Como configurar o Azure AD Privileged Identity Management (PIM) – Azure AD Roles

O que é o Azure AD Privileged Identity Management?

Motivos para usá-lo

As empresas desejam minimizar o número de pessoas que têm acesso a informações seguras ou recursos, porque isso reduz a chance de:

  • um usuário mal-intencionado obter esse tipo de acesso
  • um usuário autorizado inadvertidamente afetar um recurso confidencial

No entanto, os usuários ainda precisam executar operações privilegiadas em aplicativos do Azure AD, Azure, Microsoft 365 ou SaaS. As organizações podem dar aos usuários o acesso privilegiado just-in-time aos recursos do Azure e do Azure AD, além de poderem supervisionar o que esses usuários estão fazendo com seu acesso privilegiado.

Requisitos de licença

Para usar esse recurso, é necessária uma licença do Azure AD Premium P2 ou Enterprise Mobility + Security E5. Para encontrar a licença ideal para seus requisitos, confira Comparar os recursos em disponibilidade geral do Azure Active Directory.

O que ela faz?

O Privileged Identity Management fornece ativação de função baseada em tempo e aprovação para atenuar os riscos de permissões de acesso excessivas, desnecessárias ou que foram indevidamente utilizadas em recursos importantes. Estes são alguns dos principais recursos do Privileged Identity Management:

  • Fornecer acesso privilegiado just-in-time ao Azure AD e aos recursos do Azure.
  • Atribua acesso com limite de tempo aos recursos usando as datas de início e término.
  • Exigir aprovação para ativar funções com privilégios.
  • Impor autenticação multifator para ativar qualquer função.
  • Usar justificativa para entender por que os usuários ativam.
  • Obter notificações quando as funções privilegiadas forem ativadas.
  • Realizar revisões de acesso para garantir que os usuários ainda precisem de funções.
  • Baixar o histórico de auditoria para auditoria interna ou externa.
  • Impede a remoção da última atribuição da função de Global Administrator ativa.

Passo a Passo

Atribuir licença Azure AD Premium P2

  • O Global Administrator que configura o PIM não precisa ter uma licença atribuida;
  • Os aprovadores precisam ter uma licença atribuida;
  • Os usuários que utilizam o Access Review precisam ter uma licença atribuida;

Em resumo todos os usuários que vão utilizar o PIM precisam ter uma licença Premium P2 atribuida.

Para maiores informações acesse o link abaixo:

License requirements to use Privileged Identity Management – Azure Active Directory | Microsoft Docs

Atribuir licença Azure AD Premium P2 ao usuário Aprovador

01 – Faça login no portal do Azure com um usuário que tenha a função de Global Administrator atribuída.

02 – É importante que você tenha a licença Azure AD Premium P2, podemos consultar em informação em Azure Active Directory, Licenses.

03 – Na tela Licenses clique em All products.

04 – Como podemos observar já temos a licença Azure Active Diretory Premium P2 atribuída.

05 – O próximo passo será atribuir a licença ao usuário que vai administrar o PIM, no portal do Azure pesquise por Azure Active Directory, em seguida clique em Users.

06 – Na tela All users selecione o usuário que deseja atribuir a licença.

07 – Após selecionar o usuário clique em Licenses.

08 – Na tela Licenses clique em + Assignments.

09 – Na tela Update license assignments selecione a licença Azure Active Directory Premium P2, em Review license options deixe as opções padrões e clique em Save.

10 – Como podemos observar a licença foi atribuía ao usuário.

Atribuir a licença Azure AD Premium P2 aos usuários que utilizaram o PIM

11 – No portal do Azure pesquise por Azure Active Directory.

12 – Na tela do Azure Active Directory em Manage clique em Users.

13 – Na tela All user selecione o usuário Ismael Alves.

14 – Na tela Profile em Manage clique em Licenses.

15 – Na tela Licenses clique em + Assignments.

16 – Na tela Update license assignments marque Azure Active Directory Premium P2, deixe os valores padrões selecionados e clique em Save.

17 – Como podemos observar a licença foi atribuída ao usuário Ismael Alves.

Privileged Identity Management – Azure AD roles

O serviço PIM (Azure AD Privileged Identity Management, gerenciamento de identidade privilegiada) do Azure também permite que os administradores de papéis privilegiados façam atribuições permanentes de função administrativa. Além disso, os administradores de funções privilegiados podem tornar os usuários elegíveis para funções administrativas do Azure AD. Um administrador elegível pode ativar a função quando precisar e, em seguida, suas permissões expiram assim que terminarem.

18 – No portal do Azure pesquise por Azure AD Privileged Identity Management.

19 – Na tela Privileged Identity Management em Manage clique em Azure AD roles.

Definir configurações do Azure Active Directory no Privileged Identity Management

20 –  Após selecionar Azure AD roles em Manage clique em Settings.
21 – Selecione a função que deseja alterar as configurações, em nosso exemplo vamos alterar a função Global Administrator.
 22 – Na tela Role setting details – Global Administrator clique em Edit.
23 – A tela role setting details – Global Administrator será aberta, para a opção Activation maximum duration (hours) posso definir a duração máxima da sessão do usuário, o mínimo de tempo é 0.5 é o máximo é 24 horas. Para a opção On activation, requirede selecione Azure MFA, deixe selecionado a opção Require justification on activation com essa opção obrigamos o usuário a fornecer um comentário justificando porque precisa de acesso a essa função, selecione Require ticket information on activation essa opção obriga o usuário a adicionar um ticket de chamado por exemplo, marque a opção Require approval to activate nesse configuração um usuário com permissão precisa aprovar a solicitação de atribuição de função do usuário. Clique em Select aprove, a tela Select a member será aberta selecione um grupo com os usuários que serão os aprovadores, em seguida clique em Select.
24 – Na tela Edit role setting – Global Administrator após realizar todas as configurações necessárias em Activation, clique em Next: Assignment.
25 – Na tela Assignment, temos algumas informações importantes como Allow permanent eligible assignment que está definido como 1 ano e Allow permanent active assignment que está definido por padrão como 6 meses, todos esses valores podem ser alterados de acordo com a sua necessidade, selecione a opção Require Azure Multi-Factor Authentication on active assignment e clique em Next: Notification.
26 – Na tela Notification temos a opção de receber notificações por email caso algumas dessas configurações sejam realizadas, temos três categorias, os membros que forem designados como elegíveis para esta função, os membros são designados como ativos para esta função e os membros elegíveis ativarem esta função, vou adicionar meu endereço de email para todas as opções, em seguida clique em Update.

Atribuindo funções

27 – Em Privileged Identity Management em Azure AD roles, em Manage clique em Assignments.

28 – Na tela Assignments clique em + Add assignments.

29 – Na tela Add assignments em Select role selecione Global Administrator, para a opção Select member(s) clique em No member selected, a tela Select a member será aberta, selecione o usuário ismael.alves@jadsonalvess.com em seguida clique em Select.

30 – Ainda na tela Add assignments em Membership clique em Next.

31 – Na tela Add assignments em Settings selecione Eligible, desmarque a opção Permanenty eligible, em Assignment starts selecione a data de início, para a opção Assignment ends selecione a data de fim, em seguida clique em Assign.

  • Eligible – As atribuições elegíveis exigem que o membro da função realize uma ação para usar a função. As ações podem incluir a realização de uma verificação de autenticação multifatorial (MFA), fornecer uma justificativa de negócios ou solicitar a aprovação dos aprovadores designados.
  • Active – Atribuições ativas não exigem que o membro realize qualquer ação para usar a função. Os membros designados como ativos têm os privilégios atribuídos ao cargo em todos os momentos.

32 – Como podemos observar adicionamos a função de Global administrator ao usuário Ismael Alves.

Ativar a função do usuário

O usuário ” Ismael Alves” que atribuímos a função de Global Administrator pelo PIM precisa logar no Azure e ativar a Role.

33 – Faça login no portal do Azure com a conta do usuário Ismael Alves que atribuímos a função de Global Administrator.

34 – No portal do Azure pesquise por Azure Active directory em seguida clique em Users.

35 – Na tela All users percebam que não temos permissão para criar usuários.
36 – No portal do Azure pesquise por Azure AD Privileged Identity Management.
37 – Na tela Privileged Identity Management em Tasks clique em My roles.
38 – Na tela Azure AD roles em Eligible assignments percebam que temos a role de Global Administrator atribuída ao usuário, em Action clique em Activate.

39 – A tela Activate – Global Administrator será aberta, percebam que temos uma notificação “Additional verification required” isso acontece porque habilitamos o MFA para a conta do usuário, clique em Additional verification required.

Já escrevi um artigo aqui no site mostrando como configurar o Azure Multi-Factor Authentication (MFA), clique no link abaixo para conferir.
40 – Seremos direcionados para a tela de configuração do MFA, clique em Avançar.
41 – Será necessário informar o usuário e senha, em seguida clique em Entrar.
42 – A tela de configuração do Microsoft Authenticator será aberta, clique em Próximo.
Observação: Baixe o aplicativo Microsoft Authenticator em seu smartphone.
43 – Na tela Configure sua conta clique em Próximo.
44 – Em seu smartphone abra o aplicativo Microsoft Authenticator, clique em Adicionar conta, selecione Conta corporativa ou de estudante e selecione Leia um código QR, direcione seu smartphone para tela do computar e escanei o código da tela Verifique o código QR, em seguida clique em Próximo.
45 – Uma notificação de aprovação chegará em seu smartphone, clique em Aprovar na tela do Microsoft Authenticator, em seguida clique em Próximo.
46 – Em seguida clique em Conluído.
47 – Será solicitado a autenticação novamente.
48 – De volta ao portal do Azure pesquise por Azure AD Privileged Identity Management.
49 – Na tela Privileged Identity Management em Tasks clique em My roles.
50 – Na tela Azure AD roles em Eligible assignments percebam que temos a role de Global Administrator atribuída ao usuário, em Action clique em Activate.
51 – Na tela Activate – Global Administrator em Custom activation start time caso não quiséssemos que essa ativação acontece imediatamente poderíamos programar para um outro horário, em Duration podemos definir a duração dessa ativação, como habilitamos a opção de requerimento de um ticket aqui podemos passar o número do chamado que foi aberto com o Help Desk, lembrando que o campo Ticket number é obrigatório, para a opção Reason precisamos justificar o motivo dessa atribuição de função, após realizar todas as ações necessárias clique em Activate.

Aprovar acesso do usuário

Precisamos que o usuário adm.jadson@jadsonalvess.com que está no grupo G_PIM_APPROVER aprove a atribuição da função Global Administrator para o usuário Ismael Alves.

52 – Faça login no portal do Azure com a conta do usuário aprovador “adm.jadson@jadsonalvess.com”
53 – No portal do Azure pesquise por Azure AD Privileged Identity Management.
54 – Na tela Privileged Identity Management em Tasks, clique em Approve requests.
55 – Na tela Azure AD roles em Requests for role activations selecione a conta do Ismael Alves, após selecionar a conta podemos aprovar ou negar a solicitação, clique em Approve.
56 – A tela Approve Request será aberta, em Justification é necessário fornecer uma justificativa para a aprovação, em seguida clique em Confirm.
57 – Como podemos observar não temos mais aprovações pendentes.
58 – Como configuramos as notificações por e-mail, recebi um e-mail informando que a função de Global Administardor foi habilitada para o usuário Ismael Alves.

Testando o acesso do usuário

59 – Faça login no portal do Azure com a conta do usuário Ismael Alves.
60 – No portal do Azure pesquise por Azure Active Directory.
61 – Na tela do Azure Active directory em Manage clique em Users.
62 – Na tela All users percebam que agora a opção + New user está disponível, já temos permissão para criar novos usuários.

Alertas de segurança PIM

O PIM (Privileged Identity Management) gera alertas quando há atividades suspeitas ou inseguras em sua organização Azure Active Directory (Azure AD). Quando um alerta é acionado, ele aparece no painel Gerenciamento de Identidade Privilegiado. Existem 3 tipos de gravidade para so alertas:

  • Alto: Requer ação imediata por causa de uma violação da política.
  • Médio: Não requer ação imediata, mas sinaliza uma possível violação da política.
  • Baixo: Não requer ação imediata, mas sugere uma mudança de política preferível.

63 – Na tela Privileged Identity Management em Manage clique em Azure AD roles.

64 – Em Manage clique em Alerts.

65 – Na tela Alerts percebam que temos um alerta com risco médio, selecione o alerta.

66 – Na tela Alert detail – Potential stale accounts in a privileged role podemos ver a conta afetada com algumas informações como Name, User Principal Name, Role e LastPassword Changed On, podemos selecionar a conta e escolher entre Corrigir o problema (Fix) ou Ignorar (Dismiss). Acima temos alguns pontos que nos mostra que o problema está relacionado a não alteração da senha dessa conta nos últimos 90 dias, também nos mostra uma sugestão de como resolver o problema e como evitar novos problemas.

Comente suas sugestões e observações! 

Forte abraço, obrigado e até o próximo post.

Deixe um comentário

O seu endereço de e-mail não será publicado.