Konfigurieren von Privileged Access Management

  • 9 Minuten

Durch die Konfiguration von Privileged Access Management (PAM) in Microsoft Purview können Organisationen strukturierte Zugriffssteuerungen erzwingen und risiken im Zusammenhang mit stehenden Administratorberechtigungen reduzieren.

Voraussetzungen

Stellen Sie vor dem Konfigurieren von PAM sicher, dass die folgenden Voraussetzungen erfüllt sind:

  • Microsoft 365-Abonnement: Vergewissern Sie sich, dass das Abonnement Ihres organization Unterstützung für PAM enthält. Überprüfen Sie die Abonnementdetails.
  • Geeignete Rollen: Stellen Sie sicher, dass Sie über die Rolle "Globaler Administrator " oder "Exchange-Administrator " verfügen, um PAM zu konfigurieren.
  • Planen von Zugriffsgruppen: Bestimmen Sie genehmigende Personen und Systemkonten für Anforderungen mit privilegiertem Zugriff.

Schritte zum Konfigurieren der Verwaltung des privilegierten Zugriffs

Führen Sie die folgenden Schritte aus, um PAM in Ihrem organization einzurichten:

1. Erstellen der Gruppe einer genehmigenden Person

Genehmigende Personengruppen sind für die Überprüfung und Autorisierung von Anforderungen für privilegierten Zugriff verantwortlich. Durch das Einrichten einer E-Mail-aktivierten Sicherheitsgruppe wird sichergestellt, dass Anforderungen ordnungsgemäß weitergeleitet werden.

  1. Melden Sie sich mit Ihren Administratoranmeldeinformationen beim Microsoft 365 Admin Center an.

  2. Navigieren Sie zu Teams & Gruppen>Aktive Teams & Gruppen mit Ihren Administratoranmeldeinformationen.

  3. Wählen Sie die Registerkarte Sicherheitsgruppen und dann E-Mail-aktivierte Sicherheitsgruppe hinzufügen aus.

    Screenshot: Hinzufügen einer E-Mail-aktivierten Sicherheitsgruppe

  4. Geben Sie auf der Seite Grundlagen einrichten die folgenden Details ein:

    • Name: Geben Sie einen beschreibenden Namen für die Gruppe an.
    • Beschreibung: Fügen Sie eine kurze Beschreibung des Zwecks der Gruppe hinzu.

  5. Weisen Sie auf der Seite Besitzer zuweisen einen Besitzer für die Gruppe zu.

  6. Fügen Sie auf der Seite Mitglieder hinzufügen Personen hinzu, die als genehmigende Personen fungieren.

  7. Konfigurieren Sie auf der Seite Einstellungen bearbeiten die Gruppen-E-Mail-Adresse.

  8. Wählen Sie Gruppe erstellen aus. Warten Sie einige Minuten, bis die Gruppe vollständig konfiguriert ist.

2. Aktivieren der Verwaltung des privilegierten Zugriffs

Durch aktivieren von PAM werden die Genehmigungsworkflows aktiviert, um sicherzustellen, dass für sensible Verwaltungsaufgaben erhöhte Berechtigungen erforderlich sind, die über kontrollierte Prozesse gewährt werden.

Aktivieren der Verwaltung des privilegierten Zugriffs mithilfe des Microsoft 365 Admin Center

  1. Melden Sie sich beim Microsoft 365 Admin Center an.

  2. Wechseln Sie zu Einstellungen>Organisationseinstellungen>Sicherheit & Datenschutz>Privilegierter Zugriff.

    Screenshot: Zugriff auf die Einstellung

  3. Aktivieren Sie das Kontrollkästchen Privilegierte Zugriffsanforderungen zulassen, und wählen Sie eine Standardgenehmigungsgruppe aus.

  4. Weisen Sie die gruppe der genehmigenden Person, die in Schritt 1 erstellt wurde, als Standardgenehmigungsgruppe zu.

    Screenshot: Zuweisen einer Genehmigungsgruppe

  5. Speichern und schließen Sie die Einstellungen.

Aktivieren der Verwaltung des privilegierten Zugriffs mithilfe von PowerShell

Verwenden Sie das Enable-ElevatedAccessControl Cmdlet in Exchange Online PowerShell, um die Verwaltung des privilegierten Zugriffs zu aktivieren und die Genehmigende Gruppe zuzuweisen. Dadurch wird sichergestellt, dass privilegierte Aufgaben genehmigt werden müssen, und die Gruppe definiert, die für die Genehmigung dieser Anforderungen verantwortlich ist:

Enable-ElevatedAccessControl -AdminGroup '<default approver group>' -SystemAccounts @('<systemAccountUPN1>','<systemAccountUPN2>')

Beispiel:

Enable-ElevatedAccessControl -AdminGroup 'pamapprovers@fabrikam.onmicrosoft.com' -SystemAccounts @('sys1@fabrikamorg.onmicrosoft.com', 'sys2@fabrikamorg.onmicrosoft.com')

Der -AdminGroup Parameter gibt die E-Mail-aktivierte Sicherheitsgruppe für Genehmigungen an, während der -SystemAccounts Parameter bestimmte Konten von der Steuerung des privilegierten Zugriffs ausschließt, sodass wichtige Systemvorgänge ohne Unterbrechung fortgesetzt werden können.

