了解特殊權限存取管理

Microsoft Purview Privileged Access Management 可讓您更精細地控制Office 365中特殊許可權的系統管理員工作。 可以協助防止他人使用對敏感性資料或關鍵組態設定具有常設存取權的現有特殊權限管理帳戶入侵您的組織。 特殊權限存取管理需要使用者要求即時存取,透過範圍與時間高度受到限制的核准工作流程,完成提升權限和授與特殊權限的工作。 此設定可授與使用者僅足夠執行手邊工作的存取權,而不會冒暴露敏感性資料或關鍵組態設定的風險。 啟用特殊許可權存取管理可讓您的組織以零常設許可權運作,並針對常設的系統管理存取弱點提供一層防禦。

如需整合式客戶加密箱和特殊許可權存取管理工作流程的快速概觀,請參閱此 客戶加密箱和特殊許可權存取管理影片

提示

如果您不是 E5 客戶,您可以免費試用 Microsoft Purview 中的所有進階功能。 使用 90 天的 Purview 解決方案試用版,探索健全的 Purview 功能如何協助貴組織管理資料安全性與合規性需求。 立即從Microsoft Purview 合規性入口網站試用中樞開始。 瞭解 有關註冊和試用版條款的詳細資料

保護層

Privileged Access Management 可補充 Microsoft 365 安全性架構內的其他資料和存取功能保護。 將 Privileged Access Management 納入整合式和分層式安全性方法的一部分,所提供的安全性模型可將敏感性資訊和 Microsoft 365 組態設定的保護最大化。 如下圖所示,Privileged Access Management 是以 Microsoft 365 資料的原生加密和 Microsoft 365 服務的角色型存取控制安全性模型所提供的保護為基礎。 與Azure AD Privileged Identity Management搭配使用時,這兩個功能提供不同範圍的 Just-In-Time 存取存取控制。

Microsoft 365 中的分層保護。

特殊許可權存取管理是在工作層級定義和設定範圍,而 Azure AD Privileged Identity Management在角色層級套用保護,且能夠執行多個工作。 Azure AD Privileged Identity Management主要允許管理 AD 角色和角色群組的存取權,而 Microsoft Purview Privileged Access Management 僅適用于工作層級。

  • 在已使用 Azure AD Privileged Identity Management 時啟用特殊許可權存取管理:新增特殊許可權存取管理可為 Microsoft 365 資料的特殊許可權存取提供另一層更細微的保護和稽核功能。

  • 在已使用 Microsoft Purview Privileged Access Management 時啟用 Azure AD Privileged Identity Management:將 Azure AD Privileged Identity Management新增至 Microsoft Purview Privileged Access Management 可以將特殊許可權存取延伸至主要由使用者角色或身分識別定義的 Microsoft 365 以外資料.

特殊許可權存取管理架構和程式流程

下列每個程式流程都會概述特殊許可權存取的架構,以及它如何與 Microsoft 365 基底、稽核和 Exchange 管理 Runspace 互動。

步驟 1:設定特殊權限存取原則

當您使用Microsoft 365 系統管理中心或 Exchange Management PowerShell 設定特殊許可權存取原則時,您可以在 Microsoft 365 基底中定義原則和特殊許可權存取功能程式和原則屬性。 活動會記錄在稽核記錄中。 現在已啟用此原則,並準備就緒可處理傳入的核准要求。

步驟 1:建立原則。

步驟 2:存取要求

Microsoft 365 系統管理中心或 Exchange 管理 PowerShell 中,使用者可以要求存取提升許可權或特殊許可權的工作。 特殊許可權存取功能會將要求傳送至 Microsoft 365 基底,以針對設定的許可權存取原則進行處理,並將活動記錄在稽核記錄中。

步驟 2:存取要求。

步驟 3:存取核准

產生核准要求,並將擱置的要求通知以電子郵件寄送給核准者。 如果核准,即會以核准形式處理特殊權限存取要求,且工作即會準備就緒可完成。 如果拒絕,即會封鎖該工作,且不會將存取權授與要求者。 要求者會透過電子郵件訊息收到要求核准或拒絕的通知。

步驟 3:存取核准。

步驟 4:存取處理

對於核准的要求,該工作會由 Exchange 管理 Runspace 處理。 會對照特殊權限存取原則檢查該核准,並且由 Microsoft 365 基底處理。 工作的所有活動都會記錄在稽核記錄中。

步驟 4:存取處理。

常見問題集

哪些 SKU 可以在Office 365中使用特殊許可權存取?

特殊許可權存取管理適用于各種 Microsoft 365 和Office 365訂用帳戶和附加元件的客戶。 如需詳細資訊,請參閱 開始使用特殊許可權存取管理

特殊許可權存取何時會支援 Exchange 以外的Office 365工作負載?

其他Office 365工作負載很快就會提供特殊許可權存取管理。 如需詳細資訊,請流覽 Microsoft 365 藍圖

我的組織需要超過 30 個特殊許可權存取原則,此限制是否會增加?

是,每個組織目前提高 30 個特殊許可權存取原則的限制是在功能藍圖上。

我需要是全域管理員,才能在Office 365中管理特殊許可權存取嗎?

否,您需要指派給管理Office 365中特殊許可權存取權之帳戶的 Exchange 角色管理角色。 如果您不想將角色管理角色設定為獨立帳戶許可權,全域管理員角色預設會包含此角色,而且可以管理特殊許可權存取。 包含在核准者群組中的使用者不需要是全域管理員或獲指派角色管理角色,即可使用 PowerShell 檢閱和核准要求。

當 Microsoft 存取資料時,客戶加密箱允許組織存取控制層級。 特殊許可權存取管理可讓組織內針對所有 Microsoft 365 特殊許可權工作進行細微的存取控制。

準備好開始使用了嗎?

開始 設定您的組織進行特殊許可權存取管理

深入了解

互動式指南:使用特殊許可權存取管理來監視和控制系統管理員工作