
  • Enterprise Mobility + Security E5 (zawiera Entra ID P2)
  • Microsoft Entra ID Governance (osobny dodatek, zawiera PIM + entitlement management + access reviews)

Licencja Entra ID P1 (lub Microsoft 365 E3) nie wystarcza do korzystania z PIM — w takim środowisku panel PIM jest widoczny, ale próba przypisania eligible kończy się komunikatem o braku licencji.

Częste pytania

Czy PIM działa tylko w chmurze, czy obsługuje też role hybrydowe?

PIM zarządza rolami w Entra ID (chmurowymi) oraz rolami Azure RBAC. Nie zarządza bezpośrednio rolami w on-premises Active Directory — do tego służy Microsoft Identity Manager (MIM) PAM. Jednak w środowisku hybrydowym z Microsoft Entra Connect możesz synchronizować grupy z AD do Entra ID i objąć je PIM for Groups, co pośrednio kontroluje dostęp do zasobów on-prem.

Co się stanie, gdy użytkownik aktywuje rolę, a czas aktywacji minie?

Po upływie skonfigurowanego czasu rola automatycznie przechodzi w stan nieaktywny. Użytkownik traci uprawnienia natychmiast — nie musi się wylogowywać, ale każda nowa operacja wymagająca tej roli zostanie odrzucona. Token dostępu (access token) zawierający roszczenia roli nie jest unieważniany natychmiast — może minąć do godziny, zanim wszystkie usługi Microsoft 365 odzwierciedlą dezaktywację (token lifetime).

Czy mogę skonfigurować PIM tak, aby różne role miały różne polityki aktywacji?

Tak. Każda rola w PIM — zarówno Entra ID, jak i Azure — może mieć własną politykę aktywacji. Możesz np. wymagać zatwierdzenia dla Global Administrator, ale nie dla Helpdesk Administrator; możesz ustawić 2-godzinną aktywację dla Exchange Administrator i 8-godzinną dla Teams Administrator. Polityki konfiguruje się w zakładce „Roles” → wybór roli → „Settings” → „Activation”.

Czym różni się eligible od active w kontekście codziennej pracy administratora?

Użytkownik z przypisaniem active ma uprawnienia roli stale i nie musi wykonywać żadnych dodatkowych czynności — pracuje tak, jak przed wdrożeniem PIM. Użytkownik z przypisaniem eligible widzi rolę na swojej liście, ale nie ma jej uprawnień, dopóki nie kliknie „Activate”, nie przejdzie MFA i nie poda uzasadnienia. Różnica jest odczuwalna — średnio 60-90 sekund dodatkowego czasu na aktywację, ale bezpieczeństwo rośnie wielokrotnie.

Jakie dane PIM zapisuje w dzienniku audytu i jak długo są przechowywane?

PIM zapisuje w dzienniku audytu Entra ID: kto, jaką rolę, kiedy aktywował (z datą i czasem co do sekundy), jakie podał uzasadnienie, czy aktywacja wymagała zatwierdzenia i kto ją zatwierdził, oraz moment dezaktywacji. Standardowy okres przechowywania dzienników Entra ID to 30 dni (wersja bezpłatna) lub 365 dni z licencją Entra ID P1/P2. Dla dłuższego retencyjnego okresu należy skonfigurować eksport do Log Analytics lub Azure Storage.

Czy PIM wymaga Microsoft Authenticator czy wystarczy dowolna aplikacja MFA?

PIM nie narzuca konkretnej metody MFA — korzysta z polityk Conditional Access i metod MFA skonfigurowanych w całym tenantcie. Może to być Microsoft Authenticator (z powiadomieniami push lub kodem TOTP), klucz sprzętowy FIDO2, SMS lub połączenie głosowe. Jednak od maja 2025 Microsoft domyślnie wymusza silniejsze metody (Authenticator push lub FIDO2) dla ról Global Administrator, co jest zgodne z wymogami cyberubezpieczeń.

Czy małe firmy (10-50 użytkowników) potrzebują PIM, czy to tylko rozwiązanie enterprise?

PIM jest równie wartościowy dla 10-osobowej firmy, co dla korporacji — różnica dotyczy tylko skali. W małej firmie często połowa zespołu ma dostęp Global Administrator „bo wszyscy muszą móc wszystko”, co jest poważnym ryzykiem przy ransomware. PIM z Entra ID P2 (ok. 9 USD/użytkownika/miesiąc) eliminuje to ryzyko za ułamek kosztu potencjalnego incydentu. Dla zespołów 1-5 osobowych bardziej opłacalny bywa Microsoft 365 Business Premium (zawiera Entra ID P1, ale bez PIM — wtedy warto rozważyć Microsoft 365 E5).

Jeśli planujesz budżetowanie licencji Microsoft 365 i Entra ID dla swojej organizacji, w KluczeSoft.pl znajdziesz legalne klucze do Microsoft 365 Business Premium oraz Office 2024 LTSC w znacznie niższych cenach niż bezpośrednio w Microsoft — w pełni zgodne z prawem UE na podstawie wyroku TSUE w sprawie UsedSoft (C-128/11). Każdy klucz dostarczany jest z fakturą VAT.

Najczęściej zadawane pytania

PIM zarządza rolami w Entra ID (chmurowymi) oraz rolami Azure RBAC. Nie zarządza bezpośrednio rolami w on-premises Active Directory — do tego służy Microsoft Identity Manager (MIM) PAM. Jednak w środowisku hybrydowym z Microsoft Entra Connect możesz synchronizować grupy z AD do Entra ID i objąć je PIM for Groups, co pośrednio kontroluje dostęp do zasobów on-prem.
Po upływie skonfigurowanego czasu rola automatycznie przechodzi w stan nieaktywny. Użytkownik traci uprawnienia natychmiast — nie musi się wylogowywać, ale każda nowa operacja wymagająca tej roli zostanie odrzucona. Token dostępu (access token) zawierający roszczenia roli nie jest unieważniany natychmiast — może minąć do godziny, zanim wszystkie usługi Microsoft 365 odzwierciedlą dezaktywację (token lifetime).
Tak. Każda rola w PIM — zarówno Entra ID, jak i Azure — może mieć własną politykę aktywacji. Możesz np. wymagać zatwierdzenia dla Global Administrator, ale nie dla Helpdesk Administrator; możesz ustawić 2-godzinną aktywację dla Exchange Administrator i 8-godzinną dla Teams Administrator. Polityki konfiguruje się w zakładce „Roles” → wybór roli → „Settings” → „Activation”.
Użytkownik z przypisaniem **active** ma uprawnienia roli stale i nie musi wykonywać żadnych dodatkowych czynności — pracuje tak, jak przed wdrożeniem PIM. Użytkownik z przypisaniem **eligible** widzi rolę na swojej liście, ale nie ma jej uprawnień, dopóki nie kliknie „Activate”, nie przejdzie MFA i nie poda uzasadnienia. Różnica jest odczuwalna — średnio 60-90 sekund dodatkowego czasu na aktywację, ale bezpieczeństwo rośnie wielokrotnie.
PIM zapisuje w dzienniku audytu Entra ID: kto, jaką rolę, kiedy aktywował (z datą i czasem co do sekundy), jakie podał uzasadnienie, czy aktywacja wymagała zatwierdzenia i kto ją zatwierdził, oraz moment dezaktywacji. Standardowy okres przechowywania dzienników Entra ID to 30 dni (wersja bezpłatna) lub 365 dni z licencją Entra ID P1/P2. Dla dłuższego retencyjnego okresu należy skonfigurować eksport do Log Analytics lub Azure Storage.
PIM nie narzuca konkretnej metody MFA — korzysta z polityk Conditional Access i metod MFA skonfigurowanych w całym tenantcie. Może to być Microsoft Authenticator (z powiadomieniami push lub kodem TOTP), klucz sprzętowy FIDO2, SMS lub połączenie głosowe. Jednak od maja 2025 Microsoft domyślnie wymusza silniejsze metody (Authenticator push lub FIDO2) dla ról Global Administrator, co jest zgodne z wymogami cyberubezpieczeń.
PIM jest równie wartościowy dla 10-osobowej firmy, co dla korporacji — różnica dotyczy tylko skali. W małej firmie często połowa zespołu ma dostęp Global Administrator „bo wszyscy muszą móc wszystko”, co jest poważnym ryzykiem przy ransomware. PIM z Entra ID P2 (ok. 9 USD/użytkownika/miesiąc) eliminuje to ryzyko za ułamek kosztu potencjalnego incydentu. Dla zespołów 1-5 osobowych bardziej opłacalny bywa Microsoft 365 Business Premium (zawiera Entra ID P1, ale bez PIM — wtedy warto rozważyć Microsoft 365 E5). --- Jeśli planujesz budżetowanie licencji Microsoft 365 i Entra ID dla swojej organizacji, w [KluczeSoft.pl](https://kluczesoft.pl) znajdziesz legalne klucze do Microsoft 365 Business Pr

Czy ten artykuł był pomocny?