Crie uma revisão de acesso de recurso do Azure e de funções do Microsoft Entra no PIM
A necessidade de acesso a funções privilegiadas do recurso do Azure e do Microsoft Entra por seus usuários muda ao longo do tempo. Para reduzir o risco associado a atribuições de função obsoletas, você deve examinar regularmente o acesso. Você pode usar Microsoft Entra Privileged Identity Management (PIM) para criar revisões para acesso privilegiado a recursos do Azure e funções de Microsoft Entra. Você também pode configurar revisões de acesso recorrentes que ocorrem automaticamente. Este artigo descreve como criar uma ou mais revisões de acesso.
Pré-requisitos
O uso do Privileged Identity Management requer licenças. Para obter mais informações sobre o licenciamento, confira os Conceitos básicos de licenciamento do Microsoft Entra ID Governance.
Para mais sobre as licenças do PIM, consulte Requisitos de licença para usar o Privileged Identity Management.
Para criar revisões de acesso a recursos do Azure, você deve ter a função de Proprietário ou Administrador de acesso do usuário do Azure para esse recurso. Para criar revisões de acesso para funções do Microsoft Entra, você deve receber pelo menos a função Administrador de Função Privilegiada.
O uso de Revisões de Acesso para Entidades de serviço requer um plano Premium da ID de Carga de Trabalho do Microsoft Entra, além de uma licença de Microsoft Entra ID P2 ou Microsoft Entra ID Governance.
- Licenciamento de Identidades de Carga de Trabalho Premium: você pode exibir e adquirir licenças na folha Identidades de Carga de Trabalho no Centro de administração do Microsoft Entra.
Observação
As revisões de acesso capturam um instantâneo do acesso no início de cada instância de revisão. Todas as alterações feitas durante o processo de revisão serão refletidas no ciclo de revisão subsequente. Essencialmente, com o início de cada nova recorrência, são recuperados os dados pertinentes sobre os usuários, os recursos em análise e seus respectivos revisores.
Criar revisões de acesso
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Entre no Centro de administração do Microsoft Entra como um usuário atribuído a uma das funções de pré-requisito.
Navegue até Governança de identidade>Privileged Identity Management.
Para funções do Microsoft Entra, selecione funções do Microsoft Entra. Para recursos do Azure, selecione recursos do Azure
Para funções do Microsoft Entra, selecione funções do Microsoft Entra novamente em Gerenciar. Para Recursos do Azure, selecione a assinatura que você deseja gerenciar.
Em "Gerenciar", selecione Revisões de acesso e selecione Novo para criar uma nova revisão de acesso.
Nomeie a revisão de acesso. Opcionalmente, forneça uma descrição à revisão. O nome e a descrição são mostrados aos revisores.
Defina a Data de início. Por padrão, uma revisão de acesso ocorre uma vez, inicia na mesma hora em que é criada e termina em um mês. Você pode alterar as datas de início e de término para iniciar uma análise de acesso em uma data futura e que dure quantos dias você desejar.
Para fazer com que a revisão de acesso seja recorrente, altere a configuração Frequência de Uma vez para Semanal, Mensal, Trimestral, Anual ou Semestral. Use o controle deslizante Duração ou caixa de texto para definir por quantos dias cada revisão da série recorrente será aberta para entrada de revisores. Por exemplo, a duração máxima que você pode definir para uma revisão mensal é de 27 dias, para evitar revisões sobrepostas.
Use a configuração Final para especificar como terminar a série de revisão de acesso recorrente. A série pode terminar de três maneiras: ela é executada continuamente para iniciar revisões indefinidamente, até uma data específica ou após a conclusão de um número definido de ocorrências. Você ou outro administrador que possa gerenciar revisões pode interromper a série após a criação alterando a data em Configurações para que ela encerre nessa data.
Na seção Escopo dos Usuários, selecione o escopo da revisão. Para Funções do Microsoft Entra, a primeira opção de escopo é Usuários e Grupos. Usuários atribuídos diretamente e grupos atribuíveis a funções serão incluídos nesta seleção. Para funções de recurso do Azure, o primeiro escopo será Usuários. Os grupos atribuídos às funções de recurso do Azure são expandidos para exibir atribuições transitivas de usuário na revisão com essa seleção. Você também pode selecionar Entidades de serviço para revisar as contas de computador com acesso direto ao recurso do Azure ou à função do Microsoft Entra.
Ou você pode criar revisões de acesso somente para usuários inativos. Na seção Escopo de usuários, defina os Somente usuários inativos (no nível do locatário) como true. Se a alternância for definida como true, o escopo da revisão se concentrará apenas em usuários inativos. Em seguida, especifique Dias inativos com um número de dias inativos de até 730 (dois anos). Os usuários inativos para o número especificado de dias serão os únicos na revisão.
Em Analisar associação de função, selecione os recursos do Azure ou as funções do Microsoft Entra com privilégios para revisão.
Observação
A seleção de mais de uma função criará várias revisões de acesso. Por exemplo, a seleção de cinco funções criará cinco revisões de acesso separadas.
Em tipo de atribuição, defina o escopo da revisão de acordo com a forma como a entidade de segurança foi atribuída à função. Escolha somente atribuições qualificadas para revisar atribuições qualificadas (independentemente do status de ativação quando a revisão é criada) ou somente atribuições ativas para revisar atribuições ativas. Escolha todas as atribuições ativas e qualificadas para revisar todas as atribuições, independentemente do tipo.
Na seção Revisores, selecione uma ou mais pessoas para examinar todos os usuários no escopo. Ou você pode selecionar para que os membros examinem seus próprios acessos.
- Usuários selecionados: use esta opção para designar um usuário específico para concluir a revisão. Essa opção está disponível independentemente do escopo da revisão. Os revisores selecionados podem revisar usuários, grupos e entidades de serviço.
- Membros (próprio) – Use essa opção para fazer com que os usuários examinem suas próprias atribuições de função. Essa opção só estará disponível se a revisão estiver no escopo de Usuários e Grupos ou de Usuários. Para Funções do Microsoft Entra, grupos atribuíveis a funções não serão parte da revisão quando essa opção for selecionada.
- Gerenciador: use essa opção para fazer com que o gerenciador do usuário revise a atribuição de função dele. Essa opção só estará disponível se a revisão estiver no escopo de Usuários e Grupos ou de Usuários. Após selecionar o Gerenciador, você também terá a opção de especificar um revisor de fallback. Os revisores de fallback são solicitados a fazer uma revisão quando o usuário não tem gerenciadores especificados no diretório. Para Funções do Microsoft Entra, grupos atribuíveis a funções serão revisados pelo revisor de fallback se um estiver selecionado.
Após configurações de conclusão
Para especificar o que acontece após a conclusão de uma revisão, expanda a seção Após configurações de conclusão.
Se você quiser remover automaticamente o acesso para usuários que foram negados, defina Resultados de aplicação automática ao recurso para Habilitar. Se você deseja aplicar manualmente os resultados quando a revisão for concluída, defina a opção para Desabilitar.
Use a lista Se o revisor não responder para especificar o que acontece para usuários que não foram examinados pelo revisor dentro do período de revisão. Essa configuração não afeta os usuários que foram revisados pelos revisores.
- Nenhuma alteração - deixar o acesso do usuário inalterado
- Remover o acesso - remover o acesso do usuário
- Aprovar o acesso - aprovar o acesso do usuário
- Fazer recomendações - levar a recomendação do sistema ao negar ou aprovar o acesso contínuo do usuário
Use a lista Ação a ser aplicada aos usuários convidados negados para especificar o que acontece com usuários convidados que foram negados. Essa configuração não é editável para revisões de função de recurso do Microsoft Entra ID e do Azure no momento. Os usuários convidados, como todos os usuários, sempre perderão o acesso ao recurso, se negado.
Você pode enviar notificações a usuários ou grupos adicionais para receber atualizações de conclusão de revisão. Esse recurso permite que os stakeholders que não sejam o criador da revisão recebam atualizações sobre o progresso da revisão. Para usar esse recurso, escolha Selecionar Usuários ou Grupos e adicione mais um usuário ou grupo que deve receber o status de conclusão.
Configurações avançadas
Para especificar configurações adicionais, expanda a seção Configurações avançadas.
Definir Mostrar recomendações à Habilitar para mostrar aos revisores as recomendações do sistema com base nas informações de acesso do usuário. As recomendações são baseadas em um período de intervalo de 30 dias. Os usuários que fizeram logon nos últimos 30 dias são mostrados com aprovação recomendada de acesso, enquanto os usuários que não fizeram logon são mostrados com negação de acesso recomendada. Estas inscrições são independentemente de serem interativas. O último login do usuário também é exibido junto com a recomendação.
Definir Requer motivo sob aprovação para Habilitar para exigir que o revisor forneça um motivo para aprovação.
Defina Notificações por email como Habilitar para que o Microsoft Entra ID envie notificações por email para os revisores quando uma revisão de acesso começar e para os administradores quando uma revisão terminar.
