Atribuir funções de recursos do Azure no Privileged Identity Management

Com Azure AD Privileged Identity Management (Azure AD PIM), parte do Microsoft Entra, pode gerir as funções de recursos incorporadas do Azure e funções personalizadas, incluindo (mas não se limitando a):

• Proprietário
• Administrador de Acesso dos Utilizadores
• Contribuinte
• Administrador de Segurança
• Gestor de Segurança

Nota

Os utilizadores ou membros de um grupo atribuído às funções de subscrição Proprietário ou Administrador de Acesso de Utilizador e Azure AD Administradores globais que ativam a gestão de subscrições no Azure AD têm permissões de Administrador de recursos por predefinição. Estes administradores podem atribuir funções, configurar definições de funções e rever o acesso com Privileged Identity Management para recursos do Azure. Um utilizador não pode gerir Privileged Identity Management para Recursos sem permissões de Administrador de recursos. Veja a lista de funções incorporadas do Azure.

Privileged Identity Management suportam funções do Azure incorporadas e personalizadas. Para obter mais informações sobre as funções personalizadas do Azure, veja Funções personalizadas do Azure.

Condições de atribuição de função

Pode utilizar o controlo de acesso baseado em atributos do Azure (Azure ABAC) para adicionar condições às atribuições de funções elegíveis com Azure AD PIM para recursos do Azure. Com Azure AD PIM, os utilizadores finais têm de ativar uma atribuição de função elegível para obter permissão para realizar determinadas ações. A utilização de condições no Azure AD PIM permite-lhe não só limitar as permissões de função de um utilizador a um recurso através de condições detalhadas, mas também utilizar Azure AD PIM para proteger a atribuição de funções com uma definição vinculada ao tempo, fluxo de trabalho de aprovação, registo de auditoria, etc.

Nota

Quando uma função é atribuída, a atribuição:

• Não é possível atribuir uma duração inferior a cinco minutos
• Não é possível remover no prazo de cinco minutos após a sua atribuição

Atualmente, as seguintes funções incorporadas podem ter condições adicionadas:

• Contribuinte de Dados do Armazenamento de Blobs
• Proprietário dos Dados do Armazenamento de Blobs
• Leitor de Dados do Armazenamento de Blobs

Para obter mais informações, veja O que é o controlo de acesso baseado em atributos do Azure (Azure ABAC).

Atribuir uma função

Siga estes passos para tornar um utilizador elegível para uma função de recurso do Azure.

1. Inicie sessão no portal do Azure com permissões de função de Proprietário ou Administrador de Acesso de Utilizador.

2. Abra o Azure Active Directory Privileged Identity Management.

3. Selecione Recursos do Azure.

4. Selecione o Tipo de recurso que pretende gerir. Por exemplo, como Recurso ou Grupo de recursos. Em seguida, selecione o recurso que pretende gerir para abrir a respetiva página de descrição geral.

   

5. Em Gerir, selecione Funções para ver a lista de funções dos recursos do Azure.

6. Selecione Adicionar tarefas para abrir o painel Adicionar atribuições .

   

7. Selecione uma Função que pretenda atribuir.

8. Selecione Nenhuma ligação selecionada por membro para abrir o painel Selecionar um membro ou grupo .

   

9. Selecione um membro ou grupo que pretenda atribuir à função e, em seguida, selecione Selecionar.

   

10. No separador Definições , na lista Tipo de atribuição , selecione Elegível ou Ativo.

    

    Azure AD PIM para recursos do Azure fornece dois tipos de atribuição distintos:

    • As atribuições elegíveis requerem que o membro ative a função antes de a utilizar. O administrador pode exigir que o membro da função execute determinadas ações antes da ativação da função, o que pode incluir a realização de uma verificação de autenticação multifator (MFA), fornecer uma justificação comercial ou pedir a aprovação de aprovadores designados.

    • As atribuições ativas não requerem que o membro ative a função antes da utilização. Os membros atribuídos como ativos têm os privilégios atribuídos prontos a utilizar. Este tipo de atribuição também está disponível para clientes que não utilizam Azure AD PIM.

11. Para especificar uma duração de atribuição específica, altere as datas e horas de início e de fim.

12. Se a função tiver sido definida com ações que permitem atribuições a essa função com condições, pode selecionar Adicionar condição para adicionar uma condição com base nos atributos de utilizador principal e de recursos que fazem parte da atribuição.

    

    As condições podem ser introduzidas no construtor de expressões.

