Compartilhar via


Guia de início rápido do Gerenciamento de Permissões do Microsoft Entra

Bem-vindo ao Guia de Início Rápido para Gerenciamento de Permissões do Microsoft Entra.

O Gerenciamento de Permissões é uma solução do CIEM (Gerenciamento de Direitos da Infraestrutura de Nuvem) que fornece visibilidade abrangente sobre as permissões atribuídas a todas as identidades. Essas identidades incluem cargas de trabalho com privilégios excessivos e identidades, ações e recursos de usuários em infraestruturas multinuvem no Microsoft Azure, Amazon Web Services (AWS) e Google Cloud Platform (GCP). O Gerenciamento de Permissões ajuda sua organização a proteger e gerenciar efetivamente as permissões de nuvem detectando, dimensionando automaticamente e monitorando continuamente permissões não utilizadas e excessivas.

Com este guia de início rápido, você vai configurar seus ambientes multinuvem, configurar a coleta de dados e habilitar o acesso a permissões para garantir que suas identidades de nuvem sejam gerenciadas e seguras.

Pré-requisitos

Antes de começar, você precisa de acesso a essas ferramentas para o processo de integração:

  • Acesso a um shell BASH local com a CLI do Azure ou o Azure Cloud Shell usando o ambiente BASH (a CLI do Azure está incluída).
  • Acesso aos consoles da AWS, do Azure e do GCP.
  • Um usuário deve ter a atribuição de função de Administrador de Gerenciamento de Permissões para criar um novo registro de aplicativo no locatário do Microsoft Entra é necessário para integração AWS e GCP.

Etapa 1: Configurar o Gerenciamento de Permissões

Para habilitar o Gerenciamento de Permissões, você deve ter um locatário do Microsoft Entra (por exemplo, centro de administração do Microsoft Entra).

  • Se você tiver uma conta do Azure, terá automaticamente um locatário do centro de administração do Microsoft Entra.
  • Se você ainda não tiver uma, crie uma conta gratuita em entra.microsoft.com.

Se os pontos acima forem atendidos, continue com:

Habilitar o Gerenciamento de Permissões do Microsoft Entra na sua organização

Verifique se você é um Administrador de Gerenciamento de Permissões. Saiba mais sobre as permissões e funções do Gerenciamento de Permissões.

Um diagrama que mostra onde o Microsoft Entra se cruza com as funções do Azure no locatário do Microsoft Entra.

Etapa 2: integrar seu ambiente multinuvem

Até agora, você,

  1. Foi atribuído à função de Administrador de Gerenciamento de Permissões no seu locatário do centro de administração do Microsoft Entra.
  2. Comprou licenças ou ativou sua avaliação gratuita de 45 dias do Gerenciamento de Permissões.
  3. Inicializou o Gerenciamento de Permissões com sucesso.

Agora, você aprenderá sobre a função e as configurações dos modos de Controlador e de Coleta de dados no Gerenciamento de Permissões.

Definir o controlador

O controlador oferece a opção de determinar o nível de acesso que você concede aos usuários no Gerenciamento de Permissões.

  • Habilitar o controlador durante a integração concede acesso de administrador do Gerenciamento de Permissões ou acesso de leitura e gravação, para que os usuários possam dimensionar as permissões corretas e corrigir diretamente por meio do Gerenciamento de Permissões (em vez de acessar os consoles da AWS, do Azure ou do GCP). 

  • Desabilitar o controlador durante a integração ou nunca habilitá-lo concede a um usuário do Gerenciamento de Permissões acesso de somente leitura aos seus ambientes.

Observação

Se você não habilitar o controlador durante a integração, terá a opção de habilitá-lo após a conclusão da integração. Para definir o controlador no Gerenciamento de Permissões após a integração, consulte Habilitar ou desabilitar o controlador após a integração. Para ambientes AWS, depois de habilitar o controlador, você não pode desabilitá-lo.

