Criar as autorizações qualificadas
Ao integrar clientes ao Azure Lighthouse, você cria autorizações para conceder funções internas do Azure especificadas para os usuários no locatário de gerenciamento. Também poderá criar autorizações qualificadas que usam o Microsoft Entra PIM (Privileged Identity Management), para permitir que os usuários no locatário de gerenciamento elevem temporariamente a função deles. Isso permite a concessão de permissões adicionais em uma base just-in-time para que os usuários tenham essas permissões apenas por um determinado período de tempo.
A criação de autorizações qualificadas permite minimizar o número de atribuições permanentes de usuários a funções com privilégios, ajudando a reduzir os riscos de segurança relacionados ao acesso privilegiado dos usuários no locatário.
Este tópico explica como as autorizações qualificadas funcionam e como criá-las ao integrar um cliente ao Azure Lighthouse.
Requisitos de licença
A criação de autorizações qualificadas requer uma licença do Enterprise Mobility + Security E5 (EMS E5) ou licença do Microsoft Entra ID P2.
A licença EMS E5 ou Microsoft Entra ID Premium P2 deve ser mantida pelo locatário de gerenciamento, não pelo locatário do cliente.
Os custos adicionais associados a uma função qualificada serão aplicados somente durante o período em que o usuário eleva o acesso a essa função.
Para obter informações sobre licenças para usuários, consulte Conceitos básicos de licenciamento do Microsoft Entra ID Governance.
Como funcionam as autorizações qualificadas
Uma autorização qualificada define uma atribuição de função que exige que o usuário ative a função quando precisa realizar tarefas privilegiadas. Quando o usuário ativa a função qualificada, ele tem o acesso completo concedido por essa função durante o período especificado.
Os usuários no locatário do cliente podem examinar todas as atribuições de função, incluindo aquelas em autorizações qualificadas, antes do processo de integração.
Depois que um usuário ativar com êxito uma função qualificada, ele terá essa função elevada no escopo delegado por um período pré-configurado, além das atribuições de função permanentes para esse escopo.
Os administradores no locatário de gerenciamento podem examinar todas as atividades do Privileged Identity Management, exibindo o log de auditoria no locatário de gerenciamento. Os clientes podem exibir essas ações no log de atividades do Azure para a assinatura delegada.
Elementos de autorização qualificados
Você pode criar uma autorização qualificada ao integrar clientes com modelos de Azure Resource Manager ou publicando uma oferta de serviços gerenciados no Azure Marketplace. Cada autorização elegível deve incluir três elementos: o usuário, a função e a política de acesso.
Usuário
Para cada autorização qualificada, você fornece a ID da Entidade de Segurança para um usuário individual ou um grupo do Microsoft Entra no locatário de gerenciamento. Com a ID da entidade de segurança, você deve fornecer um nome de exibição de sua escolha para cada autorização.
Se um grupo for fornecido em uma autorização elegível, qualquer membro desse grupo poderá elevar seu próprio acesso individual a essa função, de acordo com a política de acesso.
Você não pode usar autorizações qualificadas com entidades de serviço, pois atualmente não há como uma conta de entidade de serviço elevar seu acesso e usar uma função qualificada. Você também não pode usar autorizações qualificadas com delegatedRoleDefinitionIds que um administrador de acesso de usuário pode atribuir a identidades gerenciadas.
Observação
Para cada autorização qualificada, crie também uma autorização permanente (ativa) para a mesma ID da entidade de segurança com uma função diferente, como Leitor (ou outra função interna do Azure que inclua acesso de Leitor). Se você não incluir uma autorização permanente com acesso de Leitor, o usuário não poderá elevar sua função no portal do Azure.
Função
Cada autorização qualificada precisa incluir uma função interna do Azure que o usuário estará qualificado para usar em uma base just-in-time.
A função pode ser qualquer função interna do Azure compatível com o gerenciamento de recursos delegados do Azure, exceto para o Administrador de Acesso do Usuário.
Importante
Se você incluir várias autorizações qualificadas que usam a mesma função, cada uma das autorizações qualificadas deverá ter as mesmas configurações de política de acesso.
Política de acesso
A política de acesso define os requisitos de autenticação multifator, o período que um usuário será ativado na função antes de expirar e se os aprovadores são necessários.
Autenticação multifator
Especifique se deseja ou não exigir a autenticação multifator do Microsoft Entra para que uma função qualificada seja ativada.
Duração máxima
Define o período total em que o usuário terá a função qualificada. O valor mínimo é de 30 minutos e o máximo é de 8 horas.
Aprovadores
O elemento aprovadores é opcional. Se você incluí-lo, poderá especificar até dez usuários ou grupos de usuários no locatário de gerenciamento que poderão aprovar ou negar solicitações de um usuário para ativar a função qualificada.
Você não pode usar uma conta da entidade de serviço como um aprovador. Além disso, os aprovadores não podem aprovar seu próprio acesso; se um aprovador também estiver incluído como o usuário em uma autorização qualificada, um aprovador diferente terá que conceder acesso para que ele eleve sua função.
Se você não incluir nenhum aprovador, o usuário poderá ativar a função qualificada sempre que escolher.
Criar autorizações qualificadas usando ofertas de Serviços Gerenciados
Para carregar seu cliente no Azure Lighthouse, você pode publicar ofertas de Serviços Gerenciados no Azure Marketplace. Ao criar suas ofertas na Central de parceiros, você agora pode especificar se o Tipo de acesso para cada Autorização deve ser Ativo ou Elegível.
Quando você escolher Qualificado, o usuário em sua autorização poderá ativar a função de acordo com a política de acesso que você configurar. Defina uma duração máxima entre 30 minutos e 8 horas e especifique se precisará de autenticação multifator. Você também pode adicionar até 10 aprovadores se optar por usá-los, informando um nome de exibição e uma ID de entidade de segurança para cada um.
Revise os detalhes na seção Elementos de autorização qualificados ao configurar suas autorizações elegíveis na Central de Parceiros.
Criar as autorizações qualificadas usando modelos do ARM
Para fazer a integração do cliente ao Azure Lighthouse, use um modelo do ARM juntamente com um arquivo de parâmetros correspondente que você modifica. O modelo escolhido dependerá se você está integrando uma assinatura inteira, um grupo de recursos ou vários grupos de recursos em uma assinatura.
Para incluir as autorizações qualificadas ao integrar um cliente, use um dos modelos da seção delegated-resource-management-eligible-authorizations do nosso repositório de exemplos. Oferecemos modelos com e sem aprovadores incluídos para que você possa usar aquele que funciona melhor para seu cenário.
| Para fazer essa integração (com autorizações qualificadas) | use este modelo do Azure Resource Manager | e altere esse arquivo de parâmetros |
|---|---|---|
| Subscription | subscription.json | subscription.parameters.json |
| Assinatura (com aprovadores) | subscription-managing-tenant-approvers.json | subscription-managing-tenant-approvers.parameters.json |
| Resource group | rg.json | rg.parameters.json |
| Grupo de recursos (com aprovadores) | rg-managing-tenant-approvers.json | rg-managing-tenant-approvers.parameters.json |
| Múltiplos grupos de recursos em uma assinatura | multiple-rg.json | multiple-rg.parameters.json |
| Múltiplos grupos de recursos em uma assinatura (com aprovadores) | multiple-rg-managing-tenant-approvers.json | multiple-rg-managing-tenant-approvers.parameters.json |
O modelo subscription-managing-tenant-approvers.json, que pode ser usado para integrar uma assinatura com autorizações qualificadas (incluindo aprovadores), é mostrado abaixo.
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/subscriptionDeploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"mspOfferName": {
"type": "string",
"metadata": {
"description": "Specify a unique name for your offer"
}
},
"mspOfferDescription": {
"type": "string",
"metadata": {
"description": "Name of the Managed Service Provider offering"
}
},
"managedByTenantId": {
"type": "string",
"metadata": {
"description": "Specify the tenant id of the Managed Service Provider"
}
},
"authorizations": {
"type": "array",
"metadata": {
"description": "Specify an array of objects, containing tuples of Azure Active Directory principalId, a Azure roleDefinitionId, and an optional principalIdDisplayName. The roleDefinition specified is granted to the principalId in the provider's Active Directory and the principalIdDisplayName is visible to customers."
}
},
"eligibleAuthorizations": {
"type": "array",
"metadata": {
"description": "Provide the authorizations that will have just-in-time role assignments on customer environments with support for approvals from the managing tenant"
}
}
},
"variables": {
"mspRegistrationName": "[guid(parameters('mspOfferName'))]",
"mspAssignmentName": "[guid(parameters('mspOfferName'))]"
},
"resources": [
{
"type": "Microsoft.ManagedServices/registrationDefinitions",
"apiVersion": "2020-02-01-preview",
"name": "[variables('mspRegistrationName')]",
"properties": {
"registrationDefinitionName": "[parameters('mspOfferName')]",
"description": "[parameters('mspOfferDescription')]",
"managedByTenantId": "[parameters('managedByTenantId')]",
"authorizations": "[parameters('authorizations')]",
"eligibleAuthorizations": "[parameters('eligibleAuthorizations')]"
}
},
{
"type": "Microsoft.ManagedServices/registrationAssignments",
"apiVersion": "2020-02-01-preview",
"name": "[variables('mspAssignmentName')]",
"dependsOn": [
"[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
],
"properties": {
"registrationDefinitionId": "[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
}
}
],
"outputs": {
"mspOfferName": {
"type": "string",
"value": "[concat('Managed by', ' ', parameters('mspOfferName'))]"
},
"authorizations": {
"type": "array",
"value": "[parameters('authorizations')]"
},
"eligibleAuthorizations": {
"type": "array",
"value": "[parameters('eligibleAuthorizations')]"
}
}
}
Definir as autorizações qualificadas no arquivo de parâmetros
O modelo de amostra subscription-managing-tenant-approvers.parameters.json pode ser usado para definir as autorizações, incluindo autorizações qualificadas, ao integrar uma assinatura.
Cada uma das autorizações qualificadas deve ser definida no parâmetro eligibleAuthorizations. Este exemplo inclui uma autorização qualificada.
Esse modelo também inclui o elemento managedbyTenantApprovers, que adiciona um principalId que será necessário para aprovar todas as tentativas de ativar as funções qualificadas que são definidas no elemento eligibleAuthorizations.
{
"$schema": "https://schema.management.azure.com/schemas/2018-05-01/subscriptionDeploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"mspOfferName": {
"value": "Relecloud Managed Services"
},
"mspOfferDescription": {
"value": "Relecloud Managed Services"
},
"managedByTenantId": {
"value": "<insert the managing tenant id>"
},
"authorizations": {
"value": [
{
"principalId": "00000000-0000-0000-0000-000000000000",
"roleDefinitionId": "acdd72a7-3385-48ef-bd42-f606fba81ae7",
"principalIdDisplayName": "PIM group"
}
]
},
"eligibleAuthorizations":{
"value": [
{
"justInTimeAccessPolicy": {
"multiFactorAuthProvider": "Azure",
"maximumActivationDuration": "PT8H",
"managedByTenantApprovers": [
{
"principalId": "00000000-0000-0000-0000-000000000000",
"principalIdDisplayName": "PIM-Approvers"
}
]
},
"principalId": "00000000-0000-0000-0000-000000000000",
"principalIdDisplayName": "Tier 2 Support",
"roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
}
]
}
}
}
Cada entrada dentro do parâmetro eligibleAuthorizations contém três elementos que definem uma autorização qualificada: principalId, roleDefinitionId, e justInTimeAccessPolicy.
O principalId especifica a ID do usuário ou grupo do Azure Microsoft Entra ao qual essa autorização qualificada será aplicada.
O roleDefinitionId contém a ID de definição de função para uma função interna do Azure para a qual o usuário será qualificado a usar just-in-time. Se você incluir várias autorizações qualificadas que usam o mesmo roleDefinitionId, todas elas devem ter configurações idênticas para o justInTimeAccessPolicy.
justInTimeAccessPolicy especifica três elementos:
multiFactorAuthProviderpode ser definido para o Azure, que exigirá autenticação usando a autenticação multifator do Microsoft Entra ou para Nenhum se nenhuma autenticação multifator for necessária.maximumActivationDurationdefine o período total em que o usuário terá a função qualificada. Esse valor deve usar o formato de duração da ISO 8601. O valor mínimo é PT30M (30 minutos) e o valor máximo é PT8H (8 horas). Para simplificar, recomendamos usar valores somente em incrementos de meia hora, como PT6H por 6 horas ou PT6H30M por 6,5 horas.managedByTenantApproversé opcional. Se você incluí-los, eles deverão conter uma ou mais combinações de um principalId e um principalIdDisplayName que será necessário para aprovar qualquer ativação da função qualificada.
Para obter mais informações sobre esses elementos, confira a seção Elementos de autorização qualificados.
Processo de elevação para usuários
Depois de você integrar um cliente ao Azure Lighthouse, todas as funções qualificadas incluídas estarão disponíveis para o usuário especificado (ou para os usuários em qualquer grupo especificado).
Cada usuário pode elevar o acesso a qualquer momento, acessando a página Meus clientes, no portal do Azure, selecionando uma delegação e, em seguida, selecionando o botão Gerenciar funções qualificadas. Depois disso, ele pode seguir as etapas para ativar a função no Microsoft Entra Privileged Identity Management.
Se os aprovadores tiverem sido especificados, o usuário não terá acesso à função até que a aprovação seja concedida por um aprovador designado do locatário administrativo. Todos os aprovadores serão notificados quando a aprovação for solicitada, e o usuário não poderá usar a função qualificada até que a aprovação seja concedida. Os aprovadores também serão notificados quando isso acontecer. Para obter mais informações sobre o processo de aprovação, confira Aprovar ou negar solicitações para funções de recurso do Azure no Privileged Identity Management.
Depois que a função qualificada tiver sido ativada, o usuário terá essa função pela duração total especificada na autorização qualificada. Após esse período, ele não poderá mais usar essa função, a menos que repita o processo de elevação e eleve o acesso novamente.
Próximas etapas
- Saiba como integrar clientes ao Azure Lighthouse usando modelos do ARM.
- Saiba como integrar clientes usando ofertas de Serviços Gerenciados.
- Saiba mais sobre o Microsoft Entra Privileged Identity Management.
- Saiba mais sobre locatários, usuários e funções no Azure Lighthouse.