瞭解特殊許可權存取管理

  • 7 分鐘

Microsoft Purview 中的 Privileged Access Management (PAM) 可協助組織控制對 Microsoft Exchange Online 中敏感數據和重要設定的存取。 傳統系統管理帳戶通常具有常設許可權,因此會增加誤用或入侵的風險。 PAM 藉由引進結構化訪問控制來降低這些風險:

  • 無常設存取權:系統管理許可權不會永久指派。 使用者只有在必要時才要求存取權。
  • Just-In-Time 存取:會針對特定工作授與暫時許可權,以限制曝光時間範圍。
  • Just-enough 存取:存取範圍限為手端工作所需的最低許可權。

這些控件可確保系統管理許可權只會在必要時授與,而且只有在必要時才會授與。

為什麼要使用特殊許可權存取管理?

常設系統管理許可權會增加數據外泄和未經授權變更的風險。 例如,如果系統管理帳戶遭到入侵,可能會為攻擊者提供敏感數據和系統的持續存取權。

PAM 可透過下列方式降低這些風險:

  • 確保許可權是暫時性的,且專屬於工作。
  • 需要存取要求的理由。
  • 提供稽核和責任存取活動的詳細記錄。

藉由採用 PAM,組織會強化其安全性狀態,同時維持營運效率。

特殊許可權存取管理如何運作?

PAM 會使用結構化程式來安全地管理系統管理存取權。 以下是工作流程的運作方式:

  1. 要求存取:使用者提交特定系統管理工作的要求,並指定工作類型、範圍和持續時間。 這可確保只有在必要時才要求存取權,並基於明確定義的目的。
  2. 核准:指定的核准者會檢閱要求,並根據其必要性和範圍決定是否要授與或拒絕存取權。 此步驟可確保在授與許可權之前,先仔細檢閱許可權。
  3. 執行工作:一旦核准,使用者就會在授與的時間和範圍內完成工作。 許可權會在工作完成或存取到期后自動移除,以降低未經授權動作的風險。
  4. 稽核:所有動作,包括要求、核准和工作執行,都會記錄為合規性和責任。 這些記錄有助於識別任何異常狀況,並支援法規稽核。

此程式可確保只有在有對齊且一律密切監視時,才會授與存取權。

保護層

特殊許可權存取管理 (PAM) 補充Microsoft 365 架構中的其他安全性功能,以針對未經授權的存取和數據外洩提供分層防禦。 藉由將 PAM 納入整合式安全性模型,組織可以更妥善地保護敏感數據和重要組態設定。

分層安全性模型

如圖所示,Microsoft 365 安全性架構是以多層保護為基礎:

顯示 Privileged Access Management 中保護層的圖表。

  1. 加密:保護待用和傳輸中的數據,以防止未經授權的存取。
  2. 角色型訪問控制 (RBAC) :根據角色建立常設訪問許可權,以控制使用者存取權。
  3. 條件式存取:根據使用者位置、裝置狀態和行為模式等因素強制執行存取原則。
  4. 特殊權限身分識別和存取管理
    • Microsoft Entra Privileged Identity Management (PIM) :提供 Just-In-Time、角色層級的存取管理,讓用戶能夠在特定角色內執行多個工作。
    • Microsoft Purview Privileged Access Management:著重於工作特定的訪問控制,透過核准工作流程強制執行 Just-In-Time 和 Just-enough-access 原則。

與其他安全性工具整合

PAM 和 Microsoft Entra PIM 可解決特殊許可權存取的不同層面:

  • PAM:在 工作層級設定存取範圍,確保Microsoft 365 中特定系統管理動作的細微控制和核准。
  • PIM:在角色層級設定 取範圍,啟用跨 Active Directory 角色和角色群組之更廣泛系統管理功能的 Just-In-Time 許可權。

互補使用案例

  • 搭配使用 PAM Microsoft Entra PIM:新增 PAM 可讓您更精細地控制 Microsoft 365 中的特定系統管理工作,以增強保護和稽核功能。
  • 將 PIM 新增至現有的 PAM 設定:P IM 可將特殊許可權存取擴充至 Microsoft 365 外部的系統和數據,提供角色或身分識別所定義的更廣泛涵蓋範圍。

藉由結合 PAM 與像 Microsoft Entra PIM、加密和 RBAC 等工具,組織可以強制執行健全的安全性狀態,同時遵守最低許可權和 Just-In-Time 存取的原則。

PAM 適合何處納入安全性策略?

PAM 是更廣泛的Microsoft 365 安全性策略中的一層。 其可與下列工具搭配運作:

  • 加密:保護待用和傳輸中的數據。
  • Microsoft Entra Privileged Identity Management (PIM) :管理角色層級的存取權,而 PAM 則著重於工作特定存取。

這些工具一起運作以:

  • 加強防禦未經授權的存取。
  • 提供詳細記錄以支援安全性法規的合規性。
  • 簡化安全策略的強制執行,例如根據角色或工作限制存取。

Microsoft Purview 中的 Privileged Access Management (PAM) 是保護系統管理存取權的重要工具。 藉由確保許可權是暫時性的、特定的和可稽核的,PAM 可協助組織平衡安全性和效率。