Definir configurações do Microsoft Azure Active Directory no Privileged Identity Management

Um Administrador de funções com privilégios pode personalizar o PIM (Privileged Identity Management) em sua organização, incluindo alterar a experiência de um usuário que está ativando uma atribuição de função qualificada. Para obter informações sobre os eventos de PIM que acionam notificações e quais administradores as recebem, confira Notificações por email no Privileged Identity Management

Abrir configurações de função

Siga estas etapas para abrir as configurações de uma função do Azure AD.

  1. Entre no portal do Azure com um usuário na função Administrador de função com privilégios.

  2. Abra Azure AD Privileged Identity Management>funções do Azure AD>Configurações de função.

    Página de configurações de função que lista funções do Microsoft Azure Active Directory

  3. Selecione a função cujas configurações você deseja configurar.

    Página de detalhes de configuração de função que lista várias configurações de atribuição e ativação

  4. Selecione Editar para abrir a página Configurações da função.

    Página de configurações de edição de função com opções para atualizar as configurações de atribuição e ativação

    No painel Configurações de função de cada função, há várias configurações que podem ser configuradas.

Duração dae atribuição

É possível escolher entre duas opções de duração de atribuição para cada tipo de atribuição (qualificada e ativa) ao definir as configurações de uma função. Essas opções passam a ter a duração máxima padrão quando um usuário é atribuído à função no Privileged Identity Management.

É possível escolher uma destas opções de duração de atribuição qualificada:

Configuração Descrição
Permitir atribuição qualificada permanente Administradores globais e administradores de função com privilégios podem designar atribuição qualificada permanente.
Expirar atribuição qualificada após Administradores globais e administradores de função com privilégios podem exigir que todas as atribuições qualificadas tenham datas de início e término especificadas.

E, você pode escolher uma destas opções de duração da atribuição ativa:

Configuração Descrição
Permitir atribuição ativa permanente Administradores globais e administradores de função com privilégios podem designar atribuição ativa permanente.
Expirar atribuição ativa após Administradores globais e administradores de função com privilégios podem exigir que todas as atribuições ativas tenham datas de início e término especificadas.

Observação

Todas as atribuições com uma data de término especificada podem ser renovadas por administradores globais e administradores de função com privilégios. Além disso, os usuários podem iniciar solicitações de autoatendimento para estender ou renovar atribuições de função.

Exigir autenticação multifator

O Privileged Identity Management fornece a imposição da autenticação multifator do Azure AD na ativação e na atribuição ativa.

Em ativação

Você pode exigir que os usuários qualificados para uma função comprovem quem são usando a Autenticação Multifator do Azure Active Directory para que possam ser ativados. A autenticação multifator garante que o usuário seja quem diz ser com uma certeza razoável. A aplicação dessa opção protege recursos críticos em situações em que a conta do usuário pode ter sido comprometida.

Para exigir a autenticação multifator para ativar a atribuição de função, selecione a opção Em ativação, requer MFA do Azure na guia “Ativação” em Editar configuração de função.

Na atribuição ativa

Essa opção requer que os administradores concluam uma autenticação multifator antes de criar uma atribuição de função ativa (em vez de qualificada). O Privileged Identity Management não pode impor a autenticação multifator quando o usuário utiliza sua atribuição de função, pois já está ativo na função desde a atribuição.

Para exigir a autenticação multifator ao criar uma atribuição de função ativa, selecione a opção Exigir autenticação multifator do Azure na atribuição ativa na guia “Atribuição” em Editar configuração de função.

Para saber mais, confira Autenticação multifator e Privileged Identity Management.

Duração máxima de ativação

Use o controle deslizante Duração máxima de ativação para definir o tempo máximo, em horas, que uma solicitação de ativação para uma atribuição de função permanece ativa antes de expirar. Esse valor pode ser de uma a 24 horas.

Exigir justificativa

É possível exigir que os membros insiram uma justificativa comercial quando são ativados. Para exigir justificativa, marque a caixa Exigir justificativa na atribuição ativa ou a caixa Exigir justificativa na ativação.

Exigir informações de tíquete na ativação

Se a organização usa um sistema de tíquetes para acompanhar itens do suporte técnico ou solicitações de alteração do ambiente, marque a caixa Exigir informações de tíquete na ativação para exigir que a solicitação de elevação de privilégio contenha o nome do sistema de tíquetes (opcional, se a organização usa vários sistemas) e o número do tíquete que solicitou a necessidade de ativação de função.

Exigir aprovação para ativar

Caso esteja configurando vários aprovadores, a aprovação será concluída assim que um deles for aprovado ou negado. Não é possível forçar a aprovação de um segundo aprovador ou subsequente. Para exigir aprovação para ativar uma função, siga estas etapas.

  1. Marque a caixa de seleção Exige aprovação para ativar.

  2. Selecione Selecionar aprovadores.

    Selecionar um painel de usuário ou grupo para escolher aprovadores

  3. Selecione pelo menos um usuário e clique em Selecionar. Selecione pelo menos um aprovador. Se não for selecionado um aprovador específico, os Administradores de Funções com Privilégios ou os Administradores Globais se tornarão os aprovadores padrão.

    Observação

    Um aprovador não precisa ter uma função administrativa do Azure AD. Ele pode ser um usuário regular, como um executivo de TI.

  4. Para salvar suas alterações, escolha Atualizar.

Gerenciar configurações de função por meio do Microsoft Graph

Para gerenciar configurações de funções do Azure AD por meio do Microsoft Graph, use o tipo de recurso unifiedRoleManagementPolicy e os métodos relacionados.

No Microsoft Graph, as configurações de função são conhecidas como regras e são atribuídas a funções do Azure AD por meio de políticas de contêiner. Cada função do Azure AD é atribuída a um objeto de política específico. Você pode recuperar todas as políticas com escopo para funções do Azure AD e, para cada política, recuperar a coleção associada de regras por meio de um parâmetro de consulta $expand. A sintaxe para a solicitação é a seguinte:

GET https://graph.microsoft.com/v1.0/policies/roleManagementPolicies?$filter=scopeId eq '/' and scopeType eq 'DirectoryRole'&$expand=rules

As regras são agrupadas em contêineres. Os contêineres são divididos ainda mais em definições de regra que são identificadas por IDs exclusivas para facilitar o gerenciamento. Por exemplo, um contêiner unifiedRoleManagementPolicyEnablementRule expõe três definições de regra identificadas pelas seguintes IDs exclusivas.

  • Enablement_Admin_Eligibility – Regras que se aplicam aos administradores para realizar operações sobre qualificações de função. Por exemplo, se a justificativa é necessária e se é para todas as operações (por exemplo, renovação, ativação ou desativação) ou apenas para operações específicas.
  • Enablement_Admin_Assignment – Regras que se aplicam aos administradores para realizar operações sobre atribuições de função. Por exemplo, se a justificativa é necessária e se é para todas as operações (por exemplo, renovação, desativação ou extensão) ou apenas para operações específicas.
  • Enablement_EndUser_Assignment – Regras que se aplicam a entidades de segurança para habilitar suas atribuições. Por exemplo, se a autenticação multifator é necessária.

Para atualizar essas definições de regra, use a API de regras de atualização. Por exemplo, a solicitação a seguir especifica uma coleção enabledRules vazia, desativando, portanto, as regras habilitadas para uma política, como autenticação multifator, informações de tíquete e justificativa.

PATCH https://graph.microsoft.com/v1.0/policies/roleManagementPolicies/DirectoryRole_cab01047-8ad9-4792-8e42-569340767f1b_70c808b5-0d35-4863-a0ba-07888e99d448/rules/Enablement_EndUser_Assignment
{
    "@odata.type": "#microsoft.graph.unifiedRoleManagementPolicyEnablementRule",
    "id": "Enablement_EndUser_Assignment",
    "enabledRules": [],
    "target": {
        "caller": "EndUser",
        "operations": [
            "all"
        ],
        "level": "Assignment",
        "inheritableSettings": [],
        "enforcedSettings": []
    }
}

Você pode recuperar a coleção de regras que são aplicadas a todas as funções do Azure AD ou a uma função do Azure AD específica por meio do tipo de recurso unifiedroleManagementPolicyAssignment e métodos relacionados. Por exemplo, a solicitação a seguir usa o parâmetro de consulta $expand para recuperar as regras que são aplicadas a uma função do Azure AD identificada por roleDefinitionId ou templateId62e90394-69f5-4237-9190-012177145e10.

GET https://graph.microsoft.com/v1.0/policies/roleManagementPolicyAssignments?$filter=scopeId eq '/' and scopeType eq 'DirectoryRole' and roleDefinitionId eq '62e90394-69f5-4237-9190-012177145e10'&$expand=policy($expand=rules)

Para obter mais informações sobre como gerenciar configurações de função por meio do PIM, consulte As configurações de função e o PIM. Para obter exemplos de atualização de regras, confira Usar as APIs do PIM no Microsoft Graph para atualizar as regras do Azure AD.

Próximas etapas