Criar uma revisão de acesso do recurso do Azure e das funções do Microsoft Entra no PIM

  • Artigo

A necessidade de acesso a recursos privilegiados do Azure e funções do Microsoft Entra por seus usuários muda com o tempo. Para reduzir o risco associado a atribuições de funções obsoletas, tem de rever regularmente o acesso. Você pode usar o Microsoft Entra Privileged Identity Management (PIM) para criar revisões de acesso para acesso privilegiado ao recurso do Azure e às funções do Microsoft Entra. Também pode configurar revisões de acesso recorrentes que ocorrem automaticamente. Este artigo descreve como criar uma ou mais revisões de acesso.

Pré-requisitos

O uso do Privileged Identity Management requer licenças. Para obter mais informações sobre licenciamento, consulte Fundamentos de licenciamento do Microsoft Entra ID Governance .

Para obter mais informações sobre licenças para PIM, consulte Requisitos de licença para usar o Privileged Identity Management.

Para criar revisões de acesso para recursos do Azure, você deve ser atribuído à função Proprietário ou Administrador de Acesso de Usuário para os recursos do Azure. Para criar revisões de acesso para funções do Microsoft Entra, você deve ser atribuído à função Administrador Global ou Administrador de Função Privilegiada.

O uso de Revisões de Acesso para Entidades de Serviço requer um plano Premium do Microsoft Entra Workload ID, além de uma licença do Microsoft Entra ID P2 ou do Microsoft Entra ID Governance.

Nota

As revisões do Access capturam um instantâneo do acesso no início de cada instância de revisão. Quaisquer alterações feitas durante o processo de revisão serão refletidas no ciclo de revisão subsequente. Essencialmente, com o início de cada nova recorrência, dados pertinentes sobre os usuários, recursos em análise e seus respetivos revisores são recuperados.

Criar revisões de acesso

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

  1. Entre no centro de administração do Microsoft Entra como um usuário atribuído a uma das funções de pré-requisito.

  2. Navegue até Governança de>identidade, Gerenciamento privilegiado de identidades.

  3. Para funções do Microsoft Entra, selecione Funções do Microsoft Entra. Para recursos do Azure, selecione Recursos do Azure

    Selecione Governança de identidade na captura de tela do centro de administração do Microsoft Entra.

  4. Para funções do Microsoft Entra, selecione Funções do Microsoft Entra novamente em Gerenciar. Para recursos do Azure, selecione a assinatura que você deseja gerenciar.

  5. Em Gerir, selecione Aceder a comentários e, em seguida, selecione Novo para criar uma nova análise de acesso.

    Funções do Microsoft Entra - Lista de comentários do Access mostrando o status de todas as avaliações capturada de tela.

  6. Nomeie a revisão de acesso. Opcionalmente, dê uma descrição à avaliação. O nome e a descrição são mostrados aos revisores.

    Criar uma revisão de acesso - Captura de tela do nome e descrição da revisão.

  7. Defina a data de início. Por padrão, uma revisão de acesso ocorre uma vez, começa ao mesmo tempo em que é criada e termina em um mês. Você pode alterar as datas de início e término para que uma revisão de acesso comece no futuro e dure quantos dias quiser.

    Data de início, frequência, duração, fim, número de vezes e captura de tela de data de término.

  8. Para tornar a revisão de acesso recorrente, altere a configuração de Frequência de Uma vez para Semanal, Mensal, Trimestral, Anual ou Semestral. Use o controle deslizante Duração ou a caixa de texto para definir quantos dias cada revisão da série recorrente estará aberta para entrada dos revisores. Por exemplo, a duração máxima que você pode definir para uma avaliação mensal é de 27 dias, para evitar a sobreposição de avaliações.

  9. Use a configuração Fim para especificar como encerrar a série de revisão de acesso recorrente. A série pode terminar de três maneiras: é executada continuamente para iniciar revisões indefinidamente, até uma data específica, ou depois que um número definido de ocorrências foi concluído. Você, ou outro administrador que possa gerenciar avaliações, pode interromper a série após a criação alterando a data em Configurações, para que ela termine nessa data.

  10. Na seção Escopo de usuários, selecione o escopo da revisão. Para funções do Microsoft Entra, a primeira opção de escopo é Usuários e Grupos. Usuários atribuídos diretamente e grupos atribuíveis por função serão incluídos nesta seleção. Para funções de recurso do Azure, o primeiro escopo será Usuários. Os grupos atribuídos a funções de recursos do Azure são expandidos para exibir atribuições de usuário transitivas na revisão com esta seleção. Você também pode selecionar Entidades de Serviço para revisar as contas de máquina com acesso direto ao recurso do Azure ou à função Microsoft Entra.

    Escopo dos usuários para revisar a associação de função da captura de tela.

  11. Ou, você pode criar revisões de acesso apenas para usuários inativos. Na seção Escopo de usuários, defina os Usuários inativos (no nível de locatário) somente como true. Se a alternância estiver definida como true, o escopo da revisão se concentrará apenas em usuários inativos. Em seguida, especifique Dias inativos com um número de dias inativos até 730 dias (dois anos). Os usuários inativos pelo número de dias especificado serão os únicos usuários na revisão.

  12. Em Rever a associação à função, selecione o recurso privilegiado do Azure ou as funções do Microsoft Entra a rever.

    Nota

    Selecionar mais de uma função criará várias revisões de acesso. Por exemplo, selecionar cinco funções criará cinco revisões de acesso separadas.

    Rever a captura de ecrã das associações de funções.

  13. Em Tipo de atribuição, defina o escopo da revisão de acordo com a forma como o principal foi atribuído à função. Escolha atribuições qualificadas apenas para revisar atribuições qualificadas (independentemente do status de ativação quando a revisão for criada) ou atribuições ativas apenas para revisar atribuições ativas. Escolha todas as atribuições ativas e qualificadas para revisar todas as atribuições, independentemente do tipo.

    Lista de revisores de tipos de atribuição captura de tela.

  14. Na seção Revisores, selecione uma ou mais pessoas para revisar todos os usuários. Ou você pode optar por fazer com que os membros revisem seu próprio acesso.

    Lista de revisores de usuários ou membros selecionados (self)

    • Usuários selecionados - Use esta opção para designar um usuário específico para concluir a revisão. Essa opção está disponível independentemente do escopo da revisão, e os revisores selecionados podem revisar usuários, grupos e entidades de serviço.
    • Membros (self) - Use esta opção para que os usuários revisem suas próprias atribuições de função. Essa opção só estará disponível se a revisão tiver como escopo Usuários e Grupos ou Usuários. Para funções do Microsoft Entra, os grupos atribuíveis por função não farão parte da revisão quando essa opção for selecionada.
    • Gerente – Use esta opção para que o gerente do usuário revise sua atribuição de função. Essa opção só estará disponível se a revisão tiver como escopo Usuários e Grupos ou Usuários. Ao selecionar Gerente, você também terá a opção de especificar um revisor de fallback. Os revisores de fallback são solicitados a revisar um usuário quando o usuário não tem um gerenciador especificado no diretório. Para funções do Microsoft Entra, os grupos atribuíveis por função serão revisados pelo revisor de fallback se um for selecionado.

Após a conclusão, as configurações

  1. Para especificar o que acontece após a conclusão de uma revisão, expanda a seção Configurações após a conclusão .

    Captura de tela mostrando as configurações após a conclusão para aplicar automaticamente, e as opções devem o revisor não responder.

  2. Se você quiser remover automaticamente o acesso de usuários que foram negados, defina Auto apply results to resource como Enable. Se quiser aplicar manualmente os resultados quando a revisão for concluída, defina a opção como Desativar.

  3. Use a lista Se o revisor não responder para especificar o que acontece com os usuários que não são revisados pelo revisor dentro do período de revisão. Essa configuração não afeta os usuários que foram revisados pelos revisores.

    • Sem alteração - Deixe o acesso do usuário inalterado
    • Remover acesso - Remover acesso do usuário
    • Aprovar acesso - Aprovar acesso do usuário
    • Tome recomendações - Siga a recomendação do sistema sobre como negar ou aprovar o acesso contínuo do usuário

  4. Use a Ação para aplicar na lista de usuários convidados negados para especificar o que acontece para os usuários convidados que são negados. Essa configuração não é editável para revisões de ID do Microsoft Entra e função de recursos do Azure no momento; Os usuários convidados, como todos os usuários, sempre perderão o acesso ao recurso se negado.

    Após a conclusão das configurações - Ação a ser aplicada em usuários convidados negados captura de tela.

  5. Você pode enviar notificações para usuários ou grupos adicionais para receber atualizações de conclusão de revisão. Esse recurso permite que outras partes interessadas além do criador da avaliação sejam atualizadas sobre o progresso da avaliação. Para usar esse recurso, selecione Selecionar Usuário(s) ou Grupo(s) e adicione um usuário ou grupo adicional quando desejar receber o status de conclusão.

    Após a conclusão, configurações - Adicione usuários adicionais para receber notificações na captura de tela.

Definições avançadas

  1. Para especificar configurações adicionais, expanda a seção Configurações avançadas .

    Configurações avançadas para mostrar recomendações, exigir motivo na aprovação, notificações por e-mail e captura de tela de lembretes.

  2. Defina Mostrar recomendações como Ativar para mostrar aos revisores as recomendações do sistema com base nas informações de acesso do usuário. As recomendações baseiam-se num intervalo de 30 dias. Os utilizadores que iniciaram sessão nos últimos 30 dias são apresentados com a aprovação de acesso recomendada, enquanto os utilizadores que não iniciaram sessão são apresentados com a recusa de acesso recomendada. Esses logins são independentes de serem interativos. O último login do usuário também é exibido junto com a recomendação.