Para definir as configurações do controlador durante a integração:

  1. Selecione Habilitar para conceder acesso de leitura e gravação ao Gerenciamento de Permissões.
  2. Selecione Desabilitar para conceder acesso de somente leitura ao Gerenciamento de Permissões.

Configurar a coleta de dados

Você pode escolher entre três modos para coletar dados no Gerenciamento de Permissões.

  • Automático (recomendado) O Gerenciamento de Permissões descobre, integra e monitora automaticamente todas as assinaturas atuais e futuras.

  • Manual Insira manualmente assinaturas individuais para que o Gerenciamento de Permissões descubra, integre e monitore. Você pode inserir até 100 assinaturas por coleta de dados.

  • Selecionar O Gerenciamento de Permissões revela automaticamente todas as assinaturas atuais. Depois de descoberto, você seleciona quais assinaturas integrar e monitorar.

Observação

Para usar os modos Automático ou Selecionar, o controlador deve ser habilitado durante a configuração da coleta de dados.

Para configurar a coleta de dados:

  1. Em Gerenciamento de Permissões, navegue até a página Coletores de Dados.
  2. Selecione um ambiente de nuvem: AWS, Azure ou GCP.
  3. Clique em Criar Configuração.

Observação

O processo de coleta de dados leva algum tempo e ocorre em intervalos de aproximadamente 4 a 5 horas na maioria dos casos. O período depende do tamanho do sistema de autorização que você tem e da quantidade de dados disponíveis para coleta.

Integrar o AWS (Amazon Web Services)

Como o Gerenciamento de Permissões está hospedado no Microsoft Entra, há mais etapas a serem seguidas para integrar seu ambiente da AWS.

Para conectar a AWS ao Gerenciamento de Permissões, você deve criar um aplicativo do Microsoft Entra ID no locatário do centro de administração do Microsoft Entra em que o Gerenciamento de Permissões está habilitado. Esse aplicativo do Microsoft Entra é usado para configurar uma conexão OIDC com seu ambiente da AWS.

O OIDC (OpenID Connect) é um protocolo de autenticação interoperável baseado na família de especificações OAuth 2.0.

Um diagrama que mostra a conexão entre o Microsoft Entra ID e um ambiente de nuvem do AWS.

Pré-requisitos

Um usuário deve ter a atribuição de função de Administrador de Gerenciamento de Permissões para criar um novo registro de aplicativo no Microsoft Entra ID.

IDs de conta e funções para:

  • Conta OIDC da AWS: uma conta de membro da AWS designada por você para criar e hospedar a conexão OIDC por meio de um IdP do OIDC
  • Conta de registro em log da AWS (opcional, mas recomendada)
  • Conta de Gerenciamento da AWS (opcional, mas recomendada)
  • Contas de membro da AWS monitoradas e gerenciadas pelo Gerenciamento de Permissões (para o modo manual)

Para usar os modos de coleta de dados Automático ou Selecionar, você deve conectar sua conta de Gerenciamento da AWS.

Durante essa etapa, você pode habilitar o controlador inserindo o nome do bucket S3 com logs de atividade do AWS CloudTrail (encontrado em Trilhas da AWS).

Para integrar seu ambiente da AWS e configurar a coleta de dados, consulte Integrar uma conta da AWS (Amazon Web Services).

Integrar o Microsoft Azure

Quando você habilitou o Gerenciamento de Permissões no locatário do Microsoft Entra, um aplicativo empresarial para CIEM foi criado. Para integrar seu ambiente do Azure, você concede permissões a esse aplicativo para o Gerenciamento de Permissões.

  1. No locatário do Microsoft Entra em que o Gerenciamento de Permissões está habilitado, localize o aplicativo empresarial CIEM (Gerenciamento de Direitos de Infraestrutura de Nuvem ).

  2. Atribua a função de Leitor ao aplicativo CIEM para permitir que o Gerenciamento de Permissões leia as assinaturas do Microsoft Entra em seu ambiente.

