Подробнее об управлении привилегированным доступом

Управление привилегированным доступом Microsoft Purview позволяет детализированно управлять доступом к задачам привилегированного администратора в Office 365. Это помогает защитить организацию от нарушений безопасности, при которых используются существующие привилегированные учетные записи администраторов с постоянным доступом к конфиденциальным данным или важным параметрам конфигурации. Для управления привилегированным доступом пользователи запрашивают JIT-доступ, чтобы выполнять привилегированные задачи и действия, требующие высокого уровня доступа, через рабочий процесс утверждения, который имеет жесткие ограничения и временные рамки. Эта конфигурация предоставляет пользователям необходимый доступ для выполнения задач без риска раскрытия конфиденциальных данных или критически важных параметров конфигурации. Включение управления привилегированным доступом позволяет вашей организации работать с нулевыми постоянными привилегиями и обеспечивает уровень защиты от постоянных уязвимостей административного доступа.

Краткий обзор интегрированного рабочего процесса управления привилегированным доступом и защищенного доступа см. в этом видео о клиентском хранилище и управлении привилегированным доступом.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Уровни защиты

Управление привилегированным доступом дополняет другие средства защиты данных и доступа в архитектуре безопасности Microsoft 365. Включение управления привилегированным доступом в рамках интегрированного и многоуровневого подхода к безопасности обеспечивает модель безопасности, которая максимизирует защиту конфиденциальной информации и параметров конфигурации Microsoft 365. Как показано на схеме, управление привилегированным доступом основано на защите данных, обеспечиваемой встроенным шифрованием данных Microsoft 365 и основанной на ролях модели безопасности управления доступом для служб Microsoft 365. При использовании с Microsoft Entra управление привилегированными пользователями эти две функции обеспечивают управление доступом с JIT-доступом в разных областях.

Многоуровневая защита в Microsoft 365.

Управление привилегированным доступом определяется и ограничивается на уровне задач, а Microsoft Entra управление привилегированными пользователями применяет защиту на уровне роли с возможностью выполнения нескольких задач. Microsoft Entra управление привилегированными пользователями в первую очередь позволяет управлять доступом для ролей и групп ролей AD, в то время как Управление привилегированным доступом Microsoft Purview применяется только на уровне задач.

  • Включение управления привилегированным доступом при использовании Microsoft Entra управление привилегированными пользователями. Добавление управления привилегированным доступом предоставляет еще один детализированный уровень защиты и возможностей аудита для привилегированного доступа к данным Microsoft 365.

  • Включение Microsoft Entra управление привилегированными пользователями при использовании Microsoft Purview Privileged Access Management: добавление Microsoft Entra управление привилегированными пользователями Microsoft Purview Privileged Access Management может расширить привилегированный доступ к данным за пределами Microsoft 365, которые в основном определяются ролями пользователей или удостоверением.

Архитектура управления привилегированным доступом и поток процессов

Каждый из следующих процессов описывает архитектуру привилегированного доступа и взаимодействие с субстратом Microsoft 365, аудитом и пространством выполнения управления Exchange.

Шаг 1. Настройка политики привилегированного доступа

При настройке политики привилегированного доступа с помощью Центр администрирования Microsoft 365 или Exchange Management PowerShell вы определяете политику и процессы функций привилегированного доступа, а также атрибуты политики в подложке Microsoft 365. Действия регистрируются в журнале аудита. Политика включена и готова к обработке входящих запросов на утверждение.

Шаг 1. Создание политики.

Шаг 2. Запрос на доступ

В Центр администрирования Microsoft 365 или с помощью Exchange Management PowerShell пользователи могут запрашивать доступ к задачам с повышенными привилегиями или привилегированными. Функция привилегированного доступа отправляет запрос в подложку Microsoft 365 для обработки в соответствии с настроенной политикой привилегированного доступа и записывает действие в журналы аудита.

Шаг 2. Запрос на доступ.

Шаг 3. Утверждение доступа

Создается запрос на утверждение, и уведомление об ожидающем запросе отправляется утверждающим по электронной почте. В случае утверждения запрос на привилегированный доступ обрабатывается как утверждение, и задача готова к выполнению. В случае отказа задача блокируется, и запрашивающей стороне не предоставляется доступ. Запрашивающая сторона получает уведомление об утверждении или отклонении запроса по электронной почте.

Шаг 3. Утверждение доступа.

Шаг 4. Обработка доступа

Для утвержденного запроса задача обрабатывается пространством выполнения управления Exchange. Утверждение проверяется на соответствие политике привилегированного доступа и обрабатывается подложкой Microsoft 365. Все действия для задачи регистрируются в журналах аудита.

Шаг 4. Обработка доступа.

Вопросы и ответы

Какие номера SKU могут использовать привилегированный доступ в Office 365?

Управление привилегированным доступом доступно для клиентов с широким выбором подписок и надстроек Microsoft 365 и Office 365. Дополнительные сведения см. в статье Начало работы с управлением привилегированным доступом .

Когда привилегированный доступ будет поддерживать Office 365 рабочих нагрузок за пределами Exchange?

Управление привилегированным доступом будет доступно в других рабочих нагрузках Office 365 скоро. Дополнительные сведения см. в статье Стратегия развития Microsoft 365 .

Моей организации требуется более 30 политик привилегированного доступа, будет ли увеличено это ограничение?

Да, повышение текущего ограничения в 30 политик привилегированного доступа для каждой организации входит в дорожную карту функций.

Нужно ли быть глобальным Администратор для управления привилегированным доступом в Office 365?

Да, вам потребуется глобальная роль Администратор, назначенная учетным записям, которые управляют привилегированным доступом в Office 365. Пользователям, включенным в группу утверждающих, не требуется назначать роли глобального Администратор или управления ролями для проверки и утверждения запросов с помощью PowerShell. Пользователям должна быть назначена роль администратора Exchange для запроса, просмотра и утверждения запросов на привилегированный доступ в Центр администрирования Microsoft 365.

Защищенное хранилище обеспечивает уровень управления доступом для организаций при доступе корпорации Майкрософт к данным. Управление привилегированным доступом обеспечивает детальное управление доступом в организации для всех привилегированных задач Microsoft 365.

Готовы приступить к работе?

Начните настраивать организацию для управления привилегированным доступом.

Дополнительные сведения

Интерактивное руководство. Мониторинг задач администратора и управление ими с помощью управления привилегированным доступом