案例研究 - 实现特权访问管理
Contoso Corporation 是一家全球制造公司,正在 Microsoft Purview 实施 Privileged Access Management (PAM) ,以增强安全性并降低与长期管理访问相关的风险。 管理 Exchange 配置的管理员现在将为特定任务请求临时提升的权限,确保权限已获批准、有时限且可审核。
应用场景
Contoso IT 管理员需要在 Exchange Online 中执行新的移动请求才能迁移用户的邮箱。 由于这是一项敏感任务,因此管理员必须请求访问权限,并且 特权访问审批者 在管理员可以继续之前对请求进行评审和批准。
此案例研究介绍了 Contoso 配置 PAM 和批准访问请求的步骤:
- 创建审批者的组
- 启用特权访问
- 配置访问策略
- 提交和批准访问请求
步骤 1:创建审批者组
Contoso 标识了一组高级管理员,充当特权任务的审批者,例如迁移用户邮箱。
创建审批者组的步骤
使用适当的管理员权限登录到 Microsoft 365 管理 中心。
导航到 Teams & 组>活动团队 & 组。
选择 “安全组>”“添加已启用邮件的安全组”。
在 “设置基本信息 ”页上,输入以下详细信息:
- 名称:为组提供描述性名称。
- 说明:添加组用途的简要说明。
在 “分配所有者 ”页上,为组分配所有者。
在 “添加成员 ”页上,添加充当审批者的个人。
在 “编辑设置” 页上,配置组电子邮件地址。
选择“创建组”。 等待几分钟,以完全配置组。
在此阶段, 特权访问审批者 组已准备好查看和批准特权访问请求。
步骤 2:启用特权访问管理
若要强制审批敏感任务,Contoso 在Microsoft 365 管理中心启用 PAM。
启用 PAM 的步骤
在Microsoft 365 管理中心,导航到“设置”“>组织设置”“>安全 & 隐私>特权访问”。
选中 “允许特权访问请求”复选框,然后选择默认审批组。
将新创建的审批者组分配为默认审批组。
选择“ 保存” 以应用设置。
特权任务现在需要审批才能执行。
步骤 3:创建访问策略
IT 团队配置访问策略来管理特权任务,特别是针对 Exchange 中的 New 移动请求 。
创建特权访问策略的步骤
在Microsoft 365 管理中心,转到“设置”“>组织设置>”“安全 & 隐私>特权访问”。
选择 “创建策略和管理请求”,然后选择“ 管理策略”。
选择 “添加策略”。
配置策略详细信息:
- 策略类型:任务
- 策略范围: Exchange
- 策略名称:新建移动请求
- 审批类型:手动
- 审批者:Contoso 选择新创建的 特权访问审批者 组。
选择“ 创建 ”以完成策略。
此策略可确保执行 新移动请求 的任何管理员必须首先从 特权访问审批者 组获得批准。
步骤 4:提交和批准请求
IT 管理员提交提升访问权限的请求,以迁移用户的邮箱。 特权访问审批者组的成员评审和批准请求。
提交请求
管理员登录到 Microsoft 365 管理 中心。
导航到 “设置”“>组织设置”>“安全 & 隐私>”“特权访问”。
选择 “创建策略和管理请求”,然后选择“ 访问请求>请求请求访问权限”。
填写表单:
- 类型:任务
- 范围:Exchange
- 访问:新建移动请求
- 持续时间:2 小时
- 原因:需要访问才能移动 Exchange 邮箱。
选择“ 创建 ”以请求访问权限。
批准请求
管理员现在可以在请求中指定的持续时间内执行已批准的任务。
通过实现 PAM,Contoso 可确保提升的任务(如 新移动请求)受到严格控制。 此过程增加了责任制,最大程度地降低了安全风险,并确保权限是临时的、限定范围和批准的。