Um diagrama que mostra a conexão entre as conexões de função do Microsoft Entra com uma assinatura do Azure.

Pré-requisitos

  • Um usuário com permissões Microsoft.Authorization/roleAssignments/write no escopo da assinatura ou do grupo de gerenciamento para atribuir funções ao aplicativo CIEM.

  • Para usar os modos de coleta de dados Automático ou Selecionar, você deve atribuir a função de Leitor no escopo do Grupo de gerenciamento.

  • Para habilitar o controlador, você deve atribuir a função de Administrador de Acesso do Usuário ao aplicativo CIEM.

Para integrar seu ambiente do Azure e configurar a coleta de dados, confira Integrar uma assinatura do Microsoft Azure.

Integrar o Google Cloud Platform (GCP)

Como o Gerenciamento de Permissões está hospedado no Microsoft Azure, há etapas adicionais a serem seguidas para integrar seu ambiente GCP.

Para conectar a GCP ao Gerenciamento de Permissões, você deve criar um aplicativo do centro de administração do Microsoft Entra no locatário do Microsoft Entra em que o Gerenciamento de Permissões está habilitado. Esse aplicativo do centro de administração do Microsoft Entra é usado para configurar uma conexão OIDC com seu ambiente do GCP.

O OIDC (OpenID Connect) é um protocolo de autenticação interoperável baseado na família de especificações OAuth 2.0.

Um diagrama que mostra a conexão entre o aplicativo Microsoft Entra OIDC e um ambiente de nuvem GCP.

Pré-requisitos

Um usuário com a capacidade de criar um novo registro de aplicativo no Microsoft Entra (necessário para facilitar a conexão OIDC) é necessário para a integração da AWS e do GCP.

Detalhes de ID para:

  • Projeto OIDC do GCP: um projeto do GCP designado por você para criar e hospedar a conexão OIDC por meio de um IdP do OIDC.
    • Número do projeto e ID do projeto
  • Identidade da Carga de Trabalho OIDC do GCP
    • ID do pool, ID do provedor do pool
  • Conta de serviço OIDC do GCP
    • Nome do segredo do IdP do G-suite e email de usuário do IdP do G-suite (opcional)
    • IDs para os projetos do GCP que você deseja integrar (opcional, para o modo manual)

Atribua as funções de Visualizador e Revisor de Segurança à conta de serviço do GCP nos níveis de organização, pasta ou projeto para conceder acesso de leitura do Gerenciamento de Permissões ao ambiente do GCP.

Durante essa etapa, você tem a opção de Habilitar o modo de controlador atribuindo as funções de Administrador de Função e Administrador de Segurança à conta de serviço do GCP nos níveis da organização, pasta ou projeto.

Observação

O escopo padrão do Gerenciamento de Permissões está no nível do projeto.

Para integrar seu ambiente GCP e configurar a coleta de dados, consulte Integrar um projeto do GCP.

Resumo

Parabéns! Você concluiu a configuração da coleta de dados para seus ambientes e o processo de coleta de dados foi iniciado. O processo de coleta de dados leva algum tempo, aproximadamente de 4 a 5 horas na maioria dos casos. O período depende da quantidade de sistemas de autorização que você integrou e da quantidade de dados disponíveis para coleta.

A coluna de status na interface do usuário do Gerenciamento de Permissões mostra em qual etapa da coleta de dados você está.

  • Pendente: o Gerenciamento de permissões ainda não começou a detectar ou integrar.
  • Descobrindo: o Permissions Management está detectando os sistemas de autorização.
  • Em andamento: O Gerenciamento de Permissões concluiu a detecção dos sistemas de autorização e está em integração.
  • Integrado: a coleta de dados foi concluída e todos os sistemas de autorização detectados foram integrados ao Gerenciamento de permissões.

Observação

Enquanto o processo de coleta de dados continua, você pode começar a configurar usuários e grupos no Gerenciamento de Permissões.

Próximas etapas

Referências: