A necessidade de acesso a recursos privilegiados do Azure e funções de Azure por parte dos funcionários muda ao longo do tempo. Para reduzir o risco associado a atribuições de papéis obsoletas, você deve revisar regularmente o acesso. Você pode usar o Azure Active Directory (Azure AD) Privileged Identity Management (PIM) para criar avaliações de acesso para acesso privilegiado aos recursos do Azure e aos papéis do Azure AD. Você também pode configurar revisões de acesso recorrentes que ocorrem automaticamente.
Pré-requisitos
O uso deste recurso requer uma licença Azure AD Premium P2.
Para criar avaliações de acesso para recursos do Azure, você deve ser designado para a função Owner ou User Access Administrator para os recursos do Azure. Para criar avaliações de acesso para funções de AD do Azure, você deve ser designado para a função Global Adminisstratorou para o Privileged Role Administrator.
Passo a Passo
Access reviews Azure AD roles
01 – Faça login no portal do Azure.
02 – No portal pesquise por Azure AD Privileged Identity Management.
03 – Na tela Privileged Identity Management clique em Azure AD roles.
04 – Na tela Diretório Padrão em Manage clique em Access reviews.
05 – Na tela Access reviews clique em New.
06 – Na tela Create an access review defina um nome para a revisão, em seguida, atribua a data de início e término para a revisão. Nesta demonstração eu vou executá-lo por 24 horas. Além disso, só vou executá-lo uma vez.
6.1 – Em User deixe selecionado All user and groups em Role clique em Select privileged role(s), na tela Select role selecione Gobal Administrator e clique em Done.
6.2 – Em Assignment type selecione All active and eligible assignments, em Reviewers deixe selecionado Selected users, em reviewers selecione os usuários revisores em seguida clique em Select.
6.3 – Em Upon completion settings você pode definir revisões automatizadas baseadas em ações, como Remover access, Approve access, Take recommendations. Ao final da revisão podemos enviar e-mail para usuários ou grupos. Nessa demonstração não vou aplicar ações automatizadas.
6.4 – Para a opção Advanced settings deixe as configurações padrão.
6.5 – Para iniciar a revisão, clique em Start.
07 – Como podemos observar a revisão foi criada.
Revisar os acessos
08 – Faça login no portal do Azure com a conta do usuário que foi atribuído como revisor, em nosso exemplo o usuário adm.jadson@jadsonalvess.com.
09 – No portal do pesquise por Azure AD Privileged Identity Management.
10 – Na tela Privileged Identity Management em Tasks clique em Review access.
11 – Na tela Review access | Azure AD roles selecione a revisão Review Role Global Administrator.
12 – Como podemos observar, encontramos 6 usuários com permissão de Global Administrator.
13 – Da lista de usuário vamos negar o acesso a Daniela siqueira e José Santos, selecione os usuários, adicione uma razão para remover o acesso dos usuários e clique em Deny.
14 – Como podemos observar removemos os usuários Daniela siqueira e José Santos.
15 – Podemos verificar todas as atividades realizadas pelo usuário, selecione o usuário Angélica Santos em seguida clique em View.
16 – Na tela Audit Logs temos todas as atividades executas pelo usuário, podemos fazer download dessas informações.
17 – As decisões tomadas com base em revisões precisam ser aplicadas manualmente à medida que selecionamos o método manual. Se escolhermos o método automático, ele será aplicado quando a revisão terminar. Vamos finalizar a revisão, na tela Privileged Identity Management em Manage clique em Azure AD roles.
18 – Na tela Diretório Padrão | Quick start em Manage clique em Access reviews.
19 – Na tela Diretório Padrão | Access reviews selecione a revisão Review Role Global Administrator.
20 – Na tela Access review details | Overview podemos ver um gráfico de progresso com as decisões tomadas, temos as solicitações aprovadas, negadas e não revisado, clique em Stop para parar a revisão.
21 – Clique em Apply para remover as associações de função dos usuários que negamos.
22 – Como podemos observar a revisão foi finalizada.
23 – No portal do Azure pesquise por Azure Active directory, em Manage clique em Users.
24 – Na tela Users perceba que não temos mais a role de Global Administrator atribuída aos usuário José Santos e Daniela Siqueira.
Comente suas sugestões e observações!
Forte abraço, obrigado e até o próximo post.
Carreira desenvolvida na área de tecnologia da informação, com ampla experiência em Cloud
Computing e Cloud Security.
Forte atuação em projetos de Cloud Security no Microsoft Azure e com tecnologias de
segurança do Microsoft 365.
Tenho Experiência em Microsoft Azure, Microsoft 365, AWS e Windows Server.
Sou Microsoft MVP na categoria Microsoft Azure, AWS Communit Builder Security & Identity e
MCT.