Planejar uma implantação do Privileged Identity Management

O Privileged Identity Management (PIM) oferece ativação de função baseada em tempo e aprovação para atenuar os riscos de permissões de acesso excessivas, desnecessárias ou mal utilizadas para recursos importantes. Esses recursos incluem os recursos no Azure Active Directory (Azure AD), no Azure e em outros Microsoft Online Services, como o Microsoft 365 ou o Microsoft Intune.

O PIM permite um conjunto específico de ações em um determinado escopo. Os principais recursos incluem:

  • Fornecer acesso privilegiado just-in-time aos recursos

  • Atribuir elegibilidade para associação ou propriedade de grupos de acesso privilegiado

  • Atribua acesso com limite de tempo aos recursos usando as datas de início e término

  • Exigir aprovação para ativar funções com privilégios

  • Impor autenticação multifator para ativar qualquer função

  • Usar justificativa para entender por que os usuários ativam

  • Obter notificações quando as funções privilegiadas forem ativadas

  • Realizar revisões de acesso para garantir que os usuários ainda precisem de funções

  • Baixar o histórico de auditoria para auditoria interna ou externa

Para aproveitar ao máximo esse plano de implantação, é importante ter uma visão geral completa do que é Privileged Identity Management.

Entender o PIM

Os conceitos de PIM nesta seção ajudarão a entender os requisitos de identidade privilegiada da sua organização.

O que pode ser gerenciado no PIM

Hoje, podemos usar o PIM com:

  • Funções do Azure AD – às vezes chamadas de funções de diretório, as funções do Azure AD incluem funções internas e personalizadas para gerenciar o Azure AD e outros serviços online do Microsoft 365.

  • Funções do Azure – As funções de controle de acesso baseado em função (RBAC) no Azure que concede acesso a grupos gerenciados, assinaturas, grupos de recursos e recursos.

  • Grupos de acesso privilegiado – para definir acesso just-in-time para função de membro ou proprietário de um grupo de segurança do Azure AD. Os grupos de acesso privilegiado não só são uma maneira alternativa de configurar o PIM para funções do Azure AD e funções do Azure, como também permite configurar o PIM para outras permissões nos serviços online da Microsoft, como Intune, Azure Key Vault e Proteção de Informações do Azure.

Você pode atribuir o seguinte a essas funções ou grupos:

  • Usuários- Para receber acesso just-in-time a funções do Azure AD, funções do Azure e Grupos de acesso privilegiado.

  • Grupos- Qualquer pessoa em um grupo para obter acesso just-in-time a funções do Azure AD e do Azure. Para funções do Azure AD, o grupo precisa ser um grupo de nuvem recém-criado marcado como atribuível a uma função enquanto para funções do Azure, o grupo pode ser qualquer grupo de segurança do Azure AD. Não recomendamos atribuir/aninhar um grupo a grupos de acesso privilegiado.

Observação

Você não pode atribuir entidades de serviço como qualificadas para funções do Azure AD, funções do Azure e grupos de acesso privilegiado, mas pode conceder uma atribuição ativa de tempo limitada a todos os três.

Princípio de privilégios mínimos

Atribua usuários à função com os menores privilégios necessários para executar suas tarefas. Essa prática minimiza o número de Administradores Globais usando funções de administrador específicas para determinados cenários.

Observação

A Microsoft tem poucos administradores globais. Saiba mais em Como a Microsoft usa o Privileged Identity Management.

Tipo de atribuições

Há dois tipos de atribuições: qualificada e ativa. Se um usuário se qualificou para uma função, isso significa que ele poderá ativá-la quando precisar executar tarefas privilegiadas.

Agora você também pode definir uma hora de início e de término para cada tipo de atribuição. Isso permite 4 tipos possíveis de atribuição:

  • Permanentemente qualificada

  • Permanentemente ativa

  • Qualificada dentro de um limite de tempo, com datas de início e de término especificadas para a atribuição

  • Ativa dentro de um limite de tempo, com datas de início e de término especificadas para a atribuição

Caso a função expire, você pode prorrogar ou removar essas atribuições.

Recomendamos que você não mantenha as atribuições permanentemente ativas para funções que não sejam as duas contas de acesso de emergência imediata recomendadas, que devem ter a função de Administrador global permanente.

Planejar o projeto

Quando os projetos de tecnologia falham, normalmente é devido a expectativas incompatíveis quanto a impacto, resultados e responsabilidades. Para evitar essas armadilhas, verifique se você está participando dos stakeholders certos e que as funções de stakeholder no projeto sejam bem compreendidas.

