Definir configurações de função de recurso do Azure no Privileged Identity Management

Ao definir as configurações da função de recurso do Azure, você define as configurações padrão aplicadas às atribuições de função do Azure no PIM (Privileged Identity Management) no Azure AD (Azure Active Directory), parte do Microsoft Entra. Use os procedimentos a seguir para configurar o fluxo de trabalho de aprovação e especifique quem pode aprovar ou negar solicitações.

Abrir configurações de função

Siga estas etapas para abrir as configurações de uma função de recursos do Azure.

  1. Entre no portal do Azure com um usuário na função Administrador de função com privilégios.

  2. Abra o Azure AD Privileged Identity Management.

  3. Selecione Recursos do Azure.

    Observação

    O aprovador não precisa ter nenhuma função do Azure ou do Azure AD atribuída.

  4. Selecione o recurso que você deseja gerenciar, como uma assinatura ou um grupo de gerenciamento.

    Página de recursos do Azure listando recursos que podem ser gerenciados

  5. Selecione Configurações.

    Página de configurações de função listando funções de recurso do Azure

  6. Selecione a função cujas configurações você deseja configurar.

    Página de detalhes de configuração de função que lista várias configurações de atribuição e ativação

  7. Selecione Editar para abrir o painel Editar configuração da função. A primeira guia permite atualizar a configuração de ativação de função no Privileged Identity Management.

    Página Editar configurações de função com a guia Ativação aberta

  8. Selecione a guia Atribuição ou o botão Próximo: Atribuição na parte inferior da página para abrir a guia Configuração de atribuição. Essas configurações controlam as atribuições de função feitas dentro da interface do Privileged Identity Management.

    Guia Atribuição de Função na página Configurações de função

  9. Use a guia Notificação ou o botão Próximo: Ativação na parte inferior da página para acessar a guia Configuração de notificação referente a essa função. Essas configurações controlam todas as notificações por email relacionadas a essa função.

    Guia Notificações de Função na página Configurações de função

    Na guia Notificações da página Configurações de função, o Privileged Identity Management habilita o controle granular sobre quem recebe notificações e quais notificações são recebidas.

    • Desativar um e-mail: você pode desativar emails específicos desmarcando a caixa de seleção destinatário padrão e excluindo destinatários adicionais.

    • Limitar emails a endereços de email especificados: você pode desativar os emails enviados a destinatários padrão desmarcando a caixa de seleção de destinatário padrão. Em seguida, você pode incluir outros endereços de email como destinatários adicionais. Se desejar adicionar mais de um endereço de email, separe-os usando ponto e vírgula (;).

    • Enviar emails para destinatários padrão e destinatários adicionais: você pode enviar emails para o destinatário padrão e o destinatário adicional, marcando a caixa de seleção destinatário padrão e adicionando endereços de email para destinatários adicionais.

    • Apenas emails críticos: para cada tipo de email, você pode marcar a caixa de seleção para receber somente emails críticos. Isso significa que o Privileged Identity Management continuará a enviar emails para os destinatários configurados somente quando o email exigir uma ação imediata. Por exemplo, emails que solicitam que os usuários estendam suas atribuições de função não serão disparados. Por outro lado, emails que exigem que os administradores aprovem uma solicitação de extensão serão disparados.

  10. Selecione o botão Atualizar a qualquer momento para atualizar as configurações de função.

Duração dae atribuição

É possível escolher entre duas opções de duração de atribuição para cada tipo de atribuição (qualificada e ativa) ao definir as configurações de uma função. Essas opções passam a ter a duração máxima padrão quando um usuário é atribuído à função no Privileged Identity Management.

É possível escolher uma destas opções de duração de atribuição qualificada:

Descrição
Permitir atribuição qualificada permanente Os administradores de recursos podem fazer atribuições qualificadas permanentes.
Expirar atribuição qualificada após Os administradores de recursos podem exigir que todas as atribuições qualificadas tenham uma data de início e de término especificadas.

E, você pode escolher uma destas opções de duração da atribuição ativa:

Descrição
Permitir atribuição ativa permanente Os administradores de recursos podem fazer atribuições ativas permanentes.
Expirar atribuição ativa após Os administradores de recursos podem exigir que todas as atribuições ativas tenham uma data de início e de término especificadas.

Observação

Todas as atribuições que têm uma data de término especificada poderão ser renovadas por administradores de recursos. Além disso, os usuários podem iniciar solicitações de autoatendimento para estender ou renovar atribuições de função.

Exigir autenticação multifator

O Privileged Identity Management fornece imposição opcional da Autenticação Multifator do Azure Active Directory para dois cenários diferentes.

Na atribuição ativa

Essa opção requer que os administradores concluam uma autenticação multifator antes de criar uma atribuição de função ativa (em vez de qualificada). O Privileged Identity Management não pode impor a autenticação multifator quando o usuário ativa sua atribuição de função, pois o usuário já está ativo na função desde a atribuição.

Para exigir a autenticação multifator ao criar uma atribuição de função ativa, você pode impor a autenticação multifator na atribuição ativa marcando a caixa Exigir Autenticação Multifator na atribuição ativa.

Em ativação

Você pode exigir que os usuários qualificados para uma função comprovem quem são usando a Autenticação Multifator do Azure Active Directory para que possam ser ativados. A autenticação multifator garante que o usuário seja quem diz ser com uma certeza razoável. A aplicação dessa opção protege recursos críticos em situações em que a conta do usuário pode ter sido comprometida.

Para solicitar que um membro qualificado execute a autenticação multifator antes da ativação, marque a caixa Exigir Autenticação Multifator na ativação.

Para saber mais, confira Autenticação multifator e Privileged Identity Management.

Duração máxima de ativação

Use o controle deslizante Duração máxima de ativação para definir o tempo máximo, em horas, que uma solicitação de ativação para uma atribuição de função permanece ativa antes de expirar. Esse valor pode ser de uma a 24 horas.

Exigir justificativa

É possível exigir que os membros insiram uma justificativa comercial quando são ativados. Para exigir justificativa, marque a caixa Exigir justificativa na atribuição ativa ou a caixa Exigir justificativa na ativação.

Exigir aprovação para ativar

Se você quiser exigir aprovação para ativar uma função, siga estas etapas.

  1. Marque a caixa de seleção Exige aprovação para ativar.

  2. Selecione Selecionar aprovadores para abrir a página Selecionar um membro ou grupo.

    Selecionar um painel de usuário ou grupo para selecionar aprovadores

  3. Selecione pelo menos um membro ou grupo e clique em Selecionar. É possível adicionar qualquer combinação de usuários e grupos. É necessário selecionar pelo menos um aprovador. Não há nenhum aprovador padrão.

    Suas seleções serão exibidas na lista de aprovadores selecionados.

  4. Após especificar todas as configurações de função, selecione Atualizar para salvar as alterações.

Próximas etapas