Caso práctico: Implementación de la administración de acceso con privilegios

Completado

Contoso Corporation, una empresa de fabricación global, está implementando Privileged Access Management (PAM) en Microsoft Purview para mejorar la seguridad y reducir los riesgos asociados al acceso administrativo permanente. Los administradores que administran configuraciones de Exchange ahora solicitarán permisos con privilegios elevados temporales para tareas específicas, lo que garantiza que los permisos se aprueben, se limiten el tiempo y se puedan auditar.

Escenario

Un administrador de TI de Contoso debe realizar una nueva solicitud de traslado en Exchange Online para migrar el buzón de un usuario. Dado que se trata de una tarea confidencial, el administrador debe solicitar acceso y el grupo Aprobadores de acceso con privilegios revisa y aprueba la solicitud antes de que el administrador pueda continuar.

En este caso práctico se describen los pasos que Contoso llevó a cabo para configurar PAM y aprobar una solicitud de acceso:

1. Crear un grupo de aprobadores
2. Habilitar el acceso con privilegios
3. Crear una directiva de acceso
4. Envío y aprobación de solicitudes de acceso

Paso 1: Crear un grupo de aprobadores

Contoso identificó un grupo de administradores sénior para servir como aprobadores para tareas con privilegios, como la migración del buzón de correo de un usuario.

Pasos para crear un grupo de aprobadores

1. Inicie sesión en el Centro de Administración de Microsoft 365 con los permisos de administrador adecuados.

2. Vaya a Teams & grupos>Equipos activos & grupos.

3. Seleccione Grupos> deseguridad Agregar un grupo de seguridad habilitado para correo.

4. En la página Configurar los conceptos básicos , escriba los detalles siguientes:

   • Nombre: proporcione un nombre descriptivo para el grupo.
   • Descripción: agregue una breve descripción del propósito del grupo.

5. En la página Asignar propietarios , asigne un propietario para el grupo.

6. En la página Agregar miembros , agregue personas que actúen como aprobadores.

7. En la página Editar configuración , configure la dirección de correo electrónico del grupo.

8. Seleccione Crear grupo. Espere unos minutos a que el grupo esté totalmente configurado.

   

En esta fase, el grupo Aprobadores de acceso con privilegios está listo para revisar y aprobar solicitudes de acceso con privilegios.

Paso 2: Habilitar la administración de acceso con privilegios

Para aplicar aprobaciones para tareas confidenciales, Contoso habilita PAM en el Centro de Administración de Microsoft 365.

Pasos para habilitar PAM

1. En el Centro de Administración de Microsoft 365, vaya a Configuración>de> la organizaciónSeguridad & privacidad>Acceso con privilegios.

2. Active la casilla Permitir solicitudes de acceso con privilegios y elija un grupo de aprobación predeterminado.

3. Asigne el grupo de aprobadores recién creado como grupo de aprobación predeterminado.

   

4. Seleccione Guardar para aplicar la configuración.

Las tareas con privilegios ahora requieren aprobación antes de que se puedan ejecutar.

Paso 3: Creación de una directiva de acceso

El equipo de TI configura una directiva de acceso para administrar tareas con privilegios, específicamente para lasolicitud de movimiento de N ew en Exchange.

Pasos para crear una directiva de acceso con privilegios

1. En el Centro de Administración de Microsoft 365, vaya a Configuración Configuración>Configuración de> la organizaciónSeguridad & privacidad>Acceso con privilegios.

2. Seleccione Crear directivas y administrar solicitudes y, a continuación, seleccione Administrar directivas.

   

3. Seleccione Agregar directiva.

4. Configure los detalles de la directiva:

   • Tipo de directiva: Tarea
   • Ámbito de la directiva: Exchange
   • Nombre de directiva: Nueva solicitud de movimiento
   • Tipo de aprobación: Manual
   • Aprobadores: Contoso selecciona el grupo aprobadores de acceso con privilegios recién creado.

5. Seleccione Crear para finalizar la directiva.

   

Esta directiva garantiza que cualquier administrador que realice una nueva solicitud de traslado primero debe recibir la aprobación del grupo Aprobadores de acceso con privilegios .

Paso 4: Enviar y aprobar solicitudes

Un administrador de TI envía una solicitud de acceso con privilegios elevados para migrar el buzón de un usuario. Un miembro del grupo Aprobadores de acceso con privilegios revisa y aprueba la solicitud.

Envío de una solicitud

El administrador inicia sesión en el Centro de Administración de Microsoft 365.

1. Vaya a Configuración Configuración> de >la organizaciónSeguridad & privacidad>Acceso con privilegios.

2. Seleccione Crear directivas y administrar solicitudes y, a continuación, seleccione Solicitudes de>acceso Solicitar acceso.

3. Rellene el formulario:

   • Tipo: Tarea
   • Ámbito: Exchange
   • Acceso a: Nueva solicitud de traslado
   • Duración: 2 horas
   • Motivo: Necesidad de acceso para mover un buzón de Exchange.

4. Seleccione Crear para solicitar acceso.

   

Aprobación de una solicitud

1. Un miembro del grupo Aprobadores de acceso con privilegios recibe una notificación por correo electrónico sobre la nueva solicitud de acceso.

   

2. Seleccione Crear directivas y administrar solicitudes y, a continuación, seleccione Solicitudes> deacceso Solicitar acceso para ver las solicitudes de acceso.

3. Después de revisar los detalles de la solicitud, el aprobador selecciona Aprobar.

   

El administrador ahora puede realizar la tarea aprobada durante el tiempo especificado en la solicitud.

Al implementar PAM, Contoso garantiza que las tareas con privilegios elevados, como la nueva solicitud de movimiento, se controlan estrechamente. Este proceso agrega responsabilidad, minimiza los riesgos de seguridad y garantiza que los permisos sean temporales, con ámbito y aprobados.