Étude de cas - Implémenter la gestion des accès privilégiés

Effectué

Contoso Corporation, une entreprise manufacturière mondiale, implémente la gestion de l’accès privilégié (PAM) dans Microsoft Purview pour améliorer la sécurité et réduire les risques liés à l’accès administratif permanent. Les administrateurs qui gèrent des configurations Exchange demandent désormais des autorisations temporaires élevées pour des tâches spécifiques, ce qui garantit que les autorisations sont approuvées, limitées dans le temps et vérifiables.

Scénario

Un administrateur informatique contoso doit effectuer une nouvelle demande de déplacement dans Exchange Online pour migrer la boîte aux lettres d’un utilisateur. Étant donné qu’il s’agit d’une tâche sensible, l’administrateur doit demander l’accès et le groupe Approbateurs d’accès privilégié examine et approuve la demande avant que l’administrateur puisse continuer.

Cette étude de cas décrit les étapes que Contoso a suivies pour configurer PAM et approuver une demande d’accès :

1. Création d’un groupe d’approbateurs
2. Activation des accès privilégiés
3. Création d’une stratégie d’accès
4. Envoi et approbation de demandes d’accès

Étape 1 : Créer un groupe d’approbateurs

Contoso a identifié un groupe d’administrateurs principaux pour servir d’approbateurs pour les tâches privilégiées telles que la migration de la boîte aux lettres d’un utilisateur.

Étapes de création d’un groupe d’approbateurs

1. Connectez-vous au Centre Administration Microsoft 365 avec les autorisations d’administrateur appropriées.

2. Accédez à Teams & groupes>Équipes actives & groupes.

3. Sélectionnez Groupes> de sécuritéAjouter un groupe de sécurité à extension messagerie.

4. Dans la page Configurer les informations de base , entrez les informations suivantes :

   • Nom : fournissez un nom descriptif pour le groupe.
   • Description : ajoutez une brève description de l’objectif du groupe.

5. Dans la page Affecter des propriétaires , attribuez un propriétaire pour le groupe.

6. Dans la page Ajouter des membres , ajoutez des personnes qui agissent en tant qu’approbateurs.

7. Dans la page Modifier les paramètres , configurez l’adresse e-mail du groupe.

8. Sélectionnez Créer un groupe. Attendez quelques minutes que le groupe soit entièrement configuré.

   

À ce stade, le groupe Approbateurs d’accès privilégié est prêt à examiner et approuver les demandes d’accès privilégié.

Étape 2 : Activer la gestion des accès privilégiés

Pour appliquer des approbations pour les tâches sensibles, Contoso active PAM dans le Centre Administration Microsoft 365.

Étapes d’activation de PAM

1. Dans le Centre Administration Microsoft 365, accédez à Paramètres Paramètres> de l’organisation Paramètres>sécurité & confidentialité>Accès privilégié.

2. Cochez la case Autoriser les demandes d’accès privilégié et choisissez un groupe d’approbation par défaut.

3. Affectez le groupe d’approbateurs nouvellement créé comme groupe d’approbation par défaut.

   

4. Sélectionnez Enregistrer pour appliquer les paramètres.

Les tâches privilégiées nécessitent désormais une approbation avant de pouvoir être exécutées.

Étape 3 : Créer une stratégie d’accès

L’équipe informatique configure une stratégie d’accès pour gérer les tâches privilégiées, en particulier pour lademande de déplacement dans Exchange.

Étapes de création d’une stratégie d’accès privilégié

1. Dans le Centre Administration Microsoft 365, accédez à Paramètres Paramètres> del’organisation>Sécurité & confidentialité>Accès privilégié.

2. Sélectionnez Créer des stratégies et gérer les demandes, puis sélectionnez Gérer les stratégies.

   

3. Sélectionnez Ajouter une stratégie.

4. Configurez les détails de la stratégie :

   • Type de stratégie : Tâche
   • Étendue de la stratégie : Exchange
   • Nom de la stratégie : Nouvelle demande de déplacement
   • Type d’approbation : Manuel
   • Approbateurs : Contoso sélectionne le groupe Approbateurs d’accès privilégié nouvellement créé.

5. Sélectionnez Créer pour finaliser la stratégie.

   

Cette stratégie garantit que tout administrateur effectuant une nouvelle demande de déplacement doit d’abord recevoir l’approbation du groupe Approbateurs d’accès privilégié .

Étape 4 : Envoyer et approuver des demandes

Un administrateur informatique envoie une demande d’accès élevé pour migrer la boîte aux lettres d’un utilisateur. Un membre du groupe Approbateurs d’accès privilégié examine et approuve la demande.

Envoi d’une demande

L’administrateur se connecte au Centre Administration Microsoft 365.

1. Accédez à Paramètres Paramètres>de l’organisation>Sécurité & confidentialité>Accès privilégié.

2. Sélectionnez Créer des stratégies et gérer les demandes, puis sélectionnez Demandes>d’accès Demander l’accès.

3. Remplissez le formulaire :

   • Type : Tâche
   • Étendue : Exchange
   • Accès à : Nouvelle demande de déplacement
   • Durée : 2 heures
   • Motif : besoin d’accès pour déplacer une boîte aux lettres Exchange.

4. Sélectionnez Créer pour demander l’accès.

   

Approbation d’une demande

1. Un membre du groupe Approbateurs d’accès privilégié reçoit une notification par e-mail concernant la nouvelle demande d’accès.

   

2. Sélectionnez Créer des stratégies et gérer les demandes, puis sélectionnez Demandes>d’accès Demander l’accès pour afficher les demandes d’accès.

3. Après avoir examiné les détails de la demande, l’approbateur sélectionne Approuver.

   

L’administrateur peut maintenant effectuer la tâche approuvée pendant la durée spécifiée dans la demande.

En implémentant PAM, Contoso garantit que les tâches avec élévation de privilèges, telles que la nouvelle demande de déplacement, sont étroitement contrôlées. Ce processus ajoute la responsabilité, réduit les risques de sécurité et garantit que les autorisations sont temporaires, étendues et approuvées.