  3. Defina Exigir motivo na aprovação como Habilitar para exigir que o revisor forneça um motivo para a aprovação.

  4. Defina Notificações de correio como Ativar para que o Microsoft Entra ID envie notificações por e-mail aos revisores quando é iniciada uma revisão de acesso e aos administradores quando é concluída uma revisão.

  5. Defina Lembretes como Ativar para que o Microsoft Entra ID envie lembretes de revisões de acesso em curso aos revisores que não concluíram as revisões.

  6. O conteúdo do e-mail enviado aos revisores é gerado automaticamente com base nos detalhes da revisão, como nome da revisão, nome do recurso, data de vencimento, etc. Se precisar de uma maneira de comunicar informações adicionais, como instruções adicionais ou informações de contato, especifique esses detalhes no Conteúdo adicional para o e-mail do revisor que será incluído nos e-mails de convite e lembrete enviados aos revisores atribuídos. A secção realçada abaixo é onde serão apresentadas estas informações.

    Conteúdo do e-mail enviado aos revisores com destaques

Gerenciar a revisão de acesso

Você pode acompanhar o progresso à medida que os revisores concluem suas avaliações na página Visão geral da revisão de acesso. Nenhum direito de acesso é alterado no diretório até que a revisão seja concluída. Abaixo está uma captura de tela mostrando a página de visão geral dos recursos do Azure e das revisões de acesso às funções do Microsoft Entra.

Página de visão geral de revisões do Access mostrando os detalhes da captura de tela da revisão de acesso para funções do Microsoft Entra.

Se esta for uma revisão única, depois que o período de revisão de acesso terminar ou o administrador interromper a revisão de acesso, siga as etapas em Concluir uma revisão de acesso das funções de recurso do Azure e Microsoft Entra para ver e aplicar os resultados.

Para gerenciar uma série de revisões de acesso, navegue até a revisão de acesso e você encontrará ocorrências futuras em Revisões agendadas e edite a data de término ou adicione/remova revisores de acordo.

Com base nas suas seleções nas configurações Após a conclusão, a aplicação automática será executada após a data de término da revisão ou quando você interromper manualmente a revisão. O status da revisão mudará de Concluído para estados intermediários, como Aplicando e, finalmente, para o estado Aplicado. Você deve esperar ver usuários negados, se houver, sendo removidos de funções em alguns minutos.

Impacto de grupos atribuídos a funções do Microsoft Entra e funções de recursos do Azure em revisões de acesso

• Para funções do Microsoft Entra, grupos atribuíveis a funções podem ser atribuídos à função usando grupos atribuíveis por função. Quando uma revisão é criada em uma função do Microsoft Entra com grupos atribuíveis de função atribuídos, o nome do grupo aparece na revisão sem expandir a associação ao grupo. O revisor pode aprovar ou negar o acesso de todo o grupo à função. Os grupos negados perderão sua atribuição à função quando os resultados da revisão forem aplicados.

• Para funções de recursos do Azure, qualquer grupo de segurança pode ser atribuído à função. Quando uma revisão é criada em uma função de recurso do Azure com um grupo de segurança atribuído, os usuários atribuídos a esse grupo de segurança serão totalmente expandidos e mostrados ao revisor da função. Quando um revisor nega um usuário que foi atribuído à função por meio do grupo de segurança, o usuário não será removido do grupo. Isso ocorre porque um grupo pode ter sido compartilhado com outros recursos do Azure ou não-Azure. Portanto, as alterações resultantes do acesso negado devem ser feitas pelo administrador.

Nota

É possível que um grupo de segurança tenha outros grupos atribuídos a ele. Nesse caso, somente os usuários atribuídos diretamente ao grupo de segurança atribuído à função aparecerão na revisão da função.

Atualizar a revisão de acesso

Depois que uma ou mais avaliações de acesso forem iniciadas, convém modificar ou atualizar as configurações das revisões de acesso existentes. Aqui estão alguns cenários comuns que você pode querer considerar:

  • Adicionar e remover revisores - Ao atualizar as avaliações de acesso, você pode optar por adicionar um revisor de fallback além do revisor principal. Os revisores principais podem ser removidos ao atualizar uma revisão de acesso. No entanto, os revisores de fallback não são removíveis por design.

    Nota

    Os revisores de fallback só podem ser adicionados quando o tipo de revisor é gerente. Os revisores principais podem ser adicionados quando o tipo de revisor é selecionado como usuário.

  • Lembrando os revisores - Ao atualizar as avaliações de acesso, você pode optar por ativar a opção de lembrete em Configurações avançadas. Uma vez habilitado, os usuários receberão uma notificação por e-mail no meio do período de revisão, independentemente de terem concluído a revisão ou não.

    Captura de ecrã da opção de lembrete nas definições de comentários de acesso.

  • Atualizando as configurações - Se uma revisão de acesso for recorrente, há configurações separadas em "Atual" versus em "Série". A atualização das configurações em "Atual" só aplicará alterações à revisão de acesso atual, enquanto a atualização das configurações em "Série" atualizará a configuração para todas as recorrências futuras.

    Captura de ecrã da página de definições em comentários de acesso.

Próximos passos