    

13. Quando terminar, selecione Atribuir.

14. Após a criação da nova atribuição de função, é apresentada uma notificação de estado.

    

Atribuir uma função com a API do ARM

Privileged Identity Management suporta comandos da API do Azure Resource Manager (ARM) para gerir funções de recursos do Azure, conforme documentado na referência da API ARM do PIM. Para obter as permissões necessárias para utilizar a API PIM, veja Compreender as APIs de Privileged Identity Management.

O exemplo seguinte é um pedido HTTP de exemplo para criar uma atribuição elegível para uma função do Azure.

Pedir

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleEligibilityScheduleRequests/64caffb6-55c0-4deb-a585-68e948ea1ad6?api-version=2020-10-01-preview

Corpo do pedido

{
  "properties": {
    "principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
    "roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
    "requestType": "AdminAssign",
    "scheduleInfo": {
      "startDateTime": "2022-07-05T21:00:00.91Z",
      "expiration": {
        "type": "AfterDuration",
        "endDateTime": null,
        "duration": "P365D"
      }
    },
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
    "conditionVersion": "1.0"
  }
}

Resposta

Código de estado: 201

{
  "properties": {
    "targetRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413",
    "targetRoleEligibilityScheduleInstanceId": null,
    "scope": "/providers/Microsoft.Subscription/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f",
    "roleDefinitionId": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
    "principalId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
    "principalType": "User",
    "requestType": "AdminAssign",
    "status": "Provisioned",
    "approvalId": null,
    "scheduleInfo": {
      "startDateTime": "2022-07-05T21:00:00.91Z",
      "expiration": {
        "type": "AfterDuration",
        "endDateTime": null,
        "duration": "P365D"
      }
    },
    "ticketInfo": {
      "ticketNumber": null,
      "ticketSystem": null
    },
    "justification": null,
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
    "createdOn": "2022-07-05T21:00:45.91Z",
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
    "conditionVersion": "1.0",
    "expandedProperties": {
      "scope": {
        "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f",
        "displayName": "Pay-As-You-Go",
        "type": "subscription"
      },
      "roleDefinition": {
        "id": "/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
        "displayName": "Contributor",
        "type": "BuiltInRole"
      },
      "principal": {
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
        "displayName": "User Account",
        "email": "user@my-tenant.com",
        "type": "User"
      }
    }
  },
  "name": "64caffb6-55c0-4deb-a585-68e948ea1ad6",
  "id": "/providers/Microsoft.Subscription/subscriptions/dfa2a084-766f-4003-8ae1-c4aeb893a99f/providers/Microsoft.Authorization/RoleEligibilityScheduleRequests/64caffb6-55c0-4deb-a585-68e948ea1ad6",
  "type": "Microsoft.Authorization/RoleEligibilityScheduleRequests"
}

Atualizar ou remover uma atribuição de função existente

Siga estes passos para atualizar ou remover uma atribuição de função existente.

1. Abra o Azure Active Directory Privileged Identity Management.

2. Selecione Recursos do Azure.

3. Selecione o Tipo de recurso que pretende gerir. Por exemplo, como Recurso ou Grupo de recursos. Em seguida, selecione o recurso que pretende gerir para abrir a respetiva página de descrição geral.

   

4. Em Gerir, selecione Funções para listar as funções dos recursos do Azure. A seguinte captura de ecrã lista as funções de uma conta de Armazenamento do Azure. Selecione a função que pretende atualizar ou remover.

   

5. Localize a atribuição de função nos separadores Funções elegíveis ou Funções ativas .

   

6. Para adicionar ou atualizar uma condição para refinar o acesso a recursos do Azure, selecione Adicionar ou Ver/Editar na coluna Condição para a atribuição de função. Atualmente, as funções Proprietário de Dados do Blob de Armazenamento, Leitor de Dados de Blobs de Armazenamento e Contribuidor de Dados do Blob de Armazenamento no Azure AD PIM são as únicas funções que podem ter condições adicionadas.

7. Selecione Adicionar expressão ou Eliminar para atualizar a expressão. Também pode selecionar Adicionar condição para adicionar uma nova condição à sua função.

   

   Para obter informações sobre como expandir uma atribuição de função, veja Expandir ou renovar funções de recursos do Azure no Privileged Identity Management.

Passos seguintes

• Expandir ou renovar funções de recursos do Azure no Privileged Identity Management
• Configurar as definições de função de recursos do Azure no Privileged Identity Management
• Atribuir funções de Azure AD no Privileged Identity Management