Verwalten der Verwaltung des privilegierten Zugriffs

Abgeschlossen

Die Verwaltung von Privileged Access Management (PAM) umfasst die Überwachung und Verwaltung der Workflows, Richtlinien und Genehmigungen im Zusammenhang mit privilegiertem Administratorzugriff.

Verwalten von Anforderungen

Die Verwaltung von Anforderungen ist die Kernfunktion von Privileged Access Management (PAM), die sicherstellt, dass sensible Aufgaben, die erhöhte Berechtigungen erfordern, nur bei Bedarf autorisiert werden. Das Übermitteln, Genehmigen oder Verweigern von Anforderungen stellt sicher, dass administrative Aktionen gesteuert, protokolliert und mit Sicherheitsrichtlinien konform sind.

Senden einer Anforderung

Durch das Übermitteln einer Anforderung können Benutzer vorübergehend erhöhte Berechtigungen erhalten, um Aufgaben auszuführen, die höhere Berechtigungen erfordern. Dadurch wird sichergestellt, dass sensible Vorgänge sicher abgeschlossen werden, ohne ständigen Zugriff zu gewähren, wodurch das Risiko von Missbrauch oder Verstößen verringert wird. Anforderungen für einen privilegierten Zugriff sind bis zu 24 Stunden nach Einreichung der Anforderung gültig. Wenn sie nicht genehmigt oder verweigert werden, laufen die Anforderungen ab, und der Zugriff wird nicht genehmigt.

Übermitteln einer Anforderung über das Microsoft 365 Admin Center

1. Melden Sie sich beim Microsoft 365 Admin Center an.

2. Navigieren Sie zu Einstellungen>Organisationseinstellungen>Sicherheit & Datenschutz>Privilegierter Zugriff.

3. Wählen Sie Richtlinien erstellen und Anforderungen> verwaltenZugriff anfordern aus, und füllen Sie das Formular aus:

   • Typ: Aufgabe, Rolle oder Rollengruppe

   • Bereich: Exchange

   • Zugriff auf: Wählen Sie aus den verfügbaren Optionen aus.

   • Dauer (Stunden): Anzahl der Stunden, die für den angeforderten Zugriff erforderlich sind. Es gibt keine Beschränkung für die Anzahl der Stunden, die angefordert werden können.

   • Grund: Geben Sie einen Grund für die Anforderung an.

4. Wählen Sie Erstellen aus, um eine neue Anforderung für die Verwaltung des privilegierten Zugriffs zu erstellen.

Übermitteln einer Anforderung mithilfe von PowerShell

Verwenden Sie das New-ElevatedAccessRequest Cmdlet in PowerShell, um eine Anforderung für privilegierten Zugriff zu übermitteln. Diese Anforderung gewährt vorübergehend erhöhte Berechtigungen für eine angegebene Aufgabe:

New-ElevatedAccessRequest -Task 'Exchange\<exchange management cmdlet name>' -Reason '<appropriate reason>' -DurationHours <duration in hours>

Beispiel:

New-ElevatedAccessRequest -Task 'Exchange\New-MoveRequest' -Reason 'Attempting to fix the user mailbox error' -DurationHours 4

• -Task: Gibt das Exchange-Cmdlet an, für das privilegierter Zugriff angefordert wird.
• -Reason: Stellt eine Begründung für die Anforderung bereit.
• -DurationHours: Definiert die Dauer (in Stunden) für den erhöhten Zugriff.

Genehmigen oder Verweigern von Anforderungen

Durch das Genehmigen oder Ablehnen von Anforderungen können genehmigende Personen die Notwendigkeit und Angemessenheit der Anforderung eines Benutzers mit erhöhtem Zugriff bewerten. Dieser Schritt erzwingt Sicherheitsrichtlinien der Organisation und stellt sicher, dass nur autorisierte Benutzer privilegierte Aufgaben ausführen können.

