Fallstudie – Implementieren der privilegierten Zugriffsverwaltung

  • 18 Minuten

Übersicht

Die Contoso Corporation ist ein fiktives Unternehmen, das Richtlinien für den privilegierten Zugriff konfigurieren muss, um Benutzern gerade genug Zugriff für die Ausführung anspruchsvoller Aufgaben zu gewähren, ohne zu riskieren, dass sensible Daten oder kritische Konfigurationseinstellungen preisgegeben werden. 

Diese Fallstudie behandelt die Grundlagen zum Konfigurieren einer Richtlinie für den privilegierten Zugriff. Diese Anleitung umfasst vier Schritte:

  1. Erstellen einer Gruppe genehmigender Personen
  2. Aktivieren des privilegierten Zugriffs
  3. Erstellen einer Zugriffsrichtlinie
  4. Übermitteln und Genehmigen von Anforderungen nach der Zugriffsrichtlinie

Schritt 1 – Erstellen einer Gruppe genehmigender Personen

Die IT-Administratoren von Contoso nahmen an Online-Webinaren über die Verwaltung von privilegiertem Zugriff in Office 365 teil und stellten fest, dass die Zugriffsrichtlinien ihnen helfen werden, die aktualisierten Anforderungen der Unternehmensrichtlinien zur Risikominderung in ihrem Unternehmen zu erfüllen. Ihr Plan umfasst die Identifizierung von:

  • Benutzern, die eine Berechtigung zum Genehmigen eingehender Anforderungen für den Zugriff auf Aufgaben mit erhöhten und privilegierten Rechten benötigen.
  • Benutzern, die Zugriffsanforderungen verwalten werden.

Gruppe genehmigender Personen wird erstellt

  1. Die IT-Administratoren von Contoso melden sich beim Microsoft 365 Admin Center an.

  2. Im Admin Center wählen sie Gruppen > Gruppen > Gruppe hinzufügen aus, wodurch die Flyoutseite Gruppentyp auswählen geöffnet wird.

  3. Sie wählen E-Mail-aktivierte Sicherheitsgruppe aus und füllen dann die Felder Name, Gruppen-E-Mail-Adresse und Beschreibung für die neue Gruppe im Assistenten Zum Hinzufügen einer Gruppe aus.

    Auswählen eines Gruppentyps.

  4. Wenn sie fertig sind, klicken sie auf die Schaltfläche Gruppe erstellen am Ende des Assistenten.   Es kann ein paar Minuten dauern, bis die Gruppe vollständig konfiguriert ist und im Microsoft 365 Admin Center angezeigt wird.

    Überprüfen und beenden des Hinzufügens einer Gruppe.

  5. Nachdem die Gruppe erstellt wurde, wählen Sie die neue Gruppe genehmigender Personen aus, wodurch die Seite „Details“ für diese Gruppe geöffnet wird.

  6. Wenn sie der Gruppe Benutzer hinzufügen möchten, navigieren sie zur Registerkarte Mitglieder, sie wählen den Link Alle anzeigen und Mitglieder verwalten aus und sie klicken dann auf Mitglieder hinzufügen, um der Gruppe Benutzer hinzuzufügen.

    PAM-genehmigende Personen.

Schritt 2 – Aktivieren des privilegierten Zugriffs

Nach dem Erstellen der Genehmigendengruppe müssen die IT-Administratoren von Contoso den privilegierten Zugriff in Office 365 mit der Gruppe, die Sie als standardmäßige Genehmigendengruppe zuweisen, explizit aktivieren. Dieses Verfahren wird auch im Microsoft 365 Admin Center durchgeführt.

  1. Wechseln Sie im Admin Center zu Einstellungen>Einstellungen>Sicherheit & Datenschutz>Privilegierter Zugriff.

    Aktivieren Des privilegierten Zugriffs.

  2. Um privilegierten Zugriff zu aktivieren, schalten sie das Steuerelement Genehmigungen für privilegierte Aufgaben erforderlich auf die Einstellung Ein um, weisen die in Schritt 1 erstellte Gruppe der genehmigenden Person als Standardgruppe genehmigende Personen zu, und klicken Sie dann auf Speichern.

    Genehmigungen für privilegierte Aufgaben erfordern.

Schritt 3 – Erstellen einer Zugriffsrichtlinie

Da alle erforderlichen Voraussetzungen erfüllt sind, sind die IT-Administratoren von Contoso bereit, Richtlinien für den privilegierten Zugriff zu erstellen. Sie können bis zu 30 Richtlinien für den privilegierten Zugriff für Ihre Office 365-Organisation erstellen und konfigurieren.

  1. Die IT-Administratoren von Contoso melden sich beim Microsoft 365 Admin Center an und wechseln zu Einstellungen>Sicherheit & Datenschutz>Privilegierter Zugriff. Mit dieser Aktion wird die Flyoutseite Privilegierter Zugriff geöffnet.

  2. Sie klicken auf der Flyoutseite Privilegierter Zugriff auf Zugriffsrichtlinien und -anforderungen verwalten, um ein neues Fenster zu öffnen, in dem sie Richtlinien konfigurieren und dann Hinzufügen einer Richtlinie auswählen.

  3. Sie füllen auf der Seite Neue Zugriffsrichtlinie erstellen die Felder entsprechend den Anforderungen ihrer Organisation aus:

    • Richtlinientyp: Aufgabe, Rolle oder Rollengruppe
    • Geltungsbereich der Richtlinie: Exchange
    • Richtlinienname: Aus den verfügbaren Richtlinien auswählen
    • Genehmigungstyp: Manuell oder automatisch
    • Genehmigungsgruppe: Wählen Sie die in Schritt 1 erstellte Gruppe der genehmigenden Personen aus.

    Neue Zugriffsrichtlinie erstellen.

  4. Wenn sie fertig sind, klicken sie auf Erstellen und dann auf Schließen.

Schritt 4 – Übermitteln und Genehmigen von Anforderungen nach der Zugriffsrichtlinie

Nach der Aktivierung erfordert der privilegierte Zugriff Genehmigungen für jede Aufgabe, für die eine entsprechende Genehmigungsrichtlinie definiert ist. Für Aufgaben, die in einer Genehmigungsrichtlinie enthalten sind, müssen Benutzer eine Zugriffsgenehmigung anfordern und erhalten, um über die zur Ausführung der Aufgabe erforderlichen Berechtigungen zu verfügen.

Nachdem die Genehmigung erteilt wurde, kann der anfragende Benutzer die beabsichtigte Aufgabe ausführen, und der privilegierte Zugriff autorisiert und führt die Aufgabe im Namen des Benutzers aus. Die Genehmigung bleibt für die beantragte Dauer gültig (Standarddauer ist 4 Stunden), während der der Antragsteller die beabsichtigte Aufgabe mehrmals ausführen kann. Alle derartigen Ausführungen werden protokolliert und für Sicherheits- und Compliance-Audits zur Verfügung gestellt.

Hinweis

Anforderungen für einen privilegierten Zugriff sind bis zu 24 Stunden nach Einreichung der Anforderung gültig. Wenn sie nicht genehmigt oder abgelehnt werden, verfallen die Anforderungen und der Zugriff wird nicht genehmigt.

Anforderung einer Erhebungsberechtigung zur Ausführung privilegierter Aufgaben

  1. Wenn Benutzer eine Zugriffsrichtlinienanforderung übermitteln müssen, melden sie sich mit ihren Administratoranmeldeinformationen beim Microsoft 365 Admin Center an und wechseln zu Einstellungen>Sicherheit & Datenschutz>Privilegierter Zugriff.

  2. Auf der Flyoutseite Privilegierter Zugrif klicken sie auf den Link Zugriffsrichtlinien und -anforderungen verwalten und dann auf Neue Anforderungen.

  3. Auf der Seite Neue Zugriffsanforderung füllen sie die erforderlichen Felder aus:

    • Anforderungstyp: Aufgabe, Rolle oder Rollengruppe
    • Geltungsbereich der Anforderung: Exchange
    • Anforderung für: Aus den verfügbaren Richtlinien auswählen
    • Dauer (Stunden): Anzahl der Stunden, die für den angeforderten Zugriff erforderlich sind. Es gibt keine Beschränkung für die Anzahl der anzufordernden Stunden.
    • Kommentare: Textfeld, um den Grund für den Zugriff einzugeben.

Anzeigen des Status von Anforderungen für erhöhte Rechte

Nach der Übermittlung einer Genehmigungsanforderung können Benutzer den Status Ihrer Anforderung im Admin Center anzeigen, indem sie zu Einstellungen>Sicherheit & Datenschutz>Privilegierter Zugriff navigieren und den Link Zugriffsrichtlinien und -anforderungen verwalten auswählen. Auf der resultierenden Seite wird entweder der Status "Ausstehend", "Genehmigt", "Verweigert" oder " Kunden-Lockbox" angezeigt.

Anzeigen des Status von Anforderungen für erhöhte Rechte.

Genehmigen oder ablehnen einer Anforderung für erhöhte Rechte

Wenn eine Genehmigungsanforderung erstellt wird, erhalten Mitglieder der genehmigenden Gruppe eine E-Mail-Benachrichtigung ähnlich der folgenden:

Ein Benachrichtigungsfenster mit der Meldung „Ihre Aktion steht für die Zugriffsanforderung aus“.

Mitglieder der Genehmigendengruppe können die Anforderung im Microsoft 365 Admin Center entweder genehmigen oder ablehnen, indem sie zu Einstellungen>Sicherheit & Datenschutz>Privilegierter Zugriff navigieren und den Link Zugriffsrichtlinien und -anforderungen verwalten wählen, um die Liste der ausstehenden Anforderungen anzuzeigen. Wenn Sie eine Anforderung auswählen, wird die Seite Anforderungsdetails für diese Anforderung geöffnet und die genehmigende Person kann entweder Genehmigen oder Ablehnen wählen.

Ein Dialogfeld mit den Optionen „Genehmigen“ oder „Verweigern“.

Der Antragsteller wird danach über die Genehmigung oder Ablehnung der Anforderung per E-Mail benachrichtigt.

Benachrichtigung über die Genehmigung bzw. Ablehnung.