特权访问管理入门

本文指导你在组织中启用和配置特权访问管理。 可以使用 Microsoft 365 管理中心 或 Exchange Management PowerShell 来管理和使用特权访问。

开始之前

在开始使用特权访问管理之前,请确认 Microsoft 365 订阅 和任何加载项。

若要访问和使用特权访问管理,你的组织必须具有支持订阅或加载项。 有关详细信息,请参阅特权访问管理的 订阅要求

如果没有现有的 Microsoft 365 企业版 E5 计划,并且想要尝试特权访问管理,可以将 Microsoft 365 添加到现有 Microsoft 365 订阅或注册 Microsoft 365 企业版 E5 试用版

启用和配置特权访问管理

完成以下步骤,在组织中设置和使用特权访问:

  • 步骤 1:创建审批者的组

    在开始使用特权访问之前,请确定谁需要审批权限才能传入请求访问提升和特权任务。 属于审批者组的任何用户都可以批准访问请求。 通过在 Microsoft 365 中创建启用邮件的安全组来启用此组。

  • 步骤 2:启用特权访问

    使用默认审批者组在 Microsoft 365 中显式启用特权访问,包括要从特权访问管理访问控制中排除的一组系统帐户。

  • 步骤 3:创建访问策略

    通过创建审批策略,定义限定在单个任务范围内的特定审批要求。 审批类型选项有 自动手动

  • 步骤 4:提交和批准特权访问请求

    启用特权访问后,需要对定义了关联审批策略的任何任务进行审批。 对于包含在批准策略中的任务,用户必须请求并被授予访问许可来获取执行任务必要的权限。

授予审批权限后,请求的用户可以执行预期任务。 特权访问代表用户授权并执行任务。 审批在请求的持续时间内保持有效, (默认持续时间为 4 小时) ,在此期间,请求者可以多次执行预期任务。 所有这些执行操作会被记录,供安全和合规性审计所用。

注意

若要使用 Exchange Management PowerShell 启用和配置特权访问,请按照使用多重身份验证连接到 Exchange Online PowerShell 中的步骤,使用Microsoft 365 凭据连接到 Exchange Online PowerShell。 无需为组织启用多重身份验证即可在连接到 Exchange Online PowerShell 时使用步骤启用特权访问。 使用多重身份验证进行连接会创建一个身份验证令牌,特权访问使用该令牌对请求进行签名。

步骤 1:创建审批者的组

  1. 使用组织中管理员帐户的凭据登录到 Microsoft 365 管理中心

  2. 在管理中心,转到 “组>”“添加组”。

  3. 选择 “已启用邮件的安全组 ”,然后输入新组 的“名称”、“ 组电子邮件地址”和 “说明 ”。

  4. 保存组。 完全配置组并显示在Microsoft 365 管理中心中可能需要几分钟时间。

  5. 选择新的审批者组,然后选择 “编辑 ”以将用户添加到该组。

  6. 保存组。

步骤 2:启用特权访问

在 Microsoft 365 管理中心

  1. 使用组织中管理员帐户的凭据登录到 Microsoft 365 管理中心

  2. 在管理中心,转到 “设置”“>组织设置”“>安全性 & 隐私>特权访问”。

  3. 打开 “特权任务需要审批”。

  4. 将步骤 1 中创建的审批者组分配为 默认审批者组

  5. 保存关闭

在 Exchange 管理 PowerShell 中

若要启用特权访问并分配审批者组,请在 Exchange Online PowerShell 中运行以下命令:

Enable-ElevatedAccessControl -AdminGroup '<default approver group>' -SystemAccounts @('<systemAccountUPN1>','<systemAccountUPN2>')

示例:

Enable-ElevatedAccessControl -AdminGroup 'pamapprovers@fabrikam.onmicrosoft.com' -SystemAccounts @('sys1@fabrikamorg.onmicrosoft.com', 'sys2@fabrikamorg.onmicrosoft.com')

注意

系统帐户功能可确保组织中的某些自动化无需特权访问即可正常运行。 但是,将此类排除项设置为例外,并定期批准和审核允许的排除项。

步骤 3:创建访问策略

最多可为组织创建和配置 30 个特权访问策略。

在 Microsoft 365 管理中心

  1. 使用组织中管理员帐户的凭据登录到 Microsoft 365 管理中心

  2. 在管理员中心,转到“设置”>“组织设置”“>安全性 & 隐私**>”特权访问”。

  3. 选择 “管理访问策略和请求”。

  4. 选择 “配置策略 ”,然后选择“ 添加策略”。

  5. 从下拉字段中,为组织选择适当的值:

    • 策略类型: 任务、角色或角色组

    • 策略范围: Exchange

    • 策略名称: 从可用策略中选择

    • 审批类型: 手动或自动

    • 审批组: 选择在步骤 1 中创建的审批者组

  6. 选择 “创建 ”,然后选择 “关闭”。 完全配置和启用策略可能需要几分钟时间。

在 Exchange 管理 PowerShell 中

若要创建和定义审批策略,请在 PowerShell Exchange Online 运行以下命令:

New-ElevatedAccessApprovalPolicy -Task 'Exchange\<exchange management cmdlet name>' -ApprovalType <Manual, Auto> -ApproverGroup '<default/custom approver group>'

示例:

New-ElevatedAccessApprovalPolicy -Task 'Exchange\New-MoveRequest' -ApprovalType Manual -ApproverGroup 'mbmanagers@fabrikamorg.onmicrosoft.com'

步骤 4:提交或批准特权访问请求

请求提升授权以执行特权任务

特权访问请求在提交后最多 24 小时内有效。 如果审批者在 24 小时内未批准或拒绝请求,则请求将过期,并且不会授予访问权限。

在Microsoft 365 管理中心

  1. 使用凭据登录到 Microsoft 365 管理 中心

  2. 在管理员中心,转到“设置”>“组织设置”“>安全性 & 隐私**>”特权访问”。

  3. 选择 “管理访问策略和请求”。

  4. 选择“ 新建请求”。 从下拉字段中,为组织选择适当的值:

    • 请求类型: 任务、角色或角色组

    • 请求范围: Exchange

    • 请求: 从可用策略中选择

    • 持续时间 (小时): 请求访问的小时数。 可以请求任意小时数。

    • 注释:与访问请求相关的注释的文本字段

  5. 选择 “保存” ,然后选择 “关闭”。 系统会通过电子邮件将请求发送到审批者组。

在 Exchange 管理 PowerShell 中

在 Exchange Online PowerShell 中运行以下命令,创建审批请求并将其提交到审批者组:

New-ElevatedAccessRequest -Task 'Exchange\<exchange management cmdlet name>' -Reason '<appropriate reason>' -DurationHours <duration in hours>

示例:

New-ElevatedAccessRequest -Task 'Exchange\New-MoveRequest' -Reason 'Attempting to fix the user mailbox error' -DurationHours 4

查看提升请求的状态

创建审批请求后,可以使用关联的请求 ID 在管理中心或 Exchange Management PowerShell 中检查提升请求的状态。

在 Microsoft 365 管理中心

  1. 使用凭据登录到Microsoft 365 管理中心

  2. 在管理中心,转到 “设置”“>组织设置”“>安全性 & 隐私>特权访问”。

  3. 选择 “管理访问策略和请求”。

  4. 选择“ 视图 ”,按 “挂起”、“ 已批准”、“ 已拒绝”或 “客户密码箱” 状态筛选提交的请求。

在 Exchange 管理 PowerShell 中

在 Exchange Online PowerShell 中运行以下命令,查看特定请求 ID 的审批请求状态:

Get-ElevatedAccessRequest -Identity <request ID> | select RequestStatus

示例:

Get-ElevatedAccessRequest -Identity 28560ed0-419d-4cc3-8f5b-603911cbd450 | select RequestStatus

批准提升授权请求

创建审批请求时,相关审批者组的成员会收到电子邮件通知。 他们可以使用请求 ID 批准请求。 当你批准或拒绝请求时,请求者会收到电子邮件通知。

在 Microsoft 365 管理中心

  1. 使用凭据登录到Microsoft 365 管理中心

  2. 在管理中心,转到 “设置”“>组织设置”“>安全性 & 隐私>特权访问”。

  3. 选择 “管理访问策略和请求”。

  4. 选择列出的请求以查看详细信息,并针对请求执行操作。

  5. 选择“ 批准” 以批准请求,或选择“ 拒绝” 以拒绝请求。 可以通过选择“ 撤销”来撤销以前批准的请求的访问权限。

在 Exchange 管理 PowerShell 中

若要批准提升授权请求,请在 PowerShell Exchange Online 运行以下命令:

Approve-ElevatedAccessRequest -RequestId <request id> -Comment '<approval comment>'

示例:

Approve-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<approval comment>'

若要拒绝提升授权请求,请在 Exchange Online PowerShell 中运行以下命令:

Deny-ElevatedAccessRequest -RequestId <request id> -Comment '<denial comment>'

示例:

Deny-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<denial comment>'

删除 Microsoft 365 中的特权访问策略

如果组织不再需要特权访问策略,则可以将其删除。

在 Microsoft 365 管理中心

  1. 使用组织中管理员帐户的凭据登录到 Microsoft 365 管理中心

  2. 在管理中心,转到 “设置”“>组织设置”“>安全性 & 隐私>特权访问”。

  3. 选择 “管理访问策略和请求”。

  4. 选择 “配置策略”。

  5. 选择要删除的策略,然后选择“ 删除策略”。

  6. 选择“关闭”。

在 Exchange 管理 PowerShell 中

若要删除特权访问策略,请在 PowerShell Exchange Online 运行以下命令:

Remove-ElevatedAccessApprovalPolicy -Identity <identity GUID of the policy you want to delete>

在 Microsoft 365 中禁用特权访问

如果需要,可以为组织禁用特权访问管理。 禁用特权访问不会删除任何关联的审批策略或审批者组。

在 Microsoft 365 管理中心

  1. 使用组织中管理员帐户的凭据登录到 Microsoft 365 管理中心

  2. 在管理员中心,转到“设置”>“组织设置”“>安全性 & 隐私**>”特权访问”。

  3. 启用 “需要对特权访问进行审批”。

在 Exchange 管理 PowerShell 中

若要禁用特权访问,请在 Exchange Online PowerShell 中运行以下命令:

Disable-ElevatedAccessControl
  • Last updated on