Introdução ao gerenciamento de acesso privilegiado

Este artigo orienta-o ao longo da ativação e configuração da gestão de acesso privilegiado na sua organização. Pode utilizar o Centro de administração do Microsoft 365 ou o PowerShell de Gestão do Exchange para gerir e utilizar o acesso privilegiado.

Antes de começar

Antes de começar a utilizar a gestão de acesso privilegiado, confirme a sua subscrição do Microsoft 365 e quaisquer suplementos.

Para aceder e utilizar a gestão de acesso privilegiado, a sua organização tem de ter subscrições ou suplementos de suporte. Para obter mais informações, veja os requisitos de subscrição para a gestão de acesso privilegiado.

Se não tiver um plano do Office 365 Enterprise E5 existente e quiser experimentar a gestão de acesso privilegiado, pode adicionar o Microsoft 365 à sua subscrição de Office 365 existente ou inscrever-se numa avaliação do Microsoft 365 Enterprise E5.

Ativar e configurar a gestão de acesso privilegiado

Siga estes passos para configurar e utilizar o acesso privilegiado na sua organização:

• Passo 1: criar um grupo de aprovadores

  Antes de começar a utilizar o acesso privilegiado, determine quem precisa de autoridade de aprovação para pedidos de acesso a tarefas elevadas e privilegiadas. Qualquer utilizador que faça parte do grupo de Aprovadores pode aprovar pedidos de acesso. Ative este grupo ao criar um grupo de segurança com capacidade de correio no Office 365.

• Passo 2: Ativar o acesso privilegiado

  Ative explicitamente o acesso privilegiado no Office 365 com o grupo de aprovadores predefinido, incluindo um conjunto de contas de sistema que pretende excluir do controlo de acesso de gestão de acesso privilegiado.

• Passo 3: criar uma política de acesso

  Defina requisitos de aprovação específicos no âmbito de tarefas individuais ao criar uma política de aprovação. As opções de tipo de aprovação são Automática ou Manual.

• Passo 4: Submeter/aprovar pedidos de acesso privilegiado

  Uma vez habilitado, o acesso privilegiado requer aprovações para qualquer tarefa que tenha uma política de aprovação associada definida. Para tarefas incluídas em uma política de aprovação, os usuários devem solicitar e ter a aprovação de acesso concedida para que tenham as permissões necessárias para executar a tarefa.

Após a aprovação ter sido concedida, o usuário solicitante poderá executar a tarefa pretendida. O acesso privilegiado autoriza e executa a tarefa em nome do utilizador. A aprovação permanece válida pelo tempo solicitado (a duração padrão é de quatro horas), durante o qual o solicitante pode executar a tarefa pretendida várias vezes. Todas essas execuções são registradas e disponibilizadas para auditoria de segurança e conformidade.

Passo 1: criar um grupo de aprovadores

1. Inicie sessão no Centro de administração do Microsoft 365 com credenciais para uma conta de administrador na sua organização.

2. No centro de administração, aceda a Grupos>Adicionar um grupo.

3. Selecione grupo de segurança com capacidade de correio e, em seguida, introduza o Nome, o Endereço de e-mail do Grupo e a Descrição do novo grupo.

4. Guarde o grupo. O grupo pode demorar alguns minutos a ser totalmente configurado e a aparecer no Centro de administração do Microsoft 365.

5. Selecione o novo grupo de aprovadores e selecione editar para adicionar utilizadores ao grupo.

6. Guarde o grupo.

Passo 2: Ativar o acesso privilegiado

No Centro de Administração Microsoft 365

1. Inicie sessão no Centro de Administração Microsoft 365 com credenciais para uma conta de administrador na sua organização.

2. No centro de administração, aceda a Definições Definições>> daOrganizaçãoSegurança &Acesso privilegiado àPrivacidade>.

3. Ative Exigir aprovações para tarefas com privilégios.

4. Atribua o grupo de aprovadores que criou no Passo 1 como o grupo Aprovadores predefinidos.

5. Guardar e Fechar.

No PowerShell de Gestão do Exchange

Para ativar o acesso privilegiado e atribuir o grupo de aprovadores, execute o seguinte comando no Exchange Online PowerShell:

Enable-ElevatedAccessControl -AdminGroup '<default approver group>' -SystemAccounts @('<systemAccountUPN1>','<systemAccountUPN2>')

Exemplo:

Enable-ElevatedAccessControl -AdminGroup 'pamapprovers@fabrikam.onmicrosoft.com' -SystemAccounts @('sys1@fabrikamorg.onmicrosoft.com', 'sys2@fabrikamorg.onmicrosoft.com')

Passo 3: criar uma política de acesso

Pode criar e configurar até 30 políticas de acesso privilegiado para a sua organização.

No Centro de Administração Microsoft 365

1. Inicie sessão no Centro de Administração Microsoft 365 com credenciais para uma conta de administrador na sua organização.

2. No Centro de Administração, aceda a Definições Definições>> daOrganizaçãoSegurança & Privacidade** >Acesso privilegiado.

3. Selecione Gerir políticas e pedidos de acesso.

4. Selecione Configurar políticas e selecioneAdicionar uma política.

5. Nos campos pendentes, selecione os valores adequados para a sua organização:

   • Tipo de política: tarefa, função ou grupo de funções

   • Escopo da política: Exchange

   • Nome da política: selecione uma das políticas disponíveis

   • Tipo de aprovação: manual ou automática

   • Grupo de aprovação: selecione o grupo de aprovadores criado na Etapa 1

6. Selecione Criar e , em seguida, Fechar. A configuração e a ativação da política podem demorar alguns minutos.

No PowerShell de Gestão do Exchange

Para criar e definir uma política de aprovação, execute o seguinte comando no Exchange Online PowerShell:

New-ElevatedAccessApprovalPolicy -Task 'Exchange\<exchange management cmdlet name>' -ApprovalType <Manual, Auto> -ApproverGroup '<default/custom approver group>'

Exemplo:

New-ElevatedAccessApprovalPolicy -Task 'Exchange\New-MoveRequest' -ApprovalType Manual -ApproverGroup 'mbmanagers@fabrikamorg.onmicrosoft.com'

Passo 4: Submeter/aprovar pedidos de acesso privilegiado

Solicitar autorização de elevação para executar tarefas privilegiadas

Os pedidos de acesso privilegiado são válidos até 24 horas após a submissão. Se os aprovadores não aprovarem ou negarem o pedido dentro de 24 horas, o pedido expira e o acesso não é concedido.

No Centro de Administração Microsoft 365

1. Inicie sessão no Centro de Administração Microsoft 365 com as suas credenciais.

2. No Centro de Administração, aceda a Definições Definições>> daOrganizaçãoSegurança & Privacidade** >Acesso privilegiado.

3. Selecione Gerir políticas e pedidos de acesso.

4. Selecione Novo pedido. Nos campos pendentes, selecione os valores adequados para a sua organização:

   • Tipo de solicitação: tarefa, função ou grupo de funções

   • Escopo da solicitação: Exchange

   • Solicitação: selecione uma das políticas disponíveis

   • Duração (horas): número de horas de acesso solicitadas. Pode pedir qualquer número de horas.

   • Comentários: Campo de texto para comentários relacionados com o pedido de acesso

5. Selecione Guardar e , em seguida, Fechar. O sistema envia o seu pedido para o grupo de aprovadores por e-mail.

No PowerShell de Gestão do Exchange

Execute o seguinte comando no Exchange Online PowerShell para criar e submeter um pedido de aprovação ao grupo de aprovadores:

New-ElevatedAccessRequest -Task 'Exchange\<exchange management cmdlet name>' -Reason '<appropriate reason>' -DurationHours <duration in hours>

Exemplo:

New-ElevatedAccessRequest -Task 'Exchange\New-MoveRequest' -Reason 'Attempting to fix the user mailbox error' -DurationHours 4

Ver o status das solicitações de elevação

Depois de criar um pedido de aprovação, pode marcar a status do pedido de elevação no centro de administração ou no PowerShell de Gestão do Exchange com o ID do pedido associado.

No Centro de administração do Microsoft 365

1. Inicie sessão no Centro de administração do Microsoft 365 com as suas credenciais.

2. No centro de administração, aceda a Definições Definições>> daOrganizaçãoSegurança &Acesso privilegiado àPrivacidade>.

3. Selecione Gerir políticas e pedidos de acesso.

4. Selecione Ver para filtrar pedidos submetidos por Pendente, Aprovado, Negado ou Sistema de Proteção de Dados do Cliente status.

No PowerShell de Gestão do Exchange

Execute o seguinte comando no Exchange Online PowerShell para ver um pedido de aprovação status para um ID de pedido específico:

Get-ElevatedAccessRequest -Identity <request ID> | select RequestStatus

Exemplo:

Get-ElevatedAccessRequest -Identity 28560ed0-419d-4cc3-8f5b-603911cbd450 | select RequestStatus

Aprovar um pedido de autorização de elevação

Quando cria um pedido de aprovação, os membros do grupo de aprovadores relevantes recebem uma notificação por e-mail. Podem aprovar o pedido com o ID do pedido. O requerente recebe uma notificação por e-mail quando o pedido é aprovado ou negado.

No Centro de administração do Microsoft 365

1. Inicie sessão no Centro de administração do Microsoft 365 com as suas credenciais.

2. No centro de administração, aceda a Definições Definições>> daOrganizaçãoSegurança &Acesso privilegiado àPrivacidade>.

3. Selecione Gerir políticas e pedidos de acesso.

4. Selecione um pedido listado para ver os detalhes e tomar medidas no pedido.

5. Selecione Aprovar para aprovar o pedido ou selecione Negar para negar o pedido. Pode revogar o acesso para pedidos aprovados anteriormente ao selecionar Revogar.

No PowerShell de Gestão do Exchange

Para aprovar um pedido de autorização de elevação, execute o seguinte comando no Exchange Online PowerShell:

Approve-ElevatedAccessRequest -RequestId <request id> -Comment '<approval comment>'

Exemplo:

Approve-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<approval comment>'

Para negar um pedido de autorização de elevação, execute o seguinte comando no Exchange Online PowerShell:

Deny-ElevatedAccessRequest -RequestId <request id> -Comment '<denial comment>'

Exemplo:

Deny-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<denial comment>'

Eliminar uma política de acesso privilegiado no Office 365

Se a sua organização já não precisar de uma política de acesso privilegiado, pode eliminá-la.

No Centro de administração do Microsoft 365

1. Inicie sessão no Centro de administração do Microsoft 365 com credenciais para uma conta de administrador na sua organização.

2. No centro de administração, aceda a Definições Definições>> daOrganizaçãoSegurança &Acesso privilegiado àPrivacidade>.

3. Selecione Gerir políticas e pedidos de acesso.

4. Selecione Configurar políticas.

5. Selecione a política que pretende eliminar e, em seguida, selecione Remover Política.

6. Selecione Fechar.

No PowerShell de Gestão do Exchange

Para eliminar uma política de acesso privilegiado, execute o seguinte comando no Exchange Online PowerShell:

Remove-ElevatedAccessApprovalPolicy -Identity <identity GUID of the policy you want to delete>

Desativar o acesso privilegiado no Office 365

Se necessário, pode desativar a gestão de acesso privilegiado para a sua organização. Desativar o acesso privilegiado não elimina quaisquer políticas de aprovação ou grupos de aprovação associados.

No Centro de administração do Microsoft 365

1. Inicie sessão no Centro de administração do Microsoft 365 com credenciais para uma conta de administrador na sua organização.

2. No Centro de Administração, aceda a Definições Definições>> daOrganizaçãoSegurança & Privacidade** >Acesso privilegiado.

3. Ative Exigir aprovações para acesso privilegiado.

No PowerShell de Gestão do Exchange

Para desativar o acesso privilegiado, execute o seguinte comando no Exchange Online PowerShell:

Disable-ElevatedAccessControl