Editar

Compartilhar via

Ativar funções de recurso do Azure no Privileged Identity Management

  • Como fazer

Use o Microsoft Entra Privileged Identity Management (PIM) para permitir que os membros da função elegíveis para os recursos do Azure agendem a ativação para uma data e hora futuras. Eles também podem selecionar uma duração de ativação específica até o valor máximo (configurado pelos administradores).

Este artigo é destinado a membros que precisam ativar a função de recurso do Azure no Privileged Identity Management.

Observação

A partir de março de 2023, você poderá ativar suas atribuições e exibir seu acesso diretamente de folhas fora do PIM no portal do Azure. Leia mais aqui.

Importante

Quando uma função é ativada, o PIM do Microsoft Entra adiciona temporariamente uma atribuição ativa para a função. O PIM do Microsoft Entra cria uma atribuição ativa (atribui ao usuário uma função) em segundos. Quando a desativação (manual ou através da expiração do tempo de ativação) acontece, o PIM do Microsoft Entra também remove a atribuição ativa em segundos.

O aplicativo pode fornecer acesso baseado na função que o usuário tem. Em algumas situações, o acesso ao aplicativo pode não refletir imediatamente o fato de que a função do usuário foi atribuída ou removida. Se o aplicativo anteriormente armazenou em cache o fato de que o usuário não tem uma função, quando o usuário tentar acessar o aplicativo novamente, o acesso poderá não ser fornecido. Da mesma forma, se o aplicativo anteriormente armazenou em cache o fato de que o usuário tem uma função, quando a função for desativada, o usuário ainda poderá obter acesso. A situação específica depende da arquitetura do aplicativo. Para alguns aplicativos, sair e entrar novamente pode ajudar a adicionar ou remover o acesso.

Pré-requisitos

Nenhum

Ativar uma função

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Quando for necessário assumir uma função de recurso do Azure, solicite a ativação usando a opção de navegação Minhas funções no Privileged Identity Management.

Observação

O PIM agora está disponível no aplicativo móvel do Azure (iOS | Android) para funções de recurso do Microsoft Entra ID e Azure. Ative as atribuições qualificadas, solicite renovações para as que estão expirando ou verifique o status das solicitações pendentes com facilidade. Leia mais abaixo

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.

  2. Navegue até Governança de identidade>Privileged Identity Management>Minhas funções.

    Captura de tela da página minhas funções mostrando as funções que podem ser habilitadas.

  3. Selecione Funções de recurso do Azure para ver uma lista de funções de recursos qualificadas do Azure.

    Captura de tela da página minhas funções - Funções de recursos do Azure.

  4. Na lista Funções de recursos do Azure, encontre a função que você deseja ativar.

    Captura de tela das funções de recursos do azure - Lista de minhas funções qualificadas.

  5. Clique em Ativar para abrir a página Ativar.

    Captura de tela do painel Ativar aberto com escopo, hora de início, duração e motivo.

  6. Se sua função exigir uma autenticação multifator, selecione Verificar sua identidade antes de prosseguir. Você só precisa se autenticar uma vez por sessão.

  7. Clique em Verificar minha identidade e siga as instruções para fazer a verificação de segurança adicional.

    Captura de tela para digitar a verificação de segurança, como um código PIN.

  8. Se você quiser especificar um escopo reduzido, clique em Escopo para abrir o painel de filtro Recursos.

    É uma prática recomendada solicitar apenas o acesso aos recursos de que você precisa. No painel de filtro Recursos, você pode especificar os grupos de recursos ou recursos aos quais você precisa acessar.

    Captura de Ativar - Filtro de Recursos para especificar o escopo.

  9. Se necessário, especifique uma hora de início de ativação personalizada. O membro seria ativado após o horário selecionado.

  10. Na caixa Motivo, insira o motivo da solicitação de ativação.

  11. Selecione Ativar.

    Observação

    Se a função exigir aprovação para ser ativada, uma notificação será exibida no canto superior direito do seu navegador informando que a solicitação está com a aprovação pendente.

Ativar uma função com a API do ARM

O Privileged Identity Management dá suporte aos comandos da API do Azure Resource Manager (ARM) para gerenciar funções de recurso do Azure, conforme documentado na referência da PIM da API do ARM. Para obter as permissões necessárias para usar a API do PIM, confira Noções básicas sobre as APIs do Privileged Identity Management.

Para ativar uma atribuição de função qualificada do Azure e obter acesso ativado, use as Solicitações de Agendamento de Atribuição de Função – Criar API REST para criar uma nova solicitação e especificar a entidade de segurança, a definição de função, requestType = SelfActivate e o escopo. Para chamar essa API, é necessário ter uma atribuição de função qualificada no escopo.

Use uma ferramenta GUID para gerar um identificador exclusivo que será usado para atribuição de função personalizada. O identificador tem o formato: 00000000-0000-0000-0000-000000000000.

Substitua {roleAssignmentScheduleRequestName} na solicitação PUT abaixo pelo identificador GUID da atribuição de função.

Para obter mais detalhes sobre como gerenciar funções qualificadas para recursos do Azure, consulte este tutorial da API do ARM do PIM.

Veja a seguir uma solicitação HTTP de exemplo para ativar uma atribuição qualificada para uma função do Azure.

