Introdução ao gerenciamento de acesso privilegiado

Este artigo orienta-o ao longo da ativação e configuração da gestão de acesso privilegiado na sua organização. Pode utilizar o Centro de administração do Microsoft 365 ou o PowerShell de Gestão do Exchange para gerir e utilizar o acesso privilegiado.

Antes de começar

Antes de começar a utilizar a gestão de acesso privilegiado, deve confirmar a sua subscrição do Microsoft 365 e quaisquer suplementos.

Antes de começar a utilizar a gestão de acesso privilegiado, deve confirmar a sua subscrição do Microsoft 365 e quaisquer suplementos. Para aceder e utilizar a gestão de acesso privilegiado, a sua organização tem de ter subscrições ou suplementos de suporte. Para obter mais informações, veja os requisitos de subscrição para a gestão de acesso privilegiado.

Se não tiver um plano do Office 365 Enterprise E5 existente e quiser experimentar a gestão de acesso privilegiado, pode adicionar o Microsoft 365 à sua subscrição de Office 365 existente ou inscrever-se numa avaliação do Microsoft 365 Enterprise E5.

Ativar e configurar a gestão de acesso privilegiado

Siga estes passos para configurar e utilizar o acesso privilegiado na sua organização:

• Passo 1: criar um grupo de aprovadores

  Antes de começar a usar o acesso privilegiado, determine quem precisa de autoridade de aprovação para solicitações de acesso a tarefas elevadas e privilegiadas. Qualquer usuário que faz parte do grupo de Aprovadores pode aprovar solicitações de acesso. Este grupo é ativado através da criação de um grupo de segurança com capacidade de correio no Office 365.

• Passo 2: Ativar o acesso privilegiado

  O acesso privilegiado deve ser explicitamente habilitado no Office 365 com o grupo aprovador padrão, incluindo um conjunto de contas do sistema que você deseja excluir do controle de acesso de gerenciamento de acesso privilegiado.

• Passo 3: criar uma política de acesso

  Criar uma política de aprovação permite que você defina os requisitos de aprovação específicos com escopo em tarefas individuais. As opções de tipo de aprovação são Automática ou Manual.

• Passo 4: Submeter/aprovar pedidos de acesso privilegiado

  Uma vez habilitado, o acesso privilegiado requer aprovações para qualquer tarefa que tenha uma política de aprovação associada definida. Para tarefas incluídas em uma política de aprovação, os usuários devem solicitar e ter a aprovação de acesso concedida para que tenham as permissões necessárias para executar a tarefa.

Depois que a aprovação for concedida, o usuário solicitante poderá executar a tarefa pretendida e o acesso privilegiado autorizará e executará a tarefa em nome do usuário. A aprovação permanece válida pelo tempo solicitado (a duração padrão é de quatro horas), durante o qual o solicitante pode executar a tarefa pretendida várias vezes. Todas essas execuções são registradas e disponibilizadas para auditoria de segurança e conformidade.

Passo 1: criar um grupo de aprovadores

1. Inicie sessão no Centro de administração do Microsoft 365 com as credenciais de uma conta de administrador na sua organização.

2. No centro de administração, aceda a Grupos>Adicionar um grupo.

3. Selecione grupo de segurança com capacidade de correio e, em seguida, preencha os campos Nome, Endereço de e-mail de grupo e Descrição do novo grupo.

4. Guarde o grupo. Pode levar alguns minutos para que o grupo esteja totalmente configurado e apareça no Centro de administração do Microsoft 365.

5. Selecione o grupo do novo aprovador e selecione editar para adicionar utilizadores ao grupo.

6. Guarde o grupo.

Passo 2: Ativar o acesso privilegiado

No Centro de Administração Microsoft 365

1. Inicie sessão no Centro de Administração Microsoft 365 com as credenciais de uma conta de administrador na sua organização.

2. No centro de administração, aceda a Definições Definições>> daOrganizaçãoSegurança &Acesso privilegiado àPrivacidade>.

