Case study - Implementare la gestione degli accessi con privilegi

Completato

Contoso Corporation, una società manifatturiera globale, sta implementando Privileged Access Management (PAM) in Microsoft Purview per migliorare la sicurezza e ridurre i rischi legati all'accesso amministrativo permanente. Gli amministratori che gestiscono le configurazioni di Exchange richiedono ora autorizzazioni con privilegi elevati temporanei per attività specifiche, garantendo che le autorizzazioni siano approvate, associate a tempo e controllabili.

Scenario

Un amministratore IT di Contoso deve eseguire una nuova richiesta di spostamento in Exchange Online per eseguire la migrazione della cassetta postale di un utente. Poiché si tratta di un'attività sensibile, l'amministratore deve richiedere l'accesso e il gruppo Responsabili approvazione accesso con privilegi esamina e approva la richiesta prima che l'amministratore possa procedere.

Questo case study illustra i passaggi eseguiti da Contoso per configurare PAM e approvare una richiesta di accesso:

1. Creazione di un gruppo Responsabili approvazione
2. Abilitazione dell'accesso privilegiato
3. Creazione di un criterio di accesso
4. Invio e approvazione delle richieste di accesso

Passaggio 1: Creare un gruppo di responsabili approvazione

Contoso ha identificato un gruppo di amministratori senior da usare come responsabili approvazione per le attività con privilegi, ad esempio la cassetta postale di migrazione di un utente.

Passaggi per creare un gruppo di responsabili approvazione

1. Accedere al Centro Amministrazione Microsoft 365 con le autorizzazioni di amministratore appropriate.

2. Passare a Teams & gruppi>Team attivi & gruppi.

3. Selezionare Gruppi> disicurezza Aggiungi un gruppo di sicurezza abilitato alla posta elettronica.

4. Nella pagina Configura le nozioni di base immettere i dettagli seguenti:

   • Nome: specificare un nome descrittivo per il gruppo.
   • Descrizione: aggiungere una breve descrizione dello scopo del gruppo.

5. Nella pagina Assegna proprietari assegnare un proprietario per il gruppo.

6. Nella pagina Aggiungi membri aggiungere utenti che fungono da responsabili approvazione.

7. Nella pagina Modifica impostazioni configurare l'indirizzo di posta elettronica del gruppo.

8. Selezionare Crea gruppo. Attendere alcuni minuti per la configurazione completa del gruppo.

   

In questa fase, il gruppo Responsabili approvazione accesso con privilegi è pronto per esaminare e approvare le richieste di accesso con privilegi.

Passaggio 2: Abilitare la gestione degli accessi con privilegi

Per applicare le approvazioni per le attività sensibili, Contoso abilita PAM nel Centro Amministrazione Microsoft 365.

Passaggi per abilitare PAM

1. Nel Centro Amministrazione Microsoft 365 passare a Impostazioni Impostazioni>dell'organizzazione>Sicurezza & privacy>Accesso con privilegi.

2. Selezionare la casella di controllo Consenti richieste di accesso con privilegi e scegliere un gruppo di approvazione predefinito.

3. Assegnare il gruppo di responsabili approvazione appena creato come gruppo di approvazione predefinito.

   

4. Selezionare Salva per applicare le impostazioni.

Le attività con privilegi richiedono ora l'approvazione prima di poter essere eseguite.

Passaggio 3: Creare un criterio di accesso

Il team IT configura un criterio di accesso per gestire le attività con privilegi, in particolare per New Move Request in Exchange.

Passaggi per creare criteri di accesso con privilegi

1. Nel Centro Amministrazione Microsoft 365 passare a Impostazioni Impostazioni>>organizzazioneSicurezza & privacy>Accesso con privilegi.

2. Selezionare Crea criteri e gestisci richieste, quindi selezionare Gestisci criteri.

   

3. Selezionare Aggiungi criterio.

4. Configurare i dettagli dei criteri:

   • Tipo di criterio: Attività
   • Ambito del criterio: Exchange
   • Nome criterio: Nuova richiesta di spostamento
   • Tipo di approvazione: Manuale
   • Responsabili approvazione: Contoso seleziona il gruppo di responsabili approvazione accesso con privilegi appena creato.

5. Selezionare Crea per finalizzare i criteri.

   

Questo criterio garantisce che tutti gli amministratori che eseguono una nuova richiesta di spostamento ricevano prima l'approvazione dal gruppo Responsabili approvazione accesso con privilegi .

Passaggio 4: Inviare e approvare le richieste

Un amministratore IT invia una richiesta di accesso con privilegi elevati per la migrazione della cassetta postale di un utente. Un membro del gruppo Approvatori accesso con privilegi esamina e approva la richiesta.

Invio di una richiesta

L'amministratore accede al Centro Amministrazione Microsoft 365.

1. Passare a Impostazioni Impostazioni>organizzazione>Sicurezza & privacy>Accesso con privilegi.

2. Selezionare Crea criteri e gestisci richieste, quindi selezionare Richieste di>accesso Richiedi accesso.

3. Compilare il modulo:

   • Tipo: Attività
   • Ambito: Exchange
   • Accesso a: Nuova richiesta di spostamento
   • Durata: 2 ore
   • Motivo: è necessario l'accesso per spostare una cassetta postale di Exchange.

4. Selezionare Crea per richiedere l'accesso.

   

Approvazione di una richiesta

1. Un membro del gruppo Responsabili approvazione accesso con privilegi riceve una notifica tramite posta elettronica sulla nuova richiesta di accesso.

   

2. Selezionare Crea criteri e gestisci richieste, quindi selezionare Richieste di>accesso Richiedi accesso per visualizzare le richieste di accesso.

3. Dopo aver esaminato i dettagli della richiesta, il responsabile approvazione seleziona Approva.

   

L'amministratore può ora eseguire l'attività approvata per la durata specificata nella richiesta.

Implementando PAM, Contoso garantisce che le attività con privilegi elevati, ad esempio la nuova richiesta di spostamento, siano strettamente controllate. Questo processo aggiunge responsabilità, riduce al minimo i rischi per la sicurezza e garantisce che le autorizzazioni siano temporanee, con ambito e approvate.