Erste Schritte mit der Verwaltung des privilegierten Zugriffs

  • Artikel

Dieser Artikel führt Sie durch das Aktivieren und Konfigurieren der Verwaltung des privilegierten Zugriffs in Ihrem organization. Sie können entweder die Microsoft 365 Admin Center oder Die Exchange-Verwaltungs-PowerShell verwenden, um den privilegierten Zugriff zu verwalten und zu verwenden.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Bevor Sie beginnen:

Bevor Sie mit der Verwaltung des privilegierten Zugriffs beginnen, sollten Sie Ihr Microsoft 365-Abonnement und alle Add-Ons bestätigen.

Bevor Sie mit der Verwaltung des privilegierten Zugriffs beginnen, sollten Sie Ihr Microsoft 365-Abonnement und alle Add-Ons bestätigen. Um auf die Verwaltung des privilegierten Zugriffs zugreifen und diese verwenden zu können, muss Ihre organization über unterstützende Abonnements oder Add-Ons verfügen. Weitere Informationen finden Sie unter Abonnementanforderungen für die Verwaltung privilegierter Zugriffe.

Wenn Sie noch keinen Office 365 Enterprise E5-Plan haben und die Verwaltung des privilegierten Zugriffs ausprobieren möchten, können Sie Microsoft 365 Ihrem vorhandenen Office 365-Abonnement hinzufügen oder sich für eine Testversion von Microsoft 365 Enterprise E5 registrieren.

Aktivieren und Konfigurieren der Verwaltung des privilegierten Zugriffs

Führen Sie die folgenden Schritte aus, um den privilegierten Zugriff in Ihrem organization einzurichten und zu verwenden:

  • Schritt 1: Erstellen der Gruppe einer genehmigenden Person

    Bevor Sie mit dem Verwenden von privilegiertem Zugriff beginnen, bestimmen Sie, wer die Berechtigung zum Genehmigen eingehender Anforderungen für den Zugriff auf Aufgaben mit erhöhten und privilegierten Rechten benötigt. Jeder Benutzer, der zur Gruppe "Genehmiger" gehört, kann Zugriffsanforderungen genehmigen. Diese Gruppe wird durch Erstellen einer E-Mail-aktivierten Sicherheitsgruppe in Office 365 aktiviert.

  • Schritt 2: Aktivieren des privilegierten Zugriffs

    Privilegierter Zugriff muss in Office 365 explizit mit der Standardgenehmigungsgruppe aktiviert werden, einschließlich einer Reihe von Systemkonten, die Sie aus der Privileged Access Management-Zugriffssteuerung ausschließen möchten.

  • Schritt 3: Erstellen einer Zugriffsrichtlinie

    Die Erstellung einer Genehmigungsrichtlinie ermöglicht es Ihnen, die spezifischen Genehmigungsanforderungen für einzelne Aufgaben zu definieren. Die Optionen für den Genehmigungstyp sind Automatisch oder Manuell.

  • Schritt 4: Übermitteln/Genehmigen von Anforderungen für privilegierten Zugriff

    Nach der Aktivierung erfordert der privilegierte Zugriff Genehmigungen für jede Aufgabe, für die eine entsprechende Genehmigungsrichtlinie definiert ist. Für Aufgaben, die in einer Genehmigungsrichtlinie enthalten sind, müssen Benutzer eine Zugriffsgenehmigung anfordern und erhalten, um über die zur Ausführung der Aufgabe erforderlichen Berechtigungen zu verfügen.

Nachdem die Genehmigung erteilt wurde, kann der anfragende Benutzer die beabsichtigte Aufgabe ausführen, und der privilegierte Zugriff autorisiert und führt die Aufgabe im Namen des Benutzers aus. Die Genehmigung bleibt für die beantragte Dauer gültig (Standarddauer ist 4 Stunden), während der der Antragsteller die beabsichtigte Aufgabe mehrmals ausführen kann. Alle derartigen Ausführungen werden protokolliert und für Sicherheits- und Compliance-Audits zur Verfügung gestellt.

Hinweis

Wenn Sie die Exchange-Verwaltungs-PowerShell zum Aktivieren und Konfigurieren des privilegierten Zugriffs verwenden möchten, führen Sie die Schritte unter Herstellen einer Verbindung mit Exchange Online PowerShell mithilfe der mehrstufigen Authentifizierung aus, um mit Ihren Office 365 Anmeldeinformationen eine Verbindung mit Exchange Online PowerShell herzustellen. Sie müssen die mehrstufige Authentifizierung für Ihre organization nicht aktivieren, um die Schritte zum Aktivieren des privilegierten Zugriffs beim Herstellen einer Verbindung mit Exchange Online PowerShell auszuführen. Beim Herstellen einer Verbindung mit mehrstufiger Authentifizierung wird ein Authentifizierungstoken erstellt, das vom privilegierten Zugriff zum Signieren Ihrer Anforderungen verwendet wird.

Schritt 1: Erstellen der Gruppe einer genehmigenden Person

  1. Melden Sie sich beim Microsoft 365 Admin Center mit den Anmeldeinformationen für ein Administratorkonto in Ihrem organization an.

  2. Wechseln Sie im Admin Center zu Gruppen>Gruppe hinzufügen.

  3. Wählen Sie E-Mail-aktivierte Sicherheitsgruppe aus, und füllen Sie dann die Felder Name, Gruppen-E-Mail-Adresse und Beschreibung für die neue Gruppe aus.

  4. Speichern Sie die Gruppe.  Es kann ein paar Minuten dauern, bis die Gruppe vollständig konfiguriert ist und im Microsoft 365 Admin Center angezeigt wird.

  5. Wählen Sie die Gruppe der neuen genehmigenden Person und dann Bearbeiten aus, um der Gruppe Benutzer hinzuzufügen.

  6. Speichern Sie die Gruppe.

Schritt 2: Aktivieren des privilegierten Zugriffs

Im Microsoft 365 Admin Center

  1. Melden Sie sich beim Microsoft 365 Admin Center mit den Anmeldeinformationen für ein Administratorkonto in Ihrem organization an.

  2. Wechseln Sie im Admin Center zu Einstellungen>Organisationseinstellungen>Sicherheit & Datenschutz>Privilegierter Zugriff.

  3. Aktivieren Sie das Steuerelement Genehmigungen für privilegierte Aufgaben anfordern .

  4. Weisen Sie die Gruppe der genehmigenden Person, die Sie in Schritt 1 erstellt haben, als Gruppe standardmäßig genehmigende Personen zu.

  5. Speichern und schließen.

In Exchange-Verwaltungs-PowerShell

Führen Sie zum Aktivieren des privilegierten Zugriffs und zum Zuweisen der Gruppe der genehmigenden Person den folgenden Befehl in Exchange Online PowerShell aus:

Enable-ElevatedAccessControl -AdminGroup '<default approver group>' -SystemAccounts @('<systemAccountUPN1>','<systemAccountUPN2>')

Beispiel:

Enable-ElevatedAccessControl -AdminGroup 'pamapprovers@fabrikam.onmicrosoft.com' -SystemAccounts @('sys1@fabrikamorg.onmicrosoft.com', 'sys2@fabrikamorg.onmicrosoft.com')

Hinweis

Das Feature "Systemkonten" wird zur Verfügung gestellt, um sicherzustellen, dass bestimmte Automatisierungen in Ihren Organisationen ohne Abhängigkeit von privilegiertem Zugriff funktionieren können. Es wird jedoch empfohlen, dass solche Ausschlüsse außergewöhnlich sind und die zulässigen Ausnahmen regelmäßig genehmigt und überwacht werden sollten.

Schritt 3: Erstellen einer Zugriffsrichtlinie

Sie können bis zu 30 Richtlinien für privilegierten Zugriff für Ihre organization erstellen und konfigurieren.

Im Microsoft 365 Admin Center

  1. Melden Sie sich beim Microsoft 365 Admin Center mit den Anmeldeinformationen für ein Administratorkonto in Ihrem organization an.

  2. Wechseln Sie im Admin Center zu Einstellungen>Organisationseinstellungen>Sicherheit & Datenschutz>Privilegierter Zugriff.

  3. Wählen Sie Zugriffsrichtlinien und Anforderungen verwalten aus.

  4. Wählen Sie Richtlinien konfigurieren und dann Richtlinie hinzufügen aus.

  5. Wählen Sie in den Dropdownfeldern die entsprechenden Werte für Ihre organization aus:

    Richtlinientyp: Aufgabe, Rolle oder Rollengruppe

    Geltungsbereich der Richtlinie: Exchange

    Richtlinienname: Aus den verfügbaren Richtlinien auswählen

    Genehmigungstyp: Manuell oder automatisch

    Genehmigungsgruppe: Wählen Sie die in Schritt 1 erstellte Gruppe der genehmigenden Personen aus.

  6. Wählen Sie Erstellen und dann Schließen aus. Es kann einige Minuten dauern, bis die Richtlinie vollständig konfiguriert und aktiviert ist.

In Exchange-Verwaltungs-PowerShell

Führen Sie zum Erstellen und Definieren einer Genehmigungsrichtlinie den folgenden Befehl in Exchange Online PowerShell aus:

New-ElevatedAccessApprovalPolicy -Task 'Exchange\<exchange management cmdlet name>' -ApprovalType <Manual, Auto> -ApproverGroup '<default/custom approver group>'

Beispiel:

New-ElevatedAccessApprovalPolicy -Task 'Exchange\New-MoveRequest' -ApprovalType Manual -ApproverGroup 'mbmanagers@fabrikamorg.onmicrosoft.com'

Schritt 4: Übermitteln/Genehmigen von Anforderungen für privilegierten Zugriff

Anforderung einer Erhebungsberechtigung zur Ausführung privilegierter Aufgaben

Anforderungen für einen privilegierten Zugriff sind bis zu 24 Stunden nach Einreichung der Anforderung gültig. Wenn sie nicht genehmigt oder verweigert werden, laufen die Anforderungen ab, und der Zugriff wird nicht genehmigt.

Im Microsoft 365 Admin Center

  1. Melden Sie sich mit Ihren Anmeldeinformationen beim Microsoft 365 Admin Center an.

  2. Wechseln Sie im Admin Center zu Einstellungen>Organisationseinstellungen>Sicherheit & Datenschutz>Privilegierter Zugriff.

  3. Wählen Sie Zugriffsrichtlinien und Anforderungen verwalten aus.

  4. Wählen Sie Neue Anforderung aus. Wählen Sie in den Dropdownfeldern die entsprechenden Werte für Ihre organization aus:

    Anforderungstyp: Aufgabe, Rolle oder Rollengruppe

    Geltungsbereich der Anforderung: Exchange

    Anforderung für: Aus den verfügbaren Richtlinien auswählen

    Dauer (Stunden): Anzahl der Stunden, die für den angeforderten Zugriff erforderlich sind. Es gibt keine Beschränkung für die Anzahl der Stunden, die angefordert werden können.

    Kommentare: Textfeld für Kommentare im Zusammenhang mit Ihrer Zugriffsanforderung

  5. Wählen Sie Speichern und dann Schließen aus. Ihre Anforderung wird per E-Mail an die Gruppe der genehmigenden Person gesendet.

In Exchange-Verwaltungs-PowerShell

Führen Sie den folgenden Befehl in Exchange Online PowerShell aus, um eine Genehmigungsanforderung zu erstellen und an die Gruppe der genehmigenden Person zu übermitteln:

New-ElevatedAccessRequest -Task 'Exchange\<exchange management cmdlet name>' -Reason '<appropriate reason>' -DurationHours <duration in hours>

Beispiel:

New-ElevatedAccessRequest -Task 'Exchange\New-MoveRequest' -Reason 'Attempting to fix the user mailbox error' -DurationHours 4

Anzeigen des Status von Anforderungen für erhöhte Rechte

Nachdem eine Genehmigungsanforderung erstellt wurde, können sie status im Admin Center oder in Exchange-Verwaltungs-PowerShell mithilfe der mit der Anforderungs-ID verknüpften überprüft werden.

Im Microsoft 365 Admin Center

  1. Melden Sie sich mit Ihren Anmeldeinformationen beim Microsoft 365 Admin Center an.

  2. Wechseln Sie im Admin Center zu Einstellungen>Organisationseinstellungen>Sicherheit & Datenschutz>Privilegierter Zugriff.

  3. Wählen Sie Zugriffsrichtlinien und Anforderungen verwalten aus.

  4. Wählen Sie Ansicht aus, um übermittelte Anforderungen nach Ausstehend, Genehmigt, Abgelehnt oder Kunden-Lockbox status zu filtern.

In Exchange-Verwaltungs-PowerShell

Führen Sie den folgenden Befehl in Exchange Online PowerShell aus, um eine Genehmigungsanforderung status für eine bestimmte Anforderungs-ID anzuzeigen:

Get-ElevatedAccessRequest -Identity <request ID> | select RequestStatus

Beispiel:

Get-ElevatedAccessRequest -Identity 28560ed0-419d-4cc3-8f5b-603911cbd450 | select RequestStatus

Genehmigen einer Berechtigungsanforderung für rechte Rechte

Wenn eine Genehmigungsanforderung erstellt wird, erhalten Mitglieder der entsprechenden genehmigenden Gruppe eine E-Mail-Benachrichtigung und können die mit der Anforderungs-ID verknüpfte Anforderung genehmigen. Der Antragsteller wird über die Genehmigung oder Ablehnung der Anforderung per E-Mail benachrichtigt.

Im Microsoft 365 Admin Center

  1. Melden Sie sich mit Ihren Anmeldeinformationen beim Microsoft 365 Admin Center an.

  2. Wechseln Sie im Admin Center zu Einstellungen>Organisationseinstellungen>Sicherheit & Datenschutz>Privilegierter Zugriff.

  3. Wählen Sie Zugriffsrichtlinien und Anforderungen verwalten aus.

  4. Wählen Sie eine aufgelistete Anforderung aus, um die Details anzuzeigen und Maßnahmen für die Anforderung zu ergreifen.

  5. Wählen Sie Genehmigen aus, um die Anforderung zu genehmigen, oder wählen Sie Verweigern aus, um die Anforderung zu verweigern. Für zuvor genehmigte Anforderungen kann der Zugriff widerrufen werden, indem Sie Widerrufen auswählen.

In Exchange-Verwaltungs-PowerShell

Führen Sie den folgenden Befehl in Exchange Online PowerShell aus, um eine Autorisierungsanforderung für erhöhte Rechte zu genehmigen:

Approve-ElevatedAccessRequest -RequestId <request id> -Comment '<approval comment>'

Beispiel:

Approve-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<approval comment>'

Um eine Berechtigungsanforderung für erhöhte Rechte zu verweigern, führen Sie den folgenden Befehl in Exchange Online PowerShell aus:

Deny-ElevatedAccessRequest -RequestId <request id> -Comment '<denial comment>'

Beispiel:

Deny-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<denial comment>'

Löschen einer Richtlinie für privilegierten Zugriff in Office 365

Wenn sie in Ihrem organization nicht mehr benötigt wird, können Sie eine Richtlinie für privilegierten Zugriff löschen.

Im Microsoft 365 Admin Center

  1. Melden Sie sich beim Microsoft 365 Admin Center mit den Anmeldeinformationen für ein Administratorkonto in Ihrem organization an.

  2. Wechseln Sie im Admin Center zu Einstellungen>Organisationseinstellungen>Sicherheit & Datenschutz>Privilegierter Zugriff.

  3. Wählen Sie Zugriffsrichtlinien und Anforderungen verwalten aus.

  4. Wählen Sie Richtlinien konfigurieren aus.

  5. Wählen Sie die Richtlinie aus, die Sie löschen möchten, und wählen Sie dann Richtlinie entfernen aus.

  6. Wählen Sie Schließen aus.

In Exchange-Verwaltungs-PowerShell

Um eine Richtlinie für privilegierten Zugriff zu löschen, führen Sie den folgenden Befehl in Exchange Online PowerShell aus:

Remove-ElevatedAccessApprovalPolicy -Identity <identity GUID of the policy you want to delete>

Deaktivieren des privilegierten Zugriffs in Office 365

Bei Bedarf können Sie die Verwaltung des privilegierten Zugriffs für Ihre organization deaktivieren. Durch das Deaktivieren des privilegierten Zugriffs werden keine zugeordneten Genehmigungsrichtlinien oder Genehmigendengruppen gelöscht.

Im Microsoft 365 Admin Center

  1. Melden Sie sich beim Microsoft 365 Admin Center mit Den Anmeldeinformationen für ein Administratorkonto in Ihrem organization an.

  2. Wechseln Sie im Admin Center zu Einstellungen>Organisationseinstellungen>Sicherheit & Datenschutz>Privilegierter Zugriff.

  3. Aktivieren Sie die Option Genehmigungen für die Steuerung des privilegierten Zugriffs erforderlich .

In Exchange-Verwaltungs-PowerShell

Führen Sie den folgenden Befehl in Exchange Online PowerShell aus, um den privilegierten Zugriff zu deaktivieren:

Disable-ElevatedAccessControl