Compartilhar via

Crie uma revisão de acesso de recurso do Azure e de funções do Microsoft Entra no PIM

A necessidade de acesso a funções privilegiadas do recurso do Azure e do Microsoft Entra por seus usuários muda ao longo do tempo. Para reduzir o risco associado a atribuições de função obsoletas, você deve examinar regularmente o acesso. Você pode usar Microsoft Entra Privileged Identity Management (PIM) para criar revisões para acesso privilegiado a recursos do Azure e funções de Microsoft Entra. Você também pode configurar revisões de acesso recorrentes que ocorrem automaticamente. Este artigo descreve como criar uma ou mais revisões de acesso.

Pré-requisitos

O uso do Privileged Identity Management requer licenças. Para obter mais informações sobre licenciamento, consulte os conceitos básicos de licenciamento da Governança de ID do Microsoft Entra .

Para obter mais informações sobre licenças para PIM, consulte os requisitos de licença para usar o Privileged Identity Management.

Para criar revisões de acesso para recursos do Azure, você deve ser atribuído à função Proprietário ou Administrador de Acesso do Usuário para os recursos do Azure. Para criar revisões de acesso para funções do Microsoft Entra, você deve ser designado pelo menos à função Administrador de Funções com Privilégios.

O uso de Revisões de Acesso para Entidades de Serviço requer uma ID de Carga de Trabalho Premium do Microsoft Entra, além de uma licença do Microsoft Entra ID P2 ou de Governança do Microsoft Entra.

  • Licenciamento premium de identificações de trabalho: você pode exibir e adquirir licenças na aba Identidades de Trabalho no centro de administração do Microsoft Entra.

Observação

As revisões de acesso capturam um instantâneo do acesso no início de cada instância de revisão. Todas as alterações feitas durante o processo de revisão serão refletidas no ciclo de revisão subsequente. Essencialmente, com o início de cada nova recorrência, são recuperados os dados pertinentes sobre os usuários, os recursos em análise e seus respectivos revisores.

Criar revisões de acesso

  1. Entre no Centro de administração do Microsoft Entra como um usuário atribuído a uma das funções de pré-requisito.

  2. Navegue até Governança de IDs>Gerenciamento de Identidades Privilegiadas.

  3. Para funções do Microsoft Entra, selecione as funções do Microsoft Entra. Para recursos do Azure, selecione recursos do Azure

    Selecione Governança de Identidade na captura de tela do Centro de administração do Microsoft Entra.

  4. Para funções do Microsoft Entra, selecione as funções do Microsoft Entra novamente em Gerenciar. Para recursos do Azure, selecione a assinatura que você deseja gerenciar.

  5. Em Gerenciar, selecione Revisões de acesso e selecione Novo para criar uma nova revisão de acesso.

    Funções do Microsoft Entra – Lista de revisões de acesso mostrando o status de todas as revisões na captura de tela.

  6. Nomeie a revisão de acesso. Opcionalmente, forneça uma descrição à revisão. O nome e a descrição são mostrados aos revisores.

    Criar uma revisão de acesso – Revise o nome e a captura de tela de descrição.

  7. Defina a data de início. Por padrão, uma revisão de acesso ocorre uma vez. Ele começa no momento da criação e termina em um mês. Você pode alterar as datas de início e de término para iniciar uma análise de acesso em uma data futura e que dure quantos dias você desejar.

    Data de início, frequência, duração, término, número de vezes e captura de tela de data de término.

  8. Para tornar a revisão de acesso recorrente, altere a configuração frequência de uma vez para semanal, mensal, trimestral, anual ou semestral. Use o controle deslizante de duração ou a caixa de texto para especificar a duração da revisão. Por exemplo, a duração máxima que você pode definir para uma revisão mensal é de 27 dias, para evitar revisões sobrepostas.

  9. Use a configuração Final para especificar como encerrar a série de revisão de acesso recorrente. A série pode terminar de três maneiras: ela é executada continuamente para iniciar revisões indefinidamente, até uma data específica ou após a conclusão de um número definido de ocorrências. Você ou outro administrador que pode gerenciar revisões, pode interromper a série após a criação alterando a data em Configurações, para que ela termine nessa data.

  10. Na seção Escopo dos Usuários , selecione o escopo da revisão. Para funções do Microsoft Entra, a primeira opção de escopo é Usuários e Grupos. Usuários atribuídos diretamente e grupos atribuíveis a funções são incluídos nesta seleção. Para funções de recurso do Azure, o primeiro escopo é Usuários. Os grupos atribuídos às funções de recurso do Azure são expandidos para exibir atribuições transitivas de usuário na revisão com essa seleção. Você também pode selecionar Entidades de Serviço para revisar as contas de máquina com acesso direto ao recurso do Azure ou à função do Microsoft Entra.

    Escopo dos usuários para examinar a associação de função da captura de tela.

  11. Ou você pode criar revisões de acesso somente para usuários inativos. Na seção Escopo de usuários, defina Usuários inativos (apenas no nível do tenant) como true. Se a alternância for definida como true, o escopo da revisão se concentrará apenas em usuários inativos. Em seguida, especifique Dias inativos. Você pode especificar até 730 dias (dois anos). Os usuários inativos para o número especificado de dias são os únicos usuários na revisão.

  12. Em Examinar a associação de função, selecione o recurso privilegiado do Azure ou as funções do Microsoft Entra a serem revisadas.

    Observação

    A seleção de mais de uma função criará várias revisões de acesso. Por exemplo, a seleção de cinco funções criará cinco revisões de acesso separadas.

    Revisar a captura de tela das associações de função.

  13. No tipo de atribuição, delimite a revisão pela maneira como o responsável foi atribuído à função. Escolha atribuições qualificadas apenas para examinar as atribuições qualificadas (independentemente do status de ativação quando a revisão for criada) ou atribuições ativas apenas para examinar as atribuições ativas. Escolha todas as atribuições ativas e qualificadas para revisar todas as atribuições, independentemente do tipo.

    Captura de tela da lista de revisores dos tipos de tarefas.

  14. Na seção Revisores , selecione uma ou mais pessoas para examinar todos os usuários. Ou você pode selecionar para que os membros examinem seus próprios acessos.

    Lista de revisores de usuários ou membros selecionados (self)

    • Usuários selecionados – use essa opção para designar um usuário específico para concluir a revisão. Essa opção está disponível independentemente do escopo da revisão e os revisores selecionados podem examinar usuários, grupos e entidades de serviço.
    • Membros (eu) – use essa opção para que os usuários revisem suas próprias atribuições de função. Essa opção só estará disponível se a revisão estiver no escopo de Usuários e Grupos ou Usuários. Para funções do Microsoft Entra, grupos atribuíveis a função não fazem parte da revisão quando essa opção é selecionada.
    • Gerenciador – Use essa opção para que o gerente do usuário examine sua atribuição de função. Essa opção só estará disponível se a revisão estiver no escopo de Usuários e Grupos ou Usuários. Ao selecionar o Gerenciador, você também pode especificar um revisor de fallback. Os revisores de fallback são solicitados a fazer uma revisão quando o usuário não tem gerenciadores especificados no diretório. Para funções do Microsoft Entra, os grupos atribuíveis a funções serão revisados pelo revisor de contingência se um estiver selecionado.

Após configurações de conclusão

  1. Para especificar o que acontece após a conclusão de uma revisão, expanda a seção de configurações após a conclusão .

    Captura de tela mostrando as configurações de conclusão para aplicação automática e as opções caso o revisor não responda.

  2. Se você quiser remover automaticamente o acesso aos usuários que foram negados, defina a aplicação automática de resultados ao recurso para Habilitar. Se você quiser aplicar manualmente os resultados quando a revisão for concluída, defina a opção como Desabilitar.

  3. Use a lista se o revisor não responder para especificar o que acontece com os usuários que não são revisados pelo revisor dentro do período de revisão. Essa configuração não afeta os usuários que já foram revisados.

    • Nenhuma alteração – deixar o acesso do usuário inalterado
    • Remover o acesso – Remover o acesso do usuário
    • Aprovar o acesso – Aprovar o acesso do usuário
    • Siga as recomendações – siga a recomendação do sistema sobre negar ou aprovar o acesso contínuo do usuário

  4. Use a lista de Ação para aplicar em usuários convidados negados para especificar o que deve ser feito com os usuários convidados que foram negados. Essa configuração não pode ser editada para revisões de funções de recurso do Microsoft Entra ID e do Azure no momento; usuários convidados, assim como todos os demais, sempre perderão o acesso ao recurso se forem negados.

    Configurações após a conclusão - Ação a ser aplicada na captura de tela dos usuários convidados cujas solicitações foram negadas.

  5. Você pode enviar notificações para outros usuários ou grupos para receber atualizações de conclusão de revisão. Esse recurso permite que os stakeholders que não sejam o criador da revisão recebam atualizações sobre o progresso da revisão. Para usar esse recurso, selecione Usuários ou Grupos e adicione todos os usuários ou grupos que você deseja receber notificações de status de conclusão.

    Após as configurações de conclusão - Adicione usuários adicionais para receber a captura de tela de notificações.

Configurações avançadas

  1. Para definir mais configurações, expanda a seção Configurações avançadas .

    Configurações avançadas para mostrar recomendações, exigir motivo na aprovação, notificações por email e captura de tela de lembretes.

  2. Defina Mostrar recomendações para Habilitar, a fim de mostrar aos revisores as recomendações do sistema baseadas nas informações de acesso do usuário. As recomendações são baseadas em um período de intervalo de 30 dias. Os usuários que fizeram logon nos últimos 30 dias são mostrados com aprovação recomendada de acesso, enquanto os usuários que não fizeram logon são mostrados com negação de acesso recomendada. Estas inscrições são independentemente de serem interativas. O último login do usuário também é exibido junto com a recomendação.

