Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel führt Sie durch das Aktivieren und Konfigurieren der Verwaltung des privilegierten Zugriffs in Ihrem organization. Sie können entweder die Microsoft 365 Admin Center oder Die Exchange-Verwaltungs-PowerShell verwenden, um den privilegierten Zugriff zu verwalten und zu verwenden.
Bevor Sie beginnen
Bevor Sie mit der Verwaltung des privilegierten Zugriffs beginnen, bestätigen Sie Ihr Microsoft 365-Abonnement und alle Add-Ons.
Um auf die Verwaltung des privilegierten Zugriffs zugreifen und diese verwenden zu können, muss Ihre organization über unterstützende Abonnements oder Add-Ons verfügen. Weitere Informationen finden Sie unter Abonnementanforderungen für die Verwaltung privilegierter Zugriffe.
Wenn Sie noch keinen Office 365 Enterprise E5-Plan haben und die Verwaltung des privilegierten Zugriffs ausprobieren möchten, können Sie Microsoft 365 Ihrem vorhandenen Office 365-Abonnement hinzufügen oder sich für eine Testversion von Microsoft 365 Enterprise E5 registrieren.
Aktivieren und Konfigurieren der Verwaltung des privilegierten Zugriffs
Führen Sie die folgenden Schritte aus, um den privilegierten Zugriff in Ihrem organization einzurichten und zu verwenden:
Schritt 1: Erstellen der Gruppe einer genehmigenden Person
Bevor Sie mit der Verwendung des privilegierten Zugriffs beginnen, bestimmen Sie, wer eine Genehmigungsautorität für eingehende Anforderungen für den Zugriff auf Aufgaben mit erhöhten und privilegierten Rechten benötigt. Jeder Benutzer, der der Gruppe genehmigende Personen angehört, kann Zugriffsanforderungen genehmigen. Aktivieren Sie diese Gruppe, indem Sie eine E-Mail-aktivierte Sicherheitsgruppe in Office 365 erstellen.
Schritt 2: Aktivieren des privilegierten Zugriffs
Aktivieren Sie den privilegierten Zugriff explizit in Office 365 mit der standardmäßigen genehmigenden Gruppe, einschließlich einer Gruppe von Systemkonten, die Sie von der Zugriffssteuerung für die Privilegierte Zugriffsverwaltung ausschließen möchten.
Schritt 3: Erstellen einer Zugriffsrichtlinie
Definieren Sie bestimmte Genehmigungsanforderungen für einzelne Aufgaben, indem Sie eine Genehmigungsrichtlinie erstellen. Die Optionen für den Genehmigungstyp sind Automatisch oder Manuell.
Schritt 4: Übermitteln/Genehmigen von Anforderungen für privilegierten Zugriff
Nach der Aktivierung erfordert der privilegierte Zugriff Genehmigungen für jede Aufgabe, für die eine entsprechende Genehmigungsrichtlinie definiert ist. Für Aufgaben, die in einer Genehmigungsrichtlinie enthalten sind, müssen Benutzer eine Zugriffsgenehmigung anfordern und erhalten, um über die zur Ausführung der Aufgabe erforderlichen Berechtigungen zu verfügen.
Nachdem die Genehmigung erteilt wurde, kann der anfordernde Benutzer die beabsichtigte Aufgabe ausführen. Der privilegierte Zugriff autorisiert die Aufgabe und führt sie im Namen des Benutzers aus. Die Genehmigung bleibt für die beantragte Dauer gültig (Standarddauer ist 4 Stunden), während der der Antragsteller die beabsichtigte Aufgabe mehrmals ausführen kann. Alle derartigen Ausführungen werden protokolliert und für Sicherheits- und Compliance-Audits zur Verfügung gestellt.
Hinweis
Um die Exchange-Verwaltungs-PowerShell zum Aktivieren und Konfigurieren des privilegierten Zugriffs zu verwenden, führen Sie die Schritte unter Herstellen einer Verbindung mit Exchange Online PowerShell mithilfe der mehrstufigen Authentifizierung aus, um mit Ihren Office 365 Anmeldeinformationen eine Verbindung mit Exchange Online PowerShell herzustellen. Sie müssen die mehrstufige Authentifizierung für Ihre organization nicht aktivieren, um die Schritte zum Aktivieren des privilegierten Zugriffs beim Herstellen einer Verbindung mit Exchange Online PowerShell auszuführen. Beim Herstellen einer Verbindung mit mehrstufiger Authentifizierung wird ein Authentifizierungstoken erstellt, das der privilegierte Zugriff zum Signieren Ihrer Anforderungen verwendet.
