Интеграция подключения к данным Microsoft Graph с PAM

  • Статья

Важно!

Интеграция Microsoft Graph Data Connect с управлением привилегированным доступом (PAM) не рекомендуется. Дополнительные сведения см. в статье Подключение Microsoft Graph Data Connect.

Подключение к данным Microsoft Graph использует Privileged Access Management (PAM), чтобы позволить администраторам Microsoft 365 утверждать запросы на перемещение данных. Конвейеры Data Connect должны быть утверждены участником группы утверждающих запросов на доступ к данным, указанной администратором Microsoft 365 во время включения. Чтобы настроить группу утверждающих, см. статью Настройка клиента Microsoft 365 и включение службы "Подключение к данным Microsoft Graph".

Электронные письма с запросами на утверждение отправляются каждому участнику группы утверждающих, когда действия копирования запрашивают доступ для извлечения данных Microsoft 365. Утверждающие могут утверждать или отклонять эти запросы, указывать группу пользователей, из которой следует удалить извлекаемые данные, или отозвать ранее утвержденный запрос. Утверждения сохраняются в течение шести месяцев, и одно утверждение требуется для каждого действия копирования в конвейере Azure Synapse или Фабрика данных Azure.

Каждый запрос всегда включает следующие сведения о наборе данных и пользователях, чьи данные извлекаются:

  • Запрашивающий. Пользователь, запросивший конвейер.
  • Продолжительность: как долго утверждение будет сохраняться в случае одобрения, что всегда составляет 4320 часов (6 месяцев).
  • Причина. Причина запроса, обычно следующая: "Приложению, установленному для организации, требуется утверждение на доступ к данным Office 365".
  • Время запроса. Дата и время запроса.
  • ИД запроса. Идентификатор запроса для целей утверждения.
  • DataTable. Набор извлекаемых данных (например, отправленные элементы).
  • Столбцы. Список столбцов, извлекаемых из таблицы данных (например, SentDateTime).
  • AllowedGroups. Группа или группы пользователей, данные которых извлекает конвейер. Если список групп пуст, конвейер запрашивает доступ к данным всех пользователей в клиенте.
  • Запрос области пользователей. Предикат, используемый для фильтрации пользователей. Это применимо, только если запрос относится ко всем пользователям в клиенте. Если этот параметр пуст, фильтр не применяется.
  • OutputUri: выходной путь, в котором хранятся извлеченные данные.
  • SourceTenantId. Идентификатор клиента, из которого извлекаются данные.
  • InstallerIdentity. Удостоверение установщика приложения.

Следующие поля в запросе доступны только в некоторых случаях:

  • Имя приложения и URI Marketplace (доступно только для приложений, установленных из Azure Marketplace).
  • Ссылки на политику конфиденциальности приложения и условия использования (доступны только при предоставлении приложением).
  • Политики соответствия, применяемые приложением, например шифрование данных в состоянии покоя в выходном хранилище (доступно, только если приложение предоставляет его и если приложение установлено из Azure Marketplace).
  • Список запрещенных: группа пользователей, которую можно удалить из извлеченных данных. Это поле не заполняется при запросе наборов данных, поддерживающих очистку извлеченных данных с целью обеспечения конфиденциальности. Оно может заполняться участником группы утверждающих, который утверждает запрос в соответствующее время.

Утверждение запросов

Конвейеры Microsoft Graph Data Connect должны быть утверждены участником группы утверждающих запросы на доступ к данным. Утверждающие могут утверждать, отклонять или отзывать конвейеры с помощью модуля PowerShell для Exchange Online или пользовательского интерфейса PAM.

Утверждайте, отклоняйте и отзывайте запросы с помощью PowerShell.

Для взаимодействия с запросом с помощью модуля Exchange Online PowerShell сделайте следующее:

  1. Установите модуль Exchange Online PowerShell. Инструкции по установке см. в статье Подключение к Exchange Online PowerShell с помощью многофакторной проверки подлинности.

  2. Подключитесь к Exchange Online PowerShell с помощью многофакторной проверки подлинности (MFA). Инструкции см. в статье Подключение к Exchange Online PowerShell с помощью многофакторной проверки подлинности.

    Примечание.

