Fallstudie: Implementieren der Verwaltung des privilegierten Zugriffs

  • 8 Minuten

Die Contoso Corporation, ein globales Fertigungsunternehmen, implementiert Privileged Access Management (PAM) in Microsoft Purview, um die Sicherheit zu erhöhen und Risiken im Zusammenhang mit ständigem Administratorzugriff zu reduzieren. Administratoren, die Exchange-Konfigurationen verwalten, fordern jetzt temporäre erhöhte Berechtigungen für bestimmte Aufgaben an, um sicherzustellen, dass Berechtigungen genehmigt, zeitgebunden und überprüfbar sind.

Szenario

Ein IT-Administrator von Contoso muss eine neue Verschiebungsanforderung in Exchange Online ausführen, um das Postfach eines Benutzers zu migrieren. Da es sich um eine sensible Aufgabe handelt, muss der Administrator Zugriff anfordern, und die Gruppe Genehmigende Personen für privilegierten Zugriff überprüft und genehmigt die Anforderung, bevor der Administrator fortfahren kann.

In dieser Fallstudie werden die Schritte beschrieben, die Contoso ausgeführt hat, um PAM zu konfigurieren und eine Zugriffsanforderung zu genehmigen:

  1. Erstellen einer Gruppe genehmigender Personen
  2. Aktivieren des privilegierten Zugriffs
  3. Erstellen einer Zugriffsrichtlinie
  4. Übermitteln und Genehmigen von Zugriffsanforderungen

Schritt 1: Erstellen einer Gruppe genehmigende Personen

Contoso hat eine Gruppe von leitenden Administratoren identifiziert, die als genehmigende Personen für privilegierte Aufgaben wie das Migrieren des Postfachs eines Benutzers fungieren sollen.

Schritte zum Erstellen einer Gruppe genehmigende Personen

  1. Melden Sie sich beim Microsoft 365 Admin Center mit den entsprechenden Administratorberechtigungen an.

  2. Navigieren Sie zu Teams & Gruppen>Aktive Teams & Gruppen.

  3. Wählen Sie Sicherheitsgruppen>E-Mail-aktivierte Sicherheitsgruppe hinzufügen aus.

  4. Geben Sie auf der Seite Grundlagen einrichten die folgenden Details ein:

    • Name: Geben Sie einen beschreibenden Namen für die Gruppe an.
    • Beschreibung: Fügen Sie eine kurze Beschreibung des Zwecks der Gruppe hinzu.

  5. Weisen Sie auf der Seite Besitzer zuweisen einen Besitzer für die Gruppe zu.

  6. Fügen Sie auf der Seite Mitglieder hinzufügen Personen hinzu, die als genehmigende Personen fungieren.

  7. Konfigurieren Sie auf der Seite Einstellungen bearbeiten die Gruppen-E-Mail-Adresse.

  8. Wählen Sie Gruppe erstellen aus. Warten Sie einige Minuten, bis die Gruppe vollständig konfiguriert ist.

    Screenshot: Abschlussbildschirm zum Erstellen einer E-Mail-aktivierten Sicherheitsgruppe

In dieser Phase ist die Gruppe Genehmigende Personen für privilegierten Zugriff bereit, Anforderungen für privilegierten Zugriff zu überprüfen und zu genehmigen.

Schritt 2: Aktivieren der Verwaltung des privilegierten Zugriffs

Um Genehmigungen für sensible Aufgaben zu erzwingen, aktiviert Contoso PAM im Microsoft 365 Admin Center.

Schritte zum Aktivieren von PAM

  1. Navigieren Sie im Microsoft 365 Admin Center zu Einstellungen>Organisationseinstellungen>Sicherheit & Datenschutz>Privilegierter Zugriff.

  2. Aktivieren Sie das Kontrollkästchen Privilegierte Zugriffsanforderungen zulassen, und wählen Sie eine Standardgenehmigungsgruppe aus.

  3. Weisen Sie die neu erstellte Genehmigende Gruppe als Standardgenehmigungsgruppe zu.

    Screenshot: Hinzufügen einer E-Mail-aktivierten Sicherheitsgruppe in der Verwaltung des privilegierten Zugriffs

  4. Wählen Sie Speichern aus, um die Einstellungen anzuwenden.

Privilegierte Aufgaben müssen jetzt genehmigt werden, bevor sie ausgeführt werden können.

