Integración de Microsoft Graph Data Connect con Privileged Access Management

Microsoft Graph Data Connect se basa en Privileged Access Management (PAM) para permitir que los administradores de Microsoft 365 aprueben las solicitudes de movimiento de datos. Las canalizaciones de Data Connect deben ser aprobadas por un miembro del grupo aprobador de solicitudes de acceso a datos especificado por el administrador de Microsoft 365 durante la activación. Para configurar el grupo aprobador, consulte Introducción.

Los correos electrónicos de solicitud de aprobación se enviarán a todos los miembros del grupo aprobador para informarles cuando actividades de copia soliciten acceso para extraer datos de Microsoft 365. Los aprobadores pueden aprobar o denegar estas solicitudes, especificar un grupo de usuarios que debe ser eliminado de datos extraídos o revocar una solicitud aprobada previamente. La aprobación se conserva durante 6 meses y es necesaria una aprobación por actividad de copia en la canalización de Azure Data Factory.

Cada solicitud incluirá siempre los siguientes detalles sobre el conjunto de datos y los usuarios sobre los que se extraen datos:

  • Solicitante: el usuario que solicita la canalización.
  • Duración: si se aprueba, el tiempo que se conservará la aprobación. Siempre es 4 320 horas (6 meses).
  • Motivo: motivo de la solicitud, normalmente "una aplicación instalada en su organización requiere la aprobación para obtener acceso a datos de Office 365".
  • Solicitado en: la fecha y hora de la solicitud.
  • Id. de solicitud: el Id. de la solicitud, se utiliza para fines de aprobación.
  • DataTable: el conjunto de datos que se van a extraer (por ejemplo, elementos enviados).
  • Columnas: la lista de columnas que se van a extraer desde la tabla de datos (por ejemplo, SentDateTime).
  • AllowedGroups: el grupo o grupos de usuarios de los que la canalización extrae los datos. Si la lista de grupos está vacía, la canalización solicita acceso a los datos de todos los usuarios del espacio empresarial.
  • Consulta de ámbito de usuario: el predicado utilizado para filtrar los usuarios. Solo se aplica si la solicitud es para todos los usuarios del espacio empresarial. Si está vacía, no se aplicará ningún filtro.
  • OutputUri: la ruta de salida donde se almacenarán los datos extraídos.
  • SourceTenantId: el Id. de inquilino desde el que se extraen datos.
  • InstallerIdentity: la identidad del instalador de aplicación.

Los siguientes campos en la solicitud estarán disponibles solo en algunos casos:

  • Nombre de la aplicación y el identificador URI del Marketplace (disponible solo para las aplicaciones instaladas en Azure marketplace).
  • Vínculos a la directiva de privacidad y términos de servicio de la aplicación (disponible solo si la aplicación los proporciona).
  • Las directivas de cumplimiento que exige la aplicación, como el cifrado de datos almacenados en la ubicación de almacenamiento de salida (disponible solo si la aplicación lo proporciona y si la aplicación está instalada desde Azure marketplace).
  • Lista de denegación: grupo de usuarios que puede eliminarse de los datos extraídos. Este campo está vacío como parte de la solicitud de conjuntos de datos compatibles con la eliminación de privacidad de los datos extraídos. Puede rellenarlo el miembro del grupo aprobador que apruebe la solicitud en el momento de aprobación.

Aprobar solicitudes

Las canalizaciones de Data Connect debe aprobarlas un miembro del grupo aprobador de solicitudes de acceso a datos. Los aprobadores pueden aprobar, denegar o revocar canalizaciones con el módulo de PowerShell de Exchange Online o la experiencia del usuario de PAM.

Aprobar, rechazar y revocar solicitudes con PowerShell

Para interactuar con una solicitud con el módulo de PowerShell de Exchange Online, siga estos pasos:

  1. Instale el módulo de Powershell de Exchange Online. Para obtener más información sobre la instalación, consulte Conectarse a Exchange Online PowerShell con la autenticación multifactor.

  2. Conectarse a Exchange Online PowerShell con la autenticación multifactor (MFA). Para obtener más información, consulte Conectarse a Exchange Online PowerShell con la autenticación multifactor.

    Nota

    Nota: no es necesario habilitar la autenticación multifactor en su organización para seguir estos pasos mientras se conecta a Exchange Online PowerShell. La conexión con MFA crea un token de OAuth que PAM usa para firmar las solicitudes.

