Начало работы с управлением привилегированным доступом

В этой статье описано, как включить и настроить управление привилегированным доступом в организации. Для управления привилегированным доступом можно использовать Центр администрирования Microsoft 365 или PowerShell управления Exchange.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Подготовка к работе

Прежде чем приступить к управлению привилегированным доступом, необходимо подтвердить подписку На Microsoft 365 и все надстройки.

Прежде чем приступить к управлению привилегированным доступом, необходимо подтвердить подписку На Microsoft 365 и все надстройки. Чтобы получить доступ к управлению привилегированным доступом и использовать их, ваша организация должна иметь вспомогательные подписки или надстройки. Дополнительные сведения см. в разделе Требования к подписке для управления привилегированным доступом.

Если у вас нет плана Office 365 корпоративный E5 и вы хотите попробовать управление привилегированным доступом, вы можете добавить Microsoft 365 в существующую подписку на Office 365 или зарегистрироваться для получения пробной версии Microsoft 365 корпоративный E5.

Включение и настройка управления привилегированным доступом

Чтобы настроить и использовать привилегированный доступ в организации, выполните следующие действия.

  • Шаг 1. Создание группы утверждающего

    Прежде чем начать использовать привилегированный доступ, определите, кому необходимы полномочия утверждать входящие запросы на доступ к задачам с повышенными правами и к привилегированным задачам. Любой пользователь, входящий в группу “Утверждающие”, сможет утверждать запросы на доступ. Эта группа включается путем создания группы безопасности с поддержкой почты в Office 365.

  • Шаг 2. Включение привилегированного доступа

    Необходимо явно включить привилегированный доступ в Office 365 с использованием стандартной группы утверждающих, а также указать набор системных учетных записей, которые требуется исключить из системы управления привилегированным доступом.

  • Шаг 3. Создание политики доступа

    Создав политику утверждения, вы сможете настраивать конкретные требования к утверждению доступа для отдельных задач. Доступны следующие типы утверждения: Автоматически и Вручную.

  • Шаг 4. Отправка и утверждение запросов на привилегированный доступ

    После включения привилегированного доступа требуется утверждение любой задачи, с которой связана определенная политика утверждения. Для выполнения задач, включенных в политику утверждения, пользователям необходимо запросить и получить доступ, чтобы у них были разрешения, необходимые для выполнения задачи.

После утверждения отправитель запроса может выполнить нужную задачу, а привилегированный доступ одобрит и выполнит задачу от имени пользователя. Утверждение действует в течение запрошенного времени (по умолчанию — 4 часа). В этот период отправитель запроса может выполнить нужную задачу несколько раз. Каждый случай выполнения заносится в журнал и становится доступен для аудита безопасности и соответствия требованиям.

Примечание.

Если вы хотите использовать PowerShell для управления Exchange, чтобы включить и настроить привилегированный доступ, выполните действия, описанные в статье Подключение к Exchange Online PowerShell с помощью Многофакторной проверки подлинности, чтобы подключиться к Exchange Online PowerShell с помощью учетных данных Office 365. Вам не нужно включать многофакторную проверку подлинности, чтобы ваша организация могла использовать инструкции по включению привилегированного доступа при подключении к Exchange Online PowerShell. При подключении с помощью многофакторной проверки подлинности создается маркер проверки подлинности, который используется привилегированным доступом для подписывания запросов.

Шаг 1. Создание группы утверждающего

  1. Войдите в Центр администрирования Microsoft 365, используя учетные данные для учетной записи администратора в вашей организации.

  2. В Центре администрирования выберите Группы>Добавить группу.

  3. Выберите группу безопасности с поддержкой почты , а затем заполните поля Имя, Адрес электронной почты группы и Описание для новой группы.

  4. Сохраните группу. Полная настройка группы и ее отображение в центре администрирования Microsoft 365 может занять несколько минут.

  5. Выберите новую группу утверждающего и выберите изменить , чтобы добавить пользователей в группу.

  6. Сохраните группу.

Шаг 2. Включение привилегированного доступа

В центре Microsoft 365 Admin

  1. Войдите в центр Microsoft 365 Admin, используя учетные данные для учетной записи администратора в вашей организации.

  2. В Центре администрирования перейдите в раздел Параметры>Организации Параметры>Безопасность & Конфиденциальность>Привилегированный доступ.

  3. Включите элемент управления Требовать утверждения для привилегированных задач .

  4. Назначьте группу утверждающих лиц, созданную на шаге 1, в качестве группы утверждающих по умолчанию.

  5. Сохранить и закрыть.

В PowerShell для управления Exchange

Чтобы включить привилегированный доступ и назначить группу утверждающего, выполните следующую команду в Exchange Online PowerShell:

Enable-ElevatedAccessControl -AdminGroup '<default approver group>' -SystemAccounts @('<systemAccountUPN1>','<systemAccountUPN2>')

Пример:

Enable-ElevatedAccessControl -AdminGroup 'pamapprovers@fabrikam.onmicrosoft.com' -SystemAccounts @('sys1@fabrikamorg.onmicrosoft.com', 'sys2@fabrikamorg.onmicrosoft.com')

Примечание.

Функция системных учетных записей предоставляется для обеспечения работы определенных автоматизации в организации без зависимости от привилегированного доступа, однако рекомендуется, чтобы такие исключения были исключительными, а разрешенные должны регулярно утверждаться и проверяться.

Шаг 3. Создание политики доступа

Вы можете создать и настроить до 30 политик привилегированного доступа для организации.

В центре Microsoft 365 Admin

  1. Войдите в центр Microsoft 365 Admin, используя учетные данные для учетной записи администратора в вашей организации.

  2. В центре Администратор перейдите в раздел Параметры>Организации Параметры>Безопасность & Конфиденциальность>Привилегированный доступ.

  3. Выберите Управление политиками доступа и запросами.

  4. Выберите Настроить политики и выберите Добавить политику.

  5. В раскрывающихся полях выберите соответствующие значения для вашей организации:

    Тип политики: задача, роль или группа ролей

    Область действия политики: Exchange

    Имя политики: выберите из доступных политик

    Тип утверждения: вручную или автоматически

    Группа утверждения: выберите группу утверждающих, созданную на шаге 1

  6. Выберите Создать , а затем — Закрыть. Полная настройка и включение политики может занять несколько минут.

В PowerShell для управления Exchange

Чтобы создать и определить политику утверждения, выполните следующую команду в Exchange Online PowerShell:

New-ElevatedAccessApprovalPolicy -Task 'Exchange\<exchange management cmdlet name>' -ApprovalType <Manual, Auto> -ApproverGroup '<default/custom approver group>'

Пример:

New-ElevatedAccessApprovalPolicy -Task 'Exchange\New-MoveRequest' -ApprovalType Manual -ApproverGroup 'mbmanagers@fabrikamorg.onmicrosoft.com'

Шаг 4. Отправка и утверждение запросов на привилегированный доступ

Запрос разрешения на повышение прав для выполнения привилегированных задач

Запросы на привилегированный доступ действительны в течение 24 часов после отправки запроса. Если запросы не утверждены или отклонены, срок действия запросов истекает, а доступ не утверждается.

В центре Microsoft 365 Admin

  1. Войдите в центр Microsoft 365 Admin, используя свои учетные данные.

  2. В центре Администратор перейдите в раздел Параметры>Организации Параметры>Безопасность & Конфиденциальность>Привилегированный доступ.

  3. Выберите Управление политиками доступа и запросами.

  4. Выберите Новый запрос. В раскрывающихся полях выберите соответствующие значения для вашей организации:

    Тип запроса: задача, роль или группа ролей

    Область действия запроса: Exchange

    Запрос на: выберите из доступных политик

    Продолжительность (часы): количество часов запрошенного доступа. Количество часов, которые можно запросить, не ограничено.

    Примечания: текстовое поле для комментариев, связанных с запросом на доступ.

  5. Нажмите кнопку Сохранить , а затем — Закрыть. Ваш запрос будет отправлен в группу утверждающего по электронной почте.

В PowerShell для управления Exchange

Выполните следующую команду в Exchange Online PowerShell, чтобы создать и отправить запрос на утверждение в группу утверждающего:

New-ElevatedAccessRequest -Task 'Exchange\<exchange management cmdlet name>' -Reason '<appropriate reason>' -DurationHours <duration in hours>

Пример:

New-ElevatedAccessRequest -Task 'Exchange\New-MoveRequest' -Reason 'Attempting to fix the user mailbox error' -DurationHours 4

Проверка статуса запросов на повышение прав

После создания запроса на утверждение состояние запроса на повышение прав можно проверить в Центре администрирования или в PowerShell управления Exchange с помощью связанного с идентификатором запроса.

