Начало работы с управлением привилегированным доступом
В этой статье описано, как включить и настроить управление привилегированным доступом в организации. Для управления привилегированным доступом можно использовать Центр администрирования Microsoft 365 или PowerShell управления Exchange.
Совет
Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.
Подготовка к работе
Прежде чем приступить к управлению привилегированным доступом, необходимо подтвердить подписку На Microsoft 365 и все надстройки.
Прежде чем приступить к управлению привилегированным доступом, необходимо подтвердить подписку На Microsoft 365 и все надстройки. Чтобы получить доступ к управлению привилегированным доступом и использовать их, ваша организация должна иметь вспомогательные подписки или надстройки. Дополнительные сведения см. в разделе Требования к подписке для управления привилегированным доступом.
Если у вас нет плана Office 365 корпоративный E5 и вы хотите попробовать управление привилегированным доступом, вы можете добавить Microsoft 365 в существующую подписку на Office 365 или зарегистрироваться для получения пробной версии Microsoft 365 корпоративный E5.
Включение и настройка управления привилегированным доступом
Чтобы настроить и использовать привилегированный доступ в организации, выполните следующие действия.
Шаг 1. Создание группы утверждающего
Прежде чем начать использовать привилегированный доступ, определите, кому необходимы полномочия утверждать входящие запросы на доступ к задачам с повышенными правами и к привилегированным задачам. Любой пользователь, входящий в группу “Утверждающие”, сможет утверждать запросы на доступ. Эта группа включается путем создания группы безопасности с поддержкой почты в Office 365.
Шаг 2. Включение привилегированного доступа
Необходимо явно включить привилегированный доступ в Office 365 с использованием стандартной группы утверждающих, а также указать набор системных учетных записей, которые требуется исключить из системы управления привилегированным доступом.
Шаг 3. Создание политики доступа
Создав политику утверждения, вы сможете настраивать конкретные требования к утверждению доступа для отдельных задач. Доступны следующие типы утверждения: Автоматически и Вручную.
Шаг 4. Отправка и утверждение запросов на привилегированный доступ
После включения привилегированного доступа требуется утверждение любой задачи, с которой связана определенная политика утверждения. Для выполнения задач, включенных в политику утверждения, пользователям необходимо запросить и получить доступ, чтобы у них были разрешения, необходимые для выполнения задачи.
После утверждения отправитель запроса может выполнить нужную задачу, а привилегированный доступ одобрит и выполнит задачу от имени пользователя. Утверждение действует в течение запрошенного времени (по умолчанию — 4 часа). В этот период отправитель запроса может выполнить нужную задачу несколько раз. Каждый случай выполнения заносится в журнал и становится доступен для аудита безопасности и соответствия требованиям.
Примечание.
Если вы хотите использовать PowerShell для управления Exchange, чтобы включить и настроить привилегированный доступ, выполните действия, описанные в статье Подключение к Exchange Online PowerShell с помощью Многофакторной проверки подлинности, чтобы подключиться к Exchange Online PowerShell с помощью учетных данных Office 365. Вам не нужно включать многофакторную проверку подлинности, чтобы ваша организация могла использовать инструкции по включению привилегированного доступа при подключении к Exchange Online PowerShell. При подключении с помощью многофакторной проверки подлинности создается маркер проверки подлинности, который используется привилегированным доступом для подписывания запросов.
Шаг 1. Создание группы утверждающего
Войдите в Центр администрирования Microsoft 365, используя учетные данные для учетной записи администратора в вашей организации.
В Центре администрирования выберите Группы>Добавить группу.
Выберите группу безопасности с поддержкой почты , а затем заполните поля Имя, Адрес электронной почты группы и Описание для новой группы.
Сохраните группу. Полная настройка группы и ее отображение в центре администрирования Microsoft 365 может занять несколько минут.
Выберите новую группу утверждающего и выберите изменить , чтобы добавить пользователей в группу.
Сохраните группу.
Шаг 2. Включение привилегированного доступа
В центре Microsoft 365 Admin
Войдите в центр Microsoft 365 Admin, используя учетные данные для учетной записи администратора в вашей организации.
