了解特权访问管理

7 分钟

Microsoft Purview 中的 Privileged Access Management (PAM) 可帮助组织控制对Microsoft Exchange Online中敏感数据和关键配置的访问。传统的管理帐户通常具有长期权限，从而增加了误用或泄露的风险。 PAM 通过引入结构化访问控制来缓解这些风险：

零长期访问：不会永久分配管理权限。用户仅在必要时请求访问权限。
实时访问权限：为特定任务授予临时权限，从而限制公开时段。
刚好的访问权限：访问权限的范围限定为手头任务所需的最低权限。

这些控制确保仅在必要时授予管理权限，并且仅在需要时授予管理权限。

为何使用特权访问管理？

长期管理权限会增加数据泄露和未经授权的更改的风险。例如，如果管理帐户遭到入侵，则攻击者可能会持续访问敏感数据和系统。

PAM 通过以下方法降低这些风险：

确保权限是临时的，特定于任务。
要求为访问请求提供理由。
提供用于审核和问责的访问活动的详细记录。

通过采用 PAM，组织可以增强其安全态势，同时保持运营效率。

特权访问管理的工作原理是什么？

PAM 使用结构化过程安全地管理管理访问。工作流的工作原理如下：

请求访问：用户提交特定管理任务的请求，指定任务类型、范围和持续时间。这可确保仅在必要时出于明确定义的目的请求访问权限。
审批：指定的审批者审查请求，并根据请求的必要性和范围决定是否授予或拒绝访问权限。此步骤确保在授予权限之前经过深思熟虑的评审。
执行任务：获得批准后，用户在授予的时间和范围内完成任务。任务完成后或访问过期后，会自动删除权限，从而降低未经授权的操作的风险。
审核：记录所有操作（包括请求、审批和任务执行），以符合性和问责性。这些记录有助于识别任何异常并支持监管审核。

此过程确保仅在合理且始终受到密切监视时授予访问权限。

保护层

Privileged Access Management (PAM) 补充了 Microsoft 365 体系结构中的其他安全功能，提供分层防御，防止未经授权的访问和数据泄露。通过将 PAM 合并为集成安全模型的一部分，组织可以更好地保护敏感数据和关键配置设置。

分层安全模型

如图所示，Microsoft 365 安全体系结构构建在多层保护之上：

加密：保护静态和传输中的数据，以防止未经授权的访问。
基于角色的访问控制 (RBAC) ：基于角色建立长期访问权限，以控制用户访问。
条件访问：根据用户位置、设备状态和行为模式等因素强制实施访问策略。
特权标识和访问管理：
- Microsoft Entra Privileged Identity Management (PIM) ：提供实时的角色级访问管理，允许用户在特定角色中执行多个任务。
- Microsoft Purview Privileged Access Management：专注于特定于任务的访问控制，通过审批工作流强制实施实时访问和恰到足访问原则。

与其他安全工具集成

PAM 和 Microsoft Entra PIM 解决了特权访问的不同方面：

PAM：在 任务级别限定访问权限范围，确保对 Microsoft 365 中的特定管理操作进行精细控制和批准。
PIM：在 角色级别限定访问权限范围，为 Active Directory 角色和角色组的更广泛的管理功能启用实时权限。

补充用例

将 PAM 与 Microsoft Entra PIM 结合使用：添加 PAM 可精细控制 Microsoft 365 中的特定管理任务，从而增强保护和审核功能。
将 PIM 添加到现有 PAM 设置：PIM 将特权访问扩展到 Microsoft 365 之外的系统和数据，从而提供由角色或标识定义的更广泛的覆盖范围。

通过将 PAM 与 Microsoft Entra PIM、加密和 RBAC 等工具相结合，组织可以强制实施可靠的安全态势，同时遵循最低特权和实时访问原则。

PAM 在何处适合安全策略？

PAM 是更广泛的Microsoft 365 安全策略中的一层。它与工具一起使用，例如：

加密：保护静态和传输中的数据。
Microsoft Entra Privileged Identity Management (PIM) ：在角色级别管理访问权限，而 PAM 侧重于特定于任务的访问。

这些工具协同工作，可：

加强对未经授权的访问的防御。
提供详细的记录以支持符合安全法规。
简化安全原则的实施，例如基于角色或任务限制访问。

Microsoft Purview 中的 Privileged Access Management (PAM) 是保护管理访问权限的关键工具。通过确保权限是临时的、特定的和可审核的，PAM 可帮助组织平衡安全性和效率。