Planejar um piloto

Em cada estágio de sua implantação, confira se os resultados são os esperados. Consulte as melhores práticas para obter um piloto.

  • Comece com um pequeno conjunto de usuários (grupo piloto) e verifique se o PIM se comporta conforme esperado.

  • Verifique se todas as configurações definidas para as funções ou grupos de acesso privilegiado estão funcionando corretamente.

  • Distribua para produção apenas após testes minusciosos.

Planejar comunicações

A comunicação é fundamental para o sucesso de qualquer novo serviço. Comunique de forma proativa a seus usuários como e quando sua experiência será alterada e como obter suporte em caso de problemas.

Organize uma reunião com o suporte de TI interno para mostrar o fluxo de trabalho do PIM. Forneça à equipe as documentações apropriadas e as informações de contato.

Planejar teste e reversão

Observação

Geralmente, para funções do Azure AD, as organizações testam e distribuem os administradores globais primeiro, enquanto para os recursos do Azure, testam o PIM em uma assinatura do Azure por vez.

Teste de plano

Crie usuários de teste para verificar se as configurações de PIM funcionam conforme esperado antes de afetar os usuários reais e potencialmente interromper o acesso deles aos aplicativos e recursos. Crie um plano de teste para ter uma comparação entre os resultados esperados e os resultados reais.

As tabelas a seguir mostram um exemplo de caso de teste:

Função Comportamento esperado durante a ativação Resultados reais
Administrador Global
  • Exigir MFA
  • Exigir aprovação
  • O aprovador recebe a notificação e pode aprová-la
  • A função expira após o horário predefinido
  • Para o Azure AD e a função de recurso do Azure, confira se você tem usuários representados que assumirão essas funções. Além disso, considere as seguintes funções ao testar o PIM em seu ambiente de preparo:

    Funções Funções do Azure AD Funções de recurso do Azure Grupos de acesso privilegiado
    Membro de um grupo x
    Membros de uma função x x
    Proprietário de serviço de TI x x
    Proprietário da assinatura/recurso x x
    Proprietário de grupo de acesso privilegiado x

    Reversão do plano

    Se o PIM não funcionar como desejado no ambiente de produção, você poderá mudar a atribuição de função de qualificado para ativo mais uma vez. Para cada função configurada, clique nas reticências (…) para todos os usuários com tipo de atribuição como qualificado. Você pode então selecionar a opção Tornar ativo para voltar e tornar a atribuição de função ativa.

    Planejar e implementar o PIM para funções do Azure AD

    Siga estas tarefas para preparar o PIM para gerenciar funções do Azure AD.

    Descobrir e mitigar funções com privilégios

    Liste quem tem função com privilégios em sua organização. Revise os usuários atribuídos, identifique os administradores que não precisam mais da função e remova-os das atribuições.

    Você pode usar as revisões de acesso de funções do Azure AD para automatizar a descoberta, revisão e aprovação ou remoção das atribuições.

    Determinar as funções a serem gerenciadas pelo PIM

    Priorize a proteção de funções do Azure AD que têm a maioria das permissões. É também importante considerar quais dados e permissões são mais confidenciais para sua organização.

    Primeiro, verifique se todas as funções de administrador global e de segurança são gerenciadas usando o PIM, pois são os danos do comprometimento desses usuários serão maiores. Em seguida, considere as funções que devem ser gerenciadas e que possam estar vulneráveis a ataques.

    Configurar o PIM para funções do Azure AD

    Planeje e faça as configurações de PIM para cada função do Azure AD com privilégio que a sua organização usa.

    A tabela a seguir mostra exemplos de configuração:

    Função Exigir MFA Notificação Tíquete de incidente Exigir aprovação Aprovador Duração da ativação Administrador de permissão
    Administrador Global ✔️ ✔️ ✔️ ✔️ Outro Administrador Global 1 hora Contas de acesso de emergência
    Exchange Admin ✔️ ✔️ Nenhum 2 horas Nenhum
    Administrador de Assistência Técnica ✔️ Nenhum 8 horas Nenhum

    Atribuir e ativar funções do Azure AD

    Para as funções do Azure AD no PIM, somente um usuário que está na função de Administrador de funções com privilégios ou Administrador global pode gerenciar atribuições para outros administradores. Os Administradores globais, os Administradores de segurança, os Leitores globais e os Leitores de segurança também podem exibir as atribuições às funções do Azure AD no PIM.

    Siga as instruções nos links abaixo:

    1. Fornecer atribuições qualificadas.

    2. Permitir que usuários qualificados ativem sua função just-in-time do Azure AD

    Quando a função se aproximar do vencimento, use PIM para prorrogar ou renovar as funções. As duas ações iniciadas pelo usuário exigem uma aprovação de um Administrador global ou de um Administrador de funções com privilégios.

    Quando esses eventos importantes ocorrem nas funções do Azure AD, o PIM envia notificações por email e emails de resumo semanal para administradores de privilégios, dependendo da função, do evento e das configurações de notificação. Adicionalmente, esses emails podem incluir links para tarefas relevantes como ativar ou renovar uma função.

    Observação

    Você também pode executar essas tarefas do PIM com as APIs do Microsoft Graph para funções do Azure AD.

    Aprovar ou negar solicitações de ativação do PIM

    Um aprovador delegado recebe uma notificação por email quando uma solicitação está pendente para aprovação. Siga estas etapas para aprovar ou negar solicitações para ativar uma função de recurso do Azure.

    Exibir histórico de auditoria das funções do Microsoft Azure Active Directory

    Veja o histórico de auditoria de todas as atribuições e ativações de função nos últimos 30 dias para funções do Azure AD. Se você for um Administrador Global ou um administrador de função com privilégios, poderá acessar os logs de auditoria.

    Recomendamos que você tenha pelo menos um administrador para ler todos os eventos de auditoria semanalmente e exportá-los mensalmente.

    Alertas de segurança para funções do Azure AD

    Configure alertas de segurança para as funções do Azure AD que dispararão um alerta no caso de atividades suspeitas e inseguras.

    Planejar e implementar o PIM para funções de recurso do Azure

    Siga estas tarefas para preparar o PIM para gerenciar funções de recursos do Azure AD.

    Descobrir e mitigar funções com privilégios

    Minimize as atribuições de Administrador de Acesso do Proprietário e Usuário anexadas a cada assinatura ou recurso e remova as atribuições desnecessárias.

    Como um administrador global, você pode elevar o acesso para gerenciar todas as assinaturas do Azure. Em seguida, é possível encontrar o proprietário de cada assinatura e trabalhar com ele para remover atribuições desnecessárias nas assinaturas.

    Use os revisões de acesso para recursos do Azure para auditar e remover atribuições de função desnecessárias.

    Determinar as funções a serem gerenciadas pelo PIM

    Ao decidir quais atribuições de função devem ser gerenciadas usando o recurso do PIM para Azure, você deve primeiro identificar os grupos de gerenciamento, assinaturas, grupos de recursos e recursos que são mais vitais para sua organização. Considere o uso de grupos de gerenciamento para organizar todos os recursos na sua organização.

    Recomendamos usar o PIM para gerenciar todas as funções de Proprietário de assinatura e Administrador de acesso do usuário.

    Trabalhe com Proprietários de assinatura para documentar recursos gerenciados para cada assinatura e classificar o nível de risco de cada recurso, se for comprometido. Priorize o gerenciamento de recursos com o PIM com base nesse nível de gravidade. Isso também inclui recursos personalizados anexados à assinatura.

    Recomendamos também trabalhar com os proprietários de assinatura ou recursos de serviços essenciais para definir o fluxo de trabalho do PIM para todas as funções dentro de assinaturas ou recursos confidenciais.

    Para assinaturas/recursos não tão importantes, não será necessário configurar o PIM para todas as funções. No entanto, você ainda deve proteger funções de Administrador de Acesso do Proprietário e Usuário com o PIM.

    Configurar o PIM para funções de recurso do Azure

    Planeje e faça as configurações de funções de recurso do Azure que você planejou proteger com o PIM.

    A tabela a seguir mostra exemplos de configuração:

    Função Exigir MFA Notificação Exigir aprovação Aprovador Duração da ativação Administradores ativos Expiração ativa Expiração qualificada
    Proprietário de assinaturas críticas ✔️ ✔️ ✔️ Outros proprietários da assinatura 1 hora Nenhum n/d 3 meses
    Administrador de Acesso do Usuário de assinaturas menos críticas ✔️ ✔️ Nenhum 1 hora Nenhum n/d 3 meses

    Atribuir e ativar a função de recurso do Azure

    Para funções de recurso do Azure no PIM, somente um proprietário ou administrador de Acesso do usuário pode gerenciar atribuições para outros administradores. Por padrão, o usuários que são Administradores de Funções com Privilégio, Administradores de Segurança ou Leitores de Segurança não têm acesso para exibir as atribuições a funções de recurso do Azure.

    Siga as instruções nos links abaixo:

    1.Fornecer atribuições qualificadas

    2.Permitir que usuários qualificados ativem suas funções just-in-time do Azure

    Quando a atribuição de função com privilégios se aproximar do vencimento, use PIM para prorrogar ou renovar as funções. Ambas as ações iniciadas pelo usuário exigem aprovação do proprietário do recurso ou do administrador de Acesso do usuário.

    Quando esses eventos importantes ocorrem em funções de recurso do Azure, o PIM enviará notificações por email para Proprietários e Administradores de acesso de usuários. Adicionalmente, esses emails podem incluir links para tarefas relevantes como ativar ou renovar uma função.

    Observação

    Você também pode executar essas tarefas do PIM com as APIs do Microsoft Azure Resource Manager para funções de recurso do Azure.

    Aprovar ou negar solicitações de ativação do PIM

    Aprovar ou negar solicitações de ativação para a função do Azure AD- um aprovador delegado recebe uma notificação por email quando uma solicitação está pendente para aprovação.

    Exibir histórico de auditoria para funções de recurso do Azure no PIM

    Veja o histórico de auditoria de todas as atribuições e ativações nos últimos 30 dias para funções de recurso do Azure.

    Alertas de segurança para funções de recurso do Azure

    Configure alertas de segurança para as funções de recurso do Azure que dispararão um alerta no caso de atividades suspeitas e inseguras.

    Planejar e implementar o PIM para grupos de acesso privilegiado

    Siga estas tarefas para preparar o PIM para gerenciar grupos de acesso privilegiado.

    Descobrir grupos de acesso privilegiados

    Uma pessoa pode ter cinco ou seis atribuições qualificadas para funções do Azure AD por meio do PIM. Será necessário ativar cada função individualmente, o que pode reduzir a produtividade. Pior ainda, eles também podem ter dezenas ou centenas de recursos do Azure atribuídos a eles, o que agrava o problema.

    Nesse caso, você deve usar grupos de acesso privilegiado. Crie um grupo de acesso privilegiado e conceda a ele acesso ativo permanente a várias funções. Confira Privileged Identity Management (PIM) para Grupos (versão prévia).

    Para gerenciar um grupo de função atribuível do Azure AD como um grupo de acesso privilegiado, você precisa colocá-lo sob o gerenciamento no PIM.

    Definir configurações de PIM para grupos de acesso privilegiado

    Planeje e faça as configurações de grupos de acesso privilegiados que você planejou proteger com o PIM.

    A tabela a seguir mostra exemplos de configuração:

    Função Exigir MFA Notificação Exigir aprovação Aprovador Duração da ativação Administradores ativos Expiração ativa Expiração qualificada
    Proprietário ✔️ ✔️ ✔️ Outros proprietários do recurso 1 hora Nenhum n/d 3 meses
    Membro ✔️ ✔️ Nenhum 5 horas Nenhum n/d 3 meses

    Atribuir qualificação para grupos de acesso privilegiado

    Você pode atribuir qualificação a membros ou proprietários dos grupos de acesso privilegiado. Com apenas uma ativação, eles terão acesso a todos os recursos vinculados.

    Observação

    Você pode atribuir o grupo privilegiado a uma ou mais funções de recurso do Azure AD e do Azure da mesma maneira que atribui funções aos usuários. Um máximo de 400 grupos com atribuição de função pode ser criado em uma organização (locatário) do Azure AD.

    Atribuir qualificação para grupos de acesso privilegiado

    Quando a atribuição de grupo com privilégios se aproximar do vencimento, use PIM para prorrogar ou renovar as atribuições de grupo. Você solicitará a aprovação do proprietário do grupo.

    Aprovar ou negar solicitação de ativação do PIM

    Configure a exigência de aprovação para ativação de membros e proprietários do grupo de acesso privilegiado e escolher usuários ou grupos da sua organização do Microsoft Azure AD como aprovadores delegados. É recomendável selecionar dois ou mais aprovadores para cada grupo para reduzir a carga de trabalho do administrador da função com privilégios.

    Aprovar ou negar solicitações de ativação de função de grupos de acesso privilegiados. Como aprovador delegado, você receberá notificações por email quando uma solicitação estiver aguardando aprovação.

    Exibir histórico de auditoria para grupos de acesso privilegiado

    Veja o histórico de auditoria de todas as atribuições e ativações nos últimos 30 dias para grupos de acesso privilegiado.

    Próximas etapas