В Центре администрирования перейдите в раздел Параметры>Организации Параметры>Безопасность & Конфиденциальность>Привилегированный доступ.
Включите элемент управления Требовать утверждения для привилегированных задач .
Назначьте группу утверждающих лиц, созданную на шаге 1, в качестве группы утверждающих по умолчанию.
Сохранить и закрыть.
В PowerShell для управления Exchange
Чтобы включить привилегированный доступ и назначить группу утверждающего, выполните следующую команду в Exchange Online PowerShell:
Enable-ElevatedAccessControl -AdminGroup '<default approver group>' -SystemAccounts @('<systemAccountUPN1>','<systemAccountUPN2>')
Пример:
Enable-ElevatedAccessControl -AdminGroup 'pamapprovers@fabrikam.onmicrosoft.com' -SystemAccounts @('sys1@fabrikamorg.onmicrosoft.com', 'sys2@fabrikamorg.onmicrosoft.com')
Примечание.
Функция системных учетных записей предоставляется для обеспечения работы определенных автоматизации в организации без зависимости от привилегированного доступа, однако рекомендуется, чтобы такие исключения были исключительными, а разрешенные должны регулярно утверждаться и проверяться.
Шаг 3. Создание политики доступа
Вы можете создать и настроить до 30 политик привилегированного доступа для организации.
В центре Microsoft 365 Admin
Войдите в центр Microsoft 365 Admin, используя учетные данные для учетной записи администратора в вашей организации.
В центре Администратор перейдите в раздел Параметры>Организации Параметры>Безопасность & Конфиденциальность>Привилегированный доступ.
Выберите Управление политиками доступа и запросами.
Выберите Настроить политики и выберите Добавить политику.
В раскрывающихся полях выберите соответствующие значения для вашей организации:
Тип политики: задача, роль или группа ролей
Область действия политики: Exchange
Имя политики: выберите из доступных политик
Тип утверждения: вручную или автоматически
Группа утверждения: выберите группу утверждающих, созданную на шаге 1
Выберите Создать , а затем — Закрыть. Полная настройка и включение политики может занять несколько минут.
В PowerShell для управления Exchange
Чтобы создать и определить политику утверждения, выполните следующую команду в Exchange Online PowerShell:
New-ElevatedAccessApprovalPolicy -Task 'Exchange\<exchange management cmdlet name>' -ApprovalType <Manual, Auto> -ApproverGroup '<default/custom approver group>'
Пример:
New-ElevatedAccessApprovalPolicy -Task 'Exchange\New-MoveRequest' -ApprovalType Manual -ApproverGroup 'mbmanagers@fabrikamorg.onmicrosoft.com'
Шаг 4. Отправка и утверждение запросов на привилегированный доступ
Запрос разрешения на повышение прав для выполнения привилегированных задач
Запросы на привилегированный доступ действительны в течение 24 часов после отправки запроса. Если запросы не утверждены или отклонены, срок действия запросов истекает, а доступ не утверждается.
В центре Microsoft 365 Admin
Войдите в центр Microsoft 365 Admin, используя свои учетные данные.
В центре Администратор перейдите в раздел Параметры>Организации Параметры>Безопасность & Конфиденциальность>Привилегированный доступ.
Выберите Управление политиками доступа и запросами.
Выберите Новый запрос. В раскрывающихся полях выберите соответствующие значения для вашей организации:
Тип запроса: задача, роль или группа ролей
Область действия запроса: Exchange
Запрос на: выберите из доступных политик
Продолжительность (часы): количество часов запрошенного доступа. Количество часов, которые можно запросить, не ограничено.
Примечания: текстовое поле для комментариев, связанных с запросом на доступ.
Нажмите кнопку Сохранить , а затем — Закрыть. Ваш запрос будет отправлен в группу утверждающего по электронной почте.
В PowerShell для управления Exchange
Выполните следующую команду в Exchange Online PowerShell, чтобы создать и отправить запрос на утверждение в группу утверждающего:
New-ElevatedAccessRequest -Task 'Exchange\<exchange management cmdlet name>' -Reason '<appropriate reason>' -DurationHours <duration in hours>
Пример:
New-ElevatedAccessRequest -Task 'Exchange\New-MoveRequest' -Reason 'Attempting to fix the user mailbox error' -DurationHours 4
Проверка статуса запросов на повышение прав
После создания запроса на утверждение состояние запроса на повышение прав можно проверить в Центре администрирования или в PowerShell управления Exchange с помощью связанного с идентификатором запроса.
В Центре администрирования Microsoft 365
Войдите в Центр администрирования Microsoft 365, используя свои учетные данные.
В Центре администрирования перейдите в раздел Параметры>Организации Параметры>Безопасность & Конфиденциальность>Привилегированный доступ.
Выберите Управление политиками доступа и запросами.
Выберите Вид, чтобы отфильтровать отправленные запросы по состоянию Ожидание, Утверждено, Отказано или Защищенное хранилище клиента .
В PowerShell для управления Exchange
Выполните следующую команду в Exchange Online PowerShell, чтобы просмотреть состояние запроса на утверждение для определенного идентификатора запроса:
Get-ElevatedAccessRequest -Identity <request ID> | select RequestStatus
Пример:
Get-ElevatedAccessRequest -Identity 28560ed0-419d-4cc3-8f5b-603911cbd450 | select RequestStatus
Утверждение запроса на авторизацию на повышение прав
При создании запроса на утверждение члены соответствующей группы утверждающих получают уведомление по электронной почте и могут утвердить запрос, связанный с идентификатором запроса. Запрашивающая сторона получает уведомление об утверждении или отклонении запроса по электронной почте.
В Центре администрирования Microsoft 365
Войдите в Центр администрирования Microsoft 365, используя свои учетные данные.
В Центре администрирования перейдите в раздел Параметры>Организации Параметры>Безопасность & Конфиденциальность>Привилегированный доступ.
Выберите Управление политиками доступа и запросами.
Выберите указанный запрос, чтобы просмотреть сведения и выполнить действия с запросом.
Выберите Утвердить , чтобы утвердить запрос, или запретить , чтобы отклонить запрос. Доступ к ранее утвержденным запросам может быть отозван, нажав кнопку Отозвать.
В PowerShell для управления Exchange
Чтобы утвердить запрос авторизации на повышение прав, выполните следующую команду в Exchange Online PowerShell:
Approve-ElevatedAccessRequest -RequestId <request id> -Comment '<approval comment>'
Пример:
Approve-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<approval comment>'
Чтобы отклонить запрос авторизации на повышение прав, выполните следующую команду в Exchange Online PowerShell:
Deny-ElevatedAccessRequest -RequestId <request id> -Comment '<denial comment>'
Пример:
Deny-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<denial comment>'
Удаление политики привилегированного доступа в Office 365
Если она больше не нужна в вашей организации, вы можете удалить политику привилегированного доступа.
В Центре администрирования Microsoft 365
Войдите в Центр администрирования Microsoft 365, используя учетные данные для учетной записи администратора в вашей организации.
В Центре администрирования перейдите в раздел Параметры>Организации Параметры>Безопасность & Конфиденциальность>Привилегированный доступ.
Выберите Управление политиками доступа и запросами.
Выберите Настроить политики.
Выберите политику, которую нужно удалить, а затем выберите Удалить политику.
Нажмите Закрыть.
В PowerShell для управления Exchange
Чтобы удалить политику привилегированного доступа, выполните следующую команду в Exchange Online PowerShell:
Remove-ElevatedAccessApprovalPolicy -Identity <identity GUID of the policy you want to delete>
Отключение привилегированного доступа в Office 365
При необходимости вы можете отключить управление привилегированным доступом для вашей организации. Отключение привилегированного доступа не приводит к удалению связанных политик утверждения или групп утверждающих.
В Центре администрирования Microsoft 365
Войдите в Центр администрирования Microsoft 365 с учетными данными для учетной записи администратора в вашей организации.
В центре Администратор перейдите в раздел Параметры>Организации Параметры>Безопасность & Конфиденциальность>Привилегированный доступ.
Включите параметр Требовать утверждения для управления привилегированным доступом .
В PowerShell для управления Exchange
Чтобы отключить привилегированный доступ, выполните следующую команду в Exchange Online PowerShell:
Disable-ElevatedAccessControl