Solicitação

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignmentScheduleRequests/{roleAssignmentScheduleRequestName}?api-version=2020-10-01

Corpo da solicitação

{ 
"properties": { 
  "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
  "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
  "requestType": "SelfActivate", 
  "linkedRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413", 
  "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
          "type": "AfterDuration", 
          "endDateTime": null, 
          "duration": "PT8H" 
      } 
  }, 
  "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
  "conditionVersion": "1.0" 
} 
}

Resposta

Código de status: 201

{ 
  "properties": { 
    "targetRoleAssignmentScheduleId": "c9e264ff-3133-4776-a81a-ebc7c33c8ec6", 
    "targetRoleAssignmentScheduleInstanceId": null, 
    "scope": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", 
    "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
    "principalType": "User", 
    "requestType": "SelfActivate", 
    "status": "Provisioned", 
    "approvalId": null, 
    "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
        "type": "AfterDuration", 
        "endDateTime": null, 
        "duration": "PT8H" 
      } 
    }, 
    "ticketInfo": { 
      "ticketNumber": null, 
      "ticketSystem": null 
    }, 
    "justification": null, 
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
    "createdOn": "2020-09-09T21:35:27.91Z", 
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
    "conditionVersion": "1.0", 
    "expandedProperties": { 
      "scope": { 
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", 
        "displayName": "Pay-As-You-Go", 
        "type": "subscription" 
      }, 
      "roleDefinition": { 
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
        "displayName": "Contributor", 
        "type": "BuiltInRole" 
      }, 
      "principal": { 
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
        "displayName": "User Account", 
        "email": "user@my-tenant.com", 
        "type": "User" 
      } 
    } 
  }, 
  "name": "fea7a502-9a96-4806-a26f-eee560e52045", 
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/RoleAssignmentScheduleRequests/fea7a502-9a96-4806-a26f-eee560e52045", 
  "type": "Microsoft.Authorization/RoleAssignmentScheduleRequests" 
}

Exibir o status de suas solicitações

Você pode exibir o status das suas solicitações pendentes a serem ativadas.

  1. Abra o Privileged Identity Management do Microsoft Entra.

  2. Clique em Minhas solicitações para ver uma lista de sua função do Microsoft Entra e as solicitações de função de recurso do Azure.

    Captura de tela mostrando minhas solicitações - Página de recursos do Azure mostrando suas solicitações pendentes.

  3. Role para a direita para exibir o Status da solicitação coluna.

Cancelar uma solicitação pendente

Caso não precise da ativação de uma função que requer aprovação, você pode cancelar uma solicitação pendente a qualquer momento.

  1. Abra o Microsoft Entra Privileged Identity Management.

  2. Selecione Minhas solicitações.

  3. Na função que você deseja cancelar, clique no link Cancelar.

    When you select Cancel, the request will be canceled. To activate the role again, you will have to submit a new request for activation.

    Captura de tela da lista minha solicitação com a ação Cancelar realçada.

Desativar uma atribuição de função

Quando uma atribuição de função for ativada, você verá uma opção Desativar no portal do PIM para a atribuição de função. Além disso, você não pode desativar uma atribuição de função até cinco minutos após a ativação.

Ativar no portal do Azure

A ativação de função do Privileged Identity Management foi integrada às extensões de Cobrança e Controle de Acesso (AD) no portal do Azure. Atalhos para Assinaturas (cobrança) e Controle de Acesso (AD) permitem que você ative funções do PIM diretamente dessas folhas.

Na folha Assinaturas, selecione “Exibir assinaturas qualificadas” no menu de comando horizontal para verificar suas atribuições qualificadas, ativas e expiradas. A partir daí, é possível ativar uma atribuição qualificada no mesmo painel.

Captura de tela da exibição de assinaturas qualificadas na página Assinaturas.

Captura de tela da exibição de assinaturas qualificadas na página Gerenciamento de Custos: Serviço de Integração.

Em Controle de acesso (IAM) de um recurso, agora é possível selecionar “Exibir meu acesso” para ver suas atribuições de função atualmente ativas e qualificadas e ativar diretamente.

Captura de tela das atribuições de função atuais na página Medida.

Ao integrar recursos do PIM em diferentes folhas do portal do Azure, esse novo recurso permite que os usuários obtenham acesso temporário para exibir ou editar assinaturas e recursos com mais facilidade.

Ativar funções do PIM usando o aplicativo móvel do Azure

O PIM agora está disponível no Microsoft Entra ID e nos aplicativos móveis de funções de recurso do Azure no iOS e no Android.

  1. Para ativar uma atribuição de função qualificada do Microsoft Entra, comece baixando o aplicativo móvel do Azure (iOS | Android). Você também pode baixar o aplicativo selecionando Abrir no dispositivo móvel em Privileged Identity Management > Minhas funções > Funções do Microsoft Entra.

    A captura de tela mostra como fazer o download do aplicativo móvel.

  2. Abra o aplicativo móvel do Azure e entre. Clique no cartão "Privileged Identity Management" e selecione Minhas funções de Recursos do Azure para ver suas atribuições de função qualificadas e ativas.

    Captura de tela do aplicativo móvel mostrando o gerenciamento de identidade privilegiada e as funções do usuário.

  3. Selecione a atribuição de função e clique em Ação > Ativar nos detalhes da atribuição de função. Execute as etapas para ativar e preencher todos os detalhes necessários antes de clicar em Ativar na parte inferior.

    Captura de tela do aplicativo móvel mostrando que o processo de validação foi concluído. A imagem mostra um botão Ativar.

  4. Veja o status de suas solicitações de ativação e suas atribuições de função em "Minhas funções de Recursos do Azure".

    Captura de tela do aplicativo móvel mostrando a mensagem de ativação em andamento.

Conteúdo relacionado