Hva er Privileged Access Management (PAM)?
Privileged Access Management (PAM) er en sikkerhetsfunksjon i Microsoft 365 som gir granulær kontroll over privilegerte administrative oppgaver. PAM hjelper med å beskytte organisasjonen mot sikkerhetsbrudd ved å begrense stående tilgang til sensitiv data og kritiske konfigurasjonsinnstillinger. Dette oppnås ved å gi just-in-time tilgang til administrative oppgaver, noe som reduserer risikoen for eksponering av sensitiv informasjon.
Det er dog viktig å merke seg at PAM kun støtter Exchange roller og tilganger pt. Det påstås at Exchange-teamet utviklet PIM og PAM for å dekke sine egne behov først, for så å sakte rulle det videre ut.. hvem vet 🥸 (Det kommer en egen post om PIM senere)
Hvordan komme i gang med Privileged Access Management (PAM)
Opprett en godkjenningsgruppe
Logg inn på Microsoft 365 administrasjonssenter med en administratorkonto.
Gå til Innstillinger > Organisasjonsinnstillinger > Sikkerhet og personvern > Privilegert tilgang.
Opprett en mail-aktivert sikkerhetsgruppe for brukere som skal ha godkjenningsmyndighet for forespørsler om tilgang til forhøyede oppgaver ("PAM-Approvers" i mitt tilfelle)
Aktiver privilegert tilgang
I administrasjonssenteret, gå til Sikkerhet og personvern > Privilegert tilgang.
Velg Administrer tilgangspolicyer og forespørsler.
Aktiver privilegert tilgang med standard godkjenningsgruppe ("PAM-Approvers")
PAM kan selvfølgelig også opprettes via Powershell og vil slå inn på alle nye Powershell sesjoner hvor policyene treffer. Eksempelet under skrur på PAM med godkjenningsgruppe, men legger også på to unntak for to fiktive servicekontoer.
Opprett en tilgangspolicy (https://admin.microsoft.com/#/Settings/PrivilegedAccess)
Definer spesifikke godkjenningskrav for individuelle oppgaver ved å opprette en godkjenningspolicy.
Velg mellom automatisk eller manuell godkjenning (Automatisk betyr at tilgangen blir aktivert uten godkjenning, manuell betyr at et medlem av godkjenningsgruppen må godkjenne tilgangen)
Tilsvarende i Powershell
Over har jeg opprettet en policy som krever godkjenning om man ønsker å utføre en migrering av postbokser.
Send og godkjenn forespørsler om privilegert tilgang
Når PAM er aktivert, krever alle oppgaver med en tilknyttet godkjenningspolicy godkjenning før de kan utføres.
Brukere må sende en forespørsel om tilgang, som må godkjennes før de kan utføre oppgaven
I eksempelet under har jeg sendt en forespørsel på "Set inbox rule". Forespørselen på tilgang legger jeg inn via https://admin.microsoft.com/#/Settings/PrivilegedAccess
og "request access".
Godkjenner(e) vil da få et e-post varsel om at bruker XYZ har bedt om tilgang
Som en del av funksjonsdesignet inkluderer PAM robuste revisjonskontroller i hvert trinn i arbeidsflyten. Handlinger, inkludert aktivering eller deaktivering av funksjonen, konfigurering av policyer og endringer i godkjennergruppene, registreres alle i Exchange-administrasjonsloggene og overføres deretter til Office 365 Unified Audit Log.
Oppsummert er PAM et nyttig verktøy for granulering av tilganger mot Exchange Online og kan blant annet være et fint verktøy for servicedesk der hvor behovet ofte er noen få tilganger under en litt for bred Entra ID tilgangsrolle. Håpet er at Microsoft får litt fart på videreutvikling av PAM så løsningen kan dekke alle tilganger tilsvarende Entra ID roller men med finere granulering. Det svirrer også noen rykter om bredere støtte mot Graph.. Vi får se 😎🔑
Bjørnar&AI
Comentarios