Administración de la administración de acceso con privilegios

  • 9 minutos

La administración de Privileged Access Management (PAM) implica supervisar y mantener los flujos de trabajo, las directivas y las aprobaciones asociadas con el acceso administrativo con privilegios.

Administración de solicitudes

La administración de solicitudes es la función principal de Privileged Access Management (PAM), lo que garantiza que las tareas confidenciales que requieren permisos elevados solo se autoricen cuando sea necesario. Enviar, aprobar o denegar solicitudes garantiza que las acciones administrativas se controlen, registren y cumplan con las directivas de seguridad.

Enviar una solicitud

Enviar una solicitud permite a los usuarios obtener permisos con privilegios elevados temporales para realizar tareas que requieren privilegios más altos. Esto garantiza que las operaciones confidenciales se completen de forma segura sin conceder acceso permanente, lo que reduce el riesgo de uso indebido o infracciones. Las solicitudes de acceso con privilegios son válidas hasta 24 horas después de que se hayan enviado. Si no se aprueban o deniegan, las solicitudes expiran y no se aprueba el acceso.

Enviar una solicitud mediante el Centro de Administración de Microsoft 365

  1. Inicie sesión en el Centro de Administración de Microsoft 365.

  2. Vaya a Configuración Configuración> de >la organizaciónSeguridad & privacidad>Acceso con privilegios.

  3. Seleccione Crear directivas y administrar solicitudes>Solicitar acceso y completar el formulario:

    • Tipo: Tarea, rol o grupo de roles

    • Ámbito: Exchange

    • Acceso a: Seleccione entre las opciones disponibles.

    • Duración (horas): número de horas del acceso solicitado No hay un límite en el número de horas que se pueden solicitar.

    • Motivo: proporcione un motivo para la solicitud.

  4. Seleccione Crear para crear una nueva solicitud de administración de acceso con privilegios.

Envío de una solicitud mediante PowerShell

Use el New-ElevatedAccessRequest cmdlet de PowerShell para enviar una solicitud de acceso con privilegios. Esta solicitud concede temporalmente permisos elevados para una tarea especificada:

New-ElevatedAccessRequest -Task 'Exchange\<exchange management cmdlet name>' -Reason '<appropriate reason>' -DurationHours <duration in hours>

Ejemplo:

New-ElevatedAccessRequest -Task 'Exchange\New-MoveRequest' -Reason 'Attempting to fix the user mailbox error' -DurationHours 4
  • -Task: especifica el cmdlet de Exchange para el que se solicita acceso con privilegios.
  • -Reason: proporciona una justificación para la solicitud.
  • -DurationHours: define la duración (en horas) del acceso con privilegios elevados.

Aprobar o denegar solicitudes

La aprobación o denegación de solicitudes permite a los aprobadores evaluar la necesidad y la idoneidad de la solicitud de acceso con privilegios elevados de un usuario. Este paso aplica directivas de seguridad de la organización y garantiza que solo los usuarios autorizados puedan ejecutar tareas con privilegios.

Aprobar o denegar una solicitud mediante el Centro de Administración de Microsoft 365

  1. Los aprobadores reciben una notificación por correo electrónico para la solicitud.

    Captura de pantalla que muestra la notificación que reciben los aprobadores para la administración de acceso con privilegios.

  2. Los aprobadores pueden iniciar sesión en el centro de administración y:

    • Revisar los detalles de la solicitud

    • Aprobar o denegar la solicitud

    Captura de pantalla que muestra cómo aprobar o denegar una solicitud de administración de acceso con privilegios.

  3. Las solicitudes aprobadas permiten al usuario completar la tarea dentro de la duración especificada.

Aprobación o denegación de una solicitud mediante PowerShell

Para aprobar o denegar solicitudes de administración de acceso con privilegios con PowerShell:

  • Aprobar una solicitud:

    Use el Approve-ElevatedAccessRequest cmdlet para conceder una solicitud de acceso enviada:

    Approve-ElevatedAccessRequest -RequestId <request id> -Comment '<approval comment>'

    Ejemplo:

    Approve-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<approval comment>'

  • Denegar una solicitud:

    Use el Deny-ElevatedAccessRequest cmdlet para rechazar una solicitud de acceso enviada:

    Deny-ElevatedAccessRequest -RequestId <request id> -Comment '<denial comment>'

    Ejemplo:

    Deny-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<denial comment>'

  • -RequestId: identifica la solicitud específica que se va a aprobar.

  • -Comment: agrega comentarios opcionales sobre la aprobación o la decisión de denegación.

