O que é o Azure AD Privileged Identity Management?

Gestão de Identidade Privilegiada (PIM) é um serviço no Azure Ative Directory (Azure AD) que lhe permite gerir, controlar e monitorizar o acesso a recursos importantes na sua organização. Estes recursos incluem recursos em Azure AD, Azure e outros serviços Microsoft Online, como o Microsoft 365 ou o Microsoft Intune. O vídeo que se segue apresenta-o a importantes conceitos e funcionalidades pim.

Razões para usar

As organizações querem minimizar o número de pessoas que têm acesso a informações ou recursos seguros, porque isso reduz a probabilidade de

  • um ator malicioso tendo acesso
  • um utilizador autorizado com impacto inadvertidamente num recurso sensível

No entanto, os utilizadores ainda precisam de realizar operações privilegiadas em ad AD, Azure, Microsoft 365 ou SaaS. As organizações podem dar aos utilizadores acesso privilegiado just-in-time aos recursos Azure e Azure AD e podem supervisionar o que esses utilizadores estão a fazer com o seu acesso privilegiado.

Requisitos de licença

A utilização desta funcionalidade requer uma licença Azure AD Premium P2. Para encontrar a licença certa para os seus requisitos, consulte comparar as funcionalidades geralmente disponíveis das edições Free, Office 365 Apps e Premium.

Para obter informações sobre licenças para utilizadores, consulte os requisitos da Licença para utilizar a Gestão de Identidade Privilegiada.

O que é que faz?

A Gestão de Identidade Privilegiada fornece ativação de funções baseadas no tempo e na aprovação para mitigar os riscos de permissões de acesso excessivas, desnecessárias ou mal utilizadas em recursos que lhe interessam. Estas são algumas das principais características da Gestão de Identidade Privilegiada:

  • Fornecer acesso privilegiado just-in-time aos recursos Azure AD e Azure
  • Atribuir acesso vinculado a recursos com datas de início e fim
  • Requer aprovação para ativar funções privilegiadas
  • Impor a autenticação de vários fatores para ativar qualquer papel
  • Use a justificação para entender por que os utilizadores ativam
  • Receba notificações quando as funções privilegiadas são ativadas
  • Realizar revisões de acesso para garantir que os utilizadores ainda precisam de papéis
  • Baixe o histórico de auditoria para auditoria interna ou externa

O que posso fazer com isto?

Assim que configurar a Gestão de Identidade Privilegiada, verá as opções de Tarefas, Gestão e Atividade no menu de navegação à esquerda. Como administrador, você escolherá entre opções como gerir funções Azure AD, gerir funções de recursos Azure ou grupos de acesso privilegiados. Quando escolhe o que quer gerir, vê o conjunto de opções apropriado para essa opção.

Screenshot da Gestão de Identidade Privilegiada no portal Azure

Quem pode fazer o quê?

Para as funções de Azure AD em Gestão de Identidade Privilegiada, apenas um utilizador que esteja na função de Administrador de Função Privilegiada ou Administrador Global pode gerir atribuições para outros administradores. Os Administradores Globais, Administradores de Segurança, Leitores Globais e Leitores de Segurança também podem ver atribuições a funções de AZure AD na Gestão de Identidade Privilegiada.

Para as funções de recursos do Azure na Gestão de Identidade Privilegiada, apenas um administrador de subscrição, um titular de recursos ou um administrador de acesso ao utilizador de recursos podem gerir atribuições para outros administradores. Os utilizadores que são Administradores de Funções Privilegiados, Administradores de Segurança ou Leitores de Segurança não têm, por defeito, acesso a ver atribuições a funções de recursos Azure na Gestão de Identidade Privilegiada.

Alargar e renovar atribuições

Depois de configurar as suas atribuições de proprietário ou membro, a primeira pergunta que pode fazer é o que acontece se uma atribuição expirar? Nesta nova versão, oferecemos duas opções para este cenário:

  • Prolongar – Quando uma atribuição de funções se aproxima do termo, o utilizador pode usar a Gestão de Identidade Privilegiada para solicitar uma extensão para a atribuição de funções
  • Renovar – Quando uma atribuição de funções já tiver expirado, o utilizador pode utilizar a Gestão de Identidade Privilegiada para solicitar uma renovação para a atribuição de funções

Ambas as ações iniciadas pelo utilizador requerem uma aprovação de um Administrador Global ou Administrador de Função Privilegiada. Os administradores não precisam de estar no negócio de gerir as caducidades das atribuições. Pode esperar que os pedidos de extensão ou renovação cheguem para uma simples aprovação ou negação.

Cenários

O Privileged Identity Management suporta os seguintes cenários:

Permissões privilegiadas de administrador de funções

  • Ativar a aprovação de funções específicas
  • Especificar utilizadores ou grupos de aprovadores para aprovar pedidos
  • Ver o histórico de pedidos e de aprovação de todas as funções com privilégios

Permissões de aprovação

  • Ver aprovações pendentes (pedidos)
  • Aprovar ou rejeitar pedidos de elevação de funções (simples e a granel)
  • Apresentar justificação para a minha aprovação ou rejeição

Permissões elegíveis para utilizador de funções

  • Pedir a ativação de uma função que requer aprovação
  • Ver o estado do seu pedido para ativação
  • Completar a sua tarefa no Azure AD se a ativação for aprovada

Gestão de acesso privilegiado Grupos AD (pré-visualização)

Na Gestão de Identidade Privilegiada (PIM), pode agora atribuir elegibilidade para adesão ou propriedade de grupos de acesso privilegiados. A partir desta pré-visualização, pode atribuir funções incorporadas ao Azure Ative Directory (Azure AD) a grupos de nuvem e utilizar o PIM para gerir a elegibilidade e ativação do membro do grupo e do proprietário. Para obter mais informações sobre grupos atribuíveis por funções em Azure AD, consulte use grupos de nuvem para gerir atribuições de funções no Azure Ative Directory (pré-visualização).

Importante

Para atribuir um grupo privilegiado de acesso a uma função de acesso administrativo ao Centro de Intercâmbio, Segurança e Conformidade, ou SharePoint, utilize a experiência do portal AD AD Ad Roles and Administrators e não na experiência dos Grupos de Acesso Privilegiados para tornar o utilizador ou grupo elegível para ativação no grupo.

Diferentes políticas just-in-time para cada grupo

Algumas organizações usam ferramentas como a colaboração entre negócios e negócios (B2B) da Azure AD para convidar os seus parceiros como convidados para a sua organização Azure AD. Em vez de uma única política just-in-time para todas as atribuições a um papel privilegiado, você pode criar dois diferentes grupos de acesso privilegiado com as suas próprias políticas. Pode impor requisitos menos rigorosos para os seus colaboradores de confiança e requisitos mais rigorosos, como fluxo de trabalho de aprovação para os seus parceiros quando solicitam ativação no seu grupo designado.

Ativar várias atribuições de funções num único pedido

Com a pré-visualização dos grupos de acesso privilegiados, pode dar aos administradores específicos da carga de trabalho um acesso rápido a várias funções com um único pedido just-in-time. Por exemplo, os seus Administradores de Escritórios Tier 3 podem precisar de acesso just-in-time ao Exchange Admin, Office Apps Admin, Teams Admin e Search Admin para investigar minuciosamente os incidentes diariamente. Antes de hoje seriam necessários quatro pedidos consecutivos, que são um processo que demora algum tempo. Em vez disso, pode criar um grupo atribuível chamado "Tier 3 Office Admins", atribuí-lo a cada uma das quatro funções anteriormente mencionadas (ou quaisquer funções incorporadas a AD AZure) e capacitá-la para acesso privilegiado na secção de Atividade do grupo. Uma vez habilitado para acesso privilegiado, pode configurar as definições just-in-time para os membros do grupo e atribuir os seus administradores e proprietários como elegíveis. Quando os administradores se elevarem para o grupo, tornar-se-ão membros dos quatro papéis da AD Azure.

Convide os utilizadores convidados e atribua funções de recursos da Azure na Gestão de Identidade Privilegiada

Os utilizadores convidados do Azure Ative Directory (Azure AD) fazem parte das capacidades de colaboração business-to-business (B2B) dentro da Azure AD para que possa gerir utilizadores e fornecedores externos como hóspedes em Azure AD. Por exemplo, pode utilizar estas funcionalidades de Gestão de Identidade Privilegiada para tarefas de identidade Azure com os hóspedes, tais como atribuir acesso a recursos específicos do Azure, especificar a duração da atribuição e a data de fim, ou exigir uma verificação em duas etapas sobre a atribuição ativa ou ativação. Para obter mais informações sobre como convidar um hóspede para a sua organização e gerir o seu acesso, consulte os utilizadores de colaboração Add B2B no portal AD AZure.

Quando convidaria convidados?

Aqui estão alguns exemplos de quando você pode convidar convidados para a sua organização:

  • Permitir que um fornecedor independente externo que tenha apenas uma conta de e-mail aceda aos seus recursos Azure para um projeto.
  • Permitir que um parceiro externo numa grande organização que utilize os Serviços da Federação De Diretórios Ativos no local aceda à sua aplicação de despesas.
  • Permita que os engenheiros de suporte que não estão na sua organização (como o suporte da Microsoft) acedam temporariamente ao seu recurso Azure para resolver problemas.

Como funciona a colaboração com os hóspedes B2B?

Quando utilizar a colaboração B2B, pode convidar um utilizador externo para a sua organização como convidado. O hóspede pode ser gerido como um utilizador na sua organização, mas um hóspede tem de ser autenticado na sua organização doméstica e não na sua organização Azure AD. Isto significa que se o hóspede já não tiver acesso à sua organização doméstica, também perde acesso à sua organização. Por exemplo, se o hóspede deixar a sua organização, eles automaticamente perdem o acesso a quaisquer recursos que partilhou com eles em Azure AD sem que você tenha que fazer nada. Para obter mais informações sobre a colaboração B2B, consulte o que é o acesso do utilizador convidado no Azure Ative Directory B2B?

Diagrama mostrando como um utilizador convidado é autenticado no seu diretório de casa

Passos seguintes