  3. Defina Exigir motivo na aprovação para habilitar para exigir que o revisor forneça um motivo para aprovação.

  4. Defina notificações de email para habilitar para que a ID do Microsoft Entra envie notificações por email aos revisores quando uma revisão de acesso for iniciada e aos administradores quando uma revisão for concluída.

  5. Defina lembretes para permitir que a ID do Microsoft Entra envie lembretes de revisões de acesso em andamento para revisores que ainda não concluíram a revisão.

  6. O conteúdo do email enviado aos revisores é gerado automaticamente com base nos detalhes da revisão, como nome da revisão, nome do recurso, data de conclusão e assim por diante. Se você precisar de uma maneira de comunicar informações adicionais, como mais instruções ou informações de contato, poderá especificar esses detalhes no conteúdo adicional para o email do revisor que estão incluídos nos emails de convite e lembrete enviados aos revisores atribuídos. A seção realçada é onde essas informações são exibidas.

    Conteúdo do email enviado aos revisores com realces

Gerenciar a análise de acesso

Você pode acompanhar o progresso à medida que os revisores concluirem suas revisões na página Visão geral da revisão de acesso. Nenhum direito de acesso será alterado no diretório até que a revisão seja concluída. Página de visão geral de revisões de acesso mostrando os detalhes da revisão de acesso para funções do Microsoft Entra em uma captura de tela.

Após a revisão de acesso, siga as etapas em Concluir uma revisão de acesso do recurso do Azure e das funções do Microsoft Entra para ver e aplicar os resultados.

Se você está gerenciando uma série de revisões de acesso, navegue até a revisão de acesso. Você localizará as próximas ocorrências em "Revisões agendadas" e editará a data de término ou adicionará/removerá os revisores adequadamente.

Com base em suas seleções nas configurações de conclusão, a aplicação automática será executada após a data de término da revisão ou quando você interromper manualmente a revisão. O status da revisão muda de Concluído por meio de estados intermediários, como Aplicar e, por fim, declarar Aplicado. Você deve esperar que os usuários negados (caso haja algum) sejam removidos das funções em alguns minutos.

Impacto dos grupos atribuídos às funções do Microsoft Entra e às funções de recurso do Azure nas revisões de acesso

• Para funções do Microsoft Entra, grupos atribuíveis a função podem ser atribuídos à função usando grupos atribuíveis a função. Quando uma revisão é criada em uma função do Microsoft Entra com grupos atribuíveis a função atribuídos, o nome do grupo aparece na revisão sem expandir a associação ao grupo. O revisor pode aprovar ou negar o acesso de todo o grupo à função. Os grupos negados perdem a atribuição à função quando os resultados da revisão são aplicados.

• Para funções de recurso do Azure, qualquer grupo de segurança pode ser atribuído à função. Quando uma revisão é criada em uma função de recurso do Azure com um grupo de segurança atribuído, os revisores de função podem ver uma exibição totalmente expandida da associação a um grupo. Quando um revisor nega um usuário atribuído à função por meio do grupo de segurança, o usuário não será removido do grupo. Isso ocorre porque um grupo pode ser compartilhado com outros recursos do Azure ou não do Azure. Os administradores devem implementar as alterações resultantes de uma negação de acesso.

Observação

É possível que um grupo de segurança tenha outros grupos atribuídos a ele. Nesse caso, somente os usuários atribuídos diretamente ao grupo de segurança atribuído à função aparecerão na revisão da função.

Atualizar a revisão de acesso

Depois que uma ou mais revisões de acesso tiverem sido iniciadas, talvez você queira modificar ou atualizar as configurações de suas revisões de acesso. Veja alguns cenários comuns que você pode considerar:

  • Adicionando e removendo revisores – ao atualizar revisões de acesso, você pode optar por adicionar um revisor de fallback além do revisor primário. Os revisores primários podem ser removidos ao atualizar uma revisão de acesso. No entanto, os revisores de fallback não são removíveis por padrão.

    Observação

    Só é possível adicionar revisores de fallback quando o tipo de revisor é gerente. Os revisores primários podem ser adicionados quando o tipo de revisor é selecionado como usuário.

  • Lembrando os revisores – Ao atualizar as revisões de acesso, você pode optar por habilitar a opção de lembrete em Configurações Avançadas. Uma vez habilitado, os usuários recebem uma notificação por email no ponto médio do período de revisão. Os revisores recebem notificações independentemente de terem concluído a revisão ou não.

    Captura de tela da opção de lembrete nas configurações de revisões de acesso.

  • Atualizando as configurações – se uma revisão de acesso for recorrente, haverá configurações separadas em "Atual" versus em "Série". Atualizar as configurações em "Atual" aplicará as alterações apenas à revisão de acesso atual, enquanto atualizar as configurações em "Série" atualizará a configuração de todas as recorrências futuras.

    Captura de tela da página de configurações em revisões de acesso.

Próximas etapas