配置特权访问管理

  • 9 分钟

在 Microsoft Purview 中配置 Privileged Access Management (PAM) 允许组织强制实施结构化访问控制,从而降低与长期管理权限相关的风险。

先决条件

在配置 PAM 之前,请确保满足以下先决条件:

  • Microsoft 365 订阅:验证组织的订阅是否包含对 PAM 的支持。 检查订阅详细信息
  • 适当的角色:确保具有 全局管理员Exchange 管理员 角色来配置 PAM。
  • 规划访问组:确定特权访问请求的审批者和系统帐户。

配置特权访问管理的步骤

按照以下步骤在组织中设置 PAM:

1. 创建审批者的组

审批者组负责查看和授权特权访问请求。 设置启用邮件的安全组可确保正确路由请求。

  1. 使用管理员凭据登录到Microsoft 365 管理中心

  2. 使用管理员凭据导航到 Teams & 组>活动团队 & 组

  3. 选择“ 安全组 ”选项卡,然后选择 “添加已启用邮件的安全组”。

    显示如何添加启用邮件的安全组的屏幕截图。

  4. “设置基本信息 ”页上,输入以下详细信息:

    • 名称:为组提供描述性名称。
    • 说明:添加组用途的简要说明。

  5. “分配所有者 ”页上,为组分配所有者。

  6. “添加成员 ”页上,添加将充当审批者的个人。

  7. “编辑设置” 页上,配置组电子邮件地址。

  8. 选择“创建组”。 等待几分钟,以完全配置组。

2. 启用特权访问管理

启用 PAM 会激活审批工作流,确保敏感的管理任务需要通过受控流程授予提升的权限。

使用 Microsoft 365 管理 中心启用特权访问管理

  1. 登录到 Microsoft 365 管理 中心

  2. 转到 “设置”“>组织设置>”“安全 & 隐私>特权访问”。

    显示访问特权访问设置的位置的屏幕截图。

  3. 选中 “允许特权访问请求”复选框,然后选择默认审批组

  4. 将步骤 1 中创建的审批者的组分配为默认审批组。

    显示如何分配审批组的屏幕截图。

  5. 保存并关闭设置。

使用 PowerShell 启用特权访问管理

Enable-ElevatedAccessControl使用 Exchange Online PowerShell 中的 cmdlet 启用特权访问管理并分配审批者组。 这可确保特权任务需要审批,并定义负责批准这些请求的组:

Enable-ElevatedAccessControl -AdminGroup '<default approver group>' -SystemAccounts @('<systemAccountUPN1>','<systemAccountUPN2>')

示例

Enable-ElevatedAccessControl -AdminGroup 'pamapprovers@fabrikam.onmicrosoft.com' -SystemAccounts @('sys1@fabrikamorg.onmicrosoft.com', 'sys2@fabrikamorg.onmicrosoft.com')

参数 -AdminGroup 指定用于审批的启用邮件的安全组,而 -SystemAccounts 参数则从特权访问控制中排除特定帐户,从而允许基本系统操作继续不间断。

3. 创建访问策略

访问策略定义授予特权访问所依据的规则。 这些策略确保仅在必要时并在定义的条件下提供提升的权限。

使用 Microsoft 365 管理 中心创建访问策略

  1. 导航到 “设置”“>组织设置”>“安全 & 隐私>”“特权访问”。

  2. 选择“ 创建策略和管理请求>”“管理策略>”“添加策略”。

  3. 配置策略:

    • 策略类型: 任务、角色或角色组

    • 策略范围: Exchange

    • 策略名称:从可用选项中进行选择

    • 审批类型: 手动或自动

    • 审批者:如果“审批类型”设置为“手动”,请选择审批者的组

    显示用于添加特权访问管理策略的字段的屏幕截图。

  4. 选择“ 创建 ”以添加新的特权访问管理策略。

使用 Exchange Management PowerShell 创建访问策略

New-ElevatedAccessApprovalPolicy使用 PowerShell 中的 cmdlet 创建特权访问策略。 此策略定义批准和执行提升的任务的条件:

New-ElevatedAccessApprovalPolicy -Task 'Exchange\<exchange management cmdlet name>' -ApprovalType <Manual, Auto> -ApproverGroup '<default/custom approver group>'

示例

New-ElevatedAccessApprovalPolicy -Task 'Exchange\New-MoveRequest' -ApprovalType Manual -ApproverGroup 'mbmanagers@fabrikamorg.onmicrosoft.com'
  • -Task:指定需要特权访问审批的 Exchange cmdlet。
  • -ApprovalType:确定审批者组 (手动) 还是自动 (自动) 处理审批。
  • -ApproverGroup:标识当 -ApprovType 设置为“手动”时负责审批请求的启用邮件的安全组。

4. 测试和使用特权访问管理

测试可确保配置的策略和工作流按预期运行,允许用户提交请求和审批者对其执行操作。

  • 提交请求:用户可以通过导航到Microsoft 365 管理中心的“特权访问”部分或使用 PowerShell 来请求提升的任务权限。

  • 批准请求:审批者通过电子邮件通知或直接在Microsoft 365 管理中心查看和处理请求。

配置特权访问管理可确保敏感任务的安全临时管理权限。 通过创建审批者组、启用 PAM 和定义访问策略,组织可以强制实施最低特权原则并增强其安全态势。 定期审核和审查进一步增强了 PAM 在保护关键配置和数据方面的有效性。