Kom igång med privilegierad åtkomsthantering
I det här avsnittet får du hjälp med att aktivera och konfigurera hantering av behörighet i din organisation. Du kan använda PowerShell Administrationscenter för Microsoft 365 eller Exchange för att hantera och använda behörighet.
Innan du börjar
Innan du börjar med hantering av privilegierad åtkomst bör du bekräfta Microsoft 365-prenumerationen och alla tillägg. Om du vill komma åt och använda hantering av privilegierad åtkomst måste din organisation ha någon av följande prenumerationer eller tillägg:
- Microsoft 365 E5 prenumeration (betald version eller utvärderingsversion)
- Microsoft 365 E3 -prenumeration (Office 365 E3 prenumerationen + Enterprise Mobility and Security E3) + Microsoft 365 E5 Compliance-tillägget
- Alla Microsoft 365, Office 365, Exchange, SharePoint eller OneDrive för företag-prenumerationen + Microsoft 365 E5-tillägget Microsoft 365 E5 Insider Risk Management
- Microsoft 365 A5 prenumeration (betald version eller utvärderingsversion)
- Microsoft 365 A3 prenumeration (Office 365 A3 prenumeration + Enterprise Mobility and Security A3-prenumeration) + Tillägget Microsoft A5 efterlevnad
- Alla Microsoft 365-, Office 365-, Exchange-, SharePoint- eller OneDrive för utbildning-prenumerationen + Microsoft 365 A5-tillägget Microsoft 365 A5 Insider Risk Management
- Office 365 Enterprise E5-prenumeration (betald version eller utvärderingsversion)
- Office 365 Enterprise E3-prenumeration + Office 365 Advanced Compliance-tillägget (inte längre tillgängligt för nya prenumerationer, se anteckningen)
Användare som skickar och svarar på begäran om behörighet för åtkomsthantering måste tilldelas någon av licenserna ovan.
Viktigt
Office 365 Advanced Compliance säljs inte längre som en fristående prenumeration. När aktuella prenumerationer går ut bör kunderna gå över till en av prenumerationerna ovan, som innehåller samma eller ytterligare efterlevnadsfunktioner.
Om du inte har ett befintligt Office 365 Enterprise E5-abonnemang och vill prova hantering av privilegierad åtkomst kan du lägga till Microsoft 365 i din befintliga Office 365-prenumeration eller registrera dig för en utvärderingsversion av Microsoft 365 Enterprise E5.
Aktivera och konfigurera hantering av privilegierad åtkomst
Följ de här anvisningarna för att konfigurera och använda behörighetsbehörighet i din organisation:
Steg 1: Skapa en godkännaresgrupp
Innan du börjar använda behörighet ska du bestämma vem som behöver godkännandebehörighet för inkommande förfrågningar om åtkomst till uppgifter med förhöjd behörighet. Alla användare som ingår i godkännargruppen kan godkänna åtkomstförfrågningar. Den här gruppen aktiveras genom att en e-postaktiverad säkerhetsgrupp skapas i Office 365.
Steg 2: Aktivera privilegierad åtkomst
Behörighet måste uttryckligen aktiveras i Office 365 med standardgrupp för godkännare, inklusive en uppsättning systemkonton som du vill ska undantas från åtkomsthanteringens åtkomstkontroll med behörighet.
Steg 3: Skapa en åtkomstprincip
Om du skapar en godkännandeprincip kan du definiera specifika godkännandekrav som gäller för enskilda uppgifter. Alternativen för godkännandetyp är Automatisk eller Manuell.
Steg 4: Skicka/godkänna behörighetsåtkomstförfrågningar
När den är aktiverad kräver behörigheten godkännanden för alla aktiviteter som har en associerad godkännandeprincip definierad. För uppgifter som ingår i en godkännandeprincip måste användarna begära och beviljas behörighetsgodkännande för att få den behörighet som krävs för att utföra uppgiften.
När godkännande har beviljats kan den som begär behörighet köra den avsedda uppgiften och behörigheten att auktorisera och köra uppgiften åt användaren. Godkännandet förblir giltigt under den begärda varaktigheten (standardlängden är 4 timmar), under vilken den som begär kan köra den avsedda aktiviteten flera gånger. Alla sådana körningar loggas och görs tillgängliga för granskning av säkerhet och efterlevnad.
Anteckning
Om du vill använda Exchange Management PowerShell för att aktivera och konfigurera behörighetsåtkomst följer du stegen i Anslut till Exchange Online PowerShell med multifaktorautentisering för att ansluta till Exchange Online PowerShell med dina Office 365-autentiseringsuppgifter. Du behöver inte aktivera multifaktorautentisering för din organisation för att kunna använda stegen för att aktivera privilegierad åtkomst när du ansluter till Exchange Online PowerShell. Om du ansluter till multifaktorautentisering skapas en autentiseringstoken som används av behörig åtkomst för att signera dina begäranden.