3. Ative o controlo Exigir aprovações para tarefas privilegiadas .

4. Atribua o grupo do aprovador que criou no Passo 1 como o grupo Aprovadores predefinidos.

5. Guardar e Fechar.

No PowerShell de Gestão do Exchange

Para ativar o acesso privilegiado e atribuir o grupo do aprovador, execute o seguinte comando no Exchange Online PowerShell:

Enable-ElevatedAccessControl -AdminGroup '<default approver group>' -SystemAccounts @('<systemAccountUPN1>','<systemAccountUPN2>')

Exemplo:

Enable-ElevatedAccessControl -AdminGroup 'pamapprovers@fabrikam.onmicrosoft.com' -SystemAccounts @('sys1@fabrikamorg.onmicrosoft.com', 'sys2@fabrikamorg.onmicrosoft.com')

Passo 3: criar uma política de acesso

Pode criar e configurar até 30 políticas de acesso privilegiado para a sua organização.

No Centro de Administração Microsoft 365

1. Inicie sessão no Centro de Administração Microsoft 365 com as credenciais de uma conta de administrador na sua organização.

2. No Centro de Administração, aceda a Definições Definições>> daOrganizaçãoSegurança &Acesso privilegiado àPrivacidade>.

3. Selecione Gerir políticas e pedidos de acesso.

4. Selecione Configurar políticas e selecioneAdicionar uma política.

5. Nos campos pendentes, selecione os valores adequados para a sua organização:

   Tipo de política: tarefa, função ou grupo de funções

   Escopo da política: Exchange

   Nome da política: selecione uma das políticas disponíveis

   Tipo de aprovação: manual ou automática

   Grupo de aprovação: selecione o grupo de aprovadores criado na Etapa 1

6. Selecione Criar e , em seguida, Fechar. A configuração e a ativação da política podem demorar alguns minutos.

No PowerShell de Gestão do Exchange

Para criar e definir uma política de aprovação, execute o seguinte comando no Exchange Online PowerShell:

New-ElevatedAccessApprovalPolicy -Task 'Exchange\<exchange management cmdlet name>' -ApprovalType <Manual, Auto> -ApproverGroup '<default/custom approver group>'

Exemplo:

New-ElevatedAccessApprovalPolicy -Task 'Exchange\New-MoveRequest' -ApprovalType Manual -ApproverGroup 'mbmanagers@fabrikamorg.onmicrosoft.com'

Passo 4: Submeter/aprovar pedidos de acesso privilegiado

Solicitar autorização de elevação para executar tarefas privilegiadas

As solicitações de acesso privilegiado são válidas por até 24 horas após o envio da solicitação. Se não forem aprovados ou negados, os pedidos expiram e o acesso não é aprovado.

No Centro de Administração Microsoft 365

1. Inicie sessão no Centro de Administração Microsoft 365 com as suas credenciais.

2. No Centro de Administração, aceda a Definições Definições>> daOrganizaçãoSegurança &Acesso privilegiado àPrivacidade>.

3. Selecione Gerir políticas e pedidos de acesso.

4. Selecione Novo pedido. Nos campos pendentes, selecione os valores adequados para a sua organização:

   Tipo de solicitação: tarefa, função ou grupo de funções

   Escopo da solicitação: Exchange

   Solicitação: selecione uma das políticas disponíveis

   Duração (horas): número de horas de acesso solicitadas. Não existe um limite para o número de horas que podem ser pedidas.

   Comentários: Campo de texto para comentários relacionados com o pedido de acesso

5. Selecione Guardar e , em seguida, Fechar. O seu pedido é enviado para o grupo do aprovador por e-mail.

No PowerShell de Gestão do Exchange

Execute o seguinte comando no Exchange Online PowerShell para criar e submeter um pedido de aprovação ao grupo do aprovador:

New-ElevatedAccessRequest -Task 'Exchange\<exchange management cmdlet name>' -Reason '<appropriate reason>' -DurationHours <duration in hours>

Exemplo:

New-ElevatedAccessRequest -Task 'Exchange\New-MoveRequest' -Reason 'Attempting to fix the user mailbox error' -DurationHours 4

Ver o status das solicitações de elevação

Após a criação de um pedido de aprovação, o pedido de elevação status pode ser revisto no centro de administração ou no PowerShell de Gestão do Exchange com o ID do pedido associado.