Genehmigen oder Ablehnen einer Anforderung mithilfe des Microsoft 365 Admin Center

1. Genehmigende Personen erhalten eine E-Mail-Benachrichtigung für die Anforderung.

   

2. Genehmigende Personen können sich beim Admin Center anmelden und:

   • Überprüfen der Anforderungsdetails

   • Genehmigen oder Ablehnen der Anforderung

   

3. Genehmigte Anforderungen ermöglichen es dem Benutzer, die Aufgabe innerhalb der angegebenen Dauer abzuschließen.

Genehmigen oder Ablehnen einer Anforderung mithilfe von PowerShell

So genehmigen oder verweigern Sie Verwaltungsanforderungen für privilegierten Zugriff mit PowerShell:

• Genehmigen einer Anforderung:

  Verwenden Sie das Approve-ElevatedAccessRequest Cmdlet, um eine übermittelte Zugriffsanforderung zu gewähren:

  Approve-ElevatedAccessRequest -RequestId <request id> -Comment '<approval comment>'
  

  Beispiel:

  Approve-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<approval comment>'
  

• Eine Anforderung ablehnen:

  Verwenden Sie das Deny-ElevatedAccessRequest Cmdlet, um eine übermittelte Zugriffsanforderung abzulehnen:

  Deny-ElevatedAccessRequest -RequestId <request id> -Comment '<denial comment>'
  

  Beispiel:

  Deny-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<denial comment>'
  

• -RequestId: Identifiziert die spezifische Anforderung, die genehmigt werden soll.

• -Comment: Fügt optionale Kommentare zur Genehmigungs- oder Ablehnungsentscheidung hinzu.

Anzeigen, Ändern und Löschen von Richtlinien

Richtlinien für privilegierten Zugriff sind das Rückgrat von PAM und definieren die Bedingungen, unter denen der Zugriff gewährt wird. Durch regelmäßiges Überprüfen, Ändern und Entfernen von Richtlinien wird sichergestellt, dass die Sicherheitskonfigurationen Ihrer organization auf dem neuesten Stand bleiben und den betrieblichen Anforderungen entsprechen.

Anzeigen, Ändern und Löschen von Richtlinien mithilfe des Microsoft 365 Admin Center

1. Navigieren Sie zu Einstellungen>Organisationseinstellungen>Sicherheit & Datenschutz>Privilegierter Zugriff.

2. Wählen Sie Richtlinien erstellen und Anforderungen> verwaltenRichtlinien verwalten aus.

Von hier aus haben Sie folgende Möglichkeiten:

• Anzeigen von Richtlinien: Überprüfen Sie alle konfigurierten Richtlinien und deren Details.

• Richtlinien ändern: Aktualisieren Sie Felder wie:

  • Aktualisieren Sie den Genehmigungstyp , um zwischen manueller und automatischer Genehmigung zu wechseln.

  • Ändern Sie die genehmigenden Personen , um eine andere Gruppe zuzuweisen, die für Genehmigungen verantwortlich ist.

• Speichern Sie die Änderungen, nachdem Sie Updates vorgenommen haben.

• Richtlinien löschen: Wählen Sie die zu entfernende Richtlinie aus, wählen Sie Richtlinie entfernen aus, und bestätigen Sie den Löschvorgang.

Anzeigen, Ändern und Löschen von Richtlinien mithilfe von PowerShell

Anzeigen von Richtlinien

Verwenden Sie das Get-ElevatedAccessApprovalPolicy Cmdlet, um eine Liste der Richtlinien für die Verwaltung privilegierter Zugriffe abzurufen:

Get-ElevatedAccessApprovalPolicy

Ändern von Richtlinien

Verwenden Sie das Set-ElevatedAccessApprovalPolicy Cmdlet, um vorhandene Richtlinien für privilegierten Zugriff zu aktualisieren. Dieses Cmdlet ermöglicht Änderungen an Feldern wie dem Genehmigungstyp und der Gruppe genehmigende Personen:

Set-ElevatedAccessApprovalPolicy -Identity <Policy ID> -ApprovalType '<Manual or Auto>' -ApproverGroup '<New Approver Group>'

Beispiel:

Set-ElevatedAccessApprovalPolicy -Identity 'Policy123' -ApproverGroup 'securityadmins@fabrikam.com' -ApprovalType 'Manual'

• -Identity: Identifiziert die spezifische Richtlinie, die geändert werden soll.

