Como configurar o gerenciamento de acesso privilegiado

  • 9 minutos

Configurar a Gestão de Acesso Privilegiado (PAM) no Microsoft Purview permite que as organizações imponham controlos de acesso estruturados, reduzindo os riscos associados a permissões administrativas permanentes.

Pré-requisitos

Antes de configurar o PAM, certifique-se de que são cumpridos os seguintes pré-requisitos:

  • Subscrição do Microsoft 365: verifique se a subscrição da sua organização inclui suporte para PAM. Verifique os detalhes da subscrição.
  • Funções adequadas: certifique-se de que tem a função Administrador Global ou Administrador do Exchange para configurar o PAM.
  • Planear grupos de acesso: determine aprovadores e contas de sistema para pedidos de acesso privilegiado.

Passos para configurar a gestão de acesso privilegiado

Siga estes passos para configurar o PAM na sua organização:

1. Criar um grupo de aprovadores

Os grupos de aprovadores são responsáveis por rever e autorizar pedidos de acesso privilegiado. A configuração de um grupo de segurança com capacidade de correio garante que os pedidos são encaminhados adequadamente.

  1. Inicie sessão no Centro de administração do Microsoft 365 com as suas credenciais de administrador.

  2. Navegue para Teams & grupos>Equipas ativas & grupos com as suas credenciais de administrador.

  3. Selecione o separador Grupos de segurança e, em seguida, selecione Adicionar um grupo de segurança com capacidade de correio.

    Captura de ecrã a mostrar como adicionar um grupo de segurança com capacidade de correio.

  4. Na página Configurar as noções básicas , introduza os seguintes detalhes:

    • Nome: forneça um nome descritivo para o grupo.
    • Descrição: adicione uma breve descrição da finalidade do grupo.

  5. Na página Atribuir proprietários , atribua um proprietário ao grupo.

  6. Na página Adicionar membros , adicione pessoas que irão atuar como aprovadores.

  7. Na página Editar definições , configure o endereço de e-mail do grupo.

  8. Selecione Criar grupo. Aguarde alguns minutos para que o grupo esteja totalmente configurado.

2. Ativar a gestão de acesso privilegiado

Ativar o PAM ativa os fluxos de trabalho de aprovação, garantindo que as tarefas administrativas confidenciais requerem permissões elevadas concedidas através de processos controlados.

Ativar a gestão de acesso privilegiado com o Centro de Administração Microsoft 365

  1. Inicie sessão no Centro de Administração Microsoft 365.

  2. Aceda a Definições Definições>>da organizaçãoSegurança & privacidade>Acesso privilegiado.

    Captura de ecrã a mostrar onde aceder à definição Acesso privilegiado.

  3. Selecione a caixa de verificação Permitir pedidos de acesso privilegiado e escolha um grupo de aprovação predefinido.

  4. Atribua o grupo do aprovador criado no Passo 1 como o grupo de aprovação predefinido.

    Captura de ecrã a mostrar como atribuir um grupo de aprovação.

  5. Guarde e feche as definições.

Ativar a gestão de acesso privilegiado com o PowerShell

Utilize o Enable-ElevatedAccessControl cmdlet no Exchange Online PowerShell para ativar a gestão de acesso privilegiado e atribuir o grupo de aprovadores. Isto garante que as tarefas privilegiadas requerem aprovação e define o grupo responsável pela aprovação destes pedidos:

Enable-ElevatedAccessControl -AdminGroup '<default approver group>' -SystemAccounts @('<systemAccountUPN1>','<systemAccountUPN2>')

Exemplo:

Enable-ElevatedAccessControl -AdminGroup 'pamapprovers@fabrikam.onmicrosoft.com' -SystemAccounts @('sys1@fabrikamorg.onmicrosoft.com', 'sys2@fabrikamorg.onmicrosoft.com')

O -AdminGroup parâmetro especifica o grupo de segurança com capacidade de correio para aprovações, enquanto o -SystemAccounts parâmetro exclui contas específicas de controlos de acesso privilegiado, permitindo que as operações essenciais do sistema continuem ininterruptas.

3. Criar políticas de acesso

As políticas de acesso definem as regras nas quais o acesso privilegiado é concedido. Estas políticas garantem que as permissões elevadas são fornecidas apenas quando necessário e em condições definidas.

Criar uma política de acesso com o Centro de Administração Microsoft 365

  1. Navegue para Definições Definições>>da organizaçãoSegurança & privacidade>Acesso privilegiado.

  2. Selecione Criar políticas e gerir pedidos>Gerir políticas>Adicionar política.

  3. Configurar a política:

    • Tipo de política: tarefa, função ou grupo de funções

    • Escopo da política: Exchange

    • Nome da política: selecione uma das opções disponíveis

    • Tipo de aprovação: manual ou automática

    • Aprovadores: selecione o grupo do aprovador se o Tipo de aprovação estiver definido como Manual

    Captura de ecrã a mostrar os campos para adicionar uma política de gestão de acesso privilegiado.

  4. Selecione Criar para adicionar uma nova política de gestão de acesso privilegiado.

Criar uma política de acesso com o PowerShell de Gestão do Exchange

Utilize o New-ElevatedAccessApprovalPolicy cmdlet no PowerShell para criar uma política de acesso privilegiado. Esta política define as condições em que as tarefas elevadas são aprovadas e executadas:

New-ElevatedAccessApprovalPolicy -Task 'Exchange\<exchange management cmdlet name>' -ApprovalType <Manual, Auto> -ApproverGroup '<default/custom approver group>'

Exemplo:

New-ElevatedAccessApprovalPolicy -Task 'Exchange\New-MoveRequest' -ApprovalType Manual -ApproverGroup 'mbmanagers@fabrikamorg.onmicrosoft.com'
  • -Task: especifica o cmdlet do Exchange que requer a aprovação de acesso privilegiado.
  • -ApprovalType: determina se a aprovação é processada manualmente por um grupo de aprovadores (Manual) ou automaticamente (Automático).
  • -ApproverGroup: identifica o grupo de segurança com capacidade de correio responsável pela aprovação de pedidos quando -ApprovalType está definido como Manual.

4. Testar e utilizar a gestão de acesso privilegiado

Os testes garantem que as políticas e os fluxos de trabalho configurados funcionam conforme pretendido, permitindo que os utilizadores submetam pedidos e aprovadores para agirem sobre os mesmos.

  • Submeter um pedido: os utilizadores podem pedir permissões elevadas para tarefas ao navegar para a secção Acesso privilegiado no Centro de Administração Microsoft 365 ou através do PowerShell.

  • Aprovar um pedido: os aprovadores analisam e agem com base nos pedidos através de notificações por email ou diretamente no Centro de Administração Microsoft 365.

Configurar a gestão de acesso privilegiado garante permissões administrativas seguras e temporárias para tarefas confidenciais. Ao criar grupos de aprovadores, ativar o PAM e definir políticas de acesso, as organizações podem impor o princípio do menor privilégio e melhorar a sua postura de segurança. As auditorias e revisões regulares reforçam ainda mais a eficácia da PAM na salvaguarda de configurações e dados críticos.