Defina Lembretes como Habilitar para que o Microsoft Entra ID envie lembretes sobre as revisões de acesso em andamento para os revisores que não concluíram a revisão.
O conteúdo do email enviado aos revisores é gerado automaticamente com base nos detalhes da revisão, como nome da revisão, nome do recurso, data de vencimento e assim por diante. Se precisar de uma maneira de comunicar informações adicionais, como instruções adicionais ou informações de contato, é possível especificar esses detalhes no conteúdo adicional para o email do revisor, que será incluído no convite e nos emails de lembrete enviados aos revisores atribuídos. A seção destacada abaixo é onde essas informações serão exibidas.
Gerenciar a análise de acesso
É possível acompanhar o progresso à medida que os revisores concluírem as revisões na página Visão geral da revisão de acesso. Nenhum direito de acesso será alterado no diretório até que a revisão seja concluída. Veja abaixo uma captura de tela que mostra a página de visão geral das revisões de acesso a recursos do Azure e funções do Microsoft Entra.
Se essa for uma revisão única, depois que o período de revisão de acesso terminar ou o administrador interromper a revisão de acesso, execute as etapas em Concluir uma revisão de acesso de recursos do Azure e de funções do Microsoft Entra para ver e aplicar os resultados.
Para gerenciar uma série de revisões de acesso, navegue até a revisão de acesso. Você localizará as próximas ocorrências em "Revisões agendadas" e editará a data de término ou adicionará/removerá os revisores adequadamente.
Com base nas seleções em Após configurações de conclusão, a aplicação automática será executada após a data de término da revisão ou quando a revisão for interrompida manualmente. O status da revisão será alterado de Concluído para estados intermediários, como Aplicando e, por fim, Aplicado. Você deve esperar que os usuários negados (caso haja algum) sejam removidos das funções em alguns minutos.
Impacto dos grupos atribuídos às funções do Microsoft Entra e às funções de recurso do Azure nas revisões de acesso
• Para funções do Microsoft Entra, grupos atribuíveis a função podem ser atribuídos à função usando grupos atribuíveis a função. Quando uma revisão é criada em uma função do Microsoft Entra com grupos atribuíveis a função atribuídos, o nome do grupo aparece na revisão sem expandir a associação ao grupo. O revisor pode aprovar ou negar o acesso de todo o grupo à função. Os grupos negados perderão a atribuição para a função quando os resultados da revisão forem aplicados.
• Para funções de recurso do Azure, qualquer grupo de segurança pode ser atribuído à função. Quando uma revisão é criada em uma função de recurso do Azure com um grupo de segurança atribuído, os usuários atribuídos a esse grupo de segurança serão totalmente expandidos e mostrados ao revisor da função. Quando um revisor nega um usuário atribuído à função por meio do grupo de segurança, o usuário não será removido do grupo. Isso ocorre porque um grupo pode ter sido compartilhado com outros recursos do Azure ou não do Azure. Portanto, as alterações resultantes do acesso negado devem ser feitas pelo administrador.
Observação
É possível que um grupo de segurança tenha outros grupos atribuídos a ele. Nesse caso, somente os usuários atribuídos diretamente ao grupo de segurança atribuído à função aparecerão na revisão da função.
Atualizar a revisão de acesso
Depois que uma ou mais revisões de acesso tiverem sido iniciadas, talvez você queira modificar ou atualizar as configurações de suas revisões de acesso. Veja alguns cenários comuns que você pode considerar:
Adicionar e remover revisores: ao atualizar as revisões de acesso, você pode optar por adicionar um revisor de fallback além do revisor primário. Os revisores primários podem ser removidos ao atualizar uma revisão de acesso. No entanto, os revisores de fallback não são removíveis por padrão.
Observação
Só é possível adicionar revisores de fallback quando o tipo de revisor é gerente. Os revisores primários podem ser adicionados quando o tipo de revisor é selecionado como usuário.
Lembrete aos revisores: ao atualizar as revisões de acesso, você pode optar por habilitar a opção de lembrete em Configurações avançadas. Uma vez habilitada, os usuários receberão uma notificação por email na metade do período de revisão, independentemente de terem concluído a revisão ou não.
Atualização das configurações: se uma revisão de acesso é recorrente, há configurações separadas em "Atual" versus "Em série". Atualizar as configurações em "Atual" aplicará as alterações apenas à revisão de acesso atual, enquanto atualizar as configurações em "Série" atualizará a configuração de todas as recorrências futuras.