3. Erstellen von Zugriffsrichtlinien

Zugriffsrichtlinien definieren die Regeln, nach denen privilegierter Zugriff gewährt wird. Diese Richtlinien stellen sicher, dass erhöhte Berechtigungen nur bei Bedarf und unter definierten Bedingungen bereitgestellt werden.

Erstellen einer Zugriffsrichtlinie mithilfe des Microsoft 365 Admin Center

  1. Navigieren Sie zu Einstellungen>Organisationseinstellungen>Sicherheit & Datenschutz>Privilegierter Zugriff.

  2. Wählen Sie Richtlinien erstellen und Anforderungen> verwaltenRichtlinien>verwalten Richtlinie hinzufügen aus.

  3. Konfigurieren Sie die Richtlinie:

    • Richtlinientyp: Aufgabe, Rolle oder Rollengruppe

    • Geltungsbereich der Richtlinie: Exchange

    • Richtlinienname: Wählen Sie aus den verfügbaren Optionen aus.

    • Genehmigungstyp: Manuell oder automatisch

    • Genehmigende Personen: Wählen Sie die Gruppe der genehmigenden Person aus, wenn der Genehmigungstyp auf Manuell festgelegt ist.

    Screenshot: Felder zum Hinzufügen einer Richtlinie für die Verwaltung des privilegierten Zugriffs

  4. Wählen Sie Erstellen aus, um eine neue Richtlinie für die Verwaltung des privilegierten Zugriffs hinzuzufügen.

Erstellen einer Zugriffsrichtlinie mithilfe von Exchange-Verwaltungs-PowerShell

Verwenden Sie das New-ElevatedAccessApprovalPolicy Cmdlet in PowerShell, um eine Richtlinie für privilegierten Zugriff zu erstellen. Diese Richtlinie definiert die Bedingungen, unter denen Tasks mit erhöhten Rechten genehmigt und ausgeführt werden:

New-ElevatedAccessApprovalPolicy -Task 'Exchange\<exchange management cmdlet name>' -ApprovalType <Manual, Auto> -ApproverGroup '<default/custom approver group>'

Beispiel:

New-ElevatedAccessApprovalPolicy -Task 'Exchange\New-MoveRequest' -ApprovalType Manual -ApproverGroup 'mbmanagers@fabrikamorg.onmicrosoft.com'
  • -Task: Gibt das Exchange-Cmdlet an, das eine Genehmigung für privilegierten Zugriff erfordert.
  • -ApprovalType: Bestimmt, ob die Genehmigung manuell von einer genehmigenden Gruppe (manuell) oder automatisch (Auto) verarbeitet wird.
  • -ApproverGroup: Identifiziert die E-Mail-aktivierte Sicherheitsgruppe, die für die Genehmigung von Anforderungen zuständig ist, wenn -ApprovalType auf Manuell festgelegt ist.

4. Testen und Verwenden der Verwaltung des privilegierten Zugriffs

Das Testen stellt sicher, dass die konfigurierten Richtlinien und Workflows wie beabsichtigt funktionieren, sodass Benutzer Anforderungen übermitteln und genehmigende Personen darauf reagieren können.

  • Anforderung übermitteln: Benutzer können erhöhte Berechtigungen für Aufgaben anfordern, indem sie im Microsoft 365 Admin Center zum Abschnitt Privilegierter Zugriff navigieren oder PowerShell verwenden.

  • Genehmigen einer Anforderung: Genehmigende Personen überprüfen und reagieren auf Anforderungen über E-Mail-Benachrichtigungen oder direkt im Microsoft 365 Admin Center.

Durch das Konfigurieren der Verwaltung des privilegierten Zugriffs werden sichere und temporäre Administratorberechtigungen für sensible Aufgaben sichergestellt. Durch das Erstellen von Genehmigenden Gruppen, das Aktivieren von PAM und das Definieren von Zugriffsrichtlinien können Organisationen das Prinzip der geringsten Rechte erzwingen und ihren Sicherheitsstatus verbessern. Regelmäßige Audits und Überprüfungen stärken die Effektivität von PAM beim Schutz kritischer Konfigurationen und Daten weiter.