O que é o Azure AD Privileged Identity Management?

Privileged Identity Management (PIM) é um serviço no Azure Ative Directory (Azure AD) que lhe permite gerir, controlar e monitorizar o acesso a recursos importantes na sua organização. Estes recursos incluem recursos em Azure AD, Azure e outros serviços online Microsoft, como Microsoft 365 ou Microsoft Intune. O vídeo que se segue explica conceitos e funcionalidades pim importantes.

Razões para usar

As organizações querem minimizar o número de pessoas que têm acesso a informações ou recursos seguros, porque isso reduz a probabilidade de

  • um ator malicioso tendo acesso
  • um utilizador autorizado com impacto inadvertidamente num recurso sensível

No entanto, os utilizadores ainda precisam de realizar operações privilegiadas em Azure AD, Azure, Microsoft 365, ou aplicações SaaS. As organizações podem dar aos utilizadores um acesso privilegiado ao Azure e Azure AD recursos e podem supervisionar o que esses utilizadores estão a fazer com o seu acesso privilegiado.

Requisitos de licença

A utilização desta funcionalidade requer licenças Azure AD Premium P2. Para encontrar a licença certa para os requisitos, veja Comparar as funcionalidades geralmente disponíveis do Azure Active Directory.

Para obter informações sobre licenças para utilizadores, consulte os requisitos da Licença para utilizar Privileged Identity Management.

O que faz?

Privileged Identity Management fornece ativação de funções baseadas no tempo e na aprovação para mitigar os riscos de permissões de acesso excessivas, desnecessárias ou mal utilizadas em recursos que lhe interessam. Eis algumas das principais características da Privileged Identity Management:

  • Fornecer acesso privilegiado just-in-time aos recursos Azure AD e Azure
  • Atribuir acesso vinculado a recursos utilizando datas de início e fim
  • Requer aprovação para ativar funções privilegiadas
  • Impor a autenticação de vários fatores para ativar qualquer papel
  • Use a justificação para entender por que os utilizadores ativam
  • Receba notificações quando as funções privilegiadas são ativadas
  • Realizar revisões de acesso para garantir que os utilizadores ainda precisam de papéis
  • Faça o download do histórico de auditorias para auditoria interna ou externa
  • Impede a remoção das últimas atribuições de função de administrador global ativo e de administrador de função privilegiada

O que posso fazer com isto?

Assim que configurar Privileged Identity Management, verá as opções de Tarefas, Gestão e Atividade no menu de navegação à esquerda. Como administrador, escolherá entre opções como gerir funções Azure AD, gerir funções de recursos Azure ou grupos de acesso privilegiados. Quando escolhe o que quer gerir, vê o conjunto de opções apropriado para essa opção.

Imagem de Privileged Identity Management no portal do Azure.

Quem pode fazer o quê?

Para Azure AD funções em Privileged Identity Management, apenas um utilizador que esteja na função de Administrador de Função Privilegiada ou Administrador Global pode gerir atribuições para outros administradores. Os Administradores Globais, Administradores de Segurança, Leitores Globais e Leitores de Segurança também podem ver atribuições para Azure AD funções em Privileged Identity Management.

Para as funções de recursos Azure em Privileged Identity Management, apenas um administrador de subscrição, um proprietário de recursos ou um administrador de acesso ao utilizador de recursos podem gerir atribuições para outros administradores. Os utilizadores que são Administradores de Funções Privilegiados, Administradores de Segurança ou Leitores de Segurança não têm, por defeito, acesso a ver atribuições a funções de recursos Azure em Privileged Identity Management.

Terminologia

Para melhor entender Privileged Identity Management e sua documentação, deve rever os seguintes termos.