    Примечание. Вам не нужно включать многофакторную проверку подлинности для своей организации, чтобы использовать эти действия при подключении к Exchange Online PowerShell. Подключение с помощью многофакторной проверки подлинности создает маркер OAuth, используемый PAM для подписи ваших запросов.

  3. Выполните вход с помощью своей учетной записи. Чтобы утверждать, отклонять или отзывать запросы, вы должны быть частью настроенной группы утверждающих доступ к данным. Гостевые пользователи не могут утверждать запросы, даже если они состоят в группе утверждающих.

    Connect-EXOPSSession

  4. Найдите все ожидающие запросы.

    Примечание.

    Значение свойства Удостоверение используется для идентификации и утверждения или отклонения запроса. Запишите это значение и используйте его в параметре -RequestId.

    Get-ElevatedAccessRequest | ?{$_.RequestStatus -eq 'Pending'}

  5. Внимательно рассмотрите поле контекста интересующего вас запроса.

    Примечание.

    Поле контекста запроса на доступ к данным описывает параметры и свойства действия копирования.

    Get-ElevatedAccessRequest -RequestId ($requestId).Context | ConvertFrom-Json

    Вы получите отклик, аналогичный следующему:

    Key                          Value
---                          -----
ApplicationName
ComplianceStatus             [{"Timestamp":"2018-05-02T18:29:21.5705664Z","RequirementName":"adlsEncryption","PolicyComplianceState":"Compliant","Violations":0},{"Timestamp":"2018-05-02T...
ApplicationMarketPlaceUri
OutputUri                    adl://myadlserumvrroyspmq.azuredatalakestore.net/targetFolder/Event
ApplicationPrivacyPolicyUri  http://www.wkw.com/privacy
ApplicationTermsOfServiceUri http://www.wkw.com/tos
InstallerIdentity            a89885c3-4b0e-499e-86ed-14d7ed9147c2@942229f8-4656-4fb0-828b-e938dad4019a
SourceTenantId               942229f8-4656-4fb0-828b-e938dad4019a
UserScopeQuery               tenant in (942229f8-4656-4fb0-828b-e938dad4019a)
ApplicationId
DataTable                    Calendar Events
DestinationTenantId          942229f8-4656-4fb0-828b-e938dad4019a
Columns                      Subject:string, HasAttachments:bool, End:DateTime, Start:DateTime, ResponseStatus:string, Organizer:Object, Attendees:string, Importance:string, Sensitivity:...

  6. Утвердите или отклоните запрос, используя значение Удостоверение для параметра -RequestId.

    Approve-ElevatedAccessRequest -RequestId $requestId -Comment "Yay!!"
Deny-ElevatedAccessRequest -RequestId $requestId -Comment "Nay!!"

Также можно утвердить запрос с использованием списка запрещенных, чтобы не добавлять данные от определенных пользователей. Для этого вам нужно изменить контекст запроса, чтобы добавить группу object Id, которую вы хотите пропустить, а затем утвердить запрос.

$request = Get-ElevatedAccessRequest -RequestId
$hash = $request.Context
$hash["DenyList"] = <Object ID of denied user group>;
Approve-ElevatedAccessRequest -RequestId $requestId -Comment "Yay!!" -RequestContext $hash
Deny-ElevatedAccessRequest -RequestId $requestId -Comment "Nay!!"

Кроме того, вы можете отозвать запросы, которые ранее были утверждены. Аналогично утверждению запросов потребуется значение свойства Identity для параметра -RequestId.

Revoke-ElevatedAccessAuthorization -Comment "Revoking this request!" -RequestId $requestId

Вы получите отклик, аналогичный следующему:

AuthorizedBy          : user@contoso.com
Type                  : Task
AuthorizedAccess      : Data Access Request
StartTimeUtc          : 7/24/2018 6:02:42 PM
EndTimeUtc            : 10/22/2018 6:02:42 PM
Revoked               : True
RevocationDateTimeUtc : 7/24/2018 9:12:55 PM
RevokedBy             : NAMPR00A001.prod.outlook.com/Microsoft Exchange Hosted  Organizations/contoso.com/user
RevocationComment     : Revoking this request!
Identity              : bda75607-0d87-43cb-bdf1-284b18446b34
DateCreatedUtc        : 1/1/0001 12:00:00 AM
DateUpdatedUtc        : 7/24/2018 9:12:55 PM

Утверждайте, отклоняйте и отзывайте запросы с помощью пользовательского интерфейса PAM.

Для взаимодействия с запросом с помощью пользовательского интерфейса PAM сделайте следующее:

  1. Войдите на портал администрирования Microsoft 365, используя учетные данные администратора, а затем перейдите на страницу пользовательского интерфейса утверждения управления привилегированным доступом . На этой странице отображаются все запросы на доступ (ожидающие, утвержденные, просроченные или запрещенные).

  2. На открывшейся странице выберите нужный запрос. Чтобы выбрать список запрещенных для очистки конфиденциальности, выберите раскрывающийся Список Запрещенных, выберите группу, которую необходимо очистить, а затем нажмите Утвердить.

  3. Чтобы отозвать ранее утвержденный запрос, выберите утвержденный запрос, который необходимо отозвать, а затем выберите Отозвать. Следующая попытка переместить данные с использованием этого утверждения завершится сбоем.

Поведение при утверждении

Запросы на утверждение Microsoft Graph Data Connect имеют особые характеристики, о которых следует знать.

  • Запросы на утверждение основаны на Azure Synapse или Фабрика данных Azure, конвейере и именах действий копирования. Каждый запуск действия копирования проверяет, утвержден ли администратор Microsoft 365 запрос действия копирования на доступ к данным Office, и проверяет важные параметры выполняемого действия копирования с параметрами утверждения.
  • При определенных условиях новый запрос на утверждение инициируется автоматически. Утверждающий подключение к данным должен одобрить новый запрос перед тем, как копирование сможет получить доступ к данным Microsoft 365.
  • Если параметры выполняемого копирования изменяются, выполняется новый запрос на утверждение.
  • Новый запрос на утверждение активируется, если имя Azure Synapse или Фабрика данных Azure конвейера или действия копирования. Например, требуется новое утверждение, если изменяется таблица данных или набор столбцов, к которым обращается действие копирования.
  • Действия копирования должны утверждаться каждые шесть месяцев. Если исходное утверждение получено 6 месяцев назад, автоматически выполняется новый запрос на утверждение.
  • Если утверждающий доступ к данным Microsoft 365 отклонил запрос на утверждение или отозвал ранее утвержденный запрос, действие копирования постоянно завершается сбоем. Вам следует в сотрудничестве с утверждающим найти причину отклонения или отзыва и соответствующим образом исправить параметры копирования. Для запуска нового запроса на утверждение необходимо развернуть новое действие копирования или изменить имя существующего действия копирования.
  • Срок действия запроса на утверждение истекает через 24 часа, если утверждающий доступ к данным Microsoft 365 не реагирует на запрос. Новый запрос отправляется на утверждение каждые 24 часа. Если вы видите, что действие копирования ожидает утверждения (на этапе ожидания согласия), обратитесь к утверждающей доступ к данным Microsoft 365, чтобы получить утверждение вашего запроса.

Очистка для обеспечения конфиденциальности

Участник группы утверждающих, который утверждает запрос, может указать имя одной группы пользователей, данные которых будут очищены от извлеченных данных. Строки, содержащие адреса электронной почты, соответствующие участникам запрещенной группы, удаляются из извлеченных данных. Группы, вложенные в запрещенную группу, расширяются, и удаляются только пользователи. Дополнительные сведения о применении списка запрещенных при утверждении через PowerShell или интерфейс пользователя PAM см. в разделе ''Утверждение запросов'' этой статьи.

В следующей таблице представлены имена наборов данных и столбцов, для которых выполняется проверка содержимого с целью очистки для обеспечения конфиденциальности.

Имя набора данных Столбцы, используемые для очистки на основе списка запрещенных
BasicDataSet_v0.Message_v0
BasicDataSet_v0.Message_v1		 Sender, From, ToRecipients, CcRecipients, BccRecipients
BasicDataSet_v0.SentItem_v0
BasicDataSet_v0.SentItem_v1		 Sender, From, ToRecipients, CcRecipients, BccRecipients
BasicDataSet_v0.Event_v0
BasicDataSet_v0.Event_v1		 Organizer, Attendees
BasicDataSet_v0.Contact_v0
BasicDataSet_v0.Contact_v1		 EmailAddresses
BasicDataSet_v0.CalendarView_v0 Organizer, Attendees

Связанные материалы