Пример. Реализация управления привилегированным доступом

  • 8 мин

Корпорация Contoso, глобальная производственная компания, внедряет управление привилегированным доступом (PAM) в Microsoft Purview для повышения безопасности и снижения рисков, связанных с постоянным административным доступом. Администраторы, управляющие конфигурациями Exchange, теперь запрашивают временные повышенные разрешения для конкретных задач, обеспечивая утверждение разрешений, ограничение по времени и возможность аудита.

Сценарий

ИТ-администратор Contoso должен выполнить новый запрос на перемещение в Exchange Online для миграции почтового ящика пользователя. Так как это конфиденциальная задача, администратор должен запросить доступ, а группа утверждающих привилегированный доступ проверяет и утверждает запрос, прежде чем администратор сможет продолжить.

В этом примере описаны действия, предпринятые компанией Contoso для настройки PAM и утверждения запроса на доступ.

  1. Создание группы утверждающих
  2. Включение привилегированного доступа
  3. Создание политики доступа
  4. Отправка и утверждение запросов на доступ

Шаг 1. Создание группы утверждающих

Компания Contoso определила группу старших администраторов, которые будут выступать в качестве утверждающих для привилегированных задач, таких как перенос почтового ящика пользователя.

Действия по созданию группы утверждающих

  1. Войдите в центр Microsoft 365 Admin с соответствующими разрешениями администратора.

  2. Перейдите в раздел Teams & группы>Активные команды & группы.

  3. Выберите Группы> безопасностиДобавить группу безопасности с поддержкой почты.

  4. На странице Настройка основных сведений введите следующие сведения:

    • Имя. Укажите описательное имя группы.
    • Описание. Добавьте краткое описание назначения группы.

  5. На странице Назначение владельцев назначьте владельца для группы.

  6. На странице Добавление участников добавьте пользователей, которые выступают в качестве утверждающих.

  7. На странице Изменение параметров настройте адрес электронной почты группы.

  8. Нажмите Создать группу. Подождите несколько минут, пока группа не будет полностью настроена.

    Снимок экрана: экран завершения создания группы безопасности с поддержкой почты.

На этом этапе группа утверждающих привилегированный доступ готова к просмотру и утверждению запросов на привилегированный доступ.

Шаг 2. Включение управления привилегированным доступом

Чтобы принудительно утвердить конфиденциальные задачи, Компания Contoso включает PAM в центре Microsoft 365 Admin.

Действия по включению PAM

  1. В центре Microsoft 365 Admin перейдите в раздел Параметры> Параметры Организации Параметры>Безопасность & конфиденциальность>Привилегированный доступ.

  2. Установите флажок Разрешить запросы привилегированного доступа и выберите группу утверждения по умолчанию.

  3. Назначьте только что созданную группу утверждающих в качестве группы утверждения по умолчанию.

    Снимок экрана: добавление группы безопасности с поддержкой почты в управление привилегированным доступом.

  4. Нажмите кнопку Сохранить , чтобы применить параметры.

Привилегированные задачи теперь требуют утверждения, прежде чем их можно будет выполнить.

Шаг 3. Создание политики доступа

ИТ-команда настраивает политику доступа для управления привилегированными задачами, специально дляN ew Move Request in Exchange.

Действия по созданию политики привилегированного доступа

  1. В центре Microsoft 365 Admin перейдите в раздел Параметры>Параметры Параметры Организации Параметры>Безопасность & конфиденциальности>Привилегированный доступ.

  2. Выберите Создать политики и управление запросами, а затем выберите Управление политиками.

    Снимок экрана: управление политиками управления привилегированным доступом.

  3. Выберите Добавить политику.

  4. Настройте сведения о политике:

    • Тип политики: Задача
    • Область действия политики: Exchange
    • Имя политики: Новый запрос на перемещение
    • Тип утверждения: Вручную
    • Утверждающие. Компания Contoso выбирает только что созданную группу Утверждающих привилегированного доступа .

  5. Нажмите кнопку Создать , чтобы завершить политику.

    Снимок экрана: добавление политики привилегированного доступа.

Эта политика гарантирует, что любой администратор, выполняющий новый запрос на перемещение , сначала должен получить утверждение от группы утверждающих привилегированный доступ .

Шаг 4. Отправка и утверждение запросов

ИТ-администратор отправляет запрос на повышенный доступ для переноса почтового ящика пользователя. Член группы утверждающих привилегированный доступ проверяет и утверждает запрос.

Отправка запроса

Администратор входит в центр Microsoft 365 Admin.

  1. Перейдите в раздел Параметры>Параметры Организации Параметры>Безопасность & конфиденциальности>Привилегированный доступ.

  2. Выберите Создать политики и управление запросами, а затем выберите Запросы доступа Запросы>на доступ.

  3. Заполните форму:

    • Тип: Задача
    • Область: Exchange
    • Доступ к: новый запрос на перемещение
    • Длительность: 2 часа
    • Причина: требуется доступ для перемещения почтового ящика Exchange.

  4. Выберите Создать , чтобы запросить доступ.

    Снимок экрана: отправка запроса на привилегированный доступ.

Утверждение запроса

  1. Член группы Утверждающих привилегированный доступ получает уведомление по электронной почте о новом запросе на доступ.

    Снимок экрана: запрос на привилегированный доступ по электронной почте.

  2. Выберите Создать политики и управление запросами, а затем выберите Запросы> доступаЗапрашивать доступ, чтобы просмотреть запросы на доступ.

  3. После просмотра сведений о запросе утверждающий выбирает Утвердить.

    Снимок экрана: запрос привилегированного доступа на портале администрирования Microsoft 365.

Теперь администратор может выполнять утвержденную задачу в течение срока, указанного в запросе.

Реализуя PAM, Компания Contoso обеспечивает строгое управление задачами с повышенными привилегиями, такими как новый запрос на перемещение. Этот процесс повышает подотчетность, минимизирует риски безопасности и гарантирует, что разрешения являются временными, разрешенными и утвержденными.