Настройка управления привилегированным доступом

  • 9 мин

Настройка управления привилегированным доступом (PAM) в Microsoft Purview позволяет организациям применять структурированные элементы управления доступом, уменьшая риски, связанные с постоянными административными разрешениями.

Предварительные условия

Перед настройкой PAM убедитесь, что выполнены следующие предварительные требования:

  • Подписка На Microsoft 365. Убедитесь, что подписка вашей организации включает поддержку PAM. Проверьте сведения о подписке.
  • Соответствующие роли. Убедитесь, что у вас есть роль глобального администратора или администратора Exchange для настройки PAM.
  • Планирование групп доступа. Определите утверждающих и системные учетные записи для запросов привилегированного доступа.

Действия по настройке управления привилегированным доступом

Чтобы настроить PAM в организации, выполните следующие действия.

1. Создание группы утверждающего

Группы утверждающих отвечают за проверку и авторизацию запросов привилегированного доступа. Настройка группы безопасности с поддержкой почты обеспечивает правильную маршрутизацию запросов.

  1. Войдите в Центр администрирования Microsoft 365, используя учетные данные администратора.

  2. Перейдите в Teams & группы>Активные команды & группы с учетными данными администратора.

  3. Перейдите на вкладку Группы безопасности и выберите Добавить группу безопасности с поддержкой почты.

    Снимок экрана: добавление группы безопасности с поддержкой почты.

  4. На странице Настройка основных сведений введите следующие сведения:

    • Имя. Укажите описательное имя группы.
    • Описание. Добавьте краткое описание назначения группы.

  5. На странице Назначение владельцев назначьте владельца для группы.

  6. На странице Добавление участников добавьте пользователей, которые будут выступать в качестве утверждающих.

  7. На странице Изменение параметров настройте адрес электронной почты группы.

  8. Нажмите Создать группу. Подождите несколько минут, пока группа не будет полностью настроена.

2. Включение управления привилегированным доступом

Включение PAM активирует рабочие процессы утверждения, гарантируя, что конфиденциальные административные задачи требуют повышенных разрешений, предоставляемых управляемыми процессами.

Включение управления привилегированным доступом с помощью центра Microsoft 365 Admin

  1. Войдите в центр Microsoft 365 Admin.

  2. Перейдите в раздел Параметры>Параметры Организации Параметры>Безопасность & конфиденциальности>Привилегированный доступ.

    Снимок экрана: доступ к параметру Привилегированный доступ.

  3. Установите флажок Разрешить запросы привилегированного доступа и выберите группу утверждения по умолчанию.

  4. Назначьте группу утверждающего лица, созданную на шаге 1, в качестве группы утверждения по умолчанию.

    Снимок экрана: назначение группы утверждения.

  5. Сохраните и закройте параметры.

Включение управления привилегированным доступом с помощью PowerShell

Enable-ElevatedAccessControl Используйте командлет в Exchange Online PowerShell, чтобы включить управление привилегированным доступом и назначить группу утверждающих. Это гарантирует, что привилегированные задачи требуют утверждения, и определяет группу, ответственную за утверждение этих запросов:

Enable-ElevatedAccessControl -AdminGroup '<default approver group>' -SystemAccounts @('<systemAccountUPN1>','<systemAccountUPN2>')

Пример.

Enable-ElevatedAccessControl -AdminGroup 'pamapprovers@fabrikam.onmicrosoft.com' -SystemAccounts @('sys1@fabrikamorg.onmicrosoft.com', 'sys2@fabrikamorg.onmicrosoft.com')

Параметр -AdminGroup указывает группу безопасности с поддержкой почты для утверждений -SystemAccounts , в то время как параметр исключает определенные учетные записи из элементов управления привилегированным доступом, что позволяет выполнять необходимые системные операции непрерывно.

3. Создание политик доступа

Политики доступа определяют правила, в соответствии с которыми предоставляется привилегированный доступ. Эти политики гарантируют, что повышенные разрешения предоставляются только при необходимости и при определенных условиях.

Создание политики доступа с помощью центра Microsoft 365 Admin

  1. Перейдите в раздел Параметры>Параметры Организации Параметры>Безопасность & конфиденциальности>Привилегированный доступ.

  2. Выберите Создать политики и управление запросами>Управление политиками>Добавить политику.

  3. Настройте политику:

    • Тип политики: задача, роль или группа ролей

    • Область действия политики: Exchange

    • Имя политики: выберите один из доступных параметров

    • Тип утверждения: вручную или автоматически

    • Утверждающие: выберите группу утверждающего, если для параметра Тип утверждения задано значение Вручную.

    Снимок экрана: поля для добавления политики управления привилегированным доступом.

  4. Выберите Создать , чтобы добавить новую политику управления привилегированным доступом.

Создание политики доступа с помощью PowerShell управления Exchange

New-ElevatedAccessApprovalPolicy Используйте командлет в PowerShell для создания политики привилегированного доступа. Эта политика определяет условия утверждения и выполнения задач с повышенными привилегиями:

New-ElevatedAccessApprovalPolicy -Task 'Exchange\<exchange management cmdlet name>' -ApprovalType <Manual, Auto> -ApproverGroup '<default/custom approver group>'

Пример.

New-ElevatedAccessApprovalPolicy -Task 'Exchange\New-MoveRequest' -ApprovalType Manual -ApproverGroup 'mbmanagers@fabrikamorg.onmicrosoft.com'
  • -Task: указывает командлет Exchange, требующий утверждения привилегированного доступа.
  • -ApprovalType: определяет, обрабатывается ли утверждение вручную группой утверждающих лиц (вручную) или автоматически (автоматически).
  • -ApproverGroup: определяет группу безопасности с поддержкой почты, отвечающую за утверждение запросов, если для параметра -ApprovalType задано значение Вручную.

4. Тестирование и использование управления привилегированным доступом

Тестирование гарантирует, что настроенные политики и рабочие процессы работают должным образом, позволяя пользователям отправлять запросы, а утверждающие действовать по ним.

  • Отправка запроса. Пользователи могут запросить повышенные разрешения для задач, перейдя в раздел Привилегированный доступ в центре Microsoft 365 Admin или с помощью PowerShell.

  • Утвердить запрос. Утверждающие просматривают запросы и действуют с помощью Уведомления по электронной почте или непосредственно в Центре Microsoft 365 Admin.

Настройка управления привилегированным доступом обеспечивает безопасные и временные административные разрешения для конфиденциальных задач. Создавая группы утверждающих, включив PAM и определяя политики доступа, организации могут применять принцип наименьших привилегий и повышать уровень безопасности. Регулярные аудиты и проверки еще больше укрепляют эффективность PAM в защите критически важных конфигураций и данных.