Qual é a diferença entre grupos de acesso privilegiado e grupos atribuíveis a função?

O Privileged Identity Management (PIM) dá suporte à capacidade de habilitar o acesso privilegiado em grupos atribuíveis à função. Porém, como um grupo atribuível à função disponível é um pré-requisito para a criação de um grupo de acesso privilegiado, este artigo explica as diferenças e como aproveitá-las.

O que são grupos atribuíveis à função do Azure AD?

O Azure AD (Azure Active Directory), parte do Microsoft Entra, permite atribuir um grupo de segurança do Azure AD de nuvem a uma função do Azure AD. Um administrador global ou administrador de função com privilégios deve criar um novo grupo de segurança e tornar o grupo atribuível a função no momento da criação. Somente as atribuições de funções de administrador global, administrador de função com privilégios ou de proprietário do grupo podem alterar a associação do grupo. Além disso, nenhum outro usuário pode redefinir a senha dos usuários que são membros do grupo. Esse recurso ajuda a impedir que um administrador eleve para uma função com privilégios mais altos sem passar por um procedimento de solicitação e aprovação.

O que são os grupos de acesso privilegiado?

Os grupos de acesso privilegiado permitem que os usuários elevem para a função de proprietário ou membro de um grupo de segurança do Azure AD. Esse recurso permite que você configure fluxos de trabalho just-in-time para não apenas funções do Azure AD e do Azure em lotes, mas também permite cenários just-in-time para outros casos de uso, como o Azure SQL, o Azure Key Vault, o Intune ou outras funções de aplicativo. Para mais informações, confira Funcionalidades de gerenciamento para grupos com acesso privilegiado.

Observação

No caso de grupos de acesso privilegiado usados para elevar as funções do Azure AD, a Microsoft recomenda exigir um processo de aprovação para atribuições de membros qualificados. As atribuições que podem ser ativadas sem aprovação podem deixar você vulnerável a um risco de segurança de administradores menos privilegiados. Por exemplo, o administrador da assistência técnica tem permissão para redefinir as senhas de um usuário qualificado.

Quando usar um grupo ao qual funções podem ser atribuídas

Você pode configurar o acesso just-in-time para permissões e funções além do Azure AD e do Azure Resource. Se você tiver outros recursos cuja autorização pode ser conectada a um grupo de segurança do Azure AD (por Azure Key Vault, Intune, SQL do Azure ou outros aplicativos e serviços), habilite o acesso privilegiado no grupo e atribua usuários como qualificados para associação no grupo.

Se você quiser atribuir um grupo a um Azure AD ou uma função do Azure Resource e exigir elevação por meio de um processo de PIM, há somente uma forma de fazer isso:

  • Atribua o grupo persistentemente a uma função. Em seguida, no PIM, você pode conceder aos usuários atribuições de função qualificadas ao grupo. Cada usuário qualificado deve ativar sua atribuição de função para se tornar membro do grupo e a ativação está sujeita a políticas de aprovação. Esse caminho requer que um grupo atribuível à função seja habilitado no PIM como um grupo de acesso privilegiado para a função do Azure AD.

Esse método permite a granularidade máxima de permissões. Use este método para:

  • Atribuir um grupo a várias funções de recurso do Azure AD ou do Azure e fazer com que os usuários ativem uma vez para obter acesso a várias funções.
  • Manter diferentes políticas de ativação para diferentes conjuntos de usuários para acessar uma função de recurso do Azure AD ou do Azure. Por exemplo, se você quiser que alguns usuários sejam aprovados antes de se tornar um administrador global, permitindo que outros usuários sejam aprovados automaticamente, você poderá configurar dois grupos de acesso privilegiado, atribuí-los persistentemente (uma atribuição "permanente" no Privileged Identity Management) à função de administrador Global e, em seguida, usar uma política de ativação diferente para a função de Membro para cada grupo.

Próximas etapas