Ve většině malých firem má „admin” účet víc lidí, než by mělo – a mají ho trvale. Bývalý externista, účetní systém, dvě IT osoby a jednatel „pro jistotu”. Právě trvalá administrátorská oprávnění jsou přitom jedním z nejčastějších vstupních bodů útočníka. Privileged Identity Management (PIM) v Microsoft Entra ID tento problém řeší jinak: nikdo nemá admin práva pořád. Aktivují se jen na pár hodin, když je člověk skutečně potřebuje. V tomto průvodci si vysvětlíme, co PIM je, jak funguje a jak ho v malé firmě nasadit krok za krokem.
Co je Privileged Identity Management (PIM)
Privileged Identity Management je služba v rámci Microsoft Entra ID (dříve Azure AD), která umožňuje spravovat, řídit a monitorovat přístup k citlivým rolím ve vaší firmě. Namísto toho, aby uživatel měl administrátorskou roli přiřazenou napevno, je pouze „způsobilý” (eligible) ji používat. Roli si aktivuje jen tehdy, když ji potřebuje – na omezenou dobu, případně až po schválení.
Jednoduchá analogie: klíč od trezoru neleží každému v šuplíku. Leží u recepce, vy si o něj řeknete, podepíšete se, dostanete ho na hodinu a pak ho vrátíte. PIM dělá přesně tohle s administrátorskými oprávněními v Microsoft 365 a Azure.
Proč trvalá administrátorská oprávnění ohrožují i malou firmu
Panuje mylná představa, že správa privilegovaných účtů je téma jen pro korporace. Opak je pravdou. Podle Verizon Data Breach Investigations Report stojí za velkou částí průniků zneužité přihlašovací údaje – a čím vyšší oprávnění účet má, tím větší škoda po jeho kompromitaci vznikne.
Trvalá admin oprávnění přinášejí tři konkrétní rizika:
- Větší plocha útoku. Každý účet s trvalým Global Administrator přístupem je terč. Stačí jeden úspěšný phishing a útočník ovládne celý tenant.
- Zapomenutá oprávnění. Externista dodělal projekt před rokem, ale admin roli má pořád. Nikdo si nevzpomene ji odebrat.
- Nulová dohledatelnost. Když má admin práva pět lidí napořád, po incidentu těžko zjistíte, kdo a kdy co udělal.
PIM všechny tři body řeší: oprávnění jsou nečinná, dokud je někdo aktivně nepotřebuje, a každá aktivace je zaznamenaná.
Jak PIM funguje – just-in-time a just-enough přístup
PIM stojí na dvou principech moderní bezpečnosti. Just-in-time (JIT) znamená, že oprávnění dostanete přesně ve chvíli, kdy ho potřebujete, a jen na nezbytně nutnou dobu. Just-enough-access (JEA) znamená, že dostanete jen tu roli, kterou daný úkol vyžaduje – ne rovnou nejvyšší oprávnění.
Klíčový rozdíl oproti běžnému přiřazení role je stav účtu:
- Aktivní (active) přiřazení – uživatel má roli trvale, přesně to chceme omezit.
- Způsobilé (eligible) přiřazení – uživatel roli může aktivovat, ale ve výchozím stavu ji nemá. Toto je jádro PIM.
Když eligible uživatel roli aktivuje, může projít vícefaktorovým ověřením, uvést důvod aktivace a v případě citlivějších rolí počkat na schválení. Po vypršení nastavené doby (např. 4 hodiny) se oprávnění automaticky deaktivuje.
Které role byste měli chránit přes PIM
Ne každou roli má smysl řešit přes PIM. Zaměřte se na ty, které mohou způsobit největší škodu. V malé firmě jde typicky o:
- Global Administrator – absolutní správce celého tenantu. Ideálně by ho neměl mít nikdo trvale.
- Privileged Role Administrator – může přidělovat role ostatním.
- Security Administrator a Exchange Administrator – přístup k bezpečnostním nastavením a firemní poště.
- User Administrator a Intune Administrator – správa uživatelů a zařízení.
Microsoft doporučuje udržovat počet trvalých Global Administrátorů na absolutním minimu – v praxi ideálně jeden „break-glass” nouzový účet a zbytek řešit přes PIM.

Jak nasadit PIM krok za krokem
Nasazení PIM v malé firmě zvládnete v několika logických krocích:
- Ověřte licence. PIM vyžaduje Microsoft Entra ID P2 (viz sekce o licencích níže).
- Otevřete Microsoft Entra admin center a přejděte do sekce Identity Governance → Privileged Identity Management.
- Zmapujte současný stav. Podívejte se, kdo má dnes které role přiřazené trvale. Většinu z nich převedete na „eligible”.
- Nastavte break-glass účet. Vytvořte jeden nouzový účet s trvalým Global Administrator a vyloučte ho z podmíněného přístupu – použije se, když by PIM z nějakého důvodu selhal.
- Převeďte role na eligible. U ostatních administrátorů změňte přiřazení z „active” na „eligible”.
- Nastavte pravidla role (role settings) – maximální dobu aktivace, povinné MFA, nutnost zdůvodnění a případné schvalování.
- Otestujte aktivaci na jednom účtu, než změny rozšíříte na všechny.
Doporučujeme postupovat od nejcitlivějších rolí a nasazení odladit na malém vzorku – stejný přístup jako u podmíněného přístupu (Conditional Access).
