Configurar e aprovar o acesso just-in-time para Aplicativos Gerenciados do Azure

Como consumidor de um aplicativo gerenciado, talvez você não esteja à vontade para conceder acesso permanente do distribuidor ao grupo de recursos gerenciado. Para lhe dar maior controle sobre a concessão de acesso aos recursos gerenciados, os Aplicativos Gerenciados do Azure fornecem um recurso chamado acesso just-in-time (JIT). Isso permite que você aprove quando e por quanto tempo o distribuidor tem acesso ao grupo de recursos. O distribuidor pode fazer as atualizações necessárias durante esse tempo, porém, quando esse período terminar, o acesso dele expirará.

O fluxo de trabalho para conceder acesso é:

1. O distribuidor adiciona um aplicativo gerenciado ao marketplace e especifica que o acesso JIT está disponível.

2. Durante a implantação, você habilita o acesso JIT para sua instância do aplicativo gerenciado.

3. Após a implantação, você pode alterar as configurações de acesso JIT.

4. O distribuidor envia uma solicitação de acesso.

5. Você aprova a solicitação.

Este artigo se concentra nas ações que os consumidores realizam para habilitar o acesso JIT e aprovar solicitações. Para saber mais sobre como publicar um aplicativo gerenciado com acesso JIT, confira Solicitar acesso just-in-time em Aplicativos Gerenciados do Azure.

Observação

Para usar o acesso just-in-time, você deve ter uma licença do Microsoft Entra ID P2.

Habilitar durante a implantação

1. Entre no portal do Azure.

2. Encontre uma entrada do marketplace para um aplicativo gerenciado com o JIT habilitado. Selecione Criar.

3. Ao fornecer valores para o novo aplicativo gerenciado, a etapa de Configuração de JIT permite habilitar ou desabilitar o acesso JIT para o aplicativo gerenciado. Selecione Sim para Habilitar o acesso JIT. Essa opção é selecionada por padrão para aplicativos gerenciados definidos com o JIT habilitado no Marketplace.

   

   Você só pode habilitar o acesso JIT durante a implantação. Se você selecionar Não, o distribuidor obterá acesso permanente ao grupo de recursos gerenciado. Não é possível habilitar o acesso JIT posteriormente.

4. Para alterar as configurações de aprovação padrão, selecione Personalizar Configuração de JIT.

   

   Por padrão, um aplicativo gerenciado com o JIT habilitado tem as seguintes configurações:

   • Modo de aprovação – automático
   • Duração máxima de acesso – 8 horas
   • Aprovadores – nenhum

   Quando o modo de aprovação é definido como automático, os aprovadores recebem uma notificação para cada solicitação, mas a solicitação é aprovada automaticamente. Quando definido como manual, os aprovadores recebem uma notificação para cada solicitação, e um deles deve aprová-la.

   A duração máxima da ativação especifica a quantidade máxima de tempo que um distribuidor pode solicitar para acessar o grupo de recursos gerenciado.

   A lista de aprovadores é composta pelos usuários do Microsoft Entra que podem aprovar solicitações de acesso JIT. Para adicionar um aprovador, selecione Adicionar Aprovador e pesquise o usuário.

   Depois de atualizar a configuração, selecione Salvar.

Atualizar após a implantação

Você pode alterar os valores de como as solicitações são aprovadas. No entanto, se você não tiver habilitado o acesso JIT durante a implantação, não poderá habilitá-lo mais tarde.

Para alterar as configurações de um aplicativo gerenciado implantado:

1. No portal, selecione o aplicativo gerenciado.

2. Selecione Configuração de JIT e altere as configurações conforme necessário.

   

3. Ao terminar, escolha Salvar.

Aprovar solicitações

Quando o distribuidor solicitar acesso, você receberá uma notificação. Você pode aprovar solicitações de acesso JIT diretamente por meio do aplicativo gerenciado ou em todos os aplicativos gerenciados por meio do serviço Microsoft Entra Privileged Identity Management. Para usar o acesso just-in-time, você deve ter uma licença do Microsoft Entra ID P2.

Para aprovar solicitações por meio do aplicativo gerenciado:

1. Selecione Acesso JIT para o aplicativo gerenciado e selecione Aprovar Solicitações.

   

2. Selecione a solicitação para aprovar.

   

3. No formulário, forneça o motivo para a aprovação e selecione Aprovar.

Para aprovar solicitações por meio do Microsoft Entra Privileged Identity Management:

1. Selecione Todos os serviços e pesquise por Microsoft Entra Privileged Identity Management. Selecione-as entre as opções disponíveis.

   

2. Selecione Aprovar solicitações.

   

3. Selecione Aplicativos gerenciados do Azure e a solicitação a ser aprovada.

   

Próximas etapas

Para saber mais sobre como publicar um aplicativo gerenciado com acesso JIT, confira Solicitar acesso just-in-time em Aplicativos Gerenciados do Azure.