  3. Inicie sesión con su cuenta. Tenga en cuenta que debe ser parte del grupo de aprobación de acceso a datos configurado para poder aprobar, denegar o revocar solicitudes. Los usuarios invitados no pueden aprobar solicitudes, aunque estén en el grupo de aprobadores.

    Connect-EXOPSSession
    
  4. Buscar todas las solicitudes pendientes.

    Nota

    El valor de la propiedad Identity se usará para identificar y aprobar o denegar la solicitud. Apunte este valor y úselo en el parámetro -RequestId.

    Get-ElevatedAccessRequest | ?{$_.RequestStatus -eq 'Pending'}
    
  5. Eche un vistazo al campo de contexto de la solicitud que le interesa.

    Nota: el campo de contexto de la solicitud de acceso de datos describe los parámetros y las propiedades de la actividad de copia.

    Get-ElevatedAccessRequest -RequestId $requestId).Context | ConvertFrom-Json
    

    Obtendrá una respuesta similar a la siguiente.

    Key                          Value
    ---                          -----
    ApplicationName
    ComplianceStatus             [{"Timestamp":"2018-05-02T18:29:21.5705664Z","RequirementName":"adlsEncryption","PolicyComplianceState":"Compliant","Violations":0},{"Timestamp":"2018-05-02T...
    ApplicationMarketPlaceUri
    OutputUri                    adl://myadlserumvrroyspmq.azuredatalakestore.net/targetFolder/Event
    ApplicationPrivacyPolicyUri  http://www.wkw.com/privacy
    ApplicationTermsOfServiceUri http://www.wkw.com/tos
    InstallerIdentity            a89885c3-4b0e-499e-86ed-14d7ed9147c2@942229f8-4656-4fb0-828b-e938dad4019a
    SourceTenantId               942229f8-4656-4fb0-828b-e938dad4019a
    UserScopeQuery               tenant in (942229f8-4656-4fb0-828b-e938dad4019a)
    ApplicationId
    DataTable                    Calendar Events
    DestinationTenantId          942229f8-4656-4fb0-828b-e938dad4019a
    Columns                      Subject:string, HasAttachments:bool, End:DateTime, Start:DateTime, ResponseStatus:string, Organizer:Object, Attendees:string, Importance:string, Sensitivity:...
    
  6. Apruebe o deniegue la solicitud con el valor de Identity para el parámetro -RequestId.

    Approve-ElevatedAccessRequest -RequestId $requestId -Comment "Yay!!"
    Deny-ElevatedAccessRequest -RequestId $requestId -Comment "Nay!!"
    

También puede aprobar la solicitud con una lista de denegación para asegurarse de que no se incluyen datos de determinados usuarios. Para ello, debe modificar el contexto de la solicitud para agregar el object Id del grupo que desea omitir y después aprobar la solicitud.

$request = Get-ElevatedAccessRequest -RequestId
$hash = $request.Context
$hash["DenyList"] = <Object ID of denied user group>;
Approve-ElevatedAccessRequest -RequestId $requestId -Comment "Yay!!" -RequestContext $hash
Deny-ElevatedAccessRequest -RequestId $requestId -Comment "Nay!!"

También puede revocar solicitudes aprobadas anteriormente. Al igual que al aprobar las solicitudes, el valor de Identity es lo que se necesita en el parámetro -RequestId.

Revoke-ElevatedAccessAuthorization -Comment "Revoking this request!" -RequestId $requestId

Verá una respuesta similar a la siguiente.

AuthorizedBy          : user@tenant.onmicrosoft.com
Type                  : Task
AuthorizedAccess      : Data Access Request
StartTimeUtc          : 7/24/2018 6:02:42 PM
EndTimeUtc            : 10/22/2018 6:02:42 PM
Revoked               : True
RevocationDateTimeUtc : 7/24/2018 9:12:55 PM
RevokedBy             : NAMPR00A001.prod.outlook.com/Microsoft Exchange Hosted  Organizations/tenant.onmicrosoft.com/user
RevocationComment     : Revoking this request!
Identity              : bda75607-0d87-43cb-bdf1-284b18446b34
DateCreatedUtc        : 1/1/0001 12:00:00 AM
DateUpdatedUtc        : 7/24/2018 9:12:55 PM

Aprobar, rechazar y revocar solicitudes a través de la experiencia del usuario de PAM.

Para interactuar con una solicitud con la experiencia web de PAM, siga estos pasos:

  1. Inicie sesión en el portal de administración de Microsoft 365 con credenciales de administrador y vaya a la página Experiencia del usuario de aprobación de administración con privilegios de acceso. Esto le mostrará todas las solicitudes de acceso (pendientes, aprobadas, expiradas o denegadas).

  2. En la página resultante, seleccione la solicitud que le interesa. Para seleccionar la lista de denegación para un borrado de privacidad, haga clic en la lista desplegable DenyList, seleccione el grupo que debe ser borrado y seleccione Aprobar.

  3. Para revocar una solicitud aprobada previamente, seleccione la solicitud aprobada que debe retirarse y elija Revocar. Se producirá un error en el siguiente intento de mover los datos con esa aprobación.

Comportamiento de aprobación

Las solicitudes de aprobación de Data Connect tienen características especiales que es importantes tener en cuenta:

  • Las solicitudes de aprobación se basan en los nombres de actividad de copia, canalizaciones y Azure Data Factory. Cada actividad de copia que se ejecute comprobará que el administrador de Microsoft 365 ha aprobado la solicitud de la actividad de copia para tener acceso a datos de Office y validará los parámetros importantes de la actividad de copia ejecutada con los parámetros de la aprobación.
  • En determinadas condiciones, se activará automáticamente una nueva solicitud de aprobación. Un aprobador de Data Connect tendrán que aprobar la nueva solicitud antes de que la actividad de copia pueda acceder a los datos de Microsoft 365.
  • Si cambian los parámetros de la actividad de copia que se ejecuta, se activará una nueva solicitud de aprobación.
  • Si cambian los nombres de actividad de copia, canalización o Data Factory, se activará una nueva solicitud de aprobación.
  • Por ejemplo: se requerirá una nueva aprobación si cambia la tabla de datos o conjunto de columnas al que accede la actividad de copia.
  • Las actividades de copia deberán aprobarse cada 6 meses. Si la aprobación original se realizó hace 6 meses, se activará automáticamente una nueva solicitud de aprobación.
  • Si un aprobador de acceso de datos de Microsoft 365 ha denegado una solicitud de aprobación o revocado una solicitud previamente aprobada, la actividad de copia producirá continuamente un error. Debe trabajar con el aprobador para conocer el motivo de la denegación o revocación y corregir los parámetros de la actividad de copia en consecuencia. Tendrá que implementar una nueva actividad de copia o cambiar el nombre de la actividad de copia existente para desencadenar una nueva solicitud de aprobación.
  • Las solicitudes de aprobación caducarán en 24 horas, a menos que el aprobador de acceso de datos de Microsoft 365 interactúe con la solicitud. Se enviará una nueva solicitud para su aprobación cada 24 horas. Si ve que la actividad de copia está esperando la aprobación (en el estado de Consentimiento pendiente), trabaje con los aprobadores de acceso de datos de Microsoft 365 para obtener la aprobación de su solicitud.

Eliminación por privacidad

El miembro del grupo aprobador que apruebe la solicitud puede especificar el nombre de un grupo de usuarios cuyos datos se eliminarán de los datos extraídos. Las filas que contienen las direcciones de correo electrónico correspondientes a los miembros del grupo denegado se eliminarán de los datos extraídos. Los grupos anidados dentro del grupo denegado se expandirán y solo se eliminarán los usuarios. Consulte la sección de aprobación de solicitudes de este tema para obtener más información sobre cómo aplicar la lista de denegación durante la aprobación, a través de PowerShell o PAM UX.

La siguiente tabla muestra los nombres de los conjuntos de datos y las columnas de las que se comprueba el contenido para la eliminación de privacidad.

Nombre del conjunto de datos Columnas que se usan para la eliminación basada en lista de denegación
BasicDataSet_v0.Message_v0
BasicDataSet_v0.Message_v1
Sender, From, ToRecipients, CcRecipients, BccRecipients
BasicDataSet_v0.SentItem_v0
BasicDataSet_v0.SentItem_v1
Sender, From, ToRecipients, CcRecipients, BccRecipients
BasicDataSet_v0.Event_v0
BasicDataSet_v0.Event_v1
Organizer, Attendees
BasicDataSet_v0.Contact_v0
BasicDataSet_v0.Contact_v1
EmailAddresses
BasicDataSet_v0.CalendarView_v0 Organizer, Attendees

Vea también