Schvalování a časově omezená aktivace rolí
U nejcitlivějších rolí se vyplatí zapnout schvalovací workflow. Když si někdo chce aktivovat například Global Administrator, žádost musí schválit určená osoba (typicky jednatel nebo hlavní IT správce). Aktivace se navíc omezuje časem – běžně na 2 až 8 hodin.
Co všechno lze u aktivace vynutit:
- Vícefaktorové ověření při každé aktivaci.
- Zdůvodnění – uživatel musí napsat, proč roli potřebuje.
- Číslo tiketu pro propojení s helpdeskem.
- Schválení druhou osobou před aktivací.
Každá aktivace i schválení se zapisuje do auditního logu, takže máte kompletní přehled, kdo, kdy a proč pracoval s privilegovanými právy.
Access reviews – pravidelná kontrola oprávnění
PIM umí i access reviews (revize přístupu) – automatizované pravidelné kontroly, zda lidé přiřazené role stále potřebují. Systém například jednou za čtvrtletí požádá jednatele, aby potvrdil seznam osob s administrátorskými právy. Kdo už roli nepotřebuje, je automaticky odebrán.
Právě revize řeší problém „zapomenutých” oprávnění externistů a bývalých zaměstnanců, který jinak roky bobtná. Je to logické doplnění procesu správy identit a offboardingu.
Jaké licence PIM potřebujete (Entra ID P2)
Privileged Identity Management vyžaduje licenci Microsoft Entra ID P2. Ta je součástí balíčku Microsoft 365 Business Premium (přesněji Enterprise Mobility + Security E5, resp. samostatné Entra ID P2), takže mnoho malých firem už ji fakticky vlastní, aniž by to tušily.
Podle oficiální licenční dokumentace Microsoftu stačí licenci P2 přiřadit uživatelům, kteří budou PIM aktivně používat (tedy administrátorům a schvalovatelům), ne všem zaměstnancům. Pokud řešíte, zda máte správnou edici, podívejte se na srovnání Microsoft 365 Business Premium vs. Standard.
PIM vs. další bezpečnostní nástroje Microsoft 365
PIM není náhrada za ostatní bezpečnostní vrstvy – doplňuje je. Zjednodušeně:
- Conditional Access rozhoduje, za jakých podmínek se uživatel přihlásí (zařízení, lokalita, MFA).
- PIM rozhoduje, kdy a jak dlouho má někdo privilegovaná oprávnění.
- Secure Score vám ukáže celkovou úroveň zabezpečení a doporučí další kroky.
Nejlepších výsledků dosáhnete jejich kombinací. Kolik bodů vám nasazení PIM přidá, uvidíte v Microsoft Secure Score. Detailní nastavení najdete v dokumentaci Microsoft Learn k PIM.
Nejčastější chyby a tipy z praxe
Z nasazení PIM u malých firem se opakují stejné chyby:
- Chybějící break-glass účet. Bez nouzového účtu se můžete od tenantu odříznout. Vždy nechte jeden vyloučený nouzový přístup s uloženým silným heslem v trezoru.
- Příliš dlouhá doba aktivace. 24 hodin popírá smysl JIT. Držte se 2–8 hodin.
- PIM bez access reviews. Bez pravidelných revizí eligible přiřazení opět zbytní.
- Zapomenuté zdůvodnění a MFA. Vždy vynuťte MFA i důvod aktivace – jinak přicházíte o auditní hodnotu.
Tip z praxe: začněte tím, že převedete pouze Global Administrator na eligible. Je to nejcitlivější role a zároveň nejmenší zásah do každodenního provozu. Ostatní role přidávejte postupně.
Časté dotazy
Potřebuji PIM, když už mám zapnuté MFA?
Ano, řeší jiný problém. MFA chrání přihlášení, PIM omezuje, jak dlouho a kdy má někdo administrátorská práva. Ideální je kombinovat obojí – při aktivaci role přes PIM navíc vynutit MFA.
Zpomalí PIM práci administrátorů?
Minimálně. Aktivace role trvá pár sekund až minut (podle toho, zda je nutné schválení). Za tuto malou cenu získáte výrazně nižší riziko a kompletní auditní stopu.
Co se stane, když někdo roli zapomene deaktivovat?
Nic – PIM ji deaktivuje sám po vypršení nastavené doby. Právě to je hlavní výhoda oproti trvalému přiřazení.
Kolik administrátorů má mít malá firma trvale?
Ideálně žádného trvalého Global Administratora kromě jednoho nouzového break-glass účtu. Všechny ostatní role řešte jako eligible přes PIM.
Zvládneme nasazení PIM sami, nebo potřebujeme IT specialistu?
Základní nasazení pro jednu roli zvládne zkušenější správce sám. U kompletního zavedení včetně schvalovacích workflow a access reviews se ale vyplatí konzultace s odborníkem, aby se předešlo výpadku přístupu. S nastavením vám pomůžeme v rámci správy firemního IT.
Závěr: omezte trvalá admin oprávnění ještě dnes
Privileged Identity Management je jeden z nejúčinnějších a přitom nejlevnějších kroků, jak zásadně snížit riziko kompromitace firmy – zvlášť pokud licenci Entra ID P2 už máte v rámci Microsoft 365 Business Premium. Začněte tím, že převedete Global Administrator na eligible, nastavíte break-glass účet a zapnete pravidelné revize přístupu.
Nevíte, jak na to, nebo si chcete být jistí, že nastavení nikoho neodřízne od přístupu? Ozvěte se nám – v IT Doma nasazujeme PIM a další bezpečnostní nástroje Microsoft 365 pro malé a střední firmy v Praze a okolí.