Ver, modificar y eliminar directivas

Las directivas de acceso con privilegios son la columna vertebral de PAM, que define las condiciones en las que se concede acceso. Revisar, modificar y quitar directivas periódicamente garantiza que las configuraciones de seguridad de su organización permanezcan actualizadas y alineadas con las necesidades operativas.

Ver, modificar y eliminar directivas mediante el Centro de Administración de Microsoft 365

  1. Vaya a Configuración Configuración> de >la organizaciónSeguridad & privacidad>Acceso con privilegios.

  2. Seleccione Crear directivas y administrar solicitudesAdministrar directivas>.

Desde ahí, puede hacer lo siguiente:

  • Ver directivas: revise todas las directivas configuradas y sus detalles.

  • Modificar directivas: actualice campos como:

    • Actualice el tipo de aprobación para cambiar entre la aprobación manual y la automática.

    • Cambie los Aprobadores para asignar un grupo diferente responsable de las aprobaciones.

  • Guarde los cambios después de realizar actualizaciones.

  • Eliminar directivas: seleccione la directiva que desea quitar, seleccione Quitar directiva y confirme la eliminación.

Visualización, modificación y eliminación de directivas mediante PowerShell

Ver directivas

Use el Get-ElevatedAccessApprovalPolicy cmdlet para obtener una lista de directivas de administración de acceso con privilegios:

Get-ElevatedAccessApprovalPolicy

Modificar directivas

Use el Set-ElevatedAccessApprovalPolicy cmdlet para actualizar las directivas de acceso con privilegios existentes. Este cmdlet permite realizar cambios en campos como el tipo de aprobación y el grupo de aprobadores:

Set-ElevatedAccessApprovalPolicy -Identity <Policy ID> -ApprovalType '<Manual or Auto>' -ApproverGroup '<New Approver Group>'

Ejemplo:

Set-ElevatedAccessApprovalPolicy -Identity 'Policy123' -ApproverGroup 'securityadmins@fabrikam.com' -ApprovalType 'Manual'

  • -Identity: identifica la directiva específica que se va a modificar.

  • -ApproverGroup: asigna un nuevo grupo de seguridad habilitado para correo para controlar las aprobaciones.

  • -ApprovalType: Novedades la directiva para requerir aprobación manual o automática.

Eliminar directivas

Use el Remove-ElevatedAccessApprovalPolicy cmdlet para eliminar directivas de acceso con privilegios obsoletas. Esto garantiza que el entorno permanece organizado:

Remove-ElevatedAccessApprovalPolicy -Identity <Policy ID>

Deshabilitar la administración de acceso con privilegios

Al deshabilitar PAM, se quitan los controles en torno a solicitudes y aprobaciones de acceso con privilegios elevados y se revierte a los niveles de acceso administrativo estándar. Esta acción normalmente se reserva para situaciones en las que PAM ya no es necesario o si se está implementando una solución alternativa.

Deshabilitación de la administración de acceso con privilegios mediante el Centro de Administración de Microsoft 365

Desactive Permitir solicitudes de acceso con privilegios y elija un grupo de aprobación predeterminado en la configuración de acceso con privilegios.

Deshabilitación de la administración de acceso con privilegios mediante PowerShell

Disable-ElevatedAccessControl

Auditoría y supervisión de PAM

Las actividades de auditoría y supervisión son fundamentales para identificar brechas en las directivas, garantizar el cumplimiento y detectar anomalías. Al revisar los registros y realizar evaluaciones periódicas, las organizaciones pueden mantener un control eficaz sobre el acceso con privilegios.

Registros de auditoría

Las actividades de PAM, incluidas las solicitudes y aprobaciones, se registran con fines de cumplimiento:

  1. Vaya al portal de Microsoft Purview.

  2. Seleccione Auditoría de soluciones> y busque actividades relacionadas con PAM.

  3. Filtre los registros por tipo de actividad, intervalo de fechas o usuario.

Revisiones periódicas

La realización de revisiones periódicas garantiza que las directivas y las pertenencias a grupos de aprobadores sigan siendo pertinentes y eficaces. Estas revisiones son esenciales para adaptarse a los cambios organizativos y mantener una seguridad sólida.

  • Revisiones de directivas: evalúe periódicamente las directivas para asegurarse de que se alinean con las necesidades de la organización.

  • Pertenencia al grupo de aprobadores: compruebe que los aprobadores están actualizados y autorizados.

Solución de problemas de PAM

Problemas comunes

  • Envíos de solicitudes con error: asegúrese de que el solicitante tiene permisos suficientes.

  • Retrasos en la aprobación: confirme que los aprobadores reciben notificaciones y tienen acceso al centro de administración.

  • Conflictos de directivas: compruebe que varias directivas no se superpongan y provoquen comportamientos no deseados.