Introdução ao gerenciamento de acesso privilegiado

  • Artigo

Este artigo orienta você a habilitar e configurar o gerenciamento de acesso privilegiado em sua organização. Você pode usar o Centro de administração do Microsoft 365 ou o Exchange Management PowerShell para gerenciar e usar o acesso privilegiado.

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Antes de começar

Antes de começar a usar o gerenciamento de acesso privilegiado, você deve confirmar sua assinatura do Microsoft 365 e quaisquer complementos.

Antes de começar a usar o gerenciamento de acesso privilegiado, você deve confirmar sua assinatura do Microsoft 365 e quaisquer complementos. Para acessar e usar o gerenciamento de acesso privilegiado, sua organização deve ter assinaturas de suporte ou complementos. Para obter mais informações, confira os requisitos de assinatura para gerenciamento de acesso privilegiado.

Se você não tiver um plano Office 365 Enterprise E5 existente e quiser experimentar o gerenciamento de acesso privilegiado, poderá adicionar o Microsoft 365 à sua assinatura de Office 365 existente ou se inscrever para uma avaliação do Microsoft 365 Enterprise E5.

Habilitar e configurar o gerenciamento de acesso privilegiado

Siga estas etapas para configurar e usar o acesso privilegiado em sua organização:

  • Etapa 1: Criar um grupo de aprovadores

    Antes de começar a usar o acesso privilegiado, determine quem precisa de autoridade de aprovação para solicitações de acesso a tarefas elevadas e privilegiadas. Qualquer usuário que faz parte do grupo de Aprovadores pode aprovar solicitações de acesso. Esse grupo é habilitado criando um grupo de segurança habilitado para email em Office 365.

  • Etapa 2: Habilitar o acesso privilegiado

    O acesso privilegiado deve ser explicitamente habilitado no Office 365 com o grupo aprovador padrão, incluindo um conjunto de contas do sistema que você deseja excluir do controle de acesso de gerenciamento de acesso privilegiado.

  • Etapa 3: criar uma política de acesso

    Criar uma política de aprovação permite que você defina os requisitos de aprovação específicos com escopo em tarefas individuais. As opções de tipo de aprovação são Automática ou Manual.

  • Etapa 4: Enviar/aprovar solicitações de acesso privilegiado

    Uma vez habilitado, o acesso privilegiado requer aprovações para qualquer tarefa que tenha uma política de aprovação associada definida. Para tarefas incluídas em uma política de aprovação, os usuários devem solicitar e ter a aprovação de acesso concedida para que tenham as permissões necessárias para executar a tarefa.

Depois que a aprovação for concedida, o usuário solicitante poderá executar a tarefa pretendida e o acesso privilegiado autorizará e executará a tarefa em nome do usuário. A aprovação permanece válida pelo tempo solicitado (a duração padrão é de quatro horas), durante o qual o solicitante pode executar a tarefa pretendida várias vezes. Todas essas execuções são registradas e disponibilizadas para auditoria de segurança e conformidade.

Observação

Se você quiser usar o PowerShell de Gerenciamento do Exchange para habilitar e configurar o acesso privilegiado, siga as etapas em Conectar ao Exchange Online PowerShell usando a autenticação multifator para se conectar ao Exchange Online PowerShell com suas credenciais de Office 365. Você não precisa habilitar a autenticação multifator para que sua organização use as etapas para habilitar o acesso privilegiado durante a conexão com Exchange Online PowerShell. Conectar-se com a autenticação multifator cria um Token de Auth que é usado pelo acesso privilegiado para assinar suas solicitações.

Etapa 1: Criar um grupo de aprovadores

  1. Entre no Centro de administração do Microsoft 365 usando credenciais para uma conta de administrador em sua organização.

  2. No centro de administração, acesse Grupos>Adicionar um grupo.

  3. Selecione grupo de segurança habilitado para email e conclua os campos Nome, Endereço de email de grupo e Descrição para o novo grupo.

  4. Salve o grupo. Pode levar alguns minutos para que o grupo esteja totalmente configurado e apareça no Centro de administração do Microsoft 365.

  5. Selecione o grupo do novo aprovador e selecione editar para adicionar usuários ao grupo.

  6. Salve o grupo.

Etapa 2: Habilitar o acesso privilegiado

No Centro de Administração Microsoft 365

  1. Entre no Centro de Administração Microsoft 365 usando credenciais para uma conta de administrador em sua organização.

  2. No centro de administração, acesse ConfiguraçõesOrg Settings>>Security & acessoprivilegiado à privacidade>.

  3. Habilite o controle Exigir aprovações para tarefas privilegiadas .

  4. Atribua o grupo do aprovador que você criou na Etapa 1 como o grupo de aprovadores padrão.

  5. Salvar e Fechar.

No PowerShell de Gerenciamento do Exchange

Para habilitar o acesso privilegiado e atribuir o grupo do aprovador, execute o seguinte comando no Exchange Online PowerShell:

Enable-ElevatedAccessControl -AdminGroup '<default approver group>' -SystemAccounts @('<systemAccountUPN1>','<systemAccountUPN2>')

Exemplo:

Enable-ElevatedAccessControl -AdminGroup 'pamapprovers@fabrikam.onmicrosoft.com' -SystemAccounts @('sys1@fabrikamorg.onmicrosoft.com', 'sys2@fabrikamorg.onmicrosoft.com')

Observação

O recurso contas do sistema é disponibilizado para garantir que determinadas automações dentro de suas organizações possam funcionar sem dependência do acesso privilegiado, no entanto, é recomendável que essas exclusões sejam excepcionais e as permitidas sejam aprovadas e auditadas regularmente.

Etapa 3: criar uma política de acesso

Você pode criar e configurar até 30 políticas de acesso privilegiadas para sua organização.

No Centro de Administração Microsoft 365

  1. Entre no Centro de Administração Microsoft 365 usando credenciais para uma conta de administrador em sua organização.

  2. Na Central de Administração, acesse Configurações>Org Configurações>segurança & acessoprivilegiado à privacidade>.

  3. Selecione Gerenciar políticas e solicitações de acesso.

  4. Selecione Configurar políticas e selecioneAdicionar uma política.

  5. Nos campos suspensos, selecione os valores apropriados para sua organização:

    Tipo de política: tarefa, função ou grupo de funções

    Escopo da política: Exchange

    Nome da política: selecione uma das políticas disponíveis

    Tipo de aprovação: manual ou automática

    Grupo de aprovação: selecione o grupo de aprovadores criado na Etapa 1

  6. Selecione Criar e , em seguida, Fechar. Pode levar alguns minutos para que a política seja totalmente configurada e habilitada.

No PowerShell de Gerenciamento do Exchange

Para criar e definir uma política de aprovação, execute o seguinte comando no Exchange Online PowerShell:

New-ElevatedAccessApprovalPolicy -Task 'Exchange\<exchange management cmdlet name>' -ApprovalType <Manual, Auto> -ApproverGroup '<default/custom approver group>'

Exemplo:

New-ElevatedAccessApprovalPolicy -Task 'Exchange\New-MoveRequest' -ApprovalType Manual -ApproverGroup 'mbmanagers@fabrikamorg.onmicrosoft.com'

Etapa 4: Enviar/aprovar solicitações de acesso privilegiado

Solicitar autorização de elevação para executar tarefas privilegiadas

As solicitações de acesso privilegiado são válidas por até 24 horas após o envio da solicitação. Se não for aprovado ou negado, as solicitações expirarão e o acesso não será aprovado.

No Centro de Administração Microsoft 365

  1. Entre no Centro de Administração Microsoft 365 usando suas credenciais.

  2. Na Central de Administração, acesse Configurações>Org Configurações>segurança & acessoprivilegiado à privacidade>.

  3. Selecione Gerenciar políticas e solicitações de acesso.

  4. Selecione Nova solicitação. Nos campos suspensos, selecione os valores apropriados para sua organização:

    Tipo de solicitação: tarefa, função ou grupo de funções

    Escopo da solicitação: Exchange

    Solicitação: selecione uma das políticas disponíveis

    Duração (horas): número de horas de acesso solicitadas. Não há um limite no número de horas que podem ser solicitadas.

    Comentários: campo texto para comentários relacionados à sua solicitação de acesso

  5. Selecione Salvar e , em seguida, Fechar. Sua solicitação será enviada para o grupo do aprovador por email.

No PowerShell de Gerenciamento do Exchange

Execute o seguinte comando no Exchange Online PowerShell para criar e enviar uma solicitação de aprovação para o grupo do aprovador:

New-ElevatedAccessRequest -Task 'Exchange\<exchange management cmdlet name>' -Reason '<appropriate reason>' -DurationHours <duration in hours>

Exemplo:

New-ElevatedAccessRequest -Task 'Exchange\New-MoveRequest' -Reason 'Attempting to fix the user mailbox error' -DurationHours 4

Ver o status das solicitações de elevação

Depois que uma solicitação de aprovação é criada, a solicitação de elevação status pode ser revisada no centro de administração ou no PowerShell de Gerenciamento do Exchange usando a ID de solicitação associada.

No Centro de administração do Microsoft 365

  1. Entre no Centro de administração do Microsoft 365 com suas credenciais.

  2. No centro de administração, acesse ConfiguraçõesOrg Settings>>Security & acessoprivilegiado à privacidade>.

  3. Selecione Gerenciar políticas e solicitações de acesso.

  4. Selecione Exibir para filtrar solicitações enviadas por Pending, Approved, Denied ou Customer Lockbox status.

No PowerShell de Gerenciamento do Exchange

Execute o seguinte comando no Exchange Online PowerShell para exibir uma solicitação de aprovação status para uma ID de solicitação específica:

Get-ElevatedAccessRequest -Identity <request ID> | select RequestStatus

Exemplo:

Get-ElevatedAccessRequest -Identity 28560ed0-419d-4cc3-8f5b-603911cbd450 | select RequestStatus

Aprovando uma solicitação de autorização de elevação

Quando uma solicitação de aprovação é criada, os membros do grupo aprovador relevante recebem uma notificação por email e podem aprovar a solicitação associada à ID da solicitação. O solicitante é notificado da aprovação ou negação da solicitação por mensagem de email.

No Centro de administração do Microsoft 365

  1. Entre no Centro de administração do Microsoft 365 com suas credenciais.

  2. No centro de administração, acesse ConfiguraçõesOrg Settings>>Security & acessoprivilegiado à privacidade>.

  3. Selecione Gerenciar políticas e solicitações de acesso.

  4. Selecione uma solicitação listada para exibir os detalhes e tomar medidas na solicitação.

  5. Selecione Aprovar para aprovar a solicitação ou selecione Negar para negar a solicitação. As solicitações aprovadas anteriormente podem ter acesso revogado selecionando Revogar.

No PowerShell de Gerenciamento do Exchange

Para aprovar uma solicitação de autorização de elevação, execute o seguinte comando no Exchange Online PowerShell:

Approve-ElevatedAccessRequest -RequestId <request id> -Comment '<approval comment>'

Exemplo:

Approve-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<approval comment>'

Para negar uma solicitação de autorização de elevação, execute o seguinte comando no Exchange Online PowerShell:

Deny-ElevatedAccessRequest -RequestId <request id> -Comment '<denial comment>'

Exemplo:

Deny-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<denial comment>'

Excluir uma política de acesso privilegiado no Office 365

Se ele não for mais necessário em sua organização, você poderá excluir uma política de acesso privilegiado.

No Centro de administração do Microsoft 365

  1. Entre no Centro de administração do Microsoft 365 usando credenciais para uma conta de administrador em sua organização.

  2. No centro de administração, acesse ConfiguraçõesOrg Settings>>Security & acessoprivilegiado à privacidade>.

  3. Selecione Gerenciar políticas e solicitações de acesso.

  4. Selecione Configurar políticas.

  5. Selecione a política que você deseja excluir e selecione Remover Política.

  6. Selecione Fechar.

No PowerShell de Gerenciamento do Exchange

Para excluir uma política de acesso privilegiado, execute o seguinte comando no Exchange Online PowerShell:

Remove-ElevatedAccessApprovalPolicy -Identity <identity GUID of the policy you want to delete>

Desabilitar o acesso privilegiado no Office 365

Se necessário, você pode desabilitar o gerenciamento de acesso privilegiado para sua organização. Desabilitar o acesso privilegiado não exclui nenhuma política de aprovação associada ou grupos aprovadores.

No Centro de administração do Microsoft 365

  1. Entre no Centro de administração do Microsoft 365 com credenciais para uma conta de administrador em sua organização.

  2. Na Central de Administração, acesse Configurações>Org Configurações>segurança & acessoprivilegiado à privacidade>.

  3. Habilite o Requer aprovações para o controle de acesso privilegiado .

No PowerShell de Gerenciamento do Exchange

Para desabilitar o acesso privilegiado, execute o seguinte comando no Exchange Online PowerShell:

Disable-ElevatedAccessControl