開始使用 Privileged Access Management

  • 文章

本文會引導您在組織中啟用和設定特殊許可權存取管理。 您可以使用 Microsoft 365 系統管理中心 或 Exchange Management PowerShell 來管理和使用特殊許可權存取。

提示

如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

開始之前

開始使用特殊許可權存取管理之前,您應該確認您的 Microsoft 365 訂閱 和任何附加元件。

開始使用特殊許可權存取管理之前,您應該確認您的 Microsoft 365 訂閱和任何附加元件。 若要存取和使用特殊許可權存取管理,您的組織必須有支援的訂用帳戶或附加元件。 如需詳細資訊,請參閱特殊許可權存取管理的 用帳戶需求。

如果您沒有現有的 Office 365 企業版 E5 方案,而且想要嘗試特殊許可權存取管理,您可以將 Microsoft 365 新增至現有的 Office 365 訂用帳戶,或註冊 Microsoft 365 企業版 E5 用版。

啟用和設定特殊許可權存取管理

請遵循下列步驟,在您的組織中設定和使用特殊許可權存取:

  • 步驟 1:建立核准者的群組

    開始使用特殊權限存取之前,請決定誰需要傳入要求的核准授權,才能存取提升權限和特殊權限的工作。 任何屬於核准者群組的使用者都能核准存取要求。 在 Office 365 中建立啟用郵件的安全組,以啟用此群組。

  • 步驟 2:啟用特殊許可權存取

    必須在 Office 365 中以預設核准者群組明確啟用特殊權限存取,包括您想要從特殊權限存取管理存取控制中排除的一組系統帳戶。

  • 步驟 3:建立存取原則

    建立核准原則可讓您定義以個別工作為範圍的特定核准需求。 核准類型選項為自動手動

  • 步驟 4:提交/核准特殊許可權存取要求

    啟用之後,特殊權限存取需要核准已定義相關聯核准原則的任何工作。 對於核准原則中包含的工作,使用者必須要求並取得存取核准,才能擁有執行工作所需的權限。

核准經過授與之後,要求的使用者就可以執行預定的工作,而特殊權限存取會代表使用者授權及執行工作。 核准對於要求持續時間 (預設持續時間為 4 小時) 仍然有效,在此期間要求者可以多次執行預定的工作。 所有此類執行會進行記錄,並可供安全性與合規性稽核使用。

注意事項

如果您想要使用 Exchange Management PowerShell 來啟用和設定特殊許可權存取,請遵循使用 Multi-Factor Authentication 連線到 Exchange Online PowerShell 中的步驟,使用 Office 365 認證連線到 Exchange Online PowerShell。 您不需要為組織啟用多重要素驗證,即可在聯機到 Exchange Online PowerShell 時,使用啟用特殊許可權存取的步驟。 使用多重要素驗證聯機會建立驗證令牌,供特殊許可權存取用來簽署您的要求。

步驟 1:建立核准者的群組

  1. 使用組織中系統管理員帳戶的認證登入 Microsoft 365 系統管理中心

  2. 在系統管理中心,移至 [群組>] [新增群組]

  3. 取啟用郵件的安全組 ,然後完成新群組的 [名稱]、 [群組電子郵件位址] 和 [ 描述] 字 段。

  4. 儲存群組。  可能需要幾分鐘才能完整設定群組,並出現在 Microsoft 365 系統管理中心。

  5. 選取新核准者的群組,然後選取 [編輯 ] 將使用者新增至群組。

  6. 儲存群組。

步驟 2:啟用特殊許可權存取

在 Microsoft 365 系統管理 中心

  1. 使用組織中系統管理員帳戶的認證登入 Microsoft 365 系統管理 中心

  2. 在系統管理中心,移至 [設定>組織設定安全性 >& 隱私>權特殊許可權存取]

  3. 啟用 [需要核准特殊許可權工作 ] 控件。

  4. 將您在步驟 1 中建立的核准者群組指派為 預設核准者群組

  5. 儲存關閉

在 Exchange 管理 PowerShell 中

若要啟用特殊許可權存取並指派核准者的群組,請在 Exchange Online PowerShell 中執行下列命令:

Enable-ElevatedAccessControl -AdminGroup '<default approver group>' -SystemAccounts @('<systemAccountUPN1>','<systemAccountUPN2>')

例如:

Enable-ElevatedAccessControl -AdminGroup 'pamapprovers@fabrikam.onmicrosoft.com' -SystemAccounts @('sys1@fabrikamorg.onmicrosoft.com', 'sys2@fabrikamorg.onmicrosoft.com')

注意事項

系統帳戶功能可用來確保組織內的某些自動化可以在不依賴特殊許可權存取的情況下運作,不過,建議您將這類排除項目設為例外,而且應該定期核准和稽核允許的排除專案。

步驟 3:建立存取原則

您可以為組織建立和設定最多 30 個特殊許可權存取原則。

在 Microsoft 365 系統管理 中心

  1. 使用組織中系統管理員帳戶的認證登入 Microsoft 365 系統管理 中心

  2. 在 管理員 中心,移至 [設定>組織設定安全性> & 隱私>權特殊許可權存取]

  3. 取 [管理存取原則和要求]

  4. 取 [設定原則] ,然後選取 [ 新增原則]

  5. 從下拉式欄位中,選取您組織的適當值:

    原則類型:工作、角色或角色群組

    原則範圍:Exchange

    原則名稱:從可用的原則中選取

    核准類型:手動或自動

    核准群組:選取在步驟 1 中建立的核准者群組

  6. 取 [建立 ],然後選取 [ 關閉]。 可能需要幾分鐘的時間,才能完整設定和啟用原則。

在 Exchange 管理 PowerShell 中

若要建立和定義核准原則,請在 Exchange Online PowerShell 中執行下列命令:

New-ElevatedAccessApprovalPolicy -Task 'Exchange\<exchange management cmdlet name>' -ApprovalType <Manual, Auto> -ApproverGroup '<default/custom approver group>'

例如:

New-ElevatedAccessApprovalPolicy -Task 'Exchange\New-MoveRequest' -ApprovalType Manual -ApproverGroup 'mbmanagers@fabrikamorg.onmicrosoft.com'

步驟 4:提交/核准特殊許可權存取要求

要求提高權限以執行特殊權限工作

特殊權限存取的要求在提交要求後的 24 小時內有效。 如果未核准或拒絕,則要求會過期,且不會核准存取權。

在 Microsoft 365 系統管理 中心

  1. 使用您的認證登入 Microsoft 365 系統管理 中心

  2. 在 管理員 中心,移至 [設定>組織設定安全性> & 隱私>權特殊許可權存取]

  3. 取 [管理存取原則和要求]

  4. 選取 [新增要求]。 從下拉式欄位中,選取您組織的適當值:

    要求類型:工作、角色或角色群組

    要求範圍:Exchange

    要求項目:從可用的原則中選取

    持續時間 (小時):要求存取的時數。 可以要求的時數沒有限制。

    批註:與存取要求相關之批註的文字欄位

  5. 選取 [儲存 ],然後選取 [ 關閉]。 您的要求會透過電子郵件傳送至核准者的群組。

在 Exchange 管理 PowerShell 中

在 Exchange Online PowerShell 中執行下列命令,以建立核准者群組並提交核准要求:

New-ElevatedAccessRequest -Task 'Exchange\<exchange management cmdlet name>' -Reason '<appropriate reason>' -DurationHours <duration in hours>

例如:

New-ElevatedAccessRequest -Task 'Exchange\New-MoveRequest' -Reason 'Attempting to fix the user mailbox error' -DurationHours 4

查看提高權限要求的狀態

建立核准要求之後,可以使用與要求標識符相關聯的 ,在系統管理中心或 Exchange Management PowerShell 中檢閱提高許可權要求狀態。

在 Microsoft 365 系統管理中心

  1. 使用您的認證登入 Microsoft 365 系統管理中心

  2. 在系統管理中心,移至 [設定>組織設定安全性 >& 隱私>權特殊許可權存取]

  3. 取 [管理存取原則和要求]

  4. 取 [檢視 ],依 [擱置]、[ 核准]、[ 拒絕] 或 [客戶加密箱狀態] 篩選提交的要求。

在 Exchange 管理 PowerShell 中

在 Exchange Online PowerShell 中執行下列命令,以檢視特定要求標識碼的核准要求狀態:

Get-ElevatedAccessRequest -Identity <request ID> | select RequestStatus

例如:

Get-ElevatedAccessRequest -Identity 28560ed0-419d-4cc3-8f5b-603911cbd450 | select RequestStatus

核准提高許可權授權要求

建立核准要求時,相關核准者群組的成員會收到電子郵件通知,並可核准與要求標識符相關聯的要求。 要求者會透過電子郵件訊息收到要求核准或拒絕的通知。

在 Microsoft 365 系統管理中心

  1. 使用您的認證登入 Microsoft 365 系統管理中心

  2. 在系統管理中心,移至 [設定>組織設定安全性 >& 隱私>權特殊許可權存取]

  3. 取 [管理存取原則和要求]

  4. 選取列出的要求以檢視詳細數據,並針對要求採取動作。

  5. 取 [核准 ] 以核准要求,或選取 [ 拒絕 ] 以拒絕要求。 先前核准的要求可以選取 [撤銷] 來撤銷存取

在 Exchange 管理 PowerShell 中

若要核准提高許可權授權要求,請在 Exchange Online PowerShell 中執行下列命令:

Approve-ElevatedAccessRequest -RequestId <request id> -Comment '<approval comment>'

例如:

Approve-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<approval comment>'

若要拒絕提高許可權授權要求,請在 Exchange Online PowerShell 中執行下列命令:

Deny-ElevatedAccessRequest -RequestId <request id> -Comment '<denial comment>'

例如:

Deny-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<denial comment>'

在 Office 365 中刪除特殊許可權存取原則

如果您的組織不再需要它,您可以刪除特殊許可權存取原則。

在 Microsoft 365 系統管理中心

  1. 使用組織中系統管理員帳戶的認證登入 Microsoft 365 系統管理中心

  2. 在系統管理中心,移至 [設定>組織設定安全性 >& 隱私>權特殊許可權存取]

  3. 取 [管理存取原則和要求]

  4. 取 [設定原則]

  5. 選取您想要刪除的原則,然後選取 [ 移除原則]

  6. 選取 [關閉]

在 Exchange 管理 PowerShell 中

若要刪除特殊許可權存取原則,請在 Exchange Online PowerShell 中執行下列命令:

Remove-ElevatedAccessApprovalPolicy -Identity <identity GUID of the policy you want to delete>

在 Office 365 中停用特殊許可權存取

如有需要,您可以為組織停用特殊許可權存取管理。 停用特殊許可權存取不會刪除任何相關聯的核准原則或核准者群組。

在 Microsoft 365 系統管理中心

  1. 使用組織中系統管理員帳戶的認證登入 Microsoft 365 系統管理中心

  2. 在 管理員 中心,移至 [設定>組織設定安全性> & 隱私>權特殊許可權存取]

  3. 啟用 [需要核准特殊許可權的訪問 控制]。

在 Exchange 管理 PowerShell 中

若要停用特殊許可權存取,請在 Exchange Online PowerShell 中執行下列命令:

Disable-ElevatedAccessControl