Пример: реализация управления привилегированным доступом

  • 18 мин

Обзор

Contoso Corporation - это вымышленная организация, которой необходимо настроить политики привилегированного доступа, чтобы предоставить пользователям доступ, достаточный для выполнения задач с повышенными правами, без риска раскрытия конфиденциальных данных или критических параметров конфигурации. 

В этом примере будут рассмотрены основы настройки политики привилегированного доступа. Это руководство состоит из четырех шагов:

  1. Создание группы утверждающих
  2. Включение привилегированного доступа
  3. Создание политики доступа
  4. Отправка и утверждение политики запросов доступа

Шаг 1. Создание группы утверждающих

ИТ-администраторы Contoso посетили веб-семинары по управлению привилегированным доступом в Office 365 и пришли к выводу, что политики доступа помогут им соответствовать обновленным требованиям корпоративной политики для снижения рисков для организации. Они планируют выполнить следующие действия:

  • Определение пользователей, которым необходимы полномочия утверждать поступающие запросы на доступ к задачам с повышенными правами и привилегированным задачам.
  • Определение пользователей, которые будут управлять запросами доступа.

Создание группы утверждающих

  1. ИТ-администраторы выполняют вход в Центр администрирования Microsoft 365.

  2. В Центре администрирования они выбирают Группы >> Добавить группу , чтобы открыть всплывающее окно Выбор типа группы .

  3. Они выбирают группу безопасности с поддержкой почты , а затем заполняют поля Имя, Адрес электронной почты группы и Описание для новой группы в мастере добавления группы.

    Выбор типа группы.

  4. По завершении они нажимают на кнопку Создать группу в конце мастера.  Полная настройка группы и ее отображение в центре администрирования Microsoft 365 может занять несколько минут.

    Проверка и завершение создания группы.

  5. После создания группы они выбирают новую группу утверждающих, которая открывает страницу сведений для этой группы.

  6. Чтобы добавить пользователей в группу, они переходят на вкладку Участники, нажимают на ссылку Показать всех и управлять участниками, затем щелкают Добавить участников для добавления пользователей в группу.

    Утверждающие PAM.

Шаг 2. Включение привилегированного доступа

После создания группы утверждающих ИТ-администраторам Contoso необходимо включить привилегированный доступ в Office 365 с группой, которую вы назначите в качестве группы утверждающих по умолчанию. Эта процедура тоже выполняется в центре администрирования Microsoft 365.

  1. В Центре администрирования перейдите в раздел Параметры>Параметры>Безопасность & Конфиденциальность>Привилегированный доступ.

    Включите привилегированный доступ.

  2. Чтобы включить привилегированный доступ, они переключили элемент управления Требовать утверждения для привилегированных задач в значение Вкл ., назначьте группу утверждающего лица, созданную на шаге 1, в качестве группы утверждающих по умолчанию, а затем нажмите кнопку Сохранить.

    Требование утверждения для привилегированных задач.

Шаг 3. Создание политики доступа

Когда все предварительные условия выполнены, ИТ-администраторы Contoso готовы создавать политики привилегированного доступа. Примечание: можно создать и настроить до 30 политик привилегированного доступа для организации Office 365.

  1. ИТ-администраторы Contoso войдите в Центр администрирования Microsoft 365 и перейдите> в раздел ПараметрыБезопасность & Привилегированныйдоступ к конфиденциальности>. После этого действия открывается всплывающая страница Привилегированный доступ.

  2. На всплывающей странице Привилегированный доступ они нажимают на ссылку Управление политиками и запросами доступа, в которой открывается новое окно, где они выбирают Настроить политики, а затем нажимают Добавить политику.

  3. На странице Создать новую политику доступа они заполняют поля в соответствии с требованиями организации:

    • Тип политики: задача, роль или группа ролей
    • Область действия политики: Exchange
    • Имя политики: выберите из доступных политик
    • Тип утверждения: вручную или автоматически
    • Группа утверждения: выберите группу утверждающих, созданную на шаге 1

    Создание новой политики доступа.

  4. По завершении нажмите кнопку Создать, а затем закрыть.

Шаг 4. Отправка и утверждение запросов политики доступа

После включения привилегированного доступа требуется утверждение любой задачи, с которой связана определенная политика утверждения. Для выполнения задач, включенных в политику утверждения, пользователям необходимо запросить и получить доступ, чтобы у них были разрешения, необходимые для выполнения задачи.

После утверждения отправитель запроса может выполнить нужную задачу, а привилегированный доступ одобрит и выполнит задачу от имени пользователя. Утверждение действует в течение запрошенного времени (по умолчанию — 4 часа). В этот период отправитель запроса может выполнить нужную задачу несколько раз. Каждый случай выполнения заносится в журнал и становится доступен для аудита безопасности и соответствия требованиям.

Примечание.

Запросы на привилегированный доступ действительны в течение 24 часов после отправки запроса. Если не утверждено или отклонено, срок действия запросов истекает, а доступ не утверждается.

Запрос разрешения на повышение прав для выполнения привилегированных задач

  1. Когда пользователям нужно отправить запрос политики доступа, они входят в Центр администрирования Microsoft 365 с учетными данными администратора и переходят в раздел Параметры>Безопасность & конфиденциальности>Привилегированный доступ.

  2. На всплывающей странице Привилегированный доступ они выбирают ссылку Управление политиками и запросами доступа, затем нажимают Новый запрос.

  3. На странице Новый запрос доступа им необходимо заполнить обязательные поля:

    • Тип запроса: задача, роль или группа ролей
    • Область действия запроса: Exchange
    • Запрос на: выберите из доступных политик
    • Продолжительность (часы): количество часов запрошенного доступа. Количество часов, на которое можно запросить доступ, не ограничено.
    • Комментарии: текстовое поле, куда необходимо ввести причину доступа.

Проверка статуса запросов на повышение прав

После отправки запроса на утверждение пользователи могут проверить статус собственного запроса в центре администрирования, перейдя в раздел Настройки>Безопасность и конфиденциальность>Привилегированный доступ и выбрав ссылку Управление политиками и запросами доступа. На результирующей странице будет отображаться состояние "Ожидание", "Утверждено", "Отказано" или "Защищенное хранилище клиента".

Просмотр статуса запросов на повышение прав.

Утверждение или отклонение запроса на авторизацию повышения прав

При создании запроса на утверждение члены группы утверждающих получают уведомление по электронной почте, подобное приведенному ниже:

Окно уведомления с текстом

Участники группы утверждающих могут утвердить или отклонить запрос в центр администрирования Microsoft 365, перейдя в раздел Параметры>Безопасность и конфиденциальность>Привилегированный доступ и выбрав ссылку Управление политиками и запросами доступа, чтобы проверить список ожидающих запросов. При выборе запроса открывается страница Сведения о запросе для этого запроса, и утверждающий может выбрать Утвердить или Запретить.

Диалоговое окно с вариантами

Впоследствии запрашивающая сторона получает уведомление об утверждении или отклонении запроса по электронной почте.

Уведомление об утверждении-отклонении.