• -ApproverGroup: Weist eine neue E-Mail-aktivierte Sicherheitsgruppe zum Verarbeiten von Genehmigungen zu.

• -ApprovalType: Updates die Richtlinie so, dass eine manuelle oder automatische Genehmigung erforderlich ist.

Löschen von Richtlinien

Verwenden Sie das Remove-ElevatedAccessApprovalPolicy Cmdlet, um veraltete Richtlinien für privilegierten Zugriff zu löschen. Dadurch wird sichergestellt, dass Ihre Umgebung organisiert bleibt:

Remove-ElevatedAccessApprovalPolicy -Identity <Policy ID>

Deaktivieren der Verwaltung des privilegierten Zugriffs

Durch das Deaktivieren von PAM werden die Steuerelemente für Anforderungen und Genehmigungen mit erhöhten Zugriffsrechten entfernt und auf standardmäßige Administratorzugriffsebenen zurückgesetzt. Diese Aktion ist in der Regel für Situationen reserviert, in denen PAM nicht mehr benötigt wird oder wenn eine alternative Lösung implementiert wird.

Deaktivieren der Verwaltung des privilegierten Zugriffs mithilfe des Microsoft 365 Admin Center

Deaktivieren Sie Anforderungen für privilegierten Zugriff zulassen, und wählen Sie unter den Einstellungen für privilegierten Zugriff eine Standardgenehmigungsgruppe aus.

Deaktivieren der Verwaltung des privilegierten Zugriffs mithilfe von PowerShell

Disable-ElevatedAccessControl

Überwachen und Überwachen von PAM

Überwachungs- und Überwachungsaktivitäten sind entscheidend, um Richtlinienlücken zu identifizieren, Compliance sicherzustellen und Anomalien zu erkennen. Durch die Überprüfung von Protokollen und die Durchführung regelmäßiger Auswertungen können Organisationen die effektive Kontrolle über den privilegierten Zugriff behalten.

Überwachungsprotokolle

PAM-Aktivitäten, einschließlich Anforderungen und Genehmigungen, werden zu Konformitätszwecken protokolliert:

1. Navigieren Sie zum Microsoft Purview-Portal.

2. Wählen Sie Lösungsüberwachung> aus, und suchen Sie nach Aktivitäten im Zusammenhang mit PAM.

3. Filtern Sie Protokolle nach Aktivitätstyp, Datumsbereich oder Benutzer.

Regelmäßige Rezensionen

Die Durchführung regelmäßiger Überprüfungen stellt sicher, dass Richtlinien und Gruppenmitgliedschaften für genehmigende Personen relevant und wirksam bleiben. Diese Überprüfungen sind für die Anpassung an organisatorische Änderungen und die Aufrechterhaltung einer stabilen Sicherheit unerlässlich.

• Richtlinienüberprüfungen: Werten Sie Richtlinien regelmäßig aus, um sicherzustellen, dass sie den Anforderungen der Organisation entsprechen.

• Gruppenmitgliedschaft genehmigende Personen: Überprüfen Sie, ob genehmigende Personen auf dem neuesten Stand und autorisiert sind.

Behandeln von PAM-Problemen

Häufige Probleme

• Fehlgeschlagene Anforderungsübermittlungen: Stellen Sie sicher, dass der Anforderer über ausreichende Berechtigungen verfügt.

• Genehmigungsverzögerungen: Vergewissern Sie sich, dass genehmigende Personen Benachrichtigungen erhalten und Zugriff auf das Admin Center haben.

• Richtlinienkonflikte: Stellen Sie sicher, dass sich mehrere Richtlinien nicht überlappen und unbeabsichtigtes Verhalten verursachen.