Descrever os recursos do Privileged Identity Management

  • 5 minutos

O Privileged Identity Management (PIM) é um serviço do Microsoft Entra ID que permite gerenciar, controlar e monitorar o acesso a importantes recursos na sua organização. Eles incluem os recursos do Microsoft Entra, do Azure e de outros Serviços Online da Microsoft, como o Microsoft 365 ou o Microsoft Intune. O PIM reduz os riscos de permissões de acesso excessivas, desnecessárias ou inutilizadas. Ele requer uma justificativa para entender por que os usuários desejam permissões e impõe a autenticação multifator para ativar qualquer função.

O PIM é:

  • Just-in-time: fornece acesso privilegiado somente quando necessário, não antes.
  • Calendarizado: atribui datas de início e de término que indicam quando um usuário pode acessar os recursos.
  • Baseado em aprovação: exige aprovações específicas para ativar privilégios.
  • Visualizável: envia notificações quando funções com privilégios são ativadas.
  • Auditável: permite que um histórico de acesso completo seja baixado.

Por que usar o PIM?

O PIM reduz a chance de um ator mal-intencionado obter acesso, minimizando o número de pessoas que têm acesso a informações ou recursos protegidos. Ao limitar o tempo de acesso de usuários autorizados, ele reduz o risco de um usuário autorizado afetar inadvertidamente os recursos confidenciais. O PIM também fornece supervisão sobre o que os usuários estão fazendo com seus privilégios de administrador.

O que você consegue fazer com o PIM?

Hoje, podemos usar o PIM com:

  • Funções do Microsoft Entra – às vezes conhecidas como funções de diretório, as funções do Microsoft Entra incluem funções internas e personalizadas para gerenciar o Microsoft Entra ID e outros serviços online do Microsoft 365.

  • Funções do Azure – As funções de controle de acesso baseado em função (RBAC) no Azure que concede acesso a grupos gerenciados, assinaturas, grupos de recursos e recursos.

  • PIM para Grupos: fornece associação just-in-time no grupo e propriedade just-in-time do grupo. O recurso Microsoft Entra Privileged Identity Management para Grupos pode ser usado para controlar o acesso a vários cenários que incluem funções do Microsoft Entra, funções do Azure, bem como Azure SQL, Azure Key Vault, Intune, outras funções de aplicativo e aplicativos de terceiros.

Fluxo de trabalho geral

Há algumas etapas que geralmente fazem parte de um fluxo de trabalho básico ao implantar o PIM. Essas etapas são: atribuir, ativar, aprovar/negar e estender/renovar.

  • Atribuir: o processo de atribuição começa atribuindo funções aos membros. Para conceder acesso a um recurso, o administrador atribui funções a usuários, grupos, entidades de serviço ou identidades gerenciadas. A atribuição inclui os seguintes dados:

    • Membros ou proprietários: os membros ou proprietários a serem atribuídos à função.
    • O escopo limita a função atribuída a um determinado conjunto de recursos.
    • Tipo de atribuição: há duas opções. Atribuições Qualificadas exigem que o membro da função execute uma ação para usar a função. As ações podem incluir ativação ou solicitação de aprovação de aprovadores designados. Atribuições ativas não exigem que o membro execute qualquer ação para usar a função. Membros atribuídos como ativos têm os privilégios atribuídos à função.
    • Duração: a duração da atribuição é definida por datas de início e término ou é definida como permanente.

    Screen capture showing the assignment step.

  • Ativar: se os usuários tiverem sido qualificados para uma função, eles deverão ativar a atribuição de função antes de usar a função. Para ativar a função, os usuários selecionam a duração de ativação específica dentro do máximo (configurado pelos administradores) e o motivo da solicitação de ativação.

    Screen capture showing the activation step.

  • Aprovar ou negar: os aprovadores delegados recebem notificações por email quando uma solicitação de função está com a aprovação pendente. Os aprovadores podem exibir, aprovar ou negar essas solicitações pendentes no PIM. Depois que a solicitação for aprovada, o membro poderá começar a usar a função.

    Screen capture showing the approve or deny step.

  • Estender e revonar: quando uma atribuição de função se aproxima do vencimento, o usuário pode usar o Privileged Identity Management para solicitar uma extensão para a atribuição de função. Quando uma atribuição de função já expirou, o usuário pode usar o Privileged Identity Management para solicitar uma renovação da atribuição de função.

    Screen capture showing the option to extend an assignment.

Auditoria

Você pode usar o histórico de auditoria do PIM para ver todas as ativações e atribuições de funções dos últimos 30 dias para todas as funções com privilégios.

Screen capture showing the PIM audit history.