案例研究 - 實作特殊許可權存取管理
全球製造公司 Contoso Corporation 正在 Microsoft Purview 中實作 Privileged Access Management (PAM) ,以增強安全性,並降低與常設系統管理存取權相關的風險。 管理 Exchange 設定的系統管理員現在會要求特定工作的暫時提升許可權,確保許可權已核准、有時間限制且可稽核。
案例
Contoso IT 系統管理員必須在 Exchange Online 中執行新的移動要求,才能移轉使用者的信箱。 由於這是敏感性工作,系統管理員必須要求存取權,而 特殊許可權存取核准者 群組會先檢閱並核准要求,系統管理員才能繼續進行。
本案例研究會逐步解說 Contoso 設定 PAM 並核准存取要求所採取的步驟:
- 建立核准者群組
- 啟用特殊權限存取
- 建立存取原則
- 提交和核准存取要求
步驟 1:建立核准者群組
Contoso 識別出一組資深系統管理員,作為特殊許可權工作的核准者,例如移轉使用者的信箱。
建立核准者群組的步驟
使用適當的系統管理員許可權登入 Microsoft 365 系統管理 中心。
流覽至 Teams & 群組>作用中小組 & 群組。
選 取 [安全組>][新增擁有郵件功能的安全組]。
在 [ 設定基本概念 ] 頁面上,輸入下列詳細數據:
- 名稱:提供群組的描述性名稱。
- 描述:新增群組用途的簡短描述。
在 [ 指派擁有者] 頁面上,指派群組的擁有者。
在 [ 新增成員] 頁面上,新增擔任核准者的個人。
在 [ 編輯設定] 頁面上,設定群組電子郵件位址。
選取[建立群組]。 等候幾分鐘,讓群組完全設定。
在這個階段,特殊權 限存取核准者 群組已準備好檢閱和核准特殊許可權存取要求。
步驟 2:啟用特殊許可權存取管理
為了強制核准敏感性工作,Contoso 會在 Microsoft 365 系統管理 中心啟用 PAM。
啟用 PAM 的步驟
在 [Microsoft 365 系統管理 中心] 中,流覽至 [設定>組織設定>安全性 & 隱私>權特殊許可權存取]。
選取 [ 允許特殊許可權存取要求] 複選框,然後選擇預設核准群組。
將新建立的核准者群組指派為預設核准群組。
選 取 [儲存 ] 以套用設定。
特殊許可權工作現在需要核准才能執行。
步驟 3:建立存取原則
IT 小組會設定存取原則來管理特殊許可權工作,特別是針對 Exchange 中的 New 移動要求 。
建立特殊許可權存取原則的步驟
在 [Microsoft 365 系統管理 中心] 中,移至 [設定>組織設定>安全性 & 隱私>權特殊許可權存取]。
選 取 [建立原則及管理要求],然後選取 [ 管理原則]。
選取 [新增原則]。
設定原則詳細資料:
- 原則類型:工作
- 原則範圍:Exchange
- 原則名稱:新增移動要求
- 核准類型:手動
- 核准者:Contoso 會選取新建立的特殊 許可權存取核准者 群組。
選 取 [建立 ] 以完成原則。
此原則可確保任何執行 「新增移動要求 」的系統管理員都必須先從 「特殊許可權存取 核准者」群組取得核准。
步驟 4:提交和核准要求
IT 系統管理員會提交提高許可權的存取權要求,以移轉使用者的信箱。 特殊許可權存取核准者群組的成員會檢閱並核准要求。
提交要求
系統管理員登入 Microsoft 365 系統管理 中心。
流覽至 [設定>] [組織設定>] [安全性 & 隱私>權特殊許可權存取]。
選 取 [建立原則及管理要求],然後選 取 [存取要求>要求存取]。
填寫表單:
- 類型:任務
- 範圍:Exchange
- 存取:新增移動要求
- 持續時間:2 小時
- 原因:需要存取權才能移動 Exchange 信箱。
選 取 [建立 ] 以要求存取權。
核准要求
特殊許可權存取核准者群組的成員會收到有關新存取要求的電子郵件通知。
選 取 [建立原則及管理要求],然後選 取 [存取要求>要求存取權 ] 以檢視存取要求。
檢閱要求詳細數據之後,核准者會選取 [ 核准]。
系統管理員現在可以在要求中指定的持續時間內執行核准的工作。
藉由實作 PAM,Contoso 可確保提高許可權的工作,例如 新增移動要求,受到嚴密控制。 此程式會增加責任、將安全性風險降到最低,並確保許可權為暫時性、限定範圍和核准。