案例研究 - 实现特权访问管理

已完成

Contoso Corporation 是一家全球制造公司,正在 Microsoft Purview 实施 Privileged Access Management (PAM) ,以增强安全性并降低与长期管理访问相关的风险。 管理 Exchange 配置的管理员现在将为特定任务请求临时提升的权限,确保权限已获批准、有时限且可审核。

应用场景

Contoso IT 管理员需要在 Exchange Online 中执行新的移动请求才能迁移用户的邮箱。 由于这是一项敏感任务,因此管理员必须请求访问权限,并且 特权访问审批者 在管理员可以继续之前对请求进行评审和批准。

此案例研究介绍了 Contoso 配置 PAM 和批准访问请求的步骤:

  1. 创建审批者的组
  2. 启用特权访问
  3. 配置访问策略
  4. 提交和批准访问请求

步骤 1:创建审批者组

Contoso 标识了一组高级管理员,充当特权任务的审批者,例如迁移用户邮箱。

创建审批者组的步骤

  1. 使用适当的管理员权限登录到 Microsoft 365 管理 中心

  2. 导航到 Teams & 组>活动团队 & 组

  3. 选择 “安全组>”“添加已启用邮件的安全组”。

  4. “设置基本信息 ”页上,输入以下详细信息:

    • 名称:为组提供描述性名称。
    • 说明:添加组用途的简要说明。
  5. “分配所有者 ”页上,为组分配所有者。

  6. “添加成员 ”页上,添加充当审批者的个人。

  7. “编辑设置” 页上,配置组电子邮件地址。

  8. 选择“创建组”。 等待几分钟,以完全配置组。

    显示用于创建已启用邮件的安全组的完成屏幕的屏幕截图。

在此阶段, 特权访问审批者 组已准备好查看和批准特权访问请求。

步骤 2:启用特权访问管理

若要强制审批敏感任务,Contoso 在Microsoft 365 管理中心启用 PAM。

启用 PAM 的步骤

  1. 在Microsoft 365 管理中心,导航到“设置”“>组织设置”>安全 & 隐私>特权访问”。

  2. 选中 “允许特权访问请求”复选框,然后选择默认审批组

  3. 将新创建的审批者组分配为默认审批组。

    显示在特权访问管理中添加已启用邮件的安全组的屏幕截图。

  4. 选择“ 保存” 以应用设置。

特权任务现在需要审批才能执行。

步骤 3:创建访问策略

IT 团队配置访问策略来管理特权任务,特别是针对 Exchange 中的 New 移动请求

创建特权访问策略的步骤

  1. 在Microsoft 365 管理中心,转到“设置”“>组织设置>”“安全 & 隐私>特权访问”。

  2. 选择 “创建策略和管理请求”,然后选择“ 管理策略”。

    显示管理特权访问管理策略的位置的屏幕截图。

  3. 选择 “添加策略”。

  4. 配置策略详细信息:

    • 策略类型:任务
    • 策略范围: Exchange
    • 策略名称:新建移动请求
    • 审批类型:手动
    • 审批者:Contoso 选择新创建的 特权访问审批者 组。
  5. 选择“ 创建 ”以完成策略。

    显示添加特权访问策略的屏幕截图。

此策略可确保执行 新移动请求 的任何管理员必须首先从 特权访问审批者 组获得批准。

步骤 4:提交和批准请求

IT 管理员提交提升访问权限的请求,以迁移用户的邮箱。 特权访问审批者组的成员评审和批准请求。

提交请求

管理员登录到 Microsoft 365 管理 中心。

  1. 导航到 “设置”“>组织设置”>“安全 & 隐私>”“特权访问”。

  2. 选择 “创建策略和管理请求”,然后选择“ 访问请求>请求请求访问权限”。

  3. 填写表单:

    • 类型:任务
    • 范围:Exchange
    • 访问:新建移动请求
    • 持续时间:2 小时
    • 原因:需要访问才能移动 Exchange 邮箱。
  4. 选择“ 创建 ”以请求访问权限。

    显示提交特权访问请求的屏幕截图。

批准请求

  1. 特权访问审批者组的成员会收到有关新访问请求的电子邮件通知。

    显示请求特权访问的电子邮件的屏幕截图。

  2. 选择“ 创建策略和管理请求”,然后选择“ 访问请求>请求”“请求访问权限” 以查看访问请求。

  3. 查看请求详细信息后,审批者选择“ 批准”。

    显示 Microsoft 365 管理门户中的特权访问请求的屏幕截图。

管理员现在可以在请求中指定的持续时间内执行已批准的任务。

通过实现 PAM,Contoso 可确保提升的任务(如 新移动请求)受到严格控制。 此过程增加了责任制,最大程度地降低了安全风险,并确保权限是临时的、限定范围和批准的。