Microsoft Graph Data Connect Integration in PAM

Wichtig

Die Microsoft Graph Data Connect-Integration mit Privileged Access Management (PAM) ist veraltet. Weitere Informationen finden Sie unter Microsoft Graph Data Connect-Onboarding.For details, see Microsoft Graph Data Connect onboarding experience.

Microsoft Graph Data Connect basiert auf Privileged Access Management (PAM, Verwaltung privilegierter Zugriffe), um Microsoft 365-Administratoren zu ermöglichen, Datenbewegungsanforderungen zu genehmigen. Data Connect-Pipelines müssen von einem Mitglied der vom Microsoft 365-Administrator während der Aktivierung angegebenen Genehmigungsgruppe für Datenzugriffsanforderungen genehmigt werden. Informationen zum Einrichten der Genehmigungsgruppe finden Sie unter Einrichten ihres Microsoft 365-Mandanten und Aktivieren von Microsoft Graph Data Connect.

Alle Mitglieder der Genehmigungsgruppe werden mit Genehmigungsanforderungs-E-Mails benachrichtigt, wenn Kopieraktivitäten Zugriff anfordern, um Microsoft 365-Daten zu extrahieren. Genehmigende Personen können diese Anforderungen genehmigen oder ablehnen, eine Benutzergruppe festlegen, die aus den extrahierten Daten entfernt werden soll, oder eine zuvor genehmigte Anforderung widerrufen. Genehmigungen bleiben sechs Monate lang bestehen, und eine Genehmigung ist pro Kopieraktivität in der Azure Synapse- oder Azure Data Factory-Pipeline erforderlich.

Jede Anforderung enthält immer die folgenden Details über das Dataset und die Benutzer, über die Daten extrahiert werden:

• Requestor (Anforderer): Der Benutzer, der die Pipeline angefordert hat.
• Duration (Dauer): Wenn genehmigt, wie lange die Genehmigung beibehalten wird; dies ist immer 4320 Stunden (6 Monate).
• Reason (Grund): Der Grund für die Anforderung, typischerweise "Eine für Ihr Unternehmen installierte App benötigt eine Genehmigung für den Zugriff auf Office 365-Daten".
• Requested at (Angefordert am/um): Datum/Uhrzeit der Anforderung.
• Request id (Anforderungs-ID): Die ID der Anforderung, wird zu Genehmigungszwecken verwendet.
• DataTable (Datentabelle): Das extrahierte Dataset (z. B. gesendete Elemente).
• Columns (Spalten): Die Liste der Spalten, die aus der Datentabelle extrahiert werden – z. B. "SentDateTime" (Datum/Uhrzeit des Versands).
• AllowedGroups (Zulässige Gruppen): Gruppe oder Gruppen von Benutzern, über die die Pipeline Daten extrahiert. Ist die Liste der Gruppen leer, fordert die Pipeline Zugriff auf Daten aller Benutzer des Mandanten an.
• User Scope Query (Benutzerbereichabfrage): Das zum Herausfiltern von Benutzern verwendete Prädikat. Dies gilt nur, wenn die Anforderung für alle Benutzer im Mandanten erfolgt. Ist diese Option leer, wird kein Filter angewendet.
• OutputUri (Ausgabe-URI): Der Ausgabepfad, unter dem die extrahierten Daten gespeichert werden.
• SourceTenantId (Quellmandanten-ID): Die ID des Mandanten, von dem Daten extrahiert werden.
• InstallerIdentity (Identität des Installers): Die Identität des App-Installers.

Die folgenden Felder in der Anforderung sind nur in einigen Fällen verfügbar:

• Der Anwendungsname und die Marketplace-URI (nur für Anwendungen verfügbar, die über den Azure Marketplace installiert wurden).
• Links zu den Datenschutzrichtlinien und Nutzungsbedingungen der Anwendung (nur verfügbar, wenn sie von der Anwendung bereitstellt werden).
• Die Compliancerichtlinien, die die Anwendung durchsetzt, wie z. B. Datenverschlüsselung bei ruhenden Daten am Ausgabespeicherort (nur verfügbar, wenn sie von der Anwendung bereitgestellt werden und wenn die Anwendung über den Azure Marketplace installiert wurde).
• Verweigerungsliste: Die Benutzergruppe, die aus den extrahierten Daten bereinigt werden kann. Bei der Anforderung von Datasets, die das Bereinigen von extrahierten Daten zum Schutz der Privatsphäre (Datenschutzscrubbing) unterstützen, ist dieses Feld leer. Es kann vom Mitglied der Genehmigungsgruppe, das die Anforderung genehmigt, zum Zeitpunkt der Genehmigung ausgefüllt werden.

Genehmigen von Anforderungen

Microsoft Graph Data Connect-Pipelines müssen von einem Mitglied einer Genehmigungsgruppe für Datenzugriffsanforderungen genehmigt werden. Genehmigende Personen können Pipelines unter Verwendung des Exchange Online PowerShell-Moduls oder der PAM-Benutzerumgebung genehmigen, ablehnen oder widerrufen.

Genehmigen, Ablehnen und Widerrufen von Anforderungen mithilfe von PowerShell

Gehen Sie folgendermaßen vor, um mit einer Anforderung über das Exchange Online PowerShell-Modul zu interagieren:

1. Installieren Sie das Microsoft Exchange Online-PowerShell-Modul. Anweisungen zur Installation finden Sie unter Verbinden mit Exchange Online PowerShell per mehrstufiger Authentifizierung.

2. Stellen Sie die Verbindung mit Exchange Online PowerShell per mehrstufiger Authentifizierung (MFA) her. Anweisungen finden Sie unter Verbinden mit Exchange Online PowerShell per mehrstufiger Authentifizierung.

   Hinweis

   Hinweis: Sie brauchen die mehrstufige Authentifizierung für Ihre Organisation nicht zu aktivieren, um diese Schritte zu verwenden, während Sie eine Verbindung mit Exchange Online PowerShell herstellen. Durch das Herstellen einer Verbindung mit MFA wird ein OAuth-Token erstellt, das von PAM zum Signieren Ihre Anforderungen verwendet wird.

3. Melden Sie sich mit Ihrem Konto an. Sie müssen Mitglied der konfigurierten Genehmigungsgruppe für den Datenzugriff sein, um Anforderungen genehmigen, ablehnen oder widerrufen zu können. Gastbenutzer können keine Anforderungen genehmigen, auch wenn sie zur Genehmigungsgruppe gehören.

   Connect-EXOPSSession
   

4. Suchen Sie alle ausstehenden Anforderungen.

   Hinweis

   Der Wert in der Identity-Eigenschaft wird verwendet, um die Anforderung zu identifizieren und zu genehmigen oder abzulehnen. Notieren Sie sich diesen Wert, und verwenden Sie ihn im Parameter "-RequestId".

   Get-ElevatedAccessRequest | ?{$_.RequestStatus -eq 'Pending'}
   

5. Schauen Sie sich das Feld context der Anforderung, an der Sie interessiert sind, genauer an.

   Hinweis

   Das Kontextfeld der Datenzugriffsanforderung beschreibt die Parameter und Eigenschaften der Kopieraktivität.

   Get-ElevatedAccessRequest -RequestId ($requestId).Context | ConvertFrom-Json
   

   Die Antwort sieht in etwa wie folgt aus:

   Key                          Value
   ---                          -----
   ApplicationName
   ComplianceStatus             [{"Timestamp":"2018-05-02T18:29:21.5705664Z","RequirementName":"adlsEncryption","PolicyComplianceState":"Compliant","Violations":0},{"Timestamp":"2018-05-02T...
   ApplicationMarketPlaceUri
   OutputUri                    adl://myadlserumvrroyspmq.azuredatalakestore.net/targetFolder/Event
   ApplicationPrivacyPolicyUri  http://www.wkw.com/privacy
   ApplicationTermsOfServiceUri http://www.wkw.com/tos
   InstallerIdentity            a89885c3-4b0e-499e-86ed-14d7ed9147c2@942229f8-4656-4fb0-828b-e938dad4019a
   SourceTenantId               942229f8-4656-4fb0-828b-e938dad4019a
   UserScopeQuery               tenant in (942229f8-4656-4fb0-828b-e938dad4019a)
   ApplicationId
   DataTable                    Calendar Events
   DestinationTenantId          942229f8-4656-4fb0-828b-e938dad4019a
   Columns                      Subject:string, HasAttachments:bool, End:DateTime, Start:DateTime, ResponseStatus:string, Organizer:Object, Attendees:string, Importance:string, Sensitivity:...
   

6. Genehmigen Sie die Anforderung oder lehnen Sie sie ab unter Verwendung des Identity-Werts für den Parameter "-RequestId".

   Approve-ElevatedAccessRequest -RequestId $requestId -Comment "Yay!!"
   Deny-ElevatedAccessRequest -RequestId $requestId -Comment "Nay!!"
   

Sie können die Anforderung auch mit einer Verweigerungsliste genehmigen, um sicherzustellen, dass Daten von bestimmten Benutzern nicht enthalten sind. Dazu müssen Sie den Kontext der Anforderung ändern, um die object Id der Gruppe hinzuzufügen, die Sie auslassen möchten, und die Anforderung dann genehmigen.

$request = Get-ElevatedAccessRequest -RequestId
$hash = $request.Context
$hash["DenyList"] = <Object ID of denied user group>;
Approve-ElevatedAccessRequest -RequestId $requestId -Comment "Yay!!" -RequestContext $hash
Deny-ElevatedAccessRequest -RequestId $requestId -Comment "Nay!!"

Sie können Anforderungen, die zuvor genehmigt wurden, auch widerrufen. Ähnlich wie beim Genehmigen von Anforderungen ist auch hierbei der Identity-Wert im Parameter "-RequestId" erforderlich.

Revoke-ElevatedAccessAuthorization -Comment "Revoking this request!" -RequestId $requestId

Die Antwort sieht in etwa wie folgt aus:

AuthorizedBy          : user@contoso.com
Type                  : Task
AuthorizedAccess      : Data Access Request
StartTimeUtc          : 7/24/2018 6:02:42 PM
EndTimeUtc            : 10/22/2018 6:02:42 PM
Revoked               : True
RevocationDateTimeUtc : 7/24/2018 9:12:55 PM
RevokedBy             : NAMPR00A001.prod.outlook.com/Microsoft Exchange Hosted  Organizations/contoso.com/user
RevocationComment     : Revoking this request!
Identity              : bda75607-0d87-43cb-bdf1-284b18446b34
DateCreatedUtc        : 1/1/0001 12:00:00 AM
DateUpdatedUtc        : 7/24/2018 9:12:55 PM

Genehmigen, Ablehnen und Widerrufen von Anforderungen über die PAM-Benutzerumgebung

Gehen Sie folgendermaßen vor, um mit einer Anforderung über die PAM-Benutzerumgebung zu interagieren:

1. Melden Sie sich beim Microsoft 365-Verwaltungsportal mit Administratoranmeldeinformationen an, und wechseln Sie dann zur Seite Privileged Access Management-Genehmigungsbenutzerfreundlichkeit . Auf dieser Seite werden alle Zugriffsanforderungen angezeigt (ausstehend/genehmigt/abgelaufen/verweigert).

2. Wählen Sie auf der resultierenden Seite die Anforderung aus, für die Sie sich interessieren. Um eine Verweigerungsliste zum Zwecke des Datenschutz-Scrubbings auszuwählen, klicken Sie auf die Dropdownliste DenyList (Verweigerungsliste), wählen Sie die Gruppe, die bereinigt werden soll, und dann Genehmigen aus.

3. Um eine zuvor genehmigte Anforderung zu widerrufen, wählen Sie die genehmigte Anforderung, die Sie widerrufen möchten, und dann Widerrufen aus. Der nächste Versuch, Daten mit dieser Genehmigung zu verschieben, schlägt fehl.

Genehmigungsverhalten

Microsoft Graph Data Connect-Genehmigungsanforderungen weisen besondere Merkmale auf, die Sie beachten sollten:

• Genehmigungsanforderungen basieren auf den Namen der Azure Synapse- oder Azure Data Factory-, Pipeline- und Kopieraktivität. Jede Ausführung der Kopieraktivität überprüft, ob der Microsoft 365-Administrator die Anforderung der Kopieraktivität für den Zugriff auf Office-Daten genehmigt hat, und überprüft die wichtigen Parameter der Ausführung der Kopieraktivität anhand der Parameter der Genehmigung.
• Unter bestimmten Bedingungen wird automatisch eine neue Genehmigungsanforderung ausgelöst. Ein Data Connect-Genehmiger muss die neue Anforderung genehmigen, bevor die Kopieraktivität auf Microsoft 365-Daten zugreifen kann.
• Wenn sich die Parameter der Ausführung der Kopieraktivität ändern, wird eine neue Genehmigungsanforderung ausgelöst.
• Eine neue Genehmigungsanforderung wird ausgelöst, wenn sich der Name der Azure Synapse- oder Azure Data Factory Pipeline oder Kopieraktivität ändert. Beispiel: Eine neue Genehmigung ist erforderlich, wenn sich die Datentabelle oder die Spalten ändern, auf die die Kopieraktivität zugreift.
• Kopieraktivitäten müssen alle sechs Monate genehmigt werden. Wenn die ursprüngliche Genehmigung vor sechs Monaten genehmigt wurde, wird automatisch eine neue Genehmigungsanforderung ausgelöst.
• Wenn ein Mitglied der Genehmigungsgruppe für den Zugriff auf Microsoft 365-Daten eine Genehmigungsanforderung abgelehnt oder eine zuvor genehmigte Anforderung widerrufen hat, schlägt die Kopieraktivität wiederholt fehl. Sie sollten mit dem Genehmigenden zusammenarbeiten, um den Grund für die Ablehnung oder den Widerruf zu verstehen und die Parameter der Kopieraktivität entsprechend zu korrigieren. Um eine neue Genehmigungsanforderung auszulösen, muss eine neue Kopieraktivität bereitgestellt werden, oder der Name der bestehenden Kopieraktivität muss geändert werden.
• Eine Genehmigungsanforderung läuft innerhalb von 24 Stunden ab, es sei denn, eine genehmigende Person für den Zugriff auf Microsoft 365-Daten reagiert auf die Anforderung. Alle 24 Stunden wird eine neue Anforderung zur Genehmigung gesendet. Wenn Ihre Kopieraktivität auf die Genehmigung wartet (in der Phase Zustimmung ausstehend), arbeiten Sie mit einer Microsoft 365-Datenzugriffsbewilligenden Person zusammen, um Ihre Anforderung genehmigen zu lassen.

Datenschutzscrubbing (Bereinigen extrahierter Daten zum Schutz der Privatsphäre)

Das Mitglied der Genehmigungsgruppe, das die Anforderung genehmigt, kann den Namen einer Benutzergruppe angeben, deren Daten aus den extrahierten Daten entfernt werden sollen. Die Zeilen mit den E-Mail-Adressen der Mitglieder einer abgelehnten Gruppe werden aus den extrahierten Daten entfernt. In der abgelehnten Gruppe verschachtelte Gruppen werden erweitert, und nur die Benutzer werden entfernt. Im Abschnitt "Genehmigen von Anforderungen" dieses Artikels finden Sie Details darüber, wie Sie die Verweigerungsliste während der Genehmigung anwenden können, und zwar entweder über PowerShell oder die PAM-Benutzerumgebung.

Die folgende Tabelle zeigt die Namen der Datasets und die Spalten, deren Inhalt zum Zwecke des Datenschutzscrubbings überprüft werden.

Datasetname	Spalten, dir zum Zwecke des Datenschutzscrubbings auf Basis der Verweigerungsliste verwendet werden
BasicDataSet_v0.Message_v0 BasicDataSet_v0.Message_v1	Sender, From, ToRecipients, CcRecipients, BccRecipients
BasicDataSet_v0.SentItem_v0 BasicDataSet_v0.SentItem_v1	Sender, From, ToRecipients, CcRecipients, BccRecipients
BasicDataSet_v0.Event_v0 BasicDataSet_v0.Event_v1	Organizer, Attendees
BasicDataSet_v0.Contact_v0 BasicDataSet_v0.Contact_v1	EmailAddresses
BasicDataSet_v0.CalendarView_v0	Organizer, Attendees

Verwandte Inhalte

• Häufig gestellte Fragen zu Data Connect