В Центре администрирования Microsoft 365

  1. Войдите в Центр администрирования Microsoft 365, используя свои учетные данные.

  2. В Центре администрирования перейдите в раздел Параметры>Организации Параметры>Безопасность & Конфиденциальность>Привилегированный доступ.

  3. Выберите Управление политиками доступа и запросами.

  4. Выберите Вид, чтобы отфильтровать отправленные запросы по состоянию Ожидание, Утверждено, Отказано или Защищенное хранилище клиента .

В PowerShell для управления Exchange

Выполните следующую команду в Exchange Online PowerShell, чтобы просмотреть состояние запроса на утверждение для определенного идентификатора запроса:

Get-ElevatedAccessRequest -Identity <request ID> | select RequestStatus

Пример:

Get-ElevatedAccessRequest -Identity 28560ed0-419d-4cc3-8f5b-603911cbd450 | select RequestStatus

Утверждение запроса на авторизацию на повышение прав

При создании запроса на утверждение члены соответствующей группы утверждающих получают уведомление по электронной почте и могут утвердить запрос, связанный с идентификатором запроса. Запрашивающая сторона получает уведомление об утверждении или отклонении запроса по электронной почте.

В Центре администрирования Microsoft 365

  1. Войдите в Центр администрирования Microsoft 365, используя свои учетные данные.

  2. В Центре администрирования перейдите в раздел Параметры>Организации Параметры>Безопасность & Конфиденциальность>Привилегированный доступ.

  3. Выберите Управление политиками доступа и запросами.

  4. Выберите указанный запрос, чтобы просмотреть сведения и выполнить действия с запросом.

  5. Выберите Утвердить , чтобы утвердить запрос, или запретить , чтобы отклонить запрос. Доступ к ранее утвержденным запросам может быть отозван, нажав кнопку Отозвать.

В PowerShell для управления Exchange

Чтобы утвердить запрос авторизации на повышение прав, выполните следующую команду в Exchange Online PowerShell:

Approve-ElevatedAccessRequest -RequestId <request id> -Comment '<approval comment>'

Пример:

Approve-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<approval comment>'

Чтобы отклонить запрос авторизации на повышение прав, выполните следующую команду в Exchange Online PowerShell:

Deny-ElevatedAccessRequest -RequestId <request id> -Comment '<denial comment>'

Пример:

Deny-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<denial comment>'

Удаление политики привилегированного доступа в Office 365

Если она больше не нужна в вашей организации, вы можете удалить политику привилегированного доступа.

В Центре администрирования Microsoft 365

  1. Войдите в Центр администрирования Microsoft 365, используя учетные данные для учетной записи администратора в вашей организации.

  2. В Центре администрирования перейдите в раздел Параметры>Организации Параметры>Безопасность & Конфиденциальность>Привилегированный доступ.

  3. Выберите Управление политиками доступа и запросами.

  4. Выберите Настроить политики.

  5. Выберите политику, которую нужно удалить, а затем выберите Удалить политику.

  6. Нажмите Закрыть.

В PowerShell для управления Exchange

Чтобы удалить политику привилегированного доступа, выполните следующую команду в Exchange Online PowerShell:

Remove-ElevatedAccessApprovalPolicy -Identity <identity GUID of the policy you want to delete>

Отключение привилегированного доступа в Office 365

При необходимости вы можете отключить управление привилегированным доступом для вашей организации. Отключение привилегированного доступа не приводит к удалению связанных политик утверждения или групп утверждающих.

В Центре администрирования Microsoft 365

  1. Войдите в Центр администрирования Microsoft 365 с учетными данными для учетной записи администратора в вашей организации.

  2. В центре Администратор перейдите в раздел Параметры>Организации Параметры>Безопасность & Конфиденциальность>Привилегированный доступ.

  3. Включите параметр Требовать утверждения для управления привилегированным доступом .

В PowerShell для управления Exchange

Чтобы отключить привилегированный доступ, выполните следующую команду в Exchange Online PowerShell:

Disable-ElevatedAccessControl