A necessidade de acesso a recursos privilegiados do Azure e funções de Azure por parte dos funcionários muda ao longo do tempo. Para reduzir o risco associado a atribuições de papéis obsoletas, você deve revisar regularmente o acesso. Você pode usar o Azure Active Directory (Azure AD) Privileged Identity Management (PIM) para criar avaliações de acesso para acesso privilegiado aos recursos do Azure e aos papéis do Azure AD. Você também pode configurar revisões de acesso recorrentes que ocorrem automaticamente.
Pré-requisitos
O uso deste recurso requer uma licença Azure AD Premium P2.
Para criar avaliações de acesso para recursos do Azure, você deve ser designado para a função Owner ou User Access Administrator para os recursos do Azure. Para criar avaliações de acesso para funções de AD do Azure, você deve ser designado para a função Global Adminisstratorou para o Privileged Role Administrator.
Passo a Passo
Access reviews Azure AD roles
01 – Faça login no portal do Azure.
02 – No portal pesquise por Azure AD Privileged Identity Management.
03 – Na tela Privileged Identity Management clique em Azure AD roles.
04 – Na tela Diretório Padrão em Manage clique em Access reviews.
05 – Na tela Access reviews clique em New.
06 – Na tela Create an access review defina um nome para a revisão, em seguida, atribua a data de início e término para a revisão. Nesta demonstração eu vou executá-lo por 24 horas. Além disso, só vou executá-lo uma vez.
6.1 – Em User deixe selecionado All user and groups em Role clique em Select privileged role(s), na tela Select role selecione Gobal Administrator e clique em Done.
6.2 – Em Assignment type selecione All active and eligible assignments, em Reviewers deixe selecionado Selected users, em reviewers selecione os usuários revisores em seguida clique em Select.
6.3 – Em Upon completion settings você pode definir revisões automatizadas baseadas em ações, como Remover access, Approve access, Take recommendations. Ao final da revisão podemos enviar e-mail para usuários ou grupos. Nessa demonstração não vou aplicar ações automatizadas.
6.4 – Para a opção Advanced settings deixe as configurações padrão.
6.5 – Para iniciar a revisão, clique em Start.
07 – Como podemos observar a revisão foi criada.
Revisar os acessos
08 – Faça login no portal do Azure com a conta do usuário que foi atribuído como revisor, em nosso exemplo o usuário adm.jadson@jadsonalvess.com.
09 – No portal do pesquise por Azure AD Privileged Identity Management.
10 – Na tela Privileged Identity Management em Tasks clique em Review access.
11 – Na tela Review access | Azure AD roles selecione a revisão Review Role Global Administrator.
12 – Como podemos observar, encontramos 6 usuários com permissão de Global Administrator.
13 – Da lista de usuário vamos negar o acesso a Daniela siqueira e José Santos, selecione os usuários, adicione uma razão para remover o acesso dos usuários e clique em Deny.
14 – Como podemos observar removemos os usuários Daniela siqueira e José Santos.
15 – Podemos verificar todas as atividades realizadas pelo usuário, selecione o usuário Angélica Santos em seguida clique em View.
16 – Na tela Audit Logs temos todas as atividades executas pelo usuário, podemos fazer download dessas informações.
17 – As decisões tomadas com base em revisões precisam ser aplicadas manualmente à medida que selecionamos o método manual. Se escolhermos o método automático, ele será aplicado quando a revisão terminar. Vamos finalizar a revisão, na tela Privileged Identity Management em Manage clique em Azure AD roles.
18 – Na tela Diretório Padrão | Quick start em Manage clique em Access reviews.
19 – Na tela Diretório Padrão | Access reviews selecione a revisão Review Role Global Administrator.
20 – Na tela Access review details | Overview podemos ver um gráfico de progresso com as decisões tomadas, temos as solicitações aprovadas, negadas e não revisado, clique em Stop para parