Integración de Microsoft Graph Data Connect con PAM

  • Artículo

Importante

La integración de Microsoft Graph Data Connect con Privileged Access Management (PAM) está en desuso. Para obtener más información, consulte Experiencia de incorporación de Microsoft Graph Data Connect.

Microsoft Graph Data Connect se basa en Privileged Access Management (PAM) para permitir que los administradores de Microsoft 365 aprueben las solicitudes de movimiento de datos. Las canalizaciones de Data Connect deben ser aprobadas por un miembro del grupo aprobador de solicitudes de acceso a datos especificado por el administrador de Microsoft 365 durante la activación. Para configurar el grupo de aprobadores, consulte Configurar el inquilino Microsoft 365 y habilitar Microsoft Graph Data Connect.

Los correos electrónicos de solicitud de aprobación se envían a cada miembro del grupo de aprobadores para notificarles cuando las actividades de copia solicitan acceso para extraer datos de Microsoft 365. Los aprobadores pueden aprobar o denegar estas solicitudes, especificar un grupo de usuarios que debe ser eliminado de datos extraídos o revocar una solicitud aprobada previamente. Las aprobaciones se conservan durante seis meses y se necesita una aprobación por actividad de copia en la canalización de Azure Synapse o Azure Data Factory.

Cada solicitud siempre incluye los siguientes detalles sobre el conjunto de datos y los usuarios sobre los que se extraen los datos:

  • Solicitante: el usuario que solicita la canalización.
  • Duración: cuánto tiempo dura la aprobación si se aprueba, que siempre es de 4320 horas (6 meses).
  • Motivo: motivo de la solicitud, normalmente "una aplicación instalada en su organización requiere la aprobación para obtener acceso a datos de Office 365".
  • Solicitado en: la fecha y hora de la solicitud.
  • Id. de solicitud: el Id. de la solicitud, se utiliza para fines de aprobación.
  • DataTable: el conjunto de datos que se van a extraer (por ejemplo, elementos enviados).
  • Columnas: la lista de columnas que se van a extraer desde la tabla de datos (por ejemplo, SentDateTime).
  • AllowedGroups: el grupo o grupos de usuarios de los que la canalización extrae los datos. Si la lista de grupos está vacía, la canalización solicita acceso a los datos de todos los usuarios del espacio empresarial.
  • Consulta de ámbito de usuario: el predicado utilizado para filtrar los usuarios. Esto solo se aplica si la solicitud es para todos los usuarios del espacio empresarial. Si está vacía, no se aplicará ningún filtro.
  • OutputUri: la ruta de acceso de salida donde se almacenan los datos extraídos.
  • SourceTenantId: el Id. de inquilino desde el que se extraen datos.
  • InstallerIdentity: la identidad del instalador de aplicación.

Los siguientes campos de la solicitud solo están disponibles en algunos casos:

  • Nombre de la aplicación y el identificador URI del Marketplace (disponible solo para las aplicaciones instaladas en Azure Marketplace).
  • Vínculos a la directiva de privacidad y términos de servicio de la aplicación (disponible solo si la aplicación los proporciona).
  • Las directivas de cumplimiento que exige la aplicación, como el cifrado de datos almacenados en la ubicación de almacenamiento de salida (disponible solo si la aplicación lo proporciona y si la aplicación está instalada desde Azure Marketplace).
  • Lista de denegación: grupo de usuarios que puede eliminarse de los datos extraídos. Este campo está vacío como parte de la solicitud de conjuntos de datos compatibles con la eliminación de privacidad de los datos extraídos. Puede rellenarlo el miembro del grupo aprobador que apruebe la solicitud en el momento de aprobación.

Aprobar solicitudes

Las canalizaciones de conexión de datos de Microsoft Graph debe aprobarlas un miembro del grupo aprobador de solicitudes de acceso a datos. Los aprobadores pueden aprobar, denegar o revocar canalizaciones con el módulo de PowerShell de Exchange Online o la experiencia del usuario de PAM.

Aprobar, denegar y revocar solicitudes mediante PowerShell

Para interactuar con una solicitud con el módulo de PowerShell de Exchange Online, siga estos pasos:

  1. Instale el módulo de PowerShell de Exchange Online. Para obtener más información sobre la instalación, consulte Conectarse a Exchange Online PowerShell con la autenticación multifactor.

  2. Conectarse a Exchange Online PowerShell con la autenticación multifactor (MFA). Para obtener más información, consulte Conectarse a Exchange Online PowerShell con la autenticación multifactor.

    Nota:

    Nota: no es necesario habilitar la autenticación multifactor en su organización para seguir estos pasos mientras se conecta a Exchange Online PowerShell. La conexión con MFA crea un token de OAuth que PAM usa para firmar las solicitudes.

  3. Inicie sesión con su cuenta. Debe formar parte del grupo de aprobadores de acceso a datos configurado para poder aprobar, denegar o revocar solicitudes. Los usuarios invitados no pueden aprobar solicitudes, aunque estén en el grupo de aprobadores.

    Connect-EXOPSSession

  4. Buscar todas las solicitudes pendientes.

    Nota:

    El valor de la propiedad Identity se usa para identificar y aprobar o denegar la solicitud. Apunte este valor y úselo en el parámetro -RequestId.

    Get-ElevatedAccessRequest | ?{$_.RequestStatus -eq 'Pending'}

  5. Eche un vistazo al campo de contexto de la solicitud que le interesa.

    Nota:

    El campo de contexto de la solicitud de acceso de datos describe los parámetros y las propiedades de la actividad de copia.

    Get-ElevatedAccessRequest -RequestId ($requestId).Context | ConvertFrom-Json

    Obtendrá una respuesta similar a la siguiente:

    Key                          Value
---                          -----
ApplicationName
ComplianceStatus             [{"Timestamp":"2018-05-02T18:29:21.5705664Z","RequirementName":"adlsEncryption","PolicyComplianceState":"Compliant","Violations":0},{"Timestamp":"2018-05-02T...
ApplicationMarketPlaceUri
OutputUri                    adl://myadlserumvrroyspmq.azuredatalakestore.net/targetFolder/Event
ApplicationPrivacyPolicyUri  http://www.wkw.com/privacy
ApplicationTermsOfServiceUri http://www.wkw.com/tos
InstallerIdentity            a89885c3-4b0e-499e-86ed-14d7ed9147c2@942229f8-4656-4fb0-828b-e938dad4019a
SourceTenantId               942229f8-4656-4fb0-828b-e938dad4019a
UserScopeQuery               tenant in (942229f8-4656-4fb0-828b-e938dad4019a)
ApplicationId
DataTable                    Calendar Events
DestinationTenantId          942229f8-4656-4fb0-828b-e938dad4019a
Columns                      Subject:string, HasAttachments:bool, End:DateTime, Start:DateTime, ResponseStatus:string, Organizer:Object, Attendees:string, Importance:string, Sensitivity:...

  6. Apruebe o deniegue la solicitud mediante el valor Identity para el parámetro -RequestId.

    Approve-ElevatedAccessRequest -RequestId $requestId -Comment "Yay!!"
Deny-ElevatedAccessRequest -RequestId $requestId -Comment "Nay!!"

También puede aprobar la solicitud con una lista de denegación para asegurarse de que no se incluyen datos de determinados usuarios. Para ello, debe modificar el contexto de la solicitud para agregar el object Id del grupo que desea omitir y después aprobar la solicitud.

$request = Get-ElevatedAccessRequest -RequestId
$hash = $request.Context
$hash["DenyList"] = <Object ID of denied user group>;
Approve-ElevatedAccessRequest -RequestId $requestId -Comment "Yay!!" -RequestContext $hash
Deny-ElevatedAccessRequest -RequestId $requestId -Comment "Nay!!"

También puede revocar solicitudes aprobadas anteriormente. Al igual que al aprobar las solicitudes, el valor de Identity es lo que se necesita en el parámetro -RequestId.

Revoke-ElevatedAccessAuthorization -Comment "Revoking this request!" -RequestId $requestId

Obtendrá una respuesta similar a la siguiente:

AuthorizedBy          : user@contoso.com
Type                  : Task
AuthorizedAccess      : Data Access Request
StartTimeUtc          : 7/24/2018 6:02:42 PM
EndTimeUtc            : 10/22/2018 6:02:42 PM
Revoked               : True
RevocationDateTimeUtc : 7/24/2018 9:12:55 PM
RevokedBy             : NAMPR00A001.prod.outlook.com/Microsoft Exchange Hosted  Organizations/contoso.com/user
RevocationComment     : Revoking this request!
Identity              : bda75607-0d87-43cb-bdf1-284b18446b34
DateCreatedUtc        : 1/1/0001 12:00:00 AM
DateUpdatedUtc        : 7/24/2018 9:12:55 PM

Aprobar, denegar y revocar solicitudes mediante la experiencia de usuario de PAM

Siga estos pasos para interactuar con una solicitud mediante la experiencia de usuario de PAM:

  1. Inicie sesión en el portal de administración de Microsoft 365 con credenciales de administrador y, a continuación, vaya a la página experiencia de usuario de aprobación de Privileged Access Management . En esta página se muestran todas las solicitudes de acceso (pendientes, aprobadas, expiradas o denegadas).

  2. En la página resultante, seleccione la solicitud que le interesa. Para seleccionar la lista de denegación para un borrador de privacidad, seleccione la lista desplegable DenyList, seleccione el grupo que debe ser borrado y, a continuación, seleccione Aprobar.

  3. Para revocar una solicitud aprobada previamente, seleccione la solicitud aprobada que debe retirarse y, a continuación, elija Revocar. Se produce un error en el siguiente intento de mover datos mediante esa aprobación.

Comportamiento de aprobación

Las solicitudes de aprobación de Conexión de datos de Microsoft Graph tienen características particulares que debe conocer:

  • Las solicitudes de aprobación se basan en los nombres de actividad de Azure Synapse o Azure Data Factory, canalización y copia. Cada ejecución de actividad de copia comprueba que el administrador de Microsoft 365 ha aprobado la solicitud de la actividad de copia para acceder a los datos de Office y valida los parámetros importantes de la ejecución de la actividad de copia con los parámetros de la aprobación.
  • En determinadas condiciones, se activa automáticamente una nueva solicitud de aprobación. Un aprobador de Data Connect debe aprobar la nueva solicitud antes de que la actividad de copia pueda acceder a los datos de Microsoft 365.
  • Si cambian los parámetros de la actividad de copia que se ejecuta, se activa una nueva solicitud de aprobación.
  • Se desencadena una nueva solicitud de aprobación si cambia el nombre de la canalización o la actividad de copia de Azure Synapse o Azure Data Factory. Por ejemplo: se requiere una nueva aprobación si cambia la tabla de datos o conjunto de columnas al que accede la actividad de copia.
  • Las actividades de copia deben aprobarse una vez cada seis meses. Si la aprobación original se realizó hace seis meses, se activa automáticamente una nueva solicitud de aprobación.
  • Si un aprobador de acceso de datos de Microsoft 365 ha denegado una solicitud de aprobación o revocado una solicitud previamente aprobada, la actividad de copia produce continuamente un error. Trabaje con el aprobador para conocer el motivo de la denegación o revocación y corregir los parámetros de la actividad de copia en consecuencia. Para desencadenar una nueva solicitud de aprobación, se debe implementar una nueva actividad de copia o cambiar el nombre de la actividad de copia existente.
  • Las solicitudes de aprobación caducan en 24 horas, a menos que el aprobador de acceso de datos de Microsoft 365 interactúe con la solicitud. Se envía una nueva solicitud para su aprobación cada 24 horas. Si ve la actividad de copia en espera de aprobación (en la fase Consentimiento pendiente), trabaje con un aprobador de acceso a datos de Microsoft 365 para obtener la aprobación de la solicitud.

Eliminación por privacidad

El miembro del grupo aprobador que apruebe la solicitud puede especificar el nombre de un grupo de usuarios cuyos datos se eliminarán de los datos extraídos. Las filas que contienen las direcciones de correo electrónico correspondientes a los miembros del grupo denegado se eliminan de los datos extraídos. Los grupos anidados dentro del grupo denegado se expanden y solo se eliminan los usuarios. Consulte la sección de aprobación de solicitudes de este artículo para obtener más información sobre cómo aplicar la lista de denegación durante la aprobación a través de PowerShell o la experiencia del usuario de PAM.

La siguiente tabla muestra los nombres de los conjuntos de datos y las columnas de las que se comprueba el contenido para la eliminación de privacidad.

Nombre del conjunto de datos Columnas que se usan para la eliminación basada en lista de denegación
BasicDataSet_v0.Message_v0
BasicDataSet_v0.Message_v1		 Sender, From, ToRecipients, CcRecipients, BccRecipients
BasicDataSet_v0.SentItem_v0
BasicDataSet_v0.SentItem_v1		 Sender, From, ToRecipients, CcRecipients, BccRecipients
BasicDataSet_v0.Event_v0
BasicDataSet_v0.Event_v1		 Organizer, Attendees
BasicDataSet_v0.Contact_v0
BasicDataSet_v0.Contact_v1		 EmailAddresses
BasicDataSet_v0.CalendarView_v0 Organizer, Attendees

Contenido relacionado