Configure as definições privilegiadas do grupo de acesso (pré-visualização) em Privileged Identity Management

As definições de função são as definições predefinidos que são aplicadas às atribuições de acesso privilegiada do proprietário do grupo e do grupo em Privileged Identity Management (PIM). Utilize as seguintes etapas para configurar o fluxo de trabalho de aprovação para especificar quem pode aprovar ou negar pedidos para elevar o privilégio.

Definições de função abertas

Siga estes passos para abrir as definições para uma função de grupo de acesso privilegiado Azure.

  1. Inscreva-se no portal Azure com um utilizador na função de Administrador Global ou que seja designado como proprietário do grupo.

  2. Abra o Privileged Identity Management de Ad Azure.

  3. Selecione acesso privilegiado (Pré-visualização).

  4. Selecione o grupo que pretende gerir.

    Grupos privilegiados de acesso filtrados por um nome de grupo

  5. Selecione Definições.

    Definições definições de grupo de listagem de páginas para o grupo selecionado

  6. Selecione a função Proprietário ou Membro cujas definições pretende ver ou alterar. Pode ver as definições atuais para a função na página de detalhes da definição de função.

    Página de detalhes de definição de função listando várias definições de atribuição e ativação

  7. Selecione Editar para abrir a página de definição de função editar. O separador de Ativação permite alterar as definições de ativação de funções, incluindo se permite atribuições permanentes elegíveis e ativas.

    Editar página de definições de função com separador de ativação aberto

  8. Selecione o separador Atribuição para abrir o separador definições de atribuição. Estas definições controlam as definições de Privileged Identity Management de atribuição para este papel.

    Separador de atribuição de funções na página de definições de funções

  9. Utilize o separador De Notificação ou o seguinte: Botão de ativação na parte inferior da página para chegar ao separador de definição de notificação para esta função. Estas definições controlam todas as notificações de e-mail relacionadas com esta função.

    Separador de notificações de funções na página de definições de funções

  10. Selecione o botão 'Actualização' a qualquer momento para atualizar as definições de função.

No separador Notificações na página de definições de funções, Privileged Identity Management permite o controlo granular sobre quem recebe notificações e quais as notificações que recebem.

  • Desligar um e-mail
    Pode desativar e-mails específicos limpando a caixa de verificação do destinatário predefinido e eliminando quaisquer destinatários adicionais.
  • Limite os e-mails a endereços de e-mail especificados
    Pode desativar os e-mails enviados para destinatários predefinidos, limpando a caixa de verificação do destinatário predefinido. Em seguida, pode adicionar endereços de e-mail adicionais como destinatários adicionais. Se quiser adicionar mais de um endereço de e-mail, separe-o com um ponto e vírgula (;).
  • Enviar e-mails para destinatários predefinidos e destinatários adicionais
    Pode enviar e-mails para o destinatário predefinido e para o destinatário adicional, selecionando a caixa de verificação do destinatário predefinido e adicionando endereços de e-mail para destinatários adicionais.
  • Apenas e-mails críticos
    Para cada tipo de e-mail, pode selecionar a caixa de verificação apenas para receber e-mails críticos. O que isto significa é que Privileged Identity Management continuará a enviar e-mails aos destinatários configurados apenas quando o e-mail exigir uma ação imediata. Por exemplo, os e-mails a pedir aos utilizadores para prolongarem a sua atribuição de funções não serão desencadeados enquanto um e-mail que exija que os administradores aprovem um pedido de extensão será desencadeado.

Duração da atribuição

Pode escolher entre duas opções de duração de atribuição para cada tipo de atribuição (elegível e ativo) quando configurar as definições para uma função. Estas opções tornam-se a duração máxima padrão quando um utilizador é atribuído à função em Privileged Identity Management.

Pode escolher uma destas opções de duração da atribuição elegíveis:

Description
Permitir a atribuição elegível permanente Os administradores de recursos podem atribuir uma atribuição elegível permanente.
Expire a atribuição elegível após Os administradores de recursos podem exigir que todas as atribuições elegíveis tenham uma data de início e fim especificada.

E, pode escolher uma destas opções de duração de atribuição ativa:

Description
Permitir uma atribuição ativa permanente Os administradores de recursos podem atribuir uma atribuição ativa permanente.
Expire a atribuição ativa após Os administradores de recursos podem exigir que todas as atribuições ativas tenham uma data de início e fim especificada.

Nota

Todas as atribuições que tenham uma data de fim especificada podem ser renovadas por administradores de recursos. Além disso, os utilizadores podem iniciar pedidos de self-service para alargar ou renovar atribuições de funções.

Requerem autenticação multifactor

Privileged Identity Management fornece a aplicação opcional da Autenticação Multi-Factor Azure AD para dois cenários distintos.

Exigir autenticação multifactor em atribuição ativa

Esta opção requer que os administradores preencham uma autenticação multifactor antes de criarem uma atribuição de função ativa (em oposição a elegíveis). Privileged Identity Management não pode impor a autenticação multifactor quando o utilizador utiliza a sua atribuição de funções porque já estão ativos no papel a partir do momento em que é atribuído.

Para exigir a autenticação multifactor ao criar uma atribuição de funções ativas, selecione a Autenticação Multi-Factor Requere na caixa de verificação de atribuição ativa.

Requera autenticação multifactor na ativação

Pode exigir aos utilizadores elegíveis para uma função que provem quem estão a utilizar a autenticação multi-factor AD Azure antes de poderem ser ativados. A autenticação multifactor garante que o utilizador é quem diz ser com certeza razoável. A aplicação desta opção protege recursos críticos em situações em que a conta de utilizador possa ter sido comprometida.

Para exigir a autenticação multifactor antes da ativação, verifique a autenticação multi-factor requere na caixa de ativação.

Para mais informações, consulte a autenticação multifactor e Privileged Identity Management.

Duração máxima de ativação

Utilize o deslizador de duração máxima de ativação para definir o tempo máximo, em horas, para que uma função permaneça ativa antes de expirar. Este valor pode ser de uma a 24 horas.

Requerem justificação

Pode exigir que os utilizadores introduzam uma justificação comercial quando ativam. Para exigir justificação, verifique a justificação do Requerer na caixa de atribuição ativa ou na justificação do Requerer na caixa de ativação.

Exigir aprovação para ativar

Se quiser requerer aprovação para ativar uma função, siga estes passos.

  1. Verifique a aprovação do Requerer para ativar a caixa de verificação.

  2. Selecione selecionadores para abrir a página De um membro ou grupo.

    Selecione um painel de utilizador ou grupo para selecionar aprovadores

  3. Selecione pelo menos um utilizador ou grupo e, em seguida, clique em Select. Pode adicionar qualquer combinação de utilizadores e grupos. Deve selecionar pelo menos um aprovador. Não há aprovadores predefinidos.

    As suas seleções aparecerão na lista de aprovadores selecionados.

  4. Uma vez especificadas todas as definições de funções, selecione Update para guardar as suas alterações.

Passos seguintes