Termo ou conceito Categoria de atribuição de funções Description
elegível Tipo Uma atribuição de funções que requer que um utilizador execute uma ou mais ações para usar o papel. Se um utilizador tiver sido elegível para um papel, isso significa que pode ativar o papel quando precisa de executar tarefas privilegiadas. Não há diferença no acesso dado a alguém com uma função permanente contra uma função elegível. A única diferença é que algumas pessoas não precisam sempre desse acesso.
active Tipo Uma tarefa que não requer que um utilizador execute qualquer ação para usar o papel. Os utilizadores designados como ativos têm os privilégios atribuídos ao papel.
ativar O processo de realização de uma ou mais ações para usar um papel para o qual um utilizador é elegível. As ações podem incluir a realização de uma verificação de autenticação multi-factor (MFA), a justificação do negócio ou a solicitação de aprovação dos aprovadores designados.
atribuído Estado Um utilizador que tem uma atribuição de função ativa.
ativado Estado Um utilizador que tenha uma atribuição de papel elegível, executou as ações para ativar o papel, e está agora ativo. Uma vez ativado, o utilizador pode utilizar a função durante um período de tempo pré-configurado antes de necessitar de ser novamente ativado.
elegível permanente Duração Uma atribuição de funções em que um utilizador é sempre elegível para ativar o papel.
permanente ativo Duração Uma atribuição de funções em que um utilizador pode sempre usar o papel sem realizar quaisquer ações.
elegível vinculado Duração Uma atribuição de funções em que um utilizador é elegível para ativar a função apenas dentro das datas de início e fim.
tempo-bound ativo Duração Uma atribuição de funções em que um utilizador pode usar a função apenas dentro das datas de início e fim.
acesso just-in-time (JIT) Um modelo em que os utilizadores recebem permissões temporárias para executar tarefas privilegiadas, o que impede que utilizadores maliciosos ou não autorizados tenham acesso após o termo das permissões. O acesso só é concedido quando os utilizadores precisam.
princípio de acesso menos privilegiado Uma prática de segurança recomendada na qual cada utilizador é fornecido apenas com os privilégios mínimos necessários para realizar as tarefas que estão autorizados a executar. Esta prática minimiza o número de Administradores Globais e, em vez disso, utiliza funções específicas de administrador para determinados cenários.

Visão geral da atribuição de funções

As atribuições de funções pim dão-lhe uma forma segura de conceder acesso a recursos na sua organização. Esta secção descreve o processo de atribuição. Inclui atribuir funções aos membros, ativar atribuições, aprovar ou negar pedidos, estender e renovar atribuições.

A PIM mantém-no informado enviando-lhe e a outros participantes notificações por e-mail. Estes e-mails também podem incluir links para tarefas relevantes, tais como ativar, aprovar ou negar um pedido.

A imagem que se segue mostra uma mensagem de e-mail enviada pela PIM. O e-mail informa patti que Alex atualizou uma tarefa para Emily.

A screenshot mostra uma mensagem de e-mail enviada por Privileged Identity Management.

Atribuir

O processo de atribuição começa atribuindo funções aos membros. Para conceder acesso a um recurso, o administrador atribui funções a utilizadores, grupos, princípios de serviço ou identidades geridas. A atribuição inclui os seguintes dados:

  • Os membros ou proprietários para atribuir o papel.
  • O âmbito da missão. O âmbito limita a função atribuída a um determinado conjunto de recursos.
  • O tipo de atribuição
    • As atribuições elegíveis requerem que o membro do papel execute uma ação para usar o papel. As ações podem incluir ativação ou solicitar a aprovação dos aprovadores designados.
    • As atribuições ativas não exigem que o membro execute qualquer ação para usar o papel. Os membros designados como ativos têm os privilégios atribuídos ao papel.
  • A duração da atribuição, utilizando datas de início e fim ou permanentes. Para atribuições elegíveis, os membros podem ativar ou solicitar aprovação durante as datas de início e fim. Para atribuições ativas, os membros podem utilizar a função de atribuir durante este período de tempo.

A imagem que se segue mostra como o administrador atribui uma função aos membros.

Screenshot da Privileged Identity Management atribuição de papéis.

Para mais informações, confira os seguintes artigos: Atribuir funções Azure AD, atribuir funções de recursos Azure e atribuir elegibilidade a um grupo de acesso privilegiado

Ativar

Se os utilizadores tiverem sido elegíveis para uma função, então devem ativar a atribuição de funções antes de usar o papel. Para ativar a função, os utilizadores selecionam a duração de ativação específica dentro do máximo (configurado pelos administradores) e o motivo do pedido de ativação.

A imagem que se segue mostra como os membros ativam o seu papel para um tempo limitado.

Screenshot da ativação de função Privileged Identity Management.

Se a função necessitar de aprovação para ser ativada, aparecerá uma notificação no canto superior direito do navegador do utilizador informando-os de que o pedido está pendente de aprovação. Se não for necessária uma aprovação, o membro pode começar a usar o papel.

Para mais informações, confira os seguintes artigos: Ative Azure AD funções, Ative as minhas funções de recursos Azure e Ative as minhas funções privilegiadas de grupo de acesso

Aprovar ou negar

Os aprovadores delegados recebem notificações de e-mail quando um pedido de função está pendente da sua aprovação. Os aprovadores podem visualizar, aprovar ou negar estes pedidos pendentes em PIM. Após a aprovação do pedido, o membro pode começar a utilizar o papel. Por exemplo, se um utilizador ou um grupo foi atribuído com papel de Contribuição a um grupo de recursos, eles serão capazes de gerir esse grupo de recursos particular.

Para mais informações, consulte os seguintes artigos: Aprovar ou negar pedidos de Azure AD funções, aprovar ou negar pedidos de funções de recursos Azure e aprovar pedidos de ativação para grupo de acesso privilegiado

Alargar e renovar atribuições

Depois de os administradores configurarem atribuições de proprietário ou membro com prazo, a primeira pergunta que pode fazer é o que acontece se uma atribuição expirar? Nesta nova versão, oferecemos duas opções para este cenário:

  • Prolongar – Quando uma atribuição de funções se aproxima do termo, o utilizador pode usar Privileged Identity Management para solicitar uma extensão para a atribuição de funções
  • Renovar – Quando uma atribuição de funções já expirou, o utilizador pode usar Privileged Identity Management para solicitar uma renovação para a atribuição de funções

Ambas as ações iniciadas pelo utilizador requerem a aprovação de um Administrador Global ou Administrador privilegiado. Os administradores não precisam de estar no negócio de gerir as caducidades das atribuições. Pode esperar que os pedidos de extensão ou renovação cheguem para uma simples aprovação ou negação.

Para obter mais informações, confira os seguintes artigos: Prolongar ou renovar Azure AD atribuições de funções, alargar ou renovar atribuições de funções de recursos Azure, e alargar ou renovar atribuições de grupos de acesso privilegiado

Cenários

O Privileged Identity Management suporta os seguintes cenários:

Permissões privilegiadas de administrador de funções

  • Ativar a aprovação de funções específicas
  • Especificar utilizadores ou grupos de aprovadores para aprovar pedidos
  • Ver o histórico de pedidos e de aprovação de todas as funções com privilégios

Permissões de aprovação

  • Ver aprovações pendentes (pedidos)
  • Aprovar ou rejeitar pedidos de elevação de funções (simples e a granel)
  • Apresentar justificação para a minha aprovação ou rejeição

Permissões elegíveis para utilizador de funções

  • Pedir a ativação de uma função que requer aprovação
  • Ver o estado do seu pedido para ativação
  • Completar a sua tarefa no Azure AD se a ativação for aprovada

Gerir grupos de Azure AD de acesso privilegiado (pré-visualização)

No Privileged Identity Management (PIM), pode agora atribuir a elegibilidade para a associação ou propriedade de grupos de acesso privilegiado. A partir desta pré-visualização, pode atribuir funções incorporadas do Azure Ative Directory (AAD) a grupos da cloud e utilizar o PIM para gerir a elegibilidade e ativação do proprietário e membro do grupo. Para obter mais informações sobre os grupos compatíveis com atribuição de funções no Azure Active Directory, veja Utilizar os grupos do Azure Active Directory para gerir atribuições de funções.