Steg 1: Skapa en godkännaresgrupp
Logga in Administrationscenter för Microsoft 365 autentiseringsuppgifter för ett administratörskonto i organisationen.
Gå till GrupperAdd en grupp i > administrationscentret.
Välj e-postaktiverad säkerhetsgrupp och fyll i fälten Namn, Grupp-e-postadress och Beskrivning för den nya gruppen.
Spara gruppen. Det kan ta några minuter innan gruppen har konfigurerats helt och visas i Administrationscenter för Microsoft 365.
Välj den nya godkännaren och välj Redigera för att lägga till användare i gruppen.
Spara gruppen.
Steg 2: Aktivera privilegierad åtkomst
I Microsoft 365 Admin Center
Logga in på Microsoft 365 Admin autentiseringsuppgifter för ett administratörskonto i organisationen.
I administrationscentret går du till artikeln Inställningar > Org Inställningar > Security & PrivacyPrivileged > access.
Aktivera kontrollen Kräv godkännanden för behöriga uppgifter.
Tilldela godkännaren den grupp du skapade i steg 1 som standard godkännare.
Spara och stäng.
I Exchange Management PowerShell
Om du vill aktivera behörighet och tilldela godkännaren i gruppen kör du följande kommando i Exchange Online PowerShell:
Enable-ElevatedAccessControl -AdminGroup '<default approver group>' -SystemAccounts @('<systemAccountUPN1>','<systemAccountUPN2>')
Exempel:
Enable-ElevatedAccessControl -AdminGroup 'pamapprovers@fabrikam.onmicrosoft.com' -SystemAccounts @('sys1@fabrikamorg.onmicrosoft.com', 'sys2@fabrikamorg.onmicrosoft.com')
Anteckning
Funktionen för systemkonton är tillgänglig för att säkerställa att vissa automatiseringar inom organisationen kan fungera utan beroende av privilegierad åtkomst, men vi rekommenderar att sådana undantag blir undantag som inte är tillåtna och att de tillåts godkänns och granskas regelbundet.
Steg 3: Skapa en åtkomstprincip
Du kan skapa och konfigurera upp till 30 principer för behörighet för din organisation.
I Microsoft 365 Admin Center
Logga in på Microsoft 365 Admin autentiseringsuppgifter för ett administratörskonto i organisationen.
I administrationscentret går du till artikeln Inställningar > Org Inställningar > Security & PrivacyPrivileged > access.
Välj Hantera åtkomstprinciper och -begäranden.
Välj Konfigurera principer och välj Lägg till en princip.
I listrutan väljer du lämpliga värden för din organisation:
Principtyp: Aktivitet, Roll eller Rollgrupp
Policyomfattning: Exchange
Principnamn: Välj bland tillgängliga principer
Godkännandetyp: Manuell eller Automatisk
Godkännandegrupp: Välj den godkännargrupp som skapades i steg 1
Välj Skapa och sedan Stäng. Det kan ta några minuter innan principen har konfigurerats och aktiverats helt.
I Exchange Management PowerShell
Om du vill skapa och definiera en godkännandeprincip kör du följande kommando i Exchange Online PowerShell:
New-ElevatedAccessApprovalPolicy -Task 'Exchange\<exchange management cmdlet name>' -ApprovalType <Manual, Auto> -ApproverGroup '<default/custom approver group>'
Exempel:
New-ElevatedAccessApprovalPolicy -Task 'Exchange\New-MoveRequest' -ApprovalType Manual -ApproverGroup 'mbmanagers@fabrikamorg.onmicrosoft.com'
Steg 4: Skicka/godkänna behörighetsåtkomstförfrågningar
Begära autentisering av höjd för att utföra behöriga uppgifter
Begäranden om behörighet är giltiga i upp till 24 timmar efter att begäran har skickats. Om begärandena inte har godkänts eller nekats, upphör att gälla och åtkomst är inte godkända.
I Microsoft 365 Admin Center
Logga in på Microsoft 365 Admin med dina autentiseringsuppgifter.
I administrationscentret går du till artikeln Inställningar > Org Inställningar > Security & PrivacyPrivileged > access.
Välj Hantera åtkomstprinciper och -begäranden.
Välj Ny begäran. I listrutan väljer du lämpliga värden för din organisation:
Typ av begäran: Uppgift, Roll eller Rollgrupp
Begäran om omfattning: Exchange
Begäran om: Välj bland tillgängliga principer
Varaktighet (timmar): Antal timmar begärd åtkomst. Det finns ingen gräns för hur många timmar som kan begäras.
Kommentarer: Textfält för kommentarer som är relaterade till din åtkomstbegäran
Välj Spara och sedan Stäng. Din begäran skickas till godkännarens grupp via e-post.
I Exchange Management PowerShell
Kör följande kommando i Exchange Online PowerShell för att skapa och skicka en begäran om godkännande till godkännaren:
New-ElevatedAccessRequest -Task 'Exchange\<exchange management cmdlet name>' -Reason '<appropriate reason>' -DurationHours <duration in hours>
Exempel:
New-ElevatedAccessRequest -Task 'Exchange\New-MoveRequest' -Reason 'Attempting to fix the user mailbox error' -DurationHours 4
Visa status för höjdbegäranden
När en begäran om godkännande har skapats kan status för höjdbegäran granskas i administrationscentret eller i Exchange Management PowerShell med hjälp av det som är associerat med begärande-ID.
I Administrationscenter för Microsoft 365
Logga in på Administrationscenter för Microsoft 365 med dina autentiseringsuppgifter.
I administrationscentret går du till artikeln Inställningar > Org Inställningar > Security & PrivacyPrivileged > access.
Välj Hantera åtkomstprinciper och -begäranden.
Välj Visa för att filtrera skickade begäranden av statusen Väntande**, Godkänd**, Nekad eller Customer Lockbox.
I Exchange Management PowerShell
Kör följande kommando i Exchange Online PowerShell för att visa statusen för en begärande för ett visst ID:
Get-ElevatedAccessRequest -Identity <request ID> | select RequestStatus
Exempel:
Get-ElevatedAccessRequest -Identity 28560ed0-419d-4cc3-8f5b-603911cbd450 | select RequestStatus
Godkänna en begäran om autentiseringssökning
När en begäran om godkännande skapas får medlemmar i den relevanta godkännargruppen ett e-postmeddelande och kan godkänna den begäran som är kopplad till begärans ID. Beställaren meddelas om begärans godkännande eller av nekande via e-postmeddelande.
I Administrationscenter för Microsoft 365
Logga in på Administrationscenter för Microsoft 365 med dina autentiseringsuppgifter.
I administrationscentret går du till artikeln Inställningar > Org Inställningar > Security & PrivacyPrivileged > access.
Välj Hantera åtkomstprinciper och -begäranden.
Välj en begäran i listan för att visa informationen och vidta åtgärder för begäran.
Välj Godkänn för att godkänna begäran eller välj Neka för att neka begäran. Tidigare godkända begäranden kan få åtkomst återkallad genom att välja Återkalla.
I Exchange Management PowerShell
Om du vill godkänna en begäran om autentiseringssökning kör du följande kommando i Exchange Online PowerShell:
Approve-ElevatedAccessRequest -RequestId <request id> -Comment '<approval comment>'
Exempel:
Approve-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<approval comment>'
Om du vill neka en autentiseringsbegäran för höjd kör du följande kommando i Exchange Online PowerShell:
Deny-ElevatedAccessRequest -RequestId <request id> -Comment '<denial comment>'
Exempel:
Deny-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<denial comment>'
Ta bort en princip för privilegierad åtkomst i Office 365
Om den inte längre behövs i organisationen kan du ta bort en princip för privilegierad åtkomst.
I Administrationscenter för Microsoft 365
Logga in Administrationscenter för Microsoft 365 autentiseringsuppgifter för ett administratörskonto i organisationen.
I administrationscentret går du till artikeln Inställningar > Org Inställningar > Security & PrivacyPrivileged > access.
Välj Hantera åtkomstprinciper och -begäranden.
Välj Konfigurera principer.
Markera den princip du vill ta bort och välj sedan Ta bort princip.
Välj Stäng.
I Exchange Management PowerShell
Om du vill ta bort en princip för privilegierad åtkomst kör du följande kommando Exchange Online Powershell:
Remove-ElevatedAccessApprovalPolicy -Identity <identity GUID of the policy you want to delete>
Inaktivera behörighet i Office 365
Om det behövs kan du inaktivera hantering av behörighet för organisationen. Om du inaktiverar behörighet tas inte associerade principer eller godkännargrupper bort.
I Administrationscenter för Microsoft 365
Logga in Administrationscenter för Microsoft 365 autentiseringsuppgifter för ett administratörskonto i organisationen.
I administrationscentret går du till artikeln Inställningar > Org Inställningar > Security & PrivacyPrivileged > access.
Aktivera funktionen Kräv godkännanden för behörighetsbehörighet .
I Exchange Management PowerShell
Om du vill inaktivera behörighet kör du följande kommando i Exchange Online Powershell:
Disable-ElevatedAccessControl