O que é o Azure AD Privileged Identity Management?

Privileged Identity Management (PIM) é um serviço em Azure Ative Directory (Azure AD) que lhe permite gerir, controlar e monitorizar o acesso a recursos importantes na sua organização. Estes recursos incluem recursos em Azure AD, Azure, e outros serviços Microsoft Online, como Microsoft 365 ou Microsoft Intune. O vídeo que se segue apresenta-o a importantes conceitos e funcionalidades pim.

Razões para usar

As organizações querem minimizar o número de pessoas que têm acesso a informações ou recursos seguros, porque isso reduz a probabilidade de

  • um ator malicioso tendo acesso
  • um utilizador autorizado com impacto inadvertidamente num recurso sensível

No entanto, os utilizadores ainda precisam de realizar operações privilegiadas em ad AD, Azure, Microsoft 365 ou aplicações SaaS. As organizações podem dar aos utilizadores um acesso privilegiado aos recursos Azure e Azure AD e podem supervisionar o que esses utilizadores estão a fazer com o seu acesso privilegiado.

Requisitos de licença

A utilização desta funcionalidade requer uma licença Azure AD Premium P2. Para encontrar a licença certa para os seus requisitos, consulte As funcionalidades geralmente disponíveis do Azure AD.

Para obter informações sobre licenças para utilizadores, consulte os requisitos da Licença para utilizar Privileged Identity Management.

O que é que faz?

Privileged Identity Management fornece ativação de funções baseadas no tempo e na aprovação para mitigar os riscos de permissões de acesso excessivas, desnecessárias ou mal utilizadas em recursos que lhe interessam. Eis algumas das principais características da Privileged Identity Management:

  • Fornecer acesso privilegiado just-in-time aos recursos Azure AD e Azure
  • Atribuir acesso vinculado a recursos utilizando datas de início e fim
  • Requer aprovação para ativar funções privilegiadas
  • Impor a autenticação de vários fatores para ativar qualquer papel
  • Use a justificação para entender por que os utilizadores ativam
  • Receba notificações quando as funções privilegiadas são ativadas
  • Realizar revisões de acesso para garantir que os utilizadores ainda precisam de papéis
  • Faça o download do histórico de auditorias para auditoria interna ou externa
  • Impede a remoção das últimas atribuições de função de administrador global ativo e de administrador de função privilegiada

O que posso fazer com isto?

Assim que configurar Privileged Identity Management, verá as opções de Tarefas, Gestão e Atividade no menu de navegação à esquerda. Como administrador, você escolherá entre opções como gerir funções AZure AD, gerir funções de recursos Azure ou grupos de acesso privilegiados. Quando escolhe o que quer gerir, vê o conjunto de opções apropriado para essa opção.

Screenshot of Privileged Identity Management in the Azure portal

Quem pode fazer o quê?

Para as funções de Azure AD em Privileged Identity Management, apenas um utilizador que esteja na função de Administrador de Função Privilegiada ou Administrador Global pode gerir atribuições para outros administradores. Os Administradores Globais, Administradores de Segurança, Leitores Globais e Leitores de Segurança também podem ver atribuições a funções de AD Azure em Privileged Identity Management.

Para as funções de recursos Azure em Privileged Identity Management, apenas um administrador de subscrição, um proprietário de recursos ou um administrador de acesso ao utilizador de recursos podem gerir atribuições para outros administradores. Os utilizadores que são Administradores de Funções Privilegiados, Administradores de Segurança ou Leitores de Segurança não têm, por defeito, acesso a ver atribuições a funções de recursos Azure em Privileged Identity Management.

Terminologia

Para melhor entender Privileged Identity Management e sua documentação, deve rever os seguintes termos.

Termo ou conceito Categoria de atribuição de funções Description
elegível Tipo Uma atribuição de funções que requer que um utilizador execute uma ou mais ações para usar o papel. Se um utilizador tiver sido elegível para um papel, isso significa que pode ativar o papel quando precisa de executar tarefas privilegiadas. Não há diferença no acesso dado a alguém com uma função permanente contra uma função elegível. A única diferença é que algumas pessoas não precisam sempre desse acesso.
active Tipo Uma tarefa que não requer que um utilizador execute qualquer ação para usar o papel. Os utilizadores designados como ativos têm os privilégios atribuídos ao papel.
ativar O processo de realização de uma ou mais ações para usar um papel para o qual um utilizador é elegível. As ações podem incluir a realização de uma verificação de autenticação multi-factor (MFA), a justificação do negócio ou a solicitação de aprovação dos aprovadores designados.
atribuído Estado Um utilizador que tem uma atribuição de função ativa.
ativado Estado Um utilizador que tenha uma atribuição de papel elegível, executou as ações para ativar o papel, e está agora ativo. Uma vez ativado, o utilizador pode utilizar a função durante um período de tempo pré-configurado antes de necessitar de ser novamente ativado.
elegível permanente Duração Uma atribuição de funções em que um utilizador é sempre elegível para ativar o papel.
permanente ativo Duração Uma atribuição de funções em que um utilizador pode sempre usar o papel sem realizar quaisquer ações.
elegível vinculado Duração Uma atribuição de funções em que um utilizador é elegível para ativar a função apenas dentro das datas de início e fim.
tempo-bound ativo Duração Uma atribuição de funções em que um utilizador pode usar a função apenas dentro das datas de início e fim.
acesso just-in-time (JIT) Um modelo em que os utilizadores recebem permissões temporárias para executar tarefas privilegiadas, o que impede que utilizadores maliciosos ou não autorizados tenham acesso após o termo das permissões. O acesso só é concedido quando os utilizadores precisam.
princípio de acesso menos privilegiado Uma prática de segurança recomendada na qual cada utilizador é dotado apenas dos privilégios mínimos necessários para realizar as tarefas que está autorizado a executar. Esta prática minimiza o número de Administradores Globais e, em vez disso, utiliza funções específicas de administrador para determinados cenários.

Alargar e renovar atribuições

Depois de configurar as suas atribuições de proprietário ou membro, a primeira pergunta que pode fazer é o que acontece se uma atribuição expirar? Nesta nova versão, oferecemos duas opções para este cenário:

  • Prolongar – Quando uma atribuição de funções se aproxima do termo, o utilizador pode usar Privileged Identity Management para solicitar uma extensão para a atribuição de funções
  • Renovar – Quando uma atribuição de funções já tiver expirado, o utilizador pode utilizar Privileged Identity Management para solicitar uma renovação para a atribuição de funções

Ambas as ações iniciadas pelo utilizador requerem a aprovação de um Administrador Global ou Administrador privilegiado. Os administradores não precisam de estar no negócio de gerir as caducidades das atribuições. Pode esperar que os pedidos de extensão ou renovação cheguem para uma simples aprovação ou negação.

Cenários

O Privileged Identity Management suporta os seguintes cenários:

Permissões privilegiadas de administrador de funções

  • Ativar a aprovação de funções específicas
  • Especificar utilizadores ou grupos de aprovadores para aprovar pedidos
  • Ver o histórico de pedidos e de aprovação de todas as funções com privilégios

Permissões de aprovação

  • Ver aprovações pendentes (pedidos)
  • Aprovar ou rejeitar pedidos de elevação de funções (simples e a granel)
  • Apresentar justificação para a minha aprovação ou rejeição

Permissões elegíveis para utilizador de funções

  • Pedir a ativação de uma função que requer aprovação
  • Ver o estado do seu pedido para ativação
  • Completar a sua tarefa no Azure AD se a ativação for aprovada

Gestão de acesso privilegiado Azure AD (pré-visualização)

No Privileged Identity Management (PIM), pode agora atribuir a elegibilidade para a associação ou propriedade de grupos de acesso privilegiado. A partir desta pré-visualização, pode atribuir funções incorporadas do Azure Ative Directory (AAD) a grupos da cloud e utilizar o PIM para gerir a elegibilidade e ativação do proprietário e membro do grupo. Para obter mais informações sobre os grupos compatíveis com atribuição de funções no Azure Active Directory, veja Utilizar os grupos do Azure Active Directory para gerir atribuições de funções.

Importante

Para atribuir um grupo privilegiado de acesso a uma função de acesso administrativo a Exchange, & Security Compliance Center ou SharePoint, utilize a experiência do portal AD AD Azure Roles and Administrators e não na experiência dos Grupos de Acesso Privilegiados para tornar o utilizador ou grupo elegível para ativação no grupo.

Diferentes políticas just-in-time para cada grupo

Algumas organizações usam ferramentas como a colaboração business-to-business (B2B) da Azure AD para convidar os seus parceiros como convidados para a sua organização Azure AD. Em vez de uma única política just-in-time para todas as atribuições a um papel privilegiado, você pode criar dois diferentes grupos de acesso privilegiado com as suas próprias políticas. Pode impor requisitos menos rigorosos para os seus colaboradores de confiança e requisitos mais rigorosos, como fluxo de trabalho de aprovação para os seus parceiros quando solicitam ativação no seu grupo designado.

Ativar várias atribuições de funções num único pedido

Com a pré-visualização dos grupos de acesso privilegiados, pode dar aos administradores específicos da carga de trabalho um acesso rápido a várias funções com um único pedido just-in-time. Por exemplo, os seus Admins Office Tier 3 podem precisar de acesso a tempo do administrador Exchange, Office apps Admin, Teams Admin e Search Admin para investigar minuciosamente os incidentes diariamente. Antes de hoje seriam necessários quatro pedidos consecutivos, que são um processo que demora algum tempo. Em vez disso, pode criar um grupo atribuível chamado "Tier 3 Office Admins", atribuí-lo a cada uma das quatro funções anteriormente mencionadas (ou quaisquer funções incorporadas AD AD) e capacitá-la para acesso privilegiado na secção De Atividade do grupo. Uma vez ativado para acesso privilegiado, pode configurar as definições just-in-time para os membros do grupo e atribuir os seus administradores e proprietários como elegíveis. Quando os administradores se elevarem para o grupo, tornar-se-ão membros dos quatro papéis da AD Azure.

Convide os utilizadores convidados e atribua funções de recursos da Azure em Privileged Identity Management

Azure Ative Directory (Azure AD) os utilizadores convidados fazem parte das capacidades de colaboração business-to-business (B2B) dentro da Azure AD para que possa gerir utilizadores e fornecedores externos como hóspedes em Azure AD. Por exemplo, pode utilizar estas funcionalidades Privileged Identity Management para tarefas de identidade Azure com os hóspedes, tais como atribuir acesso a recursos específicos do Azure, especificar a duração da atribuição e a data de fim, ou exigir uma verificação em duas etapas sobre a atribuição ativa ou ativação. Para obter mais informações sobre como convidar um hóspede para a sua organização e gerir o seu acesso, consulte os utilizadores de colaboração Add B2B no portal AD AZure.

Quando convidaria convidados?

Aqui estão alguns exemplos de quando você pode convidar convidados para a sua organização:

  • Permitir que um fornecedor independente externo que tenha apenas uma conta de e-mail aceda aos seus recursos Azure para um projeto.
  • Permita que um parceiro externo numa grande organização que utilize Ative Directory no local Serviços da Federação aceda à sua aplicação de despesas.
  • Permita que os engenheiros de suporte que não estão na sua organização (como o suporte da Microsoft) acedam temporariamente ao seu recurso Azure para resolver problemas.

Como funciona a colaboração com os hóspedes B2B?

Quando utilizar a colaboração B2B, pode convidar um utilizador externo para a sua organização como convidado. O hóspede pode ser gerido como um utilizador na sua organização, mas um hóspede tem de ser autenticado na sua organização doméstica e não na sua organização Azure AD. Isto significa que se o hóspede já não tiver acesso à sua organização doméstica, também perde acesso à sua organização. Por exemplo, se o hóspede deixar a sua organização, eles automaticamente perdem o acesso a quaisquer recursos que partilhou com eles em Azure AD sem que você tenha que fazer nada. Para obter mais informações sobre a colaboração B2B, consulte o que é o acesso do utilizador convidado em Azure Ative Directory B2B?.

Diagram showing how a guest user is authenticated in their home directory

Passos seguintes