No Centro de administração do Microsoft 365

1. Inicie sessão no Centro de administração do Microsoft 365 com as suas credenciais.

2. No centro de administração, aceda a Definições Definições>> daOrganizaçãoSegurança &Acesso privilegiado àPrivacidade>.

3. Selecione Gerir políticas e pedidos de acesso.

4. Selecione Ver para filtrar pedidos submetidos por Pendente, Aprovado, Negado ou Sistema de Proteção de Dados do Cliente status.

No PowerShell de Gestão do Exchange

Execute o seguinte comando no Exchange Online PowerShell para ver um pedido de aprovação status para um ID de pedido específico:

Get-ElevatedAccessRequest -Identity <request ID> | select RequestStatus

Exemplo:

Get-ElevatedAccessRequest -Identity 28560ed0-419d-4cc3-8f5b-603911cbd450 | select RequestStatus

Aprovar um pedido de autorização de elevação

Quando é criado um pedido de aprovação, os membros do grupo de aprovadores relevantes recebem uma notificação por e-mail e podem aprovar o pedido associado ao ID do pedido. O solicitante é notificado da aprovação ou negação da solicitação por mensagem de email.

No Centro de administração do Microsoft 365

1. Inicie sessão no Centro de administração do Microsoft 365 com as suas credenciais.

2. No centro de administração, aceda a Definições Definições>> daOrganizaçãoSegurança &Acesso privilegiado àPrivacidade>.

3. Selecione Gerir políticas e pedidos de acesso.

4. Selecione um pedido listado para ver os detalhes e tomar medidas no pedido.

5. Selecione Aprovar para aprovar o pedido ou selecione Negar para negar o pedido. Os pedidos aprovados anteriormente podem ter acesso revogado ao selecionar Revogar.

No PowerShell de Gestão do Exchange

Para aprovar um pedido de autorização de elevação, execute o seguinte comando no Exchange Online PowerShell:

Approve-ElevatedAccessRequest -RequestId <request id> -Comment '<approval comment>'

Exemplo:

Approve-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<approval comment>'

Para negar um pedido de autorização de elevação, execute o seguinte comando no Exchange Online PowerShell:

Deny-ElevatedAccessRequest -RequestId <request id> -Comment '<denial comment>'

Exemplo:

Deny-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<denial comment>'

Eliminar uma política de acesso privilegiado no Office 365

Se já não for necessário na sua organização, pode eliminar uma política de acesso privilegiado.

No Centro de administração do Microsoft 365

1. Inicie sessão no Centro de administração do Microsoft 365 com as credenciais de uma conta de administrador na sua organização.

2. No centro de administração, aceda a Definições Definições>> daOrganizaçãoSegurança &Acesso privilegiado àPrivacidade>.

3. Selecione Gerir políticas e pedidos de acesso.

4. Selecione Configurar políticas.

5. Selecione a política que pretende eliminar e, em seguida, selecione Remover Política.

6. Selecione Fechar.

No PowerShell de Gestão do Exchange

Para eliminar uma política de acesso privilegiado, execute o seguinte comando no Exchange Online PowerShell:

Remove-ElevatedAccessApprovalPolicy -Identity <identity GUID of the policy you want to delete>

Desativar o acesso privilegiado no Office 365

Se necessário, pode desativar a gestão de acesso privilegiado para a sua organização. Desativar o acesso privilegiado não elimina quaisquer políticas de aprovação ou grupos de aprovação associados.

No Centro de administração do Microsoft 365

1. Inicie sessão no Centro de administração do Microsoft 365 com credenciais para uma conta de administrador na sua organização.

2. No Centro de Administração, aceda a Definições Definições>> daOrganizaçãoSegurança &Acesso privilegiado àPrivacidade>.

3. Ative a opção Exigir aprovações para o controlo de acesso privilegiado .

No PowerShell de Gestão do Exchange

Para desativar o acesso privilegiado, execute o seguinte comando no Exchange Online PowerShell:

Disable-ElevatedAccessControl