Schritt 3: Erstellen einer Zugriffsrichtlinie

Das IT-Team konfiguriert eine Zugriffsrichtlinie zum Verwalten privilegierter Aufgaben, insbesondere für die New Move Request in Exchange.

Schritte zum Erstellen einer Richtlinie für privilegierten Zugriff

  1. Wechseln Sie im Microsoft 365 Admin Center zu Einstellungen>Organisationseinstellungen>Sicherheit & Datenschutz>Privilegierter Zugriff.

  2. Wählen Sie Richtlinien erstellen und Anforderungen verwalten und dann Richtlinien verwalten aus.

    Screenshot: Verwalten von Verwaltungsrichtlinien für privilegierten Zugriff

  3. Wählen Sie Richtlinie hinzufügen aus.

  4. Konfigurieren Sie die Richtliniendetails:

    • Richtlinientyp: Aufgabe
    • Geltungsbereich der Richtlinie: Exchange
    • Richtlinienname: Neue Verschiebungsanforderung
    • Genehmigungstyp: Manuell
    • Genehmigende Personen: Contoso wählt die neu erstellte Gruppe genehmigende Personen für privilegierten Zugriff aus.

  5. Wählen Sie Erstellen aus, um die Richtlinie abzuschließen.

    Screenshot: Hinzufügen einer Richtlinie für privilegierten Zugriff

Diese Richtlinie stellt sicher, dass jeder Administrator, der eine neue Verschiebungsanforderung ausführt, zuerst eine Genehmigung von der Gruppe genehmigende Personen für privilegierten Zugriff erhalten muss.

Schritt 4: Übermitteln und Genehmigen von Anforderungen

Ein IT-Administrator sendet eine Anforderung für erhöhten Zugriff, um das Postfach eines Benutzers zu migrieren. Ein Mitglied der Gruppe Genehmigende Personen für privilegierten Zugriff überprüft und genehmigt die Anforderung.

Übermitteln einer Anforderung

Der Administrator meldet sich beim Microsoft 365 Admin Center an.

  1. Navigieren Sie zu Einstellungen>Organisationseinstellungen>Sicherheit & Datenschutz>Privilegierter Zugriff.

  2. Wählen Sie Richtlinien erstellen und Anforderungen verwalten und dann Zugriffsanforderungen>Zugriff anfordern aus.

  3. Füllen Sie das Formular aus:

    • Typ: Aufgabe
    • Bereich: Exchange
    • Zugriff auf: Neue Verschiebungsanforderung
    • Dauer: 2 Stunden
    • Ursache: Erforderlicher Zugriff zum Verschieben eines Exchange-Postfachs.

  4. Wählen Sie Erstellen aus, um Zugriff anzufordern.

    Screenshot: Übermitteln einer Anforderung für privilegierten Zugriff

Genehmigen einer Anforderung

  1. Ein Mitglied der Gruppe genehmigende Personen für privilegierten Zugriff erhält eine E-Mail-Benachrichtigung über die neue Zugriffsanforderung.

    Screenshot: E-Mail-Anforderung für privilegierten Zugriff

  2. Wählen Sie Richtlinien erstellen und Anforderungen verwalten und dann Zugriffsanforderungen>Zugriff anfordern aus, um Zugriffsanforderungen anzuzeigen.

  3. Nachdem die Anforderungsdetails überprüft wurden, wählt die genehmigende Person Genehmigen aus.

    Screenshot: Anforderung für privilegierten Zugriff im Microsoft 365-Verwaltungsportal

Der Administrator kann nun die genehmigte Aufgabe für die in der Anforderung angegebene Dauer ausführen.

Durch die Implementierung von PAM stellt Contoso sicher, dass Aufgaben mit erhöhten Rechten wie die neue Verschiebungsanforderung streng kontrolliert werden. Dieser Prozess erhöht die Verantwortlichkeit, minimiert Sicherheitsrisiken und stellt sicher, dass Berechtigungen temporär, bereichsweit und genehmigt sind.