特权访问管理入门

本文指导你在组织中启用和配置特权访问管理。 可以使用 Microsoft 365 管理中心 或 Exchange Management PowerShell 来管理和使用特权访问。

提示

如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

开始之前

在开始使用特权访问管理之前,应确认 Microsoft 365 订阅 和任何加载项。

在开始使用特权访问管理之前,应确认 Microsoft 365 订阅和任何加载项。 若要访问和使用特权访问管理,你的组织必须具有支持订阅或加载项。 有关详细信息,请参阅特权访问管理的 订阅要求

如果你没有现有的 Office 365 企业版 E5 计划,并且想要尝试特权访问管理,可以将 Microsoft 365 添加到现有Office 365订阅或注册 Microsoft 365 企业版 E5 试用版

启用和配置特权访问管理

按照以下步骤在组织中设置和使用特权访问:

  • 步骤 1:创建审批者的组

    在开始使用特权访问之前,决定需要审批机构授予权限以完成提升和特权任务的人员。 审批者组的任何用户都有权批准访问请求。 通过在 Office 365 中创建启用邮件的安全组来启用此组。

  • 步骤 2:启用特权访问

    特权访问必须在 Office 365 中通过默认审批者组显式启用,包括想要排除在特权访问管理控制之外的系统账户集。

  • 步骤 3:创建访问策略

    创建访问策略让你可以定义限定在个人任务范围的具体审批要求。 审批类型选项有 自动手动

  • 步骤 4:提交/批准特权访问请求

    启用后,特权访问需要对所有定义了相关审批策略的任务进行审批。 对于包含在批准策略中的任务,用户必须请求并被授予访问许可来获取执行任务必要的权限。

在获得批准后,发出请求的用户可以执行目标任务,特权访问会授权并代表用户执行该任务。 批准有效期为请求时长(默认为 4 小时),在此期间,请求者可以多次执行目标任务。 所有这些执行操作会被记录,供安全和合规性审计所用。

注意

如果要使用 Exchange Management PowerShell 启用和配置特权访问,请按照使用多重身份验证连接到 Exchange Online PowerShell 中的步骤,使用Office 365凭据连接到 Exchange Online PowerShell。 无需为组织启用多重身份验证即可使用步骤在连接到 Exchange Online PowerShell 时启用特权访问。 使用多重身份验证进行连接会创建一个身份验证令牌,该令牌由特权访问用于对请求进行签名。

步骤 1:创建审批者的组

  1. 使用组织中管理员帐户的凭据登录到Microsoft 365 管理中心

  2. 在管理中心,转到 “组>”“添加组”。

  3. 选择 “已启用邮件的安全组 ”,然后完成新组 的“名称”、“ 组电子邮件地址”和“ 说明” 字段。

  4. 保存组。 该组可能需要几分钟时间才能完全配置好并出现在 Microsoft 365 管理中心。

  5. 选择新审批者的组,然后选择 “编辑 ”将用户添加到该组。

  6. 保存组。

步骤 2:启用特权访问

在Microsoft 365 管理中心

  1. 使用组织中管理员帐户的凭据登录到 Microsoft 365 管理 中心

  2. 在管理中心,转到 “设置”“>组织设置”“>安全性 & 隐私>特权访问”。

  3. 启用 “特权任务需要审批” 控件。

  4. 将步骤 1 中创建的审批者组分配为 默认审批者组

  5. 保存关闭

在 Exchange 管理 PowerShell 中

若要启用特权访问并分配审批者的组,请在 Exchange Online PowerShell 中运行以下命令:

Enable-ElevatedAccessControl -AdminGroup '<default approver group>' -SystemAccounts @('<systemAccountUPN1>','<systemAccountUPN2>')

示例:

Enable-ElevatedAccessControl -AdminGroup 'pamapprovers@fabrikam.onmicrosoft.com' -SystemAccounts @('sys1@fabrikamorg.onmicrosoft.com', 'sys2@fabrikamorg.onmicrosoft.com')

注意

系统帐户功能可用于确保组织中的某些自动化可以在不依赖于特权访问的情况下工作,但建议此类排除项例外,并且应定期批准和审核允许的排除项。

步骤 3:创建访问策略

最多可为组织创建和配置 30 个特权访问策略。

在Microsoft 365 管理中心

  1. 使用组织中管理员帐户的凭据登录到 Microsoft 365 管理 中心

  2. 在管理员中心,转到“设置”>“组织设置”“>安全性 & 隐私>特权访问”。

  3. 选择 “管理访问策略和请求”。

  4. 选择 “配置策略 ”,然后选择“ 添加策略”。

  5. 从下拉字段中,为组织选择适当的值:

    策略类型: 任务、角色或角色组

    策略范围: Exchange

    策略名称: 从可用策略中选择

    审批类型: 手动或自动

    审批组: 选择在步骤 1 中创建的审批者组

  6. 选择 “创建 ”,然后选择 “关闭”。 完全配置和启用策略可能需要几分钟时间。

在 Exchange 管理 PowerShell 中

若要创建和定义审批策略,请在 PowerShell Exchange Online 运行以下命令:

New-ElevatedAccessApprovalPolicy -Task 'Exchange\<exchange management cmdlet name>' -ApprovalType <Manual, Auto> -ApproverGroup '<default/custom approver group>'

示例:

New-ElevatedAccessApprovalPolicy -Task 'Exchange\New-MoveRequest' -ApprovalType Manual -ApproverGroup 'mbmanagers@fabrikamorg.onmicrosoft.com'

步骤 4:提交/批准特权访问请求

请求提升授权以执行特权任务

特权访问的请求在请求提交后的 24 小时内有效。 如果未批准或拒绝,则请求将过期,并且访问未获批准。

在Microsoft 365 管理中心

  1. 使用凭据登录到 Microsoft 365 管理 中心

  2. 在管理员中心,转到“设置”>“组织设置”“>安全性 & 隐私>特权访问”。

  3. 选择 “管理访问策略和请求”。

  4. 选择“ 新建请求”。 从下拉字段中,为组织选择适当的值:

    请求类型: 任务、角色或角色组

    请求范围: Exchange

    请求: 从可用策略中选择

    持续时间 (小时): 请求访问的小时数。 可以请求的小时数没有限制。

    注释:与访问请求相关的注释的文本字段

  5. 选择 “保存” ,然后选择 “关闭”。 你的请求将通过电子邮件发送到审批者的组。

在 Exchange 管理 PowerShell 中

在 Exchange Online PowerShell 中运行以下命令,创建审批请求并将其提交到审批者的组:

New-ElevatedAccessRequest -Task 'Exchange\<exchange management cmdlet name>' -Reason '<appropriate reason>' -DurationHours <duration in hours>

示例:

New-ElevatedAccessRequest -Task 'Exchange\New-MoveRequest' -Reason 'Attempting to fix the user mailbox error' -DurationHours 4

查看提升请求的状态

创建审批请求后,可以使用与请求 ID 关联的 在管理中心或 Exchange Management PowerShell 中查看提升请求状态。

在 Microsoft 365 管理中心

  1. 使用凭据登录到Microsoft 365 管理中心

  2. 在管理中心,转到 “设置”“>组织设置”“>安全性 & 隐私>特权访问”。

  3. 选择 “管理访问策略和请求”。

  4. 选择“ 视图 ”,按 “挂起”、“ 已批准”、“ 已拒绝”或 “客户密码箱” 状态筛选提交的请求。

在 Exchange 管理 PowerShell 中

在 Exchange Online PowerShell 中运行以下命令,查看特定请求 ID 的审批请求状态:

Get-ElevatedAccessRequest -Identity <request ID> | select RequestStatus

示例:

Get-ElevatedAccessRequest -Identity 28560ed0-419d-4cc3-8f5b-603911cbd450 | select RequestStatus

批准提升授权请求

创建审批请求后,相关审批者组的成员将收到电子邮件通知,并且可以批准与请求 ID 关联的请求。 请求者通过电子邮件收到请求批准或拒绝的通知。

在 Microsoft 365 管理中心

  1. 使用凭据登录到Microsoft 365 管理中心

  2. 在管理中心,转到 “设置”“>组织设置”“>安全性 & 隐私>特权访问”。

  3. 选择 “管理访问策略和请求”。

  4. 选择列出的请求以查看详细信息,并针对请求执行操作。

  5. 选择“ 批准” 以批准请求,或选择“ 拒绝” 以拒绝请求。 以前批准的请求可以通过选择“ 撤销”来撤销访问权限。

在 Exchange 管理 PowerShell 中

若要批准提升授权请求,请在 PowerShell Exchange Online 运行以下命令:

Approve-ElevatedAccessRequest -RequestId <request id> -Comment '<approval comment>'

示例:

Approve-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<approval comment>'

若要拒绝提升授权请求,请在 Exchange Online PowerShell 中运行以下命令:

Deny-ElevatedAccessRequest -RequestId <request id> -Comment '<denial comment>'

示例:

Deny-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<denial comment>'

在 Office 365 中删除特权访问策略

如果组织中不再需要它,可以删除特权访问策略。

在 Microsoft 365 管理中心

  1. 使用组织中管理员帐户的凭据登录到Microsoft 365 管理中心

  2. 在管理中心,转到 “设置”“>组织设置”“>安全性 & 隐私>特权访问”。

  3. 选择 “管理访问策略和请求”。

  4. 选择 “配置策略”。

  5. 选择要删除的策略,然后选择“ 删除策略”。

  6. 选择“关闭”。

在 Exchange 管理 PowerShell 中

若要删除特权访问策略,请在 PowerShell Exchange Online 运行以下命令:

Remove-ElevatedAccessApprovalPolicy -Identity <identity GUID of the policy you want to delete>

在 Office 365 中禁用特权访问

如果需要,可以为组织禁用特权访问管理。 禁用特权访问不会删除任何关联的审批策略或审批者组。

在 Microsoft 365 管理中心

  1. 使用组织中管理员帐户的凭据登录到Microsoft 365 管理中心

  2. 在管理员中心,转到“设置”>“组织设置”“>安全性 & 隐私>特权访问”。

  3. 启用 “需要对特权访问控制进行审批 ”。

在 Exchange 管理 PowerShell 中

若要禁用特权访问,请在 Exchange Online PowerShell 中运行以下命令:

Disable-ElevatedAccessControl