Schritt 1: Erstellen der Gruppe einer genehmigenden Person
Melden Sie sich beim Microsoft 365 Admin Center mit Den Anmeldeinformationen für ein Administratorkonto in Ihrem organization an.
Wechseln Sie im Admin Center zu Gruppen>Gruppe hinzufügen.
Wählen Sie E-Mail-aktivierte Sicherheitsgruppe aus, und geben Sie dann den Namen, die Gruppen-E-Mail-Adresse und die Beschreibung für die neue Gruppe ein.
Speichern Sie die Gruppe. Es kann einige Minuten dauern, bis die Gruppe vollständig konfiguriert ist und im Microsoft 365 Admin Center angezeigt wird.
Wählen Sie die neue Gruppe genehmigende Personen und dann Bearbeiten aus, um der Gruppe Benutzer hinzuzufügen.
Speichern Sie die Gruppe.
Schritt 2: Aktivieren des privilegierten Zugriffs
Im Microsoft 365 Admin Center
Melden Sie sich beim Microsoft 365 Admin Center mit Den Anmeldeinformationen für ein Administratorkonto in Ihrem organization an.
Wechseln Sie im Admin Center zu Einstellungen>Organisationseinstellungen>Sicherheit & Datenschutz>Privilegierter Zugriff.
Aktivieren Sie Genehmigungen für privilegierte Aufgaben anfordern.
Weisen Sie die Gruppe genehmigende Personen, die Sie in Schritt 1 erstellt haben, als Gruppe Standardmäßig genehmigende Personen zu.
Speichern und schließen.
In Exchange-Verwaltungs-PowerShell
Führen Sie den folgenden Befehl in Exchange Online PowerShell aus, um den privilegierten Zugriff zu aktivieren und die Genehmigende Gruppe zuzuweisen:
Enable-ElevatedAccessControl -AdminGroup '<default approver group>' -SystemAccounts @('<systemAccountUPN1>','<systemAccountUPN2>')
Beispiel:
Enable-ElevatedAccessControl -AdminGroup 'pamapprovers@fabrikam.onmicrosoft.com' -SystemAccounts @('sys1@fabrikamorg.onmicrosoft.com', 'sys2@fabrikamorg.onmicrosoft.com')
Hinweis
Das Feature "Systemkonten" stellt sicher, dass bestimmte Automatisierungen in Ihren Organisationen ohne Abhängigkeit von privilegiertem Zugriff funktionieren. Es wird jedoch empfohlen, solche Ausschlüsse ausnahmsweise zu machen und die zulässigen Ausnahmen regelmäßig zu genehmigen und zu überprüfen.
Schritt 3: Erstellen einer Zugriffsrichtlinie
Sie können bis zu 30 Richtlinien für privilegierten Zugriff für Ihre organization erstellen und konfigurieren.
Im Microsoft 365 Admin Center
Melden Sie sich beim Microsoft 365 Admin Center mit Den Anmeldeinformationen für ein Administratorkonto in Ihrem organization an.
Wechseln Sie im Admin Center zu Einstellungen>Organisationseinstellungen>Sicherheit & Datenschutz** >Privilegierter Zugriff.
Wählen Sie Zugriffsrichtlinien und Anforderungen verwalten aus.
Wählen Sie Richtlinien konfigurieren und dann Richtlinie hinzufügen aus.
Wählen Sie in den Dropdownfeldern die entsprechenden Werte für Ihre organization aus:
Richtlinientyp: Aufgabe, Rolle oder Rollengruppe
Geltungsbereich der Richtlinie: Exchange
Richtlinienname: Aus den verfügbaren Richtlinien auswählen
Genehmigungstyp: Manuell oder automatisch
Genehmigungsgruppe: Wählen Sie die in Schritt 1 erstellte Gruppe der genehmigenden Personen aus.
Wählen Sie Erstellen und dann Schließen aus. Es kann einige Minuten dauern, bis die Richtlinie vollständig konfiguriert und aktiviert ist.
In Exchange-Verwaltungs-PowerShell
Führen Sie zum Erstellen und Definieren einer Genehmigungsrichtlinie den folgenden Befehl in Exchange Online PowerShell aus:
New-ElevatedAccessApprovalPolicy -Task 'Exchange\<exchange management cmdlet name>' -ApprovalType <Manual, Auto> -ApproverGroup '<default/custom approver group>'
Beispiel:
New-ElevatedAccessApprovalPolicy -Task 'Exchange\New-MoveRequest' -ApprovalType Manual -ApproverGroup 'mbmanagers@fabrikamorg.onmicrosoft.com'
Schritt 4: Übermitteln/Genehmigen von Anforderungen für privilegierten Zugriff
Anforderung einer Erhebungsberechtigung zur Ausführung privilegierter Aufgaben
Anforderungen für privilegierten Zugriff sind bis zu 24 Stunden nach der Übermittlung gültig. Wenn genehmigende Personen die Anforderung nicht innerhalb von 24 Stunden genehmigen oder ablehnen, läuft die Anforderung ab, und der Zugriff wird nicht gewährt.
Im Microsoft 365 Admin Center
Melden Sie sich mit Ihren Anmeldeinformationen beim Microsoft 365 Admin Center an.
Wechseln Sie im Admin Center zu Einstellungen>Organisationseinstellungen>Sicherheit & Datenschutz** >Privilegierter Zugriff.
Wählen Sie Zugriffsrichtlinien und Anforderungen verwalten aus.
Wählen Sie Neue Anforderung aus. Wählen Sie in den Dropdownfeldern die entsprechenden Werte für Ihre organization aus:
Anforderungstyp: Aufgabe, Rolle oder Rollengruppe
Geltungsbereich der Anforderung: Exchange
Anforderung für: Aus den verfügbaren Richtlinien auswählen
Dauer (Stunden): Anzahl der Stunden, die für den angeforderten Zugriff erforderlich sind. Sie können eine beliebige Anzahl von Stunden anfordern.
Kommentare: Textfeld für Kommentare im Zusammenhang mit Ihrer Zugriffsanforderung
Wählen Sie Speichern und dann Schließen aus. Das System sendet Ihre Anforderung per E-Mail an die Genehmigende Gruppe.
In Exchange-Verwaltungs-PowerShell
Führen Sie den folgenden Befehl in Exchange Online PowerShell aus, um eine Genehmigungsanforderung zu erstellen und an die genehmigende Gruppe zu übermitteln:
New-ElevatedAccessRequest -Task 'Exchange\<exchange management cmdlet name>' -Reason '<appropriate reason>' -DurationHours <duration in hours>
Beispiel:
New-ElevatedAccessRequest -Task 'Exchange\New-MoveRequest' -Reason 'Attempting to fix the user mailbox error' -DurationHours 4
Anzeigen des Status von Anforderungen für erhöhte Rechte
Nachdem Sie eine Genehmigungsanforderung erstellt haben, können Sie die status der Anforderung zur Erhöhung im Admin Center oder in Exchange-Verwaltungs-PowerShell überprüfen, indem Sie die zugeordnete Anforderungs-ID verwenden.
Im Microsoft 365 Admin Center
Melden Sie sich mit Ihren Anmeldeinformationen beim Microsoft 365 Admin Center an.
Wechseln Sie im Admin Center zu Einstellungen>Organisationseinstellungen>Sicherheit & Datenschutz>Privilegierter Zugriff.
Wählen Sie Zugriffsrichtlinien und Anforderungen verwalten aus.
Wählen Sie Ansicht aus, um übermittelte Anforderungen nach Ausstehend, Genehmigt, Abgelehnt oder Kunden-Lockbox status zu filtern.
In Exchange-Verwaltungs-PowerShell
Führen Sie den folgenden Befehl in Exchange Online PowerShell aus, um eine Genehmigungsanforderung status für eine bestimmte Anforderungs-ID anzuzeigen:
Get-ElevatedAccessRequest -Identity <request ID> | select RequestStatus
Beispiel:
Get-ElevatedAccessRequest -Identity 28560ed0-419d-4cc3-8f5b-603911cbd450 | select RequestStatus
Genehmigen einer Berechtigungsanforderung für rechte Rechte
Wenn Sie eine Genehmigungsanforderung erstellen, erhalten Mitglieder der entsprechenden genehmigenden Gruppe eine E-Mail-Benachrichtigung. Sie können die Anforderung mithilfe der Anforderungs-ID genehmigen. Der Anforderer erhält eine E-Mail-Benachrichtigung, wenn die Anforderung genehmigt oder abgelehnt wird.
Im Microsoft 365 Admin Center
Melden Sie sich mit Ihren Anmeldeinformationen beim Microsoft 365 Admin Center an.
Wechseln Sie im Admin Center zu Einstellungen>Organisationseinstellungen>Sicherheit & Datenschutz>Privilegierter Zugriff.
Wählen Sie Zugriffsrichtlinien und Anforderungen verwalten aus.
Wählen Sie eine aufgelistete Anforderung aus, um die Details anzuzeigen und Maßnahmen für die Anforderung zu ergreifen.
Wählen Sie Genehmigen aus, um die Anforderung zu genehmigen, oder wählen Sie Verweigern aus, um die Anforderung zu verweigern. Sie können den Zugriff für zuvor genehmigte Anforderungen widerrufen, indem Sie Widerrufen auswählen.
In Exchange-Verwaltungs-PowerShell
Führen Sie den folgenden Befehl in Exchange Online PowerShell aus, um eine Autorisierungsanforderung für erhöhte Rechte zu genehmigen:
Approve-ElevatedAccessRequest -RequestId <request id> -Comment '<approval comment>'
Beispiel:
Approve-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<approval comment>'
Um eine Berechtigungsanforderung für erhöhte Rechte zu verweigern, führen Sie den folgenden Befehl in Exchange Online PowerShell aus:
Deny-ElevatedAccessRequest -RequestId <request id> -Comment '<denial comment>'
Beispiel:
Deny-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<denial comment>'
Löschen einer Richtlinie für privilegierten Zugriff in Office 365
Wenn Ihr organization keine Richtlinie für privilegierten Zugriff mehr benötigt, können Sie sie löschen.
Im Microsoft 365 Admin Center
Melden Sie sich beim Microsoft 365 Admin Center mit Den Anmeldeinformationen für ein Administratorkonto in Ihrem organization an.
Wechseln Sie im Admin Center zu Einstellungen>Organisationseinstellungen>Sicherheit & Datenschutz>Privilegierter Zugriff.
Wählen Sie Zugriffsrichtlinien und Anforderungen verwalten aus.
Wählen Sie Richtlinien konfigurieren aus.
Wählen Sie die Richtlinie aus, die Sie löschen möchten, und wählen Sie dann Richtlinie entfernen aus.
Wählen Sie Schließen aus.
In Exchange-Verwaltungs-PowerShell
Um eine Richtlinie für privilegierten Zugriff zu löschen, führen Sie den folgenden Befehl in Exchange Online PowerShell aus:
Remove-ElevatedAccessApprovalPolicy -Identity <identity GUID of the policy you want to delete>
Deaktivieren des privilegierten Zugriffs in Office 365
Bei Bedarf können Sie die Verwaltung des privilegierten Zugriffs für Ihre organization deaktivieren. Durch das Deaktivieren des privilegierten Zugriffs werden keine zugeordneten Genehmigungsrichtlinien oder Genehmigendengruppen gelöscht.
Im Microsoft 365 Admin Center
Melden Sie sich beim Microsoft 365 Admin Center mit Den Anmeldeinformationen für ein Administratorkonto in Ihrem organization an.
Wechseln Sie im Admin Center zu Einstellungen>Organisationseinstellungen>Sicherheit & Datenschutz** >Privilegierter Zugriff.
Aktivieren Sie Genehmigungen für privilegierten Zugriff anfordern.
In Exchange-Verwaltungs-PowerShell
Führen Sie den folgenden Befehl in Exchange Online PowerShell aus, um den privilegierten Zugriff zu deaktivieren:
Disable-ElevatedAccessControl