Caso prático - Implementar a gestão de acesso privilegiado

  • 8 minutos

A Contoso Corporation, uma empresa de fabrico global, está a implementar a Gestão de Acesso Privilegiado (PAM) no Microsoft Purview para melhorar a segurança e reduzir os riscos associados ao acesso administrativo permanente. Os administradores que gerem as configurações do Exchange irão agora pedir permissões temporárias elevadas para tarefas específicas, garantindo que as permissões são aprovadas, com limite de tempo e auditáveis.

Cenário

Um administrador de TI da Contoso tem de executar um Novo Pedido de Movimentação no Exchange Online para migrar a caixa de correio de um utilizador. Uma vez que se trata de uma tarefa confidencial, o administrador tem de pedir acesso e o grupo Aprovadores de Acesso Privilegiado revê e aprova o pedido antes de o administrador poder continuar.

Este caso prático explica os passos que a Contoso tomou para configurar o PAM e aprovar um pedido de acesso:

  1. Criação de um grupo de aprovadores
  2. Habilitação do acesso privilegiado
  3. Criação de uma política de acesso
  4. Submeter e aprovar pedidos de acesso

Passo 1: criar um grupo de aprovadores

A Contoso identificou um grupo de administradores seniores para servir de aprovador para tarefas com privilégios, como a migração da caixa de correio de um utilizador.

Passos para criar um grupo de aprovadores

  1. Inicie sessão no Centro de Administração Microsoft 365 com as permissões de administrador adequadas.

  2. Navegue para Teams & grupos>Equipas ativas & grupos.

  3. Selecione Grupos>de segurança Adicionar um grupo de segurança com capacidade de correio.

  4. Na página Configurar as noções básicas , introduza os seguintes detalhes:

    • Nome: forneça um nome descritivo para o grupo.
    • Descrição: adicione uma breve descrição da finalidade do grupo.

  5. Na página Atribuir proprietários , atribua um proprietário ao grupo.

  6. Na página Adicionar membros , adicione pessoas que atuam como aprovadores.

  7. Na página Editar definições , configure o endereço de e-mail do grupo.

  8. Selecione Criar grupo. Aguarde alguns minutos para que o grupo esteja totalmente configurado.

    Captura de ecrã a mostrar o ecrã de conclusão para criar um grupo de segurança com capacidade de correio.

Nesta fase, o grupo Aprovadores de Acesso Privilegiado está pronto para rever e aprovar pedidos de acesso privilegiado.

Passo 2: Ativar a gestão de acesso privilegiado

Para impor aprovações para tarefas confidenciais, a Contoso ativa o PAM no Centro de Administração Microsoft 365.

Passos para ativar o PAM

  1. No Centro de Administração Microsoft 365, navegue para Definições Definições>>daorganizaçãoSegurança & privacidade>Acesso privilegiado.

  2. Selecione a caixa de verificação Permitir pedidos de acesso privilegiado e escolha um grupo de aprovação predefinido.

  3. Atribua o grupo de aprovadores recém-criado como o grupo de aprovação predefinido.

    Captura de ecrã a mostrar a adição de um grupo de segurança com capacidade de correio na gestão de acesso privilegiado.

  4. Selecione Guardar para aplicar as definições.

As tarefas com privilégios necessitam agora de aprovação antes de poderem ser executadas.

Passo 3: criar uma política de acesso

A equipa de TI configura uma política de acesso para gerir tarefas privilegiadas, especificamente para oN ew Move Request no Exchange.

Passos para criar uma política de acesso privilegiado

  1. No Centro de Administração Microsoft 365, aceda a Definições Definições>>da organizaçãoSegurança & privacidade>Acesso privilegiado.

  2. Selecione Criar políticas e gerir pedidos e, em seguida, selecione Gerir políticas.

    Captura de ecrã a mostrar onde gerir políticas de gestão de acesso privilegiado.

  3. Selecione Adicionar política.

  4. Configure os detalhes da política:

    • Tipo de política: Tarefa
    • Escopo da política: Exchange
    • Nome da política: Novo Pedido de Movimentação
    • Tipo de aprovação: Manual
    • Aprovadores: a Contoso seleciona o grupo Aprovadores de Acesso Privilegiado recém-criado.

  5. Selecione Criar para finalizar a política.

    Captura de ecrã a mostrar a adição de uma política de acesso privilegiado.

Esta política garante que qualquer administrador que efetue um Novo Pedido de Movimentação tem primeiro de receber a aprovação do grupo Aprovadores de Acesso Privilegiado .

Passo 4: Submeter e aprovar pedidos

Um administrador de TI submete um pedido de acesso elevado para migrar a caixa de correio de um utilizador. Um membro do grupo Aprovadores de Acesso Privilegiado revê e aprova o pedido.

Submeter um pedido

O administrador inicia sessão no Centro de Administração Microsoft 365.

  1. Navegue para Definições Definições>>da organizaçãoSegurança & privacidade>Acesso privilegiado.

  2. Selecione Criar políticas e gerir pedidos e, em seguida, selecione Pedidos> deacesso Pedir acesso.

  3. Preencha o formulário:

    • Tipo: Tarefa
    • Âmbito: Exchange
    • Acesso a: Novo Pedido de Movimentação
    • Duração: 2 horas
    • Motivo: precisa de acesso para mover uma caixa de correio do Exchange.

  4. Selecione Criar para pedir acesso.

    Captura de ecrã a mostrar a submissão de um pedido de acesso privilegiado.

Aprovar um pedido

  1. Um membro do grupo Aprovadores de Acesso Privilegiado recebe uma notificação por e-mail sobre o novo pedido de acesso.

    Captura de ecrã a mostrar um pedido de e-mail para acesso privilegiado.

  2. Selecione Criar políticas e gerir pedidos e, em seguida, selecione Pedidos> deacesso Pedir acesso para ver pedidos de acesso.

  3. Depois de rever os detalhes do pedido, o aprovador seleciona Aprovar.

    Captura de ecrã a mostrar um pedido de acesso privilegiado no portal de administração do Microsoft 365.

O administrador pode agora efetuar a tarefa aprovada durante a duração especificada no pedido.

Ao implementar o PAM, a Contoso garante que as tarefas elevadas, como o Novo Pedido de Movimentação, são controladas de forma rigorosa. Este processo adiciona responsabilidade, minimiza os riscos de segurança e garante que as permissões são temporárias, confinadas e aprovadas.