Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Управление привилегированным доступом Microsoft Purview обеспечивает детализированное управление доступом к задачам привилегированного администратора в Office 365. Это помогает защитить организацию от нарушений, которые используют существующие привилегированные учетные записи администраторов с постоянным доступом к конфиденциальным данным или к критически важным параметрам конфигурации. Для управления привилегированным доступом пользователи запрашивают JIT-доступ, чтобы выполнять привилегированные задачи и действия, требующие высокого уровня доступа, через рабочий процесс утверждения, который имеет жесткие ограничения и временные рамки. Эта конфигурация предоставляет пользователям необходимый доступ для выполнения задач без риска раскрытия конфиденциальных данных или критически важных параметров конфигурации. При включении управления привилегированным доступом ваша организация работает с нулевыми постоянными привилегиями и обеспечивает уровень защиты от постоянных уязвимостей административного доступа.
Краткий обзор интегрированного рабочего процесса управления привилегированным доступом и защищенного доступа см. в этом видео о клиентском хранилище и управлении привилегированным доступом.
Уровни защиты
Управление привилегированным доступом дополняет другие средства защиты данных и доступа в архитектуре безопасности Microsoft 365. Включение управления привилегированным доступом в рамках интегрированного и многоуровневого подхода к безопасности обеспечивает модель безопасности, которая максимизирует защиту конфиденциальной информации и параметров конфигурации Microsoft 365. Как показано на схеме, управление привилегированным доступом основано на защите данных, обеспечиваемой встроенным шифрованием данных Microsoft 365 и основанной на ролях модели безопасности управления доступом для служб Microsoft 365. При использовании с Microsoft Entra управление привилегированными пользователями эти две функции обеспечивают управление доступом с JIT-доступом в разных областях.
Управление привилегированным доступом определяется и ограничивается на уровне задач, а Microsoft Entra управление привилегированными пользователями применяет защиту на уровне роли с возможностью выполнения нескольких задач. Microsoft Entra управление привилегированными пользователями в первую очередь позволяет управлять доступом для ролей и групп ролей AD, в то время как Управление привилегированным доступом Microsoft Purview применяется только на уровне задач.
Включение управления привилегированным доступом при использовании Microsoft Entra управление привилегированными пользователями. Добавление управления привилегированным доступом предоставляет еще один детализированный уровень возможностей защиты и аудита для привилегированного доступа к данным Microsoft 365.
Включение Microsoft Entra управление привилегированными пользователями при использовании Управления привилегированным доступом Microsoft Purview: добавление Microsoft Entra управление привилегированными пользователями Microsoft Purview Privileged Access Management может расширить привилегированный доступ к данным за пределами Microsoft 365, которые в основном определяются ролями пользователей или удостоверением.
Архитектура управления привилегированным доступом и поток процессов
Каждый из следующих потоков процесса описывает архитектуру привилегированного доступа и взаимодействие с субстратом Microsoft 365, аудитом и пространством выполнения управления Exchange.
Шаг 1. Настройка политики привилегированного доступа
При настройке политики привилегированного доступа с помощью Центр администрирования Microsoft 365 или Exchange Management PowerShell вы определяете политику и процессы функций привилегированного доступа, а также атрибуты политики в подложке Microsoft 365. Система регистрирует действия в журнале аудита. Политика включена и готова к обработке входящих запросов на утверждение.
Шаг 2. Запрос на доступ
В Центр администрирования Microsoft 365 или с помощью Exchange Management PowerShell пользователи могут запрашивать доступ к задачам с повышенными привилегиями или привилегированными. Функция привилегированного доступа отправляет запрос в подложку Microsoft 365 для обработки в соответствии с настроенной политикой привилегированного доступа и записывает действие в журналы аудита.
Шаг 3. Утверждение доступа
Функция привилегированного доступа создает запрос на утверждение и отправляет утверждающей по электронной почте уведомление о ожидающих запросах. Если утверждающие предоставляют утверждение, функция привилегированного доступа обрабатывает запрос на привилегированный доступ как утверждение и делает задачу готовой к завершению. Если утверждающие отклоняют запрос, функция привилегированного доступа блокирует задачу и не предоставляет доступ инициатору запроса. Запрашивающий получает сообщение электронной почты, уведомляющее его об утверждении или отказе запроса.
Шаг 4. Обработка доступа
Для утвержденного запроса пространство выполнения управления Exchange обрабатывает задачу. Подложка Microsoft 365 проверяет утверждение на соответствие политике привилегированного доступа и обрабатывает его. Журналы аудита записывают все действия для задачи.
Вопросы и ответы
Какие номера SKU могут использовать привилегированный доступ в Office 365?
Управление привилегированным доступом доступно для клиентов с широким выбором подписок и надстроек Microsoft 365 и Office 365. Дополнительные сведения см. в статье Начало работы с управлением привилегированным доступом.
Когда управление привилегированным доступом будет поддерживать Office 365 рабочих нагрузок за пределами Exchange?
Дополнительные сведения о временная шкала поддержки управления привилегированным доступом см. в статье Стратегия развития Microsoft 365.
Моей организации требуется более 30 политик привилегированного доступа. Будет ли увеличено это ограничение?
Да, мы работаем над увеличением текущего ограничения в 30 политик привилегированного доступа на организацию.
Нужно ли быть глобальным Администратор для управления привилегированным доступом в Office 365?
Да, вам нужна роль Глобального Администратор, назначенная учетным записям, которые управляют привилегированным доступом в Office 365. Пользователям, включенным в группу утверждающих, не требуется назначать роли глобального Администратор или управления ролями для проверки и утверждения запросов с помощью PowerShell. Пользователям должна быть назначена роль администратора Exchange для запроса, просмотра и утверждения запросов на привилегированный доступ в Центр администрирования Microsoft 365.
Как управление привилегированным доступом связано с клиентским хранилищем?
Заблокировка клиента обеспечивает управление доступом для организаций, когда корпорация Майкрософт обращается к данным. Управление привилегированным доступом обеспечивает детальное управление доступом в организации для всех привилегированных задач Microsoft 365.
Готовы приступить к работе?
Начните настраивать организацию для управления привилегированным доступом.