開始使用 Privileged Access Management

本文會引導您在組織中啟用和設定特殊許可權存取管理。 您可以使用Microsoft 365 系統管理中心或 Exchange 管理 PowerShell 來管理和使用特殊許可權存取。

提示

如果您不是 E5 客戶,您可以免費試用 Microsoft Purview 中的所有進階功能。 使用 90 天的 Purview 解決方案試用版,探索健全的 Purview 功能如何協助貴組織管理資料安全性與合規性需求。 立即從Microsoft Purview 合規性入口網站試用中樞開始。 瞭解 有關註冊和試用版條款的詳細資料

在您開始之前

開始使用特殊許可權存取管理之前,您應該確認您的 Microsoft 365 訂閱 和任何附加元件。 若要存取和使用特殊許可權存取管理,您的組織必須具有下列其中一個訂用帳戶或附加元件:

  • Microsoft 365 E5付費或試用版 (訂用帳戶)
  • Microsoft 365 E3訂用帳戶 (或Office 365 E3訂用帳戶 + Enterprise Mobility and Security E3 訂用帳戶) + Microsoft 365 E5 合規性附加元件
  • 任何 Microsoft 365、Office 365、Exchange、SharePoint 或 商務用 OneDrive 訂閱 + Microsoft 365 E5測試人員風險管理附加元件
  • Microsoft 365 A5付費或試用版 (訂用帳戶)
  • Microsoft 365 A3訂用帳戶 (或Office 365 A3訂用帳戶 + Enterprise Mobility and Security A3 訂用帳戶) + Microsoft A5 合規性附加元件
  • 任何 Microsoft 365、Office 365、Exchange、SharePoint 或教育用 OneDrive 訂閱 + Microsoft 365 A5測試人員風險管理附加元件
  • Office 365 企業版 E5 訂閱 (付費或試用版)
  • Office 365 企業版 E3 訂用帳戶 + Office 365 進階合規性附加元件 (不再適用于新的訂用帳戶,請參閱附注)

提交和回應特殊許可權存取管理要求的使用者必須獲指派上述其中一個授權。

重要事項

Office 365 進階合規性不再以獨立訂閱形式銷售。 當目前的訂用帳戶到期時,客戶應該轉換成上述其中一個訂用帳戶,其中包含相同或額外的合規性功能。

如果您沒有現有的 Office 365 企業版 E5 方案,而且想要嘗試特殊許可權存取管理,您可以將 Microsoft 365 新增至現有的Office 365訂閱,或註冊 Microsoft 365 企業版 E5用版。

啟用和設定特殊許可權存取管理

請遵循下列步驟,在您的組織中設定和使用特殊許可權存取:

  • 步驟 1:建立核准者的群組

    開始使用特殊權限存取之前,請決定誰需要傳入要求的核准授權,才能存取提升權限和特殊權限的工作。 任何屬於核准者群組的使用者都能核准存取要求。 在 Office 365 中建立擁有郵件功能的安全性群組,以啟用此群組。

  • 步驟 2:啟用特殊許可權存取

    必須在 Office 365 中以預設核准者群組明確啟用特殊權限存取,包括您想要從特殊權限存取管理存取控制中排除的一組系統帳戶。

  • 步驟 3:建立存取原則

    建立核准原則可讓您定義以個別工作為範圍的特定核准需求。 核准類型選項為自動手動

  • 步驟 4:提交/核准特殊許可權存取要求

    啟用之後,特殊權限存取需要核准已定義相關聯核准原則的任何工作。 對於核准原則中包含的工作,使用者必須要求並取得存取核准,才能擁有執行工作所需的權限。

核准經過授與之後,要求的使用者就可以執行預定的工作,而特殊權限存取會代表使用者授權及執行工作。 核准對於要求持續時間 (預設持續時間為 4 小時) 仍然有效,在此期間要求者可以多次執行預定的工作。 所有此類執行會進行記錄,並可供安全性與合規性稽核使用。

注意事項

如果您想要使用 Exchange Management PowerShell 來啟用和設定特殊許可權存取,請遵循使用 Multi-Factor Authentication 連線到 Exchange Online PowerShell中的步驟,使用Office 365認證連線到 Exchange Online PowerShell。 您不需要為組織啟用多重要素驗證,即可在連線到 Exchange Online PowerShell 時,使用啟用特殊許可權存取的步驟。 使用多重要素驗證連線會建立驗證權杖,供特殊許可權存取用來簽署您的要求。

步驟 1:建立核准者的群組

  1. 使用組織中系統管理員帳戶的認證登入Microsoft 365 系統管理中心

  2. 在系統管理中心,移至[群組>] [新增群組]

  3. 取啟用郵件的安全性群組 ,然後完成新群組的 [名稱]、 [群組電子郵件地址] 和 [ 描述] 字 段。

  4. 儲存群組。  可能需要幾分鐘才能完整設定群組,並出現在 Microsoft 365 系統管理中心。

  5. 選取新核准者的群組,然後選取 [編輯 ] 將使用者新增至群組。

  6. 儲存群組。

步驟 2:啟用特殊許可權存取

在 Microsoft 365 系統管理 中心

  1. 使用組織中系統管理員帳戶的認證登入Microsoft 365 系統管理 中心

  2. 在系統管理中心,移至 [設定>] [組織設定] [安全 &性 > 隱私 >權] [特殊許可權存取]

  3. 啟用 [需要核准特殊許可權工作 ] 控制項。

  4. 將您在步驟 1 中建立的核准者群組指派為 預設核准者群組

  5. 儲存關閉

在 Exchange 管理 PowerShell 中

若要啟用特殊許可權存取並指派核准者的群組,請在 Exchange Online PowerShell 中執行下列命令:

Enable-ElevatedAccessControl -AdminGroup '<default approver group>' -SystemAccounts @('<systemAccountUPN1>','<systemAccountUPN2>')

範例:

Enable-ElevatedAccessControl -AdminGroup 'pamapprovers@fabrikam.onmicrosoft.com' -SystemAccounts @('sys1@fabrikamorg.onmicrosoft.com', 'sys2@fabrikamorg.onmicrosoft.com')

注意事項

系統帳戶功能可用來確保組織內的某些自動化可以在不依賴特殊許可權存取的情況下運作,不過,建議您將這類排除專案設為例外,而且應該定期核准和稽核允許的排除專案。

步驟 3:建立存取原則

您可以為組織建立和設定最多 30 個特殊許可權存取原則。

在 Microsoft 365 系統管理 中心

  1. 使用組織中系統管理員帳戶的認證登入Microsoft 365 系統管理 中心

  2. 在 [管理員 中心] 中,移至 [設定>] [組織設定] [安全 &性 > 隱私 >權] [特殊許可權存取]

  3. 取 [管理存取原則和要求]

  4. 取 [設定原則] ,然後選取 [ 新增原則]

  5. 從下拉式欄位中,選取您組織的適當值:

    原則類型:工作、角色或角色群組

    原則範圍:Exchange

    原則名稱:從可用的原則中選取

    核准類型:手動或自動

    核准群組:選取在步驟 1 中建立的核准者群組

  6. 取 [建立 ],然後選取 [ 關閉]。 可能需要幾分鐘的時間,才能完整設定和啟用原則。

在 Exchange 管理 PowerShell 中

若要建立和定義核准原則,請在 Exchange Online PowerShell 中執行下列命令:

New-ElevatedAccessApprovalPolicy -Task 'Exchange\<exchange management cmdlet name>' -ApprovalType <Manual, Auto> -ApproverGroup '<default/custom approver group>'

範例:

New-ElevatedAccessApprovalPolicy -Task 'Exchange\New-MoveRequest' -ApprovalType Manual -ApproverGroup 'mbmanagers@fabrikamorg.onmicrosoft.com'

步驟 4:提交/核准特殊許可權存取要求

要求提高權限以執行特殊權限工作

特殊權限存取的要求在提交要求後的 24 小時內有效。 如果未核准或拒絕,要求會過期,且不會核准存取權。

在 Microsoft 365 系統管理 中心

  1. 使用您的認證登入Microsoft 365 系統管理中心

  2. 在 [管理員 中心] 中,移至 [設定>] [組織設定] [安全 &性 > 隱私 >權] [特殊許可權存取]

  3. 取 [管理存取原則和要求]

  4. 選取 [新增要求]。 從下拉式欄位中,選取您組織的適當值:

    要求類型:工作、角色或角色群組

    要求範圍:Exchange

    要求項目:從可用的原則中選取

    持續時間 (小時):要求存取的時數。 可以要求的時數沒有限制。

    批註:與存取要求相關之批註的文字欄位

  5. 選取 [儲存 ],然後選取 [ 關閉]。 您的要求會透過電子郵件傳送至核准者的群組。

在 Exchange 管理 PowerShell 中

在 Exchange Online PowerShell 中執行下列命令,以建立核准者群組並提交核准要求:

New-ElevatedAccessRequest -Task 'Exchange\<exchange management cmdlet name>' -Reason '<appropriate reason>' -DurationHours <duration in hours>

範例:

New-ElevatedAccessRequest -Task 'Exchange\New-MoveRequest' -Reason 'Attempting to fix the user mailbox error' -DurationHours 4

查看提高權限要求的狀態

建立核准要求之後,可以使用與要求識別碼相關聯的 ,在系統管理中心或 Exchange Management PowerShell 中檢閱提高許可權要求狀態。

在 Microsoft 365 系統管理中心

  1. 使用您的認證登入Microsoft 365 系統管理中心

  2. 在系統管理中心,移至 [設定>] [組織設定] [安全 &性 > 隱私 >權] [特殊許可權存取]

  3. 取 [管理存取原則和要求]

  4. 取 [檢視 ],依 [擱置]、[ 核准]、[ 拒絕] 或 [客戶加密箱狀態] 篩選提交的要求。

在 Exchange 管理 PowerShell 中

在 Exchange Online PowerShell 中執行下列命令,以檢視特定要求識別碼的核准要求狀態:

Get-ElevatedAccessRequest -Identity <request ID> | select RequestStatus

範例:

Get-ElevatedAccessRequest -Identity 28560ed0-419d-4cc3-8f5b-603911cbd450 | select RequestStatus

核准提高許可權授權要求

建立核准要求時,相關核准者群組的成員會收到電子郵件通知,並可核准與要求識別碼相關聯的要求。 要求者會透過電子郵件訊息收到要求核准或拒絕的通知。

在 Microsoft 365 系統管理中心

  1. 使用您的認證登入Microsoft 365 系統管理中心

  2. 在系統管理中心,移至 [設定>] [組織設定] [安全 &性 > 隱私 >權] [特殊許可權存取]

  3. 取 [管理存取原則和要求]

  4. 選取列出的要求以檢視詳細資料,並針對要求採取動作。

  5. 取 [核准 ] 以核准要求,或選取 [ 拒絕 ] 以拒絕要求。 先前核准的要求可以選取 [撤銷] 來撤銷存取

在 Exchange 管理 PowerShell 中

若要核准提高許可權授權要求,請在 Exchange Online PowerShell 中執行下列命令:

Approve-ElevatedAccessRequest -RequestId <request id> -Comment '<approval comment>'

範例:

Approve-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<approval comment>'

若要拒絕提高許可權授權要求,請在 Exchange Online PowerShell 中執行下列命令:

Deny-ElevatedAccessRequest -RequestId <request id> -Comment '<denial comment>'

範例:

Deny-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<denial comment>'

在 Office 365 中刪除特殊許可權存取原則

如果您的組織不再需要它,您可以刪除特殊許可權存取原則。

在 Microsoft 365 系統管理中心

  1. 使用組織中系統管理員帳戶的認證登入Microsoft 365 系統管理中心

  2. 在系統管理中心,移至 [設定>] [組織設定] [安全 &性 > 隱私 >權] [特殊許可權存取]

  3. 取 [管理存取原則和要求]

  4. 取 [設定原則]

  5. 選取您想要刪除的原則,然後選取 [ 移除原則]

  6. 選取 [關閉]

在 Exchange 管理 PowerShell 中

若要刪除特殊許可權存取原則,請在 Exchange Online Powershell 中執行下列命令:

Remove-ElevatedAccessApprovalPolicy -Identity <identity GUID of the policy you want to delete>

在 Office 365 中停用特殊許可權存取

如有需要,您可以為組織停用特殊許可權存取管理。 停用特殊許可權存取不會刪除任何相關聯的核准原則或核准者群組。

在 Microsoft 365 系統管理中心

  1. 使用組織中系統管理員帳戶的認證登入Microsoft 365 系統管理中心

  2. 在 [管理員 中心] 中,移至 [設定>] [組織設定] [安全 &性 > 隱私 >權] [特殊許可權存取]

  3. 啟用 [需要核准特殊許可權的訪問 控制]。

在 Exchange 管理 PowerShell 中

若要停用特殊許可權存取,請在 Exchange Online Powershell 中執行下列命令:

Disable-ElevatedAccessControl