Importante

Para atribuir um grupo privilegiado de acesso a uma função de acesso administrativo a Exchange, Security & Compliance Center ou SharePoint, utilize a experiência do portal Azure AD Roles and Administrators e não na experiência dos Grupos de Acesso Privilegiados para tornar o utilizador ou grupo elegível para ativação no grupo.

Diferentes políticas just-in-time para cada grupo

Algumas organizações usam ferramentas como Azure AD colaboração business-to-business (B2B) para convidar os seus parceiros como convidados para a sua organização Azure AD. Em vez de uma única política just-in-time para todas as atribuições a um papel privilegiado, você pode criar dois diferentes grupos de acesso privilegiado com as suas próprias políticas. Pode impor requisitos menos rigorosos para os seus colaboradores de confiança e requisitos mais rigorosos, como fluxo de trabalho de aprovação para os seus parceiros quando solicitam ativação no seu grupo designado.

Ativar várias atribuições de funções num único pedido

Com a pré-visualização dos grupos de acesso privilegiados, pode dar aos administradores específicos da carga de trabalho um acesso rápido a várias funções com um único pedido just-in-time. Por exemplo, os seus Administradores de Escritórios Tier 3 podem precisar de acesso just-in-time à Administração de Câmbio, aplicações de escritório Administração, equipas Administração e search Administração funções para investigar minuciosamente incidentes diariamente. Antes de hoje seriam necessários quatro pedidos consecutivos, que são um processo que demora algum tempo. Em vez disso, pode criar um grupo atribuível chamado "Tier 3 Office Admins", atribuí-lo a cada uma das quatro funções anteriormente mencionadas (ou qualquer Azure AD funções incorporadas) e capacitá-la para acesso privilegiado na secção De Atividade do grupo. Uma vez ativado para acesso privilegiado, pode configurar as definições just-in-time para os membros do grupo e atribuir os seus administradores e proprietários como elegíveis. Quando os administradores se elevarem para o grupo, tornar-se-ão membros dos quatro papéis Azure AD.

Convide os utilizadores convidados e atribua funções de recursos da Azure em Privileged Identity Management

Os utilizadores convidados do Azure Ative Directory (Azure AD) fazem parte das capacidades de colaboração business-to-business (B2B) dentro de Azure AD para que possa gerir utilizadores e fornecedores externos como hóspedes em Azure AD. Por exemplo, pode utilizar estas funcionalidades Privileged Identity Management para tarefas de identidade Azure com os hóspedes, tais como atribuir acesso a recursos específicos do Azure, especificar a duração da atribuição e a data de fim, ou exigir uma verificação em duas etapas sobre a atribuição ativa ou ativação. Para obter mais informações sobre como convidar um hóspede para a sua organização e gerir o seu acesso, consulte os utilizadores de colaboração Add B2B no portal Azure AD.

Quando convidaria convidados?

Aqui estão alguns exemplos de quando você pode convidar convidados para a sua organização:

  • Permitir que um fornecedor independente externo que tenha apenas uma conta de e-mail aceda aos seus recursos Azure para um projeto.
  • Permita que um parceiro externo numa grande organização que utilize Ative Directory no local Serviços da Federação aceda à sua aplicação de despesas.
  • Permita que os engenheiros de suporte que não estão na sua organização (como Microsoft suporte) acedam temporariamente ao seu recurso Azure para resolver problemas.

Como funciona a colaboração com os hóspedes B2B?

Quando utilizar a colaboração B2B, pode convidar um utilizador externo para a sua organização como convidado. O hóspede pode ser gerido como utilizador na sua organização, mas um hóspede tem de ser autenticado na sua organização doméstica e não na sua organização Azure AD. Isto significa que se o hóspede já não tiver acesso à sua organização doméstica, também perde acesso à sua organização. Por exemplo, se o hóspede deixar a sua organização, eles automaticamente perdem o acesso a quaisquer recursos que partilhou com eles em Azure AD sem que você tenha que fazer nada. Para obter mais informações sobre a colaboração B2B, consulte o que é o acesso do utilizador convidado no Azure Ative Directory B2B?.

Diagrama mostrando como um utilizador convidado é autenticado no seu diretório de casa

Passos seguintes