Управление привилегированным доступом

  • 9 мин

Управление привилегированным доступом (PAM) включает мониторинг и обслуживание рабочих процессов, политик и утверждений, связанных с привилегированным административным доступом.

Управление запросами

Управление запросами — это основная функция управления привилегированным доступом (PAM), обеспечивающая авторизацию конфиденциальных задач, требующих повышенных разрешений, только при необходимости. Отправка, утверждение или запрет запросов гарантирует, что административные действия контролируются, регистрируются и соответствуют политикам безопасности.

Отправка запроса

Отправка запроса позволяет пользователям получать временные повышенные разрешения для выполнения задач, требующих более высоких привилегий. Это гарантирует безопасное выполнение конфиденциальных операций без предоставления постоянного доступа, что снижает риск неправильного использования или нарушений. Запросы на привилегированный доступ действительны в течение 24 часов после отправки запроса. Если запросы не утверждены или отклонены, срок действия запросов истекает, а доступ не утверждается.

Отправка запроса с помощью центра Microsoft 365 Admin

  1. Войдите в центр Microsoft 365 Admin.

  2. Перейдите в раздел Параметры>Параметры Организации Параметры>Безопасность & конфиденциальности>Привилегированный доступ.

  3. Выберите Создать политики и управление запросами>Запрос доступа и заполните форму:

    • Тип: задача, роль или группа ролей

    • Область: Exchange

    • Доступ к: выберите один из доступных параметров

    • Продолжительность (часы): количество часов запрошенного доступа. Количество часов, которые можно запросить, не ограничено.

    • Причина: укажите причину для запроса.

  4. Выберите Создать , чтобы создать новый запрос на управление привилегированным доступом.

Отправка запроса с помощью PowerShell

New-ElevatedAccessRequest Используйте командлет в PowerShell для отправки запроса на привилегированный доступ. Этот запрос временно предоставляет повышенные разрешения для указанной задачи:

New-ElevatedAccessRequest -Task 'Exchange\<exchange management cmdlet name>' -Reason '<appropriate reason>' -DurationHours <duration in hours>

Пример.

New-ElevatedAccessRequest -Task 'Exchange\New-MoveRequest' -Reason 'Attempting to fix the user mailbox error' -DurationHours 4
  • -Task: указывает командлет Exchange, для которого запрашивается привилегированный доступ.
  • -Reason: предоставляет обоснование для запроса.
  • -DurationHours: определяет длительность (в часах) для доступа с повышенными привилегиями.

Утверждение и отклонение запросов

Утверждение или отклонение запросов позволяет утверждающим оценивать необходимость и целесообразность запроса на повышенный доступ пользователя. Этот шаг применяет политики безопасности организации и гарантирует, что только авторизованные пользователи могут выполнять привилегированные задачи.

Утверждение или отклонение запроса с помощью центра Microsoft 365 Admin

  1. Утверждающие получают уведомление по электронной почте о запросе.

    Снимок экрана: уведомления, получаемые утверждающими для управления привилегированным доступом.

  2. Утверждающие могут войти в Центр администрирования и:

    • Просмотр сведений о запросе

    • Утверждение или отклонение запроса

    Снимок экрана: утверждение или отклонение запроса на управление привилегированным доступом.

  3. Утвержденные запросы позволяют пользователю завершить задачу в течение указанного срока.

Утверждение или отклонение запроса с помощью PowerShell

Чтобы утвердить или запретить запросы на управление привилегированным доступом с помощью PowerShell, выполните следующие действия:

  • Утвердить запрос:

    Approve-ElevatedAccessRequest Используйте командлет для предоставления отправленного запроса на доступ:

    Approve-ElevatedAccessRequest -RequestId <request id> -Comment '<approval comment>'

    Пример.

    Approve-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<approval comment>'

  • Отклонить запрос:

    Deny-ElevatedAccessRequest Используйте командлет , чтобы отклонить отправленный запрос на доступ:

    Deny-ElevatedAccessRequest -RequestId <request id> -Comment '<denial comment>'

    Пример.

    Deny-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<denial comment>'

  • -RequestId: определяет конкретный запрос для утверждения.

  • -Comment: добавляет необязательные комментарии относительно решения об утверждении или отказе.

Просмотр, изменение и удаление политик

Политики привилегированного доступа являются основой PAM, которая определяет условия, при которых предоставляется доступ. Регулярный просмотр, изменение и удаление политик гарантирует, что конфигурации безопасности вашей организации остаются актуальными и соответствуют операционным потребностям.

Просмотр, изменение и удаление политик с помощью центра Microsoft 365 Admin

  1. Перейдите в раздел Параметры>Параметры Организации Параметры>Безопасность & конфиденциальности>Привилегированный доступ.

  2. Выберите Создать политики и управлять запросами>Управление политиками.

Отсюда вы можете:

  • Просмотр политик. Просмотрите все настроенные политики и их сведения.

  • Изменение политик: обновите поля, например:

    • Обновите тип утверждения для переключения между ручным и автоматическим утверждением.

    • Измените утверждающих, чтобы назначить другую группу, ответственную за утверждения.

  • Сохраните изменения после внесения обновлений.

  • Удалить политики. Выберите политику для удаления, выберите Удалить политику и подтвердите удаление.

Просмотр, изменение и удаление политик с помощью PowerShell

Просмотр политик

Get-ElevatedAccessApprovalPolicy Используйте командлет , чтобы получить список политик управления привилегированным доступом:

Get-ElevatedAccessApprovalPolicy

Изменение политик

Set-ElevatedAccessApprovalPolicy Используйте командлет для обновления существующих политик привилегированного доступа. Этот командлет позволяет изменять такие поля, как тип утверждения и группа утверждающих:

Set-ElevatedAccessApprovalPolicy -Identity <Policy ID> -ApprovalType '<Manual or Auto>' -ApproverGroup '<New Approver Group>'

Пример.

Set-ElevatedAccessApprovalPolicy -Identity 'Policy123' -ApproverGroup 'securityadmins@fabrikam.com' -ApprovalType 'Manual'

  • -Identity: определяет конкретную политику для изменения.

  • -ApproverGroup: назначает новую группу безопасности с поддержкой почты для обработки утверждений.

  • -ApprovalType: Обновления политику, требуя ручного или автоматического утверждения.

Удаление политик

Remove-ElevatedAccessApprovalPolicy Используйте командлет для удаления устаревших политик привилегированного доступа. Это гарантирует, что ваша среда останется упорядоченной:

Remove-ElevatedAccessApprovalPolicy -Identity <Policy ID>

Отключение управления привилегированным доступом

При отключении PAM удаляются элементы управления запросами и утверждениями с повышенными привилегиями, возвращаясь к стандартным уровням административного доступа. Обычно это действие зарезервировано для ситуаций, когда PAM больше не требуется или если реализуется альтернативное решение.

Отключение управления привилегированным доступом с помощью центра Microsoft 365 Admin

Снимите флажок Разрешить запросы привилегированного доступа и выберите группу утверждения по умолчанию в параметрах привилегированного доступа.

Отключение управления привилегированным доступом с помощью PowerShell

Disable-ElevatedAccessControl

Аудит и мониторинг PAM

Действия по аудиту и мониторингу имеют решающее значение для выявления пробелов в политике, обеспечения соответствия требованиям и обнаружения аномалий. Просматривая журналы и проводя регулярные оценки, организации могут поддерживать эффективный контроль над привилегированным доступом.

Журналы аудита

Действия PAM, включая запросы и утверждения, регистрируются в целях соответствия:

  1. Перейдите на портал Microsoft Purview.

  2. Выберите Аудит решений> и найдите действия, связанные с PAM.

  3. Фильтрация журналов по типу действия, диапазону дат или пользователю.

Регулярные проверки

Проведение регулярных проверок гарантирует, что политики и членство в группах утверждающих лиц остаются актуальными и эффективными. Эти проверки необходимы для адаптации к изменениям в организации и поддержания надежной безопасности.

  • Проверки политик. Периодически оценивайте политики, чтобы убедиться, что они соответствуют потребностям организации.

  • Членство в группе утверждающего лица. Убедитесь, что утверждающие обновлены и авторизованы.

Устранение неполадок с PAM

Распространенные проблемы

  • Неудачные отправки запросов. Убедитесь, что запрашивающий имеет достаточные разрешения.

  • Задержки утверждения. Убедитесь, что утверждающие получают уведомления и имеют доступ к Центру администрирования.

  • Конфликты политик. Убедитесь, что несколько политик не перекрываются и не вызывают непреднамеренного поведения.