Atribuir funções de recurso do Azure no Privileged Identity Management

Com o Azure AD PIM (Privileged Identity Management), parte do Microsoft Entra, é possível gerenciar as funções de recursos internas do Azure e funções personalizadas, incluindo (entre outras):

  • Proprietário
  • Administrador de Acesso do Usuário
  • Colaborador
  • Administrador de Segurança
  • Gerenciador de Segurança

Observação

Os usuários ou membros de um grupo atribuído às funções de assinatura de Proprietário ou Administrador de Acesso do Usuário e administradores globais do Azure AD que habilitam o gerenciamento de assinatura no Azure AD têm permissões de administrador de recursos por padrão. Esses administradores podem atribuir funções, definir configurações de função e revisar o acesso usando o Privileged Identity Management para recursos do Azure. Um usuário não pode gerenciar o Privileged Identity Management para recursos sem permissões de administrador de recursos. Exiba a lista de funções internas do Azure.

O Privileged Identity Management dá suporte a funções internas e personalizadas do Azure. Para obter mais informações sobre as funções personalizadas do Azure, confira Funções personalizadas do Azure.

Condições de atribuição de função

É possível usar o ABAC (controle de acesso baseado em atributo) do Azure para adicionar condições em atribuições de função qualificadas usando o Azure AD PIM para recursos do Azure. Com o Azure AD PIM, seus usuários finais devem ativar uma atribuição de função qualificada para obter permissão a fim de executar determinadas ações. O uso de condições no Azure AD PIM permite limitar as permissões da função de um usuário a um recurso usando condições refinadas e usar o Azure AD PIM para proteger a atribuição de função com uma configuração de limite de tempo, um fluxo de trabalho de aprovação, uma trilha de auditoria, e assim por diante.

Observação

Quando uma função é atribuída, a atribuição:

  • Não pode ser atribuída por um período inferior a cinco minutos
  • Não pode ser removida até cinco minutos após a atribuição

Atualmente, as seguintes funções internas podem ter condições adicionadas:

Para saber mais, confira O que é o ABAC (controle de acesso baseado em atributos) do Azure.

Atribuir uma função

Siga estas etapas para tornar um usuário qualificado para uma função de recurso do Azure.

  1. Entre no portal do Azure com permissões de função de Proprietário ou Administrador de acesso do usuário.

  2. Abra o Azure AD Privileged Identity Management.

  3. Selecione Recursos do Azure.

  4. Selecione o Tipo de recurso que você quer gerenciar. Por exemplo, como Recurso ou Grupo de recursos. Selecione o recurso que você deseja gerenciar para abrir a página de visão geral dele.

    Captura de tela que mostra como selecionar recursos do Azure.

  5. Em Gerenciar, clique em Funções para ver a lista de funções dos recursos do Azure.

  6. Selecione Adicionar atribuições para abrir o painel Adicionar atribuições.

    Captura de tela das funções dos recursos do Azure.

  7. Selecione uma Função que você deseja atribuir.

  8. Selecione o link Nenhum membro selecionado para abrir o painel Selecionar um membro ou grupo.

    Captura de tela do painel Nova atribuição.

  9. Selecione um membro ou grupo que você quer atribuir à função e clique em Selecionar.

    Captura de tela que demonstra como selecionar um membro ou grupo no painel

  10. Na guia Configurações, na lista Tipo de atribuição, selecione Elegível ou Ativo.

    Captura de tela do painel de configurações Adicionar atribuições.

    Os recursos do Azure AD PIM para Azure fornecem dois tipos de atribuição distintos:

    • As atribuições qualificadas exigem que o membro ative a função antes de usá-la. O administrador pode exigir que o membro da função execute determinadas ações antes da ativação da função, incluindo uma verificação de MFA (autenticação multifator), o fornecimento de uma justificativa comercial ou a aprovação por aprovadores designados.

    • As atribuições ativas não exigem que o membro ative a função antes do uso. Membros atribuídos como ativos têm os privilégios atribuídos prontos para uso. Esse tipo de atribuição também está disponível para clientes que não usam o Azure AD PIM.

  11. Para especificar uma duração de atribuição específica, altere as datas e horas de início e término.

  12. Se a função tiver sido definida com ações que permitem atribuições a essa função com condições, você poderá selecionar Adicionar condição para adicionar uma condição com base nos atributos de entidade de usuário e nos recursos que fazem parte da atribuição.

    Captura de tela do painel de novas condições de atribuição.

    As condições podem ser inseridas no construtor de expressões.

    Captura de tela da nova condição de atribuição criada de um expressão.

  13. Quando terminar, selecione Atribuir.

  14. Depois que a nova atribuição de função for criada, uma notificação de status será exibida.

    Captura de uma notificação de nova atribuição.

Atribuir uma função usando a API do ARM

O Privileged Identity Management dá suporte aos comandos da API do Azure Resource Manager (ARM) para gerenciar funções de recurso do Azure, conforme documentado na referência da PIM da API do ARM. Para obter as permissões necessárias para usar a API do PIM, confira Noções básicas sobre as APIs do Privileged Identity Management.

O exemplo a seguir é uma solicitação HTTP de exemplo para criar uma atribuição qualificada para uma função do Azure.

Solicitação

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleEligibilityScheduleRequests/64caffb6-55c0-4deb-a585-68e948ea1ad6?api-version=2020-10-01-preview

Corpo da solicitação

{
  "properties": {
    "principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
    "roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
    "requestType": "AdminAssign",
    "scheduleInfo": {
      "startDateTime": "2022-07-05T21:00:00.91Z",
      "expiration": {
        "type": "AfterDuration",
        "endDateTime": null,
        "duration": "P365D"
      }
    },
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
    "conditionVersion": "1.0"
  }
}

Resposta

Código de status: 201

{
  "properties": {
    "targetRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413",
    "targetRoleEligibilityScheduleInstanceId": null,
    "scope": "/providers/Microsoft.Subscription/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f",
    "roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
    "principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
    "principalType": "User",
    "requestType": "AdminAssign",
    "status": "Provisioned",
    "approvalId": null,
    "scheduleInfo": {
      "startDateTime": "2022-07-05T21:00:00.91Z",
      "expiration": {
        "type": "AfterDuration",
        "endDateTime": null,
        "duration": "P365D"
      }
    },
    "ticketInfo": {
      "ticketNumber": null,
      "ticketSystem": null
    },
    "justification": null,
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
    "createdOn": "2022-07-05T21:00:45.91Z",
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
    "conditionVersion": "1.0",
    "expandedProperties": {
      "scope": {
        "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f",
        "displayName": "Pay-As-You-Go",
        "type": "subscription"
      },
      "roleDefinition": {
        "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
        "displayName": "Contributor",
        "type": "BuiltInRole"
      },
      "principal": {
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
        "displayName": "User Account",
        "email": "user@my-tenant.com",
        "type": "User"
      }
    }
  },
  "name": "64caffb6-55c0-4deb-a585-68e948ea1ad6",
  "id": "/providers/Microsoft.Subscription/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/RoleEligibilityScheduleRequests/64caffb6-55c0-4deb-a585-68e948ea1ad6",
  "type": "Microsoft.Authorization/RoleEligibilityScheduleRequests"
}

Atualizar ou remover uma atribuição de função existente

Siga estas etapas para atualizar ou remover uma atribuição de função existente.

  1. Abra o Azure AD Privileged Identity Management.

  2. Selecione Recursos do Azure.

  3. Selecione o Tipo de recurso que você quer gerenciar. Por exemplo, como Recurso ou Grupo de recursos. Selecione o recurso que você deseja gerenciar para abrir a página de visão geral dele.

    Captura de tela que mostra como selecionar os recursos do Azure que serão atualizados.

  4. Em Gerenciar, clique em Funções para ver a lista de funções dos recursos do Azure. A captura de tela a seguir lista as funções de uma conta do Armazenamento do Azure. Selecione a função que você deseja atualizar ou remover.

    Captura de tela que mostra as funções de uma conta do Armazenamento do Azure.

  5. Localize a atribuição de função nas guias Funções qualificadas ou Funções ativas.

    Captura de tela demonstra como atualizar ou remover uma atribuição de função.

  6. Para adicionar ou atualizar uma condição para refinar o acesso a recursos do Azure, selecione Adicionar ou Exibir/Editar na coluna Condição para a atribuição de função. Atualmente, as funções de Proprietário de Dados do Blob de Armazenamento, Leitor de Dados do Blob de Armazenamento e Colaborador de Dados do Blob de Armazenamento no Azure AD PIM são as únicas que podem ter condições adicionadas.

  7. Selecione Adicionar expressão ou Excluir para atualizar a expressão. Você também pode selecionar Adicionar condição para adicionar uma nova condição à sua função.

    Captura de tela que demonstra como atualizar ou remover atributos de uma atribuição de função.

    Para obter informações sobre como estender uma atribuição de função, confira Estender ou renovar funções de recurso do Azure no Privileged Identity Management.

Próximas etapas