O que é o Azure AD Privileged Identity Management?
Motivos para usá-lo
As empresas desejam minimizar o número de pessoas que têm acesso a informações seguras ou recursos, porque isso reduz a chance de:
- um usuário mal-intencionado obter esse tipo de acesso
- um usuário autorizado inadvertidamente afetar um recurso confidencial
No entanto, os usuários ainda precisam executar operações privilegiadas em aplicativos do Azure AD, Azure, Microsoft 365 ou SaaS. As organizações podem dar aos usuários o acesso privilegiado just-in-time aos recursos do Azure e do Azure AD, além de poderem supervisionar o que esses usuários estão fazendo com seu acesso privilegiado.
Requisitos de licença
Para usar esse recurso, é necessária uma licença do Azure AD Premium P2 ou Enterprise Mobility + Security E5. Para encontrar a licença ideal para seus requisitos, confira Comparar os recursos em disponibilidade geral do Azure Active Directory.
O que ela faz?
O Privileged Identity Management fornece ativação de função baseada em tempo e aprovação para atenuar os riscos de permissões de acesso excessivas, desnecessárias ou que foram indevidamente utilizadas em recursos importantes. Estes são alguns dos principais recursos do Privileged Identity Management:
- Fornecer acesso privilegiado just-in-time ao Azure AD e aos recursos do Azure.
- Atribua acesso com limite de tempo aos recursos usando as datas de início e término.
- Exigir aprovação para ativar funções com privilégios.
- Impor autenticação multifator para ativar qualquer função.
- Usar justificativa para entender por que os usuários ativam.
- Obter notificações quando as funções privilegiadas forem ativadas.
- Realizar revisões de acesso para garantir que os usuários ainda precisem de funções.
- Baixar o histórico de auditoria para auditoria interna ou externa.
- Impede a remoção da última atribuição da função de Global Administrator ativa.
Passo a Passo
Atribuir licença Azure AD Premium P2
- O Global Administrator que configura o PIM não precisa ter uma licença atribuida;
- Os aprovadores precisam ter uma licença atribuida;
- Os usuários que utilizam o Access Review precisam ter uma licença atribuida;
Em resumo todos os usuários que vão utilizar o PIM precisam ter uma licença Premium P2 atribuida.
Para maiores informações acesse o link abaixo:
License requirements to use Privileged Identity Management – Azure Active Directory | Microsoft Docs
Atribuir licença Azure AD Premium P2 ao usuário Aprovador
01 – Faça login no portal do Azure com um usuário que tenha a função de Global Administrator atribuída.
02 – É importante que você tenha a licença Azure AD Premium P2, podemos consultar em informação em Azure Active Directory, Licenses.
03 – Na tela Licenses clique em All products.
04 – Como podemos observar já temos a licença Azure Active Diretory Premium P2 atribuída.
05 – O próximo passo será atribuir a licença ao usuário que vai administrar o PIM, no portal do Azure pesquise por Azure Active Directory, em seguida clique em Users.
06 – Na tela All users selecione o usuário que deseja atribuir a licença.
07 – Após selecionar o usuário clique em Licenses.
08 – Na tela Licenses clique em + Assignments.
09 – Na tela Update license assignments selecione a licença Azure Active Directory Premium P2, em Review license options deixe as opções padrões e clique em Save.
10 – Como podemos observar a licença foi atribuía ao usuário.
Atribuir a licença Azure AD Premium P2 aos usuários que utilizaram o PIM
11 – No portal do Azure pesquise por Azure Active Directory.
12 – Na tela do Azure Active Directory em Manage clique em Users.
13 – Na tela All user selecione o usuário Ismael Alves.
14 – Na tela Profile em Manage clique em Licenses.
15 – Na tela Licenses clique em + Assignments.
16 – Na tela Update license assignments marque Azure Active Directory Premium P2, deixe os valores padrões selecionados e clique em Save.
17 – Como podemos observar a licença foi atribuída ao usuário Ismael Alves.
Privileged Identity Management – Azure AD roles
O serviço PIM (Azure AD Privileged Identity Management, gerenciamento de identidade privilegiada) do Azure também permite que os administradores de papéis privilegiados façam atribuições permanentes de função administrativa. Além disso, os administradores de funções privilegiados podem tornar os usuários elegíveis para funções administrativas do Azure AD. Um administrador elegível pode ativar a função quando precisar e, em seguida, suas permissões expiram assim que terminarem.
18 – No portal do Azure pesquise por Azure AD Privileged Identity Management.
19 – Na tela Privileged Identity Management em Manage clique em Azure AD roles.
Definir configurações do Azure Active Directory no Privileged Identity Management
Atribuindo funções
27 – Em Privileged Identity Management em Azure AD roles, em Manage clique em Assignments.
28 – Na tela Assignments clique em + Add assignments.
29 – Na tela Add assignments em Select role selecione Global Administrator, para a opção Select member(s) clique em No member selected, a tela Select a member será aberta, selecione o usuário ismael.alves@jadsonalvess.com em seguida clique em Select.
30 – Ainda na tela Add assignments em Membership clique em Next.
31 – Na tela Add assignments em Settings selecione Eligible, desmarque a opção Permanenty eligible, em Assignment starts selecione a data de início, para a opção Assignment ends selecione a data de fim, em seguida clique em Assign.
- Eligible – As atribuições elegíveis exigem que o membro da função realize uma ação para usar a função. As ações podem incluir a realização de uma verificação de autenticação multifatorial (MFA), fornecer uma justificativa de negócios ou solicitar a aprovação dos aprovadores designados.
- Active – Atribuições ativas não exigem que o membro realize qualquer ação para usar a função. Os membros designados como ativos têm os privilégios atribuídos ao cargo em todos os momentos.
32 – Como podemos observar adicionamos a função de Global administrator ao usuário Ismael Alves.
Ativar a função do usuário
O usuário ” Ismael Alves” que atribuímos a função de Global Administrator pelo PIM precisa logar no Azure e ativar a Role.
33 – Faça login no portal do Azure com a conta do usuário Ismael Alves que atribuímos a função de Global Administrator.
34 – No portal do Azure pesquise por Azure Active directory em seguida clique em Users.
39 – A tela Activate – Global Administrator será aberta, percebam que temos uma notificação “Additional verification required” isso acontece porque habilitamos o MFA para a conta do usuário, clique em Additional verification required.
Já escrevi um artigo aqui no site mostrando como configurar o Azure Multi-Factor Authentication (MFA), clique no link abaixo para conferir.
Aprovar acesso do usuário
Precisamos que o usuário adm.jadson@jadsonalvess.com que está no grupo G_PIM_APPROVER aprove a atribuição da função Global Administrator para o usuário Ismael Alves.
Testando o acesso do usuário
Alertas de segurança PIM
O PIM (Privileged Identity Management) gera alertas quando há atividades suspeitas ou inseguras em sua organização Azure Active Directory (Azure AD). Quando um alerta é acionado, ele aparece no painel Gerenciamento de Identidade Privilegiado. Existem 3 tipos de gravidade para so alertas:
- Alto: Requer ação imediata por causa de uma violação da política.
- Médio: Não requer ação imediata, mas sinaliza uma possível violação da política.
- Baixo: Não requer ação imediata, mas sugere uma mudança de política preferível.
63 – Na tela Privileged Identity Management em Manage clique em Azure AD roles.
64 – Em Manage clique em Alerts.
65 – Na tela Alerts percebam que temos um alerta com risco médio, selecione o alerta.
66 – Na tela Alert detail – Potential stale accounts in a privileged role podemos ver a conta afetada com algumas informações como Name, User Principal Name, Role e LastPassword Changed On, podemos selecionar a conta e escolher entre Corrigir o problema (Fix) ou Ignorar (Dismiss). Acima temos alguns pontos que nos mostra que o problema está relacionado a não alteração da senha dessa conta nos últimos 90 dias, também nos mostra uma sugestão de como resolver o problema e como evitar novos problemas.
Comente suas sugestões e observações!
Forte abraço, obrigado e até o próximo post.
Carreira desenvolvida na área de tecnologia da informação, com ampla experiência em Cloud
Computing e Cloud Security.
Forte atuação em projetos de Cloud Security no Microsoft Azure e com tecnologias de
segurança do Microsoft 365.
Tenho Experiência em Microsoft Azure, Microsoft 365, AWS e Windows Server.
Sou Microsoft MVP na categoria Microsoft Azure, AWS Communit Builder Security & Identity e
MCT.