設定特殊權限存取管理

  • 9 分鐘

在 Microsoft Purview 中設定 Privileged Access Management (PAM) ,可讓組織強制執行結構化訪問控制,降低與常設系統管理許可權相關的風險。

必要條件

設定 PAM 之前,請確定符合下列必要條件:

  • Microsoft 365 訂用帳戶:確認貴組織的訂用帳戶包含 PAM 的支援。 檢查訂用帳戶詳細數據
  • 適當的角色:確定您具有全域 管理員Exchange 系統管理員 角色來設定 PAM。
  • 規劃存取群組:判斷特殊許可權存取要求的核准者和系統帳戶。

設定特殊許可權存取管理的步驟

請遵循下列步驟,在您的組織中設定 PAM:

1.建立核准者的群組

核准者群組負責檢閱和授權特殊許可權存取要求。 設定擁有郵件功能的安全組可確保正確地路由傳送要求。

  1. 使用您的系統管理員認證登入 Microsoft 365 系統管理中心

  2. 使用您的系統管理員 認證,流覽至Teams & 群組>作用中小組 & 群組

  3. 選取 [ 安全組] 索引 標籤,然後選擇 [新增擁有郵件功能的安全組]

    顯示如何新增啟用郵件安全組的螢幕快照。

  4. 在 [ 設定基本概念 ] 頁面上,輸入下列詳細數據:

    • 名稱:提供群組的描述性名稱。
    • 描述:新增群組用途的簡短描述。

  5. 在 [ 指派擁有者] 頁面上,指派群組的擁有者。

  6. 在 [ 新增成員] 頁面上,新增將擔任核准者的個人。

  7. 在 [ 編輯設定] 頁面上,設定群組電子郵件位址。

  8. 選取[建立群組]。 等候幾分鐘,讓群組完全設定。

2.啟用特殊許可權存取管理

啟用 PAM 會啟用核准工作流程,確保敏感性系統管理工作需要透過受控制程式授與更高許可權。

使用 Microsoft 365 系統管理 中心啟用特殊許可權存取管理

  1. 登入 Microsoft 365 系統管理 Center

  2. 移至 [設定>] [組織設定>] [安全性 & 隱私>權特殊許可權存取]

    顯示存取特殊許可權存取設定之位置的螢幕快照。

  3. 選取 [ 允許特殊許可權存取要求] 複選框,然後選擇預設核准群組

  4. 將步驟 1 中建立的核准者群組指派為預設核准群組。

    顯示如何指派核准群組的螢幕快照。

  5. 儲存並關閉設定。

使用 PowerShell 啟用特殊許可權存取管理

Enable-ElevatedAccessControl使用 Exchange Online PowerShell 中的 Cmdlet 來啟用特殊許可權存取管理,並指派核准者群組。 這可確保特殊許可權工作需要核准,並定義負責核准這些要求的群組:

Enable-ElevatedAccessControl -AdminGroup '<default approver group>' -SystemAccounts @('<systemAccountUPN1>','<systemAccountUPN2>')

範例

Enable-ElevatedAccessControl -AdminGroup 'pamapprovers@fabrikam.onmicrosoft.com' -SystemAccounts @('sys1@fabrikamorg.onmicrosoft.com', 'sys2@fabrikamorg.onmicrosoft.com')

參數 -AdminGroup 會指定啟用郵件功能的安全組以供核准,而 -SystemAccounts 參數會從特殊許可權訪問控制中排除特定帳戶,讓基本系統作業繼續不中斷。

3.建立存取原則

存取原則會定義授與特殊許可權存取的規則。 這些原則可確保只有在必要時和定義的條件下,才會提供提高的許可權。

使用 Microsoft 365 系統管理 中心建立存取原則

  1. 流覽至 [設定>] [組織設定>] [安全性 & 隱私>權特殊許可權存取]

  2. 取 [建立原則及管理要求][管理原則>>][新增原則]

  3. 設定原則:

    • 原則類型:工作、角色或角色群組

    • 原則範圍:Exchange

    • 原則名稱:從可用的選項中選取

    • 核准類型:手動或自動

    • 核准者:如果核准類型設定為 [手動],請選取核准者的群組

    顯示要新增特殊許可權存取管理原則之字段的螢幕快照。

  4. 取 [建立 ] 以新增特殊許可權存取管理原則。

使用 Exchange Management PowerShell 建立存取原則

New-ElevatedAccessApprovalPolicy使用 PowerShell 中的 Cmdlet 來建立特殊許可權存取原則。 此原則會定義核准和執行提升許可權之工作的條件:

New-ElevatedAccessApprovalPolicy -Task 'Exchange\<exchange management cmdlet name>' -ApprovalType <Manual, Auto> -ApproverGroup '<default/custom approver group>'

範例

New-ElevatedAccessApprovalPolicy -Task 'Exchange\New-MoveRequest' -ApprovalType Manual -ApproverGroup 'mbmanagers@fabrikamorg.onmicrosoft.com'
  • -Task:指定需要特殊許可權存取核准的 Exchange Cmdlet。
  • -ApprovalType:決定核准者群組是否手動處理核准 (手動) 或自動 (自動) 。
  • -ApproverGroup:識別啟用郵件的安全組,負責在 -ApprovalType 設定為 Manual 時核准要求。

4.測試和使用特殊許可權存取管理

測試可確保已設定的原則和工作流程如預期般運作,讓用戶能夠提交要求和核准者來處理它們。

  • 提交要求:使用者可以流覽至 Microsoft 365 系統管理 中心的 [特殊許可權存取] 區段,或使用PowerShell來要求提高的工作許可權。

  • 核准要求:核准者會透過電子郵件通知或直接在 Microsoft 365 系統管理 中心檢閱要求並採取行動。

設定特殊許可權存取管理可確保敏感性工作的安全和暫時性系統管理許可權。 藉由建立核准者群組、啟用 PAM 和定義存取原則,組織可以強制執行最低許可權原則,並增強其安全性狀態。 定期稽核和檢閱會進一步強化 PAM 在保護重要設定和數據方面的有效性。