管理特殊許可權存取管理

  • 9 分鐘

管理 Privileged Access Management (PAM) 牽涉到監視和維護與特殊許可權系統管理存取權相關聯的工作流程、原則和核准。

管理要求

管理要求是 Privileged Access Management (PAM) 的核心功能,確保需要提高許可權的敏感性工作只有在必要時才會獲得授權。 提交、核准或拒絕要求可確保系統管理動作受到控制、記錄,且符合安全策略。

提交要求

提交要求可讓使用者取得暫時提升的許可權,以執行需要更高許可權的工作。 這可確保敏感性作業會安全地完成,而不會授與常設存取權,降低誤用或缺口的風險。 特殊權限存取的要求在提交要求後的 24 小時內有效。 如果未核准或拒絕,則要求會過期,且不會核准存取權。

使用 Microsoft 365 系統管理 中心提交要求

  1. 登入 Microsoft 365 系統管理 中心

  2. 流覽至 [設定>] [組織設定>] [安全性 & 隱私>權特殊許可權存取]

  3. 取 [建立原則及管理要求要求>存取],然後完成窗體:

    • 類型:工作、角色或角色群組

    • 範圍:Exchange

    • 存取權:從可用的選項中選取

    • 持續時間 (小時):要求存取的時數。 可以要求的時數沒有限制。

    • 原因:提供要求的原因

  4. 取 [建立 ] 以建立新的特殊許可權存取管理要求。

使用 PowerShell 提交要求

New-ElevatedAccessRequest使用 PowerShell 中的 Cmdlet 提交特殊許可權存取要求。 此要求會暫時為指定的工作授與提高的許可權:

New-ElevatedAccessRequest -Task 'Exchange\<exchange management cmdlet name>' -Reason '<appropriate reason>' -DurationHours <duration in hours>

範例

New-ElevatedAccessRequest -Task 'Exchange\New-MoveRequest' -Reason 'Attempting to fix the user mailbox error' -DurationHours 4
  • -Task:指定要求特殊許可權存取權的 Exchange Cmdlet。
  • -Reason:提供要求的理由。
  • -DurationHours:定義 (提高許可權存取權) 時數的持續時間。

核准或拒絕要求

核准或拒絕要求可讓核准者評估使用者提高存取權要求的需求和適當性。 此步驟會強制執行組織安全策略,並確保只有授權的使用者可以執行特殊許可權工作。

使用 Microsoft 365 系統管理 中心核准或拒絕要求

  1. 核准者會收到要求的電子郵件通知。

    顯示核准者收到特殊許可權存取管理通知的螢幕快照。

  2. 核准者可以登入系統管理中心,而且:

    • 檢閱要求詳細數據

    • 核准或拒絕要求

    顯示如何核准或拒絕特殊許可權存取管理要求的螢幕快照。

  3. 核准的要求可讓使用者在指定的持續時間內完成工作。

使用 PowerShell 核准或拒絕要求

使用 PowerShell 核准或拒絕特殊許可權存取管理要求:

  • 核准要求

    使用 Cmdlet Approve-ElevatedAccessRequest 授與提交的存取要求:

    Approve-ElevatedAccessRequest -RequestId <request id> -Comment '<approval comment>'

    範例

    Approve-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<approval comment>'

  • 拒絕要求

    使用 Cmdlet Deny-ElevatedAccessRequest 拒絕提交的存取要求:

    Deny-ElevatedAccessRequest -RequestId <request id> -Comment '<denial comment>'

    範例

    Deny-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<denial comment>'

  • -RequestId:識別要核准的特定要求。

  • -Comment:新增有關核准或拒絕決策的選擇性批注。

檢視、修改和刪除原則

特殊許可權存取原則是 PAM 的骨幹,定義授與存取權的條件。 定期檢閱、修改和移除原則,可確保貴組織的安全性設定維持在最新狀態,並符合作業需求。

使用 Microsoft 365 系統管理 中心檢視、修改和刪除原則

  1. 流覽至 [設定>] [組織設定>] [安全性 & 隱私>權特殊許可權存取]

  2. 取 [建立原則及管理要求>][管理原則]

您可以在這裡執行下列動作:

  • 檢視原則:檢閱所有設定的原則及其詳細數據。

  • 修改原則:更新欄位,例如:

    • 更新 核准類型 ,以在手動和自動核准之間切換。

    • 變更核 准者 ,以指派負責核准的不同群組。

  • 在進行更新之後儲存變更。

  • 刪除原則:選取要移除的原則,選取 [移除原則],然後確認刪除。

使用 PowerShell 檢視、修改和刪除原則

檢視原則

使用 Cmdlet Get-ElevatedAccessApprovalPolicy 取得特殊許可權存取管理原則的清單:

Get-ElevatedAccessApprovalPolicy

修改原則

使用 Cmdlet Set-ElevatedAccessApprovalPolicy 來更新現有的特殊許可權存取原則。 此 Cmdlet 允許變更欄位,例如核准類型和核准者群組:

Set-ElevatedAccessApprovalPolicy -Identity <Policy ID> -ApprovalType '<Manual or Auto>' -ApproverGroup '<New Approver Group>'

範例

Set-ElevatedAccessApprovalPolicy -Identity 'Policy123' -ApproverGroup 'securityadmins@fabrikam.com' -ApprovalType 'Manual'

  • -Identity:識別要修改的特定原則。

  • -ApproverGroup:指派新的擁有郵件功能的安全組來處理核准。

  • -ApprovalType:匯報 原則要求手動或自動核准。

刪除原則

使用 Cmdlet Remove-ElevatedAccessApprovalPolicy 刪除過時的特殊許可權存取原則。 這可確保您的環境保持井然有序:

Remove-ElevatedAccessApprovalPolicy -Identity <Policy ID>

停用特殊許可權存取管理

停用 PAM 會移除提高許可權的存取要求和核准的控制,還原為標準系統管理存取層級。 此動作通常會保留給不再需要 PAM 或正在實作替代解決方案的情況。

使用 Microsoft 365 系統管理 中心停用特殊許可權存取管理

取消核取 [允許特殊許可權存取要求],然後在 特殊許可權存取設定下選擇預設核准群組。

使用 PowerShell 停用特殊許可權存取管理

Disable-ElevatedAccessControl

稽核和監視 PAM

稽核和監視活動對於識別原則落差、確保合規性,以及偵測異常非常重要。 藉由檢閱記錄並進行定期評估,組織可以維持對特殊許可權存取的有效控制。

稽核記錄

基於合規性目的,會記錄 PAM 活動,包括要求和核准:

  1. 流覽至 Microsoft 入口網站

  2. 取 [解決方案>稽核 ],並搜尋與 PAM 相關的活動。

  3. 依活動類型、日期範圍或使用者篩選記錄。

定期檢閱

定期檢閱可確保原則和核准者群組成員資格保持相關且有效。 這些檢閱對於適應組織變更和維護健全的安全性而言是不可或缺的。

  • 原則檢閱:定期評估原則,以確保它們符合組織需求。

  • 核准者群組成員資格:確認核准者為最新狀態並已獲授權。

針對 PAM 問題進行疑難解答

常見問題

  • 失敗的要求提交:確定要求者有足夠的許可權。

  • 核准延遲:確認核准者收到通知,並可存取系統管理中心。

  • 原則衝突:確認多個原則不會重疊,並造成非預期的行為。