Microsoft Purview 特殊許可權存取管理 提供對 Office 365 中特殊許可權系統管理工作的細微存取控制。 它有助於保護您的組織免於使用現有特殊許可權系統管理員帳戶的違規行為,這些帳戶具有敏感性資料的常設存取權或重要組態設定的存取權。 特殊權限存取管理需要使用者要求即時存取,透過範圍與時間高度受到限制的核准工作流程,完成提升權限和授與特殊權限的工作。 此設定可授與使用者僅足夠執行手邊工作的存取權,而不會冒暴露敏感性資料或關鍵組態設定的風險。 當您啟用特殊許可權存取管理時,您的組織會以零常設許可權運作,並提供針對常設系統管理存取弱點的防禦層。
如需整合式客戶加密箱和特殊許可權存取管理工作流程的快速概觀,請參閱此 客戶加密箱和特殊許可權存取管理影片。
保護層
Privileged Access Management 可補充 Microsoft 365 安全性架構內的其他資料和存取功能保護。 將 Privileged Access Management 納入整合式和分層式安全性方法的一部分,所提供的安全性模型可將敏感性資訊和 Microsoft 365 組態設定的保護最大化。 如下圖所示,Privileged Access Management 是以 Microsoft 365 資料的原生加密和 Microsoft 365 服務的角色型存取控制安全性模型所提供的保護為基礎。 與Microsoft Entra Privileged Identity Management搭配使用時,這兩個功能可在不同範圍內提供即時存取的存取控制。
特權存取管理是在任務層級定義和限定範圍,而Microsoft Entra Privileged Identity Management則在角色層級套用保護,並能夠執行多個任務。 Microsoft Entra Privileged Identity Management主要允許管理 AD 角色和角色群組的存取權,而 Microsoft Purview Privileged Access Management 僅適用於工作層級。
在已使用 Microsoft Entra Privileged Identity Management 時啟用特權存取管理:新增特權存取管理可為特權存取 Microsoft 365 資料提供另一個精細的保護和稽核功能層。
在已使用 Microsoft Purview Privileged Access Management:新增Microsoft Entra Privileged Identity Management時啟用Microsoft Entra Privileged Identity Management至 Microsoft Purview Privileged Access Management 可以將特殊許可權存取延伸至 Microsoft 365 外部的數據,這些資料主要由使用者角色或身分識別所定義。
特權存取管理架構和流程
下列每個程式流程都概述特殊許可權存取的架構,以及它如何與 Microsoft 365 基質、稽核和 Exchange 管理執行空間互動。
步驟 1:設定特殊權限存取原則
當您使用 Microsoft 365 系統管理中心或 Exchange 管理 PowerShell 設定特殊許可權存取原則時,您會在 Microsoft 365 基質中定義原則和特殊許可權存取功能進程,以及原則屬性。 系統會在稽核記錄中記錄活動。 現在已啟用此原則,並準備就緒可處理傳入的核准要求。
步驟 2:存取要求
在 Microsoft 365 系統管理中心或使用 Exchange 管理 PowerShell 中,使用者可以要求存取提高許可權或特殊許可權的工作。 特殊許可權存取功能會將要求傳送至 Microsoft 365 基礎,以針對已設定的特殊許可權存取原則進行處理,並將活動記錄在稽核記錄中。
步驟 3:存取核准
特權存取功能會產生核准要求,並透過電子郵件將擱置要求通知傳送給核准者。 如果核准者授與核准,則特權存取功能會將特權存取要求處理為核准,並使任務準備好完成。 如果核准者拒絕要求,特權存取功能會封鎖工作,且不會授與要求者的存取權。 要求者會收到一封電子郵件訊息,通知他們要求核准或拒絕。
步驟 4:存取處理
針對已核准的要求,Exchange 管理執行空間會處理工作。 Microsoft 365 基質會根據特殊許可權存取原則檢查核准,並加以處理。 稽核記錄會記錄任務的所有活動。
常見問題集
哪些 SKU 可以在 Office 365 中使用特殊許可權存取?
特殊許可權存取管理可供客戶選擇各種 Microsoft 365 和 Office 365 訂閱和附加元件。 如需詳細資訊,請參閱開始使用 特殊許可權存取管理。
特殊許可權存取管理何時會支援 Exchange 以外的 Office 365 工作負載?
如需特殊許可權存取管理支援時間表的詳細資訊,請參閱 Microsoft 365 藍圖。
我的組織需要超過 30 個特殊許可權存取原則。 這個限制會提高嗎?
是,我們正在努力提高每個組織 30 個特殊許可權存取原則的目前限制。
我是否需要成為全域管理員才能管理 Office 365 中的特殊許可權存取?
是,您需要將全域管理員角色指派給在 Office 365 中管理特殊許可權存取的帳戶。 核准者群組中包含的使用者不需要指派全域管理員或角色管理角色,即可使用 PowerShell 檢閱和核准要求。 使用者必須指派 Exchange 系統管理員角色,才能在 Microsoft 365 系統管理中心要求、檢閱和核准特殊許可權存取要求。
特殊許可權存取管理與客戶加密箱有何關聯?
客戶加密箱在 Microsoft 存取資料時為組織提供存取控制。 特殊許可權存取管理為所有 Microsoft 365 特殊許可權工作提供組織內的細微存取控制。