特权访问管理简介
特权访问管理允许对 Microsoft Purview(特别是 Exchange Online)中的特权管理任务进行精细的访问控制。 它可以帮助保护你的组织免受具有永久访问敏感数据或访问关键配置设置权限的现有特权管理账户带来的安全问题。
特权访问管理基于无永久访问权限原则,要求用户请求即时访问以完成提升和特权任务,访问请求必须由一组授权的审批者批准。 此配置授予用户适当的访问权限,以执行手头任务,而不会冒暴露敏感数据或关键配置设置的风险。 通过在 Microsoft Purview 中启用特权访问管理,组织能够以无永久特权运行,并针对 Exchange Online 中的持续管理访问漏洞提供一层防御。
请观看下面的视频,以快速了解 Microsoft Purview 中的特权访问管理。
注意
此功能随以下产品提供:
- Microsoft 365 E5
- Microsoft 365 E5 合规
- Microsoft 365 E5 内部风险管理
请查看 Microsoft 365 安全与合规性许可指南,以便为组织标识所需的许可证。
保护层
特权访问管理补充了 Microsoft 365 安全中心体系结构中的其他数据和访问功能保护。 将特权访问管理作为集成的分层安全方法的一部分提供了一个安全模型,可以最大限度地保护敏感信息和 Microsoft 365 配置设置。 如图所示,特权访问管理建立在 Microsoft 365 数据本机加密提供的保护和 Microsoft 365 服务基于角色的访问控制安全模型的基础上。 与 Microsoft Entra Privileged Identity Management 一起使用时,这两项功能可在不同范围内提供访问控制和实时访问。
Microsoft Purview Privileged Access Management 在 任务 级别定义和作用域,而 Microsoft Entra Privileged Identity Management 在 角色 级别应用保护,能够执行多个任务。 Microsoft Entra Privileged Identity Management 主要允许管理 AD 角色和角色组的访问权限,而 Microsoft Purview 中的特权访问管理仅适用于任务级别。
- 在已使用 Microsoft Entra Privileged Identity Management 时启用特权访问管理:在 Microsoft Purview 中添加特权访问管理为对 Microsoft 365 数据的特权访问提供了另一个精细的保护和审核层。
- 启用 Microsoft Entra Privileged Identity Management 而已在使用特权访问管理:将 Microsoft Entra Privileged Identity Management 添加到特权访问管理可以扩展对主要由用户角色或标识定义的 Microsoft 365 外部数据的特权访问。
特权访问管理体系结构和审批工作流
以下每个流程都概述了特权访问的体系结构,以及它如何与 Microsoft 365 审核和 Exchange 管理运行空间交互。
步骤 1:配置特权访问策略
使用 Microsoft 365 管理中心 或 Exchange Online PowerShell 配置特权访问策略时,可以在 Microsoft 365 基层定义策略和特权访问功能进程以及策略属性。 活动记录在 Microsoft Defender 门户中。 该策略现在已启用并可以处理传入的审批请求。
第 2 步:访问请求
在 Microsoft 365 管理中心或使用 Exchange Online PowerShell,用户可以请求访问提升或特权任务。 特权访问功能将请求发送到 Microsoft 365 基板,以便根据配置的权限访问策略进行处理,并在 Microsoft Defender 门户日志中记录活动。
步骤 3:访问审批
将生成批准请求,并通过电子邮件将待处理请求通知发送给审批者。 如果通过审批,特权访问请求将作为审批进行处理,并且可以完成任务。 如果遭到拒绝,任务将被阻止,请求者无法获得权限。 请求者通过电子邮件收到请求批准或拒绝的通知。
第 4 步:访问处理
对于已批准的请求,任务由 Exchange 管理运行空间处理。 根据特权访问策略检查审批,并由 Microsoft 365 基底处理。 任务的所有活动都记录在 Microsoft Defender 门户中。
审批工作流的说明如下:
