Configurer la gestion des accès privilégiés

  • 9 minutes

La configuration de Privileged Access Management (PAM) dans Microsoft Purview permet aux organisations d’appliquer des contrôles d’accès structurés, ce qui réduit les risques associés aux autorisations administratives permanentes.

Configuration requise

Avant de configurer PAM, vérifiez que les conditions préalables suivantes sont remplies :

  • Abonnement Microsoft 365 : vérifiez que l’abonnement de votre organization inclut la prise en charge de PAM. Vérifiez les détails de l’abonnement.
  • Rôles appropriés : vérifiez que vous disposez du rôle Administrateur général ou Administrateur Exchange pour configurer PAM.
  • Planifier les groupes d’accès : déterminez les approbateurs et les comptes système pour les demandes d’accès privilégié.

Étapes de configuration de la gestion des accès privilégiés

Procédez comme suit pour configurer PAM dans votre organization :

1. Créer le groupe d’un approbateur

Les groupes d’approbateurs sont responsables de l’examen et de l’autorisation des demandes d’accès privilégié. La configuration d’un groupe de sécurité à extension messagerie garantit que les demandes sont routées de manière appropriée.

  1. Connectez-vous au Centre d’administration Microsoft 365 à l’aide de vos informations d’identification d’administrateur.

  2. Accédez à Teams & groupes>Équipes actives & groupes à l’aide de vos informations d’identification d’administrateur.

  3. Sélectionnez l’onglet Groupes de sécurité , puis choisissez Ajouter un groupe de sécurité à extension messagerie.

    Capture d’écran montrant comment ajouter un groupe de sécurité à extension messagerie.

  4. Dans la page Configurer les informations de base , entrez les informations suivantes :

    • Nom : fournissez un nom descriptif pour le groupe.
    • Description : ajoutez une brève description de l’objectif du groupe.

  5. Dans la page Affecter des propriétaires , attribuez un propriétaire pour le groupe.

  6. Dans la page Ajouter des membres , ajoutez des personnes qui agiront en tant qu’approbateurs.

  7. Dans la page Modifier les paramètres , configurez l’adresse e-mail du groupe.

  8. Sélectionnez Créer un groupe. Attendez quelques minutes que le groupe soit entièrement configuré.

2. Activer la gestion des accès privilégiés

L’activation de PAM active les flux de travail d’approbation, garantissant que les tâches administratives sensibles nécessitent des autorisations élevées accordées via des processus contrôlés.

Activer la gestion des accès privilégiés à l’aide du centre Administration Microsoft 365

  1. Connectez-vous au Centre Administration Microsoft 365.

  2. Accédez à Paramètres Paramètres>de l’organisation>Sécurité & confidentialité>Accès privilégié.

    Capture d’écran montrant où accéder au paramètre d’accès privilégié.

  3. Cochez la case Autoriser les demandes d’accès privilégié et choisissez un groupe d’approbation par défaut.

  4. Affectez le groupe d’approbation de l’approbateur créé à l’étape 1 comme groupe d’approbation par défaut.

    Capture d’écran montrant comment attribuer un groupe d’approbation.

  5. Enregistrez et fermez les paramètres.

Activer la gestion des accès privilégiés à l’aide de PowerShell

Utilisez l’applet Enable-ElevatedAccessControl de commande dans Exchange Online PowerShell pour activer la gestion des accès privilégiés et affecter le groupe d’approbateurs. Cela garantit que les tâches privilégiées nécessitent une approbation et définit le groupe responsable de l’approbation de ces demandes :

Enable-ElevatedAccessControl -AdminGroup '<default approver group>' -SystemAccounts @('<systemAccountUPN1>','<systemAccountUPN2>')

Exemple :

Enable-ElevatedAccessControl -AdminGroup 'pamapprovers@fabrikam.onmicrosoft.com' -SystemAccounts @('sys1@fabrikamorg.onmicrosoft.com', 'sys2@fabrikamorg.onmicrosoft.com')

Le -AdminGroup paramètre spécifie le groupe de sécurité à extension messagerie pour les approbations, tandis que le -SystemAccounts paramètre exclut des comptes spécifiques des contrôles d’accès privilégié, ce qui permet aux opérations système essentielles de continuer sans interruption.

3. Créer des stratégies d’accès

Les stratégies d’accès définissent les règles sous lesquelles l’accès privilégié est accordé. Ces stratégies garantissent que les autorisations élevées sont fournies uniquement lorsque cela est nécessaire et dans des conditions définies.

Créer une stratégie d’accès à l’aide du centre Administration Microsoft 365

  1. Accédez à Paramètres Paramètres>de l’organisation>Sécurité & confidentialité>Accès privilégié.

  2. Sélectionnez Créer des stratégies et gérer les demandesGérer les stratégies>>Ajouter une stratégie.

  3. Configurez la stratégie :

    • Type de stratégie : tâche, rôle ou groupe de rôles

    • Étendue de la stratégie : Exchange

    • Nom de la stratégie : sélectionnez parmi les options disponibles

    • Type d’approbation : manuel ou automatique

    • Approbateurs : sélectionnez le groupe de l’approbateur, si le type d’approbation est défini sur Manuel

    Capture d’écran montrant les champs permettant d’ajouter une stratégie de gestion des accès privilégiés.

  4. Sélectionnez Créer pour ajouter une nouvelle stratégie de gestion des accès privilégiés.

Créer une stratégie d’accès à l’aide de La gestion Exchange PowerShell

Utilisez l’applet de New-ElevatedAccessApprovalPolicy commande dans PowerShell pour créer une stratégie d’accès privilégié. Cette stratégie définit les conditions dans lesquelles les tâches avec élévation de privilèges sont approuvées et exécutées :

New-ElevatedAccessApprovalPolicy -Task 'Exchange\<exchange management cmdlet name>' -ApprovalType <Manual, Auto> -ApproverGroup '<default/custom approver group>'

Exemple :

New-ElevatedAccessApprovalPolicy -Task 'Exchange\New-MoveRequest' -ApprovalType Manual -ApproverGroup 'mbmanagers@fabrikamorg.onmicrosoft.com'
  • -Task: spécifie l’applet de commande Exchange qui nécessite l’approbation de l’accès privilégié.
  • -ApprovalType: détermine si l’approbation est gérée manuellement par un groupe d’approbateurs (manuel) ou automatiquement (automatique).
  • -ApproverGroup: identifie le groupe de sécurité à extension messagerie chargé d’approuver les demandes lorsque -ApprovalType est défini sur Manuel.

4. Tester et utiliser la gestion des accès privilégiés

Les tests garantissent que les stratégies et flux de travail configurés fonctionnent comme prévu, ce qui permet aux utilisateurs d’envoyer des demandes et des approbateurs d’agir sur celles-ci.

  • Envoyer une demande : les utilisateurs peuvent demander des autorisations élevées pour les tâches en accédant à la section Accès privilégié dans le Centre Administration Microsoft 365 ou en utilisant PowerShell.

  • Approuver une demande : les approbateurs examinent et agissent sur les demandes via Notifications par e-mail ou directement dans le centre Administration Microsoft 365.

La configuration de la gestion des accès privilégiés garantit des autorisations administratives sécurisées et temporaires pour les tâches sensibles. En créant des groupes d’approbateurs, en activant PAM et en définissant des stratégies d’accès, les organisations peuvent appliquer le principe du moindre privilège et améliorer leur posture de sécurité. Des audits et des examens réguliers renforcent l’efficacité de PAM dans la protection des configurations et des données critiques.