Подробнее об управлении привилегированным доступом

Управление привилегированным доступом Microsoft Purview позволяет детально контролировать доступ к задачам привилегированного администратора в Office 365. Это помогает защитить организацию от нарушений безопасности, при которых используются существующие привилегированные учетные записи администраторов с постоянным доступом к конфиденциальным данным или важным параметрам конфигурации. Для управления привилегированным доступом пользователи запрашивают JIT-доступ, чтобы выполнять привилегированные задачи и действия, требующие высокого уровня доступа, через рабочий процесс утверждения, который имеет жесткие ограничения и временные рамки. Эта конфигурация предоставляет пользователям необходимый доступ для выполнения задач без риска раскрытия конфиденциальных данных или критически важных параметров конфигурации. Включение управления привилегированным доступом позволяет вашей организации работать с нулевыми постоянными привилегиями и обеспечивать уровень защиты от постоянных уязвимостей административного доступа.

Краткий обзор интегрированного защищенного хранилища и рабочего процесса управления привилегированным доступом см. в этом видео о защищенном хранилище и управлении привилегированным доступом.

Уровни защиты

Управление привилегированным доступом дополняет другие средства защиты данных и доступа в архитектуре безопасности Microsoft 365. Включение управления привилегированным доступом в рамках интегрированного и многоуровневого подхода к безопасности обеспечивает модель безопасности, которая максимизирует защиту конфиденциальной информации и параметров конфигурации Microsoft 365. Как показано на схеме, управление привилегированным доступом основано на защите данных, обеспечиваемой встроенным шифрованием данных Microsoft 365 и основанной на ролях модели безопасности управления доступом для служб Microsoft 365. При использовании с Azure AD управление привилегированными пользователями эти две функции обеспечивают контроль доступа с JIT-доступом в разных областях.

Многоуровневая защита в Microsoft 365.

Управление привилегированным доступом определяется и определяется на уровне задачи, а Azure AD управление привилегированными пользователями применяет защиту на уровне роли с возможностью выполнения нескольких задач. Azure AD управление привилегированными пользователями основном позволяет управлять доступом к ролям и группам ролей AD, в то время как управление привилегированным доступом Microsoft Purview применяется только на уровне задачи.

  • Включение управления привилегированным доступом при Azure AD управление привилегированными пользователями. Добавление управления привилегированным доступом обеспечивает еще один детализированный уровень защиты и аудита для привилегированного доступа к данным Microsoft 365.

  • Включение Azure AD управление привилегированными пользователями при использовании управления привилегированным доступом Microsoft Purview: добавление Azure AD управление привилегированными пользователями В Microsoft Purview Privileged Access Management можно расширить привилегированный доступ к данным за пределами Microsoft 365, которые в основном определяются ролями пользователей или удостоверениями.

Архитектура управления привилегированным доступом и поток процессов

Каждый из следующих потоков процесса описывает архитектуру привилегированного доступа и взаимодействие с подсистемой microsoft 365, аудитом и пространством выполнения управления Exchange.

Шаг 1. Настройка политики привилегированного доступа

При настройке политики привилегированного доступа с помощью Центр администрирования Microsoft 365 или Exchange Management PowerShell вы определяете политику, процессы функций привилегированного доступа и атрибуты политики в подкатате Microsoft 365. Действия регистрируются в Центре соответствия & требованиям безопасности. Политика включена и готова к обработке входящих запросов на утверждение.

Шаг 1. Создание политики.

Шаг 2. Запрос на доступ

В Центр администрирования Microsoft 365 или с помощью Exchange Management PowerShell пользователи могут запрашивать доступ к задачам с повышенными привилегиями. Функция привилегированного доступа отправляет запрос в подсистему Microsoft 365 & для обработки настроенной политики доступа к привилегиям и записывает действие в журналы Центра соответствия требованиям безопасности.

Шаг 2. Запрос на доступ.

Шаг 3. Утверждение доступа

Создается запрос на утверждение, и уведомление об ожидающем запросе отправляется утверждающим по электронной почте. В случае утверждения запрос на привилегированный доступ обрабатывается как утверждение, и задача готова к выполнению. В случае отказа задача блокируется, и запрашивающей стороне не предоставляется доступ. Запрашивающая сторона получает уведомление об утверждении или отклонении запроса по электронной почте.

Шаг 3. Утверждение доступа.

Шаг 4. Обработка доступа

Для утвержденного запроса задача обрабатывается пространством выполнения управления Exchange. Утверждение проверяется на соответствие политике привилегированного доступа и обрабатывается подложкой Microsoft 365. Все действия для задачи регистрируются в Центре соответствия & требованиям безопасности.

Шаг 4. Обработка доступа.

Вопросы и ответы

Какие номера SKU могут использовать привилегированный доступ в Office 365?

Управление привилегированным доступом доступно клиентам для широкого спектра microsoft 365 и Office 365 и надстроек. Дополнительные сведения см. в статье "Начало работы с управлением привилегированным доступом".

Когда привилегированный доступ будет поддерживать Office 365 рабочих нагрузок за пределами Exchange?

В ближайшее время управление привилегированным доступом будет доступно в Office 365 рабочих нагрузок. Дополнительные сведения см. в стратегии развития Microsoft 365 .

Моей организации требуется более 30 политик привилегированного доступа. Будет ли увеличено это ограничение?

Да, повышение текущего ограничения в 30 политик привилегированного доступа на организацию включено в стратегию развития функций.

Нужно ли быть глобальным администратором Администратор для управления привилегированным доступом в Office 365?

Нет, роль управления ролями Exchange требуется учетным записям, которые управляют привилегированным доступом в Office 365. Если вы не хотите настраивать роль управления ролями в качестве разрешения автономной учетной записи, роль глобального администратора включает эту роль по умолчанию и может управлять привилегированным доступом. Пользователям, включенным в группу утверждающих, не нужно быть глобальным пользователем Администратор или иметь роль управления ролями для проверки и утверждения запросов с помощью PowerShell.

Защищенное хранилище клиентов обеспечивает уровень контроля доступа для организаций, когда корпорация Майкрософт имеет доступ к данным. Управление привилегированным доступом позволяет детально контролировать доступ в организации для всех привилегированных задач Microsoft 365.

Готовы приступить к работе?

Начните настройку организации для управления привилегированным доступом.

Дополнительные сведения

Интерактивное руководство. Мониторинг и контроль задач администратора с помощью управления привилегированным доступом