Введение в управление привилегированным доступом

Завершено

Управление привилегированным доступом обеспечивает детализированное управление доступом к привилегированным задачам администрирования в Microsoft Purview, в частности, в Exchange Online. Это помогает защитить организацию от нарушений безопасности, при которых используются существующие привилегированные учетные записи администраторов с постоянным доступом к конфиденциальным данным или важным параметрам конфигурации.

Управление привилегированным доступом основано на принципе нулевого постоянного доступа, который требует, чтобы пользователи запрашивали постоянный доступ для выполнения задач с повышенными и привилегированными правами, а запросы на доступ должны быть одобрены авторизованным набором утверждающих. Эта конфигурация предоставляет пользователям необходимый доступ для выполнения задач без риска раскрытия конфиденциальных данных или критически важных параметров конфигурации. Включение управления привилегированным доступом в Microsoft Purview позволяет вашей организации работать с нулевыми постоянными привилегиями и обеспечивает уровень защиты от постоянных уязвимостей административного доступа в Exchange Online.

Посмотрите видео ниже, чтобы увидеть краткий обзор управления привилегированным доступом в Microsoft Purview.

Примечание.

Эта функция входит в состав следующих продуктов.

• Microsoft 365 E5
• Соответствие требованиям Microsoft 365 E5
• Управление внутренними рисками в Microsoft 365 E5

Просмотрите руководство по лицензированию Microsoft 365 для обеспечения безопасности и соответствия требованиям, чтобы понять, какие лицензии нужны для вашей организации.

Уровни защиты

Управление привилегированным доступом дополняет другие средства защиты данных и доступа в архитектуре безопасности Microsoft 365. Включение управления привилегированным доступом в рамках интегрированного и многоуровневого подхода к безопасности обеспечивает модель безопасности, которая максимизирует защиту конфиденциальной информации и параметров конфигурации Microsoft 365. Как показано на схеме, управление привилегированным доступом основано на защите данных, обеспечиваемой встроенным шифрованием данных Microsoft 365 и основанной на ролях модели безопасности управления доступом для служб Microsoft 365. При использовании с Microsoft Entra Privileged Identity Management эти две функции обеспечивают управление доступом с JIT-доступом в разных областях.

На схеме показаны концентрические круги в виде уровней, начиная с внешнего вида, это шифрование (для предотвращения несанкционированного доступа), RBAC, а затем условный доступ (которые являются частью постоянного доступа на основе ролей и рисков), и, наконец, Microsoft Entra Privileged Identity Management, управление привилегированным доступом в Office 365, а также параметры хранения данных и конфигурации, которые вместе составляют JIT-доступ и достаточного доступа.

Управление привилегированным доступом Microsoft Purview определяется и ограничивается на уровне задач , в то время как Microsoft Entra Privileged Identity Management применяет защиту на уровне роли с возможностью выполнения нескольких задач. Управление привилегированными пользователями Microsoft Entra в основном позволяет управлять доступом для ролей и групп ролей AD, а управление привилегированным доступом в Microsoft Purview применяется только на уровне задач.

• Включение управления привилегированным доступом при использовании Microsoft Entra Privileged Identity Management. Добавление управления привилегированным доступом в Microsoft Purview предоставляет еще один детализированный уровень защиты и возможностей аудита для привилегированного доступа к данным Microsoft 365.
• Включение Microsoft Entra Privileged Identity Management при использовании управления привилегированным доступом. Добавление Microsoft Entra Privileged Identity Management в управление привилегированным доступом может расширить привилегированный доступ к данным за пределами Microsoft 365, которые в основном определяются ролями пользователей или удостоверением.

Архитектура управления привилегированным доступом и рабочий процесс утверждения

Каждый из следующих потоков процессов описывает архитектуру привилегированного доступа и его взаимодействие с аудитом Microsoft 365 и пространством выполнения управления Exchange.

Шаг 1. Настройка политики привилегированного доступа

При настройке политики привилегированного доступа с помощью Центра администрирования Microsoft 365 или Exchange Online PowerShell вы определяете политику и процессы механизма привилегированного доступа и атрибуты политики в подложке Microsoft 365. Действия регистрируются на портале Microsoft Defender. Политика включена и готова к обработке входящих запросов на утверждение.

Шаг 2. Запрос на доступ

В Центре администрирования Microsoft 365 или с помощью Exchange Online PowerShell пользователи могут запрашивать доступ к задачам с повышенными привилегиями или привилегированными. Функция привилегированного доступа отправляет запрос в подложку Microsoft 365 для обработки в соответствии с настроенной политикой привилегированного доступа и записывает действия в журналы портала Microsoft Defender.

Шаг 3. Утверждение доступа

Создается запрос на утверждение, и уведомление об ожидающем запросе отправляется утверждающим по электронной почте. В случае утверждения запрос на привилегированный доступ обрабатывается как утверждение, и задача готова к выполнению. В случае отказа задача блокируется, и запрашивающей стороне не предоставляется доступ. Запрашивающая сторона получает уведомление об утверждении или отклонении запроса по электронной почте.

Шаг 4. Обработка доступа

Для утвержденного запроса задача обрабатывается пространством выполнения управления Exchange. Утверждение проверяется на соответствие политике привилегированного доступа и обрабатывается подложкой Microsoft 365. Все действия для задачи регистрируются на портале Microsoft Defender.

Рабочий процесс утверждения также можно проиллюстрировать следующим образом:

Дополнительные сведения

• Что такое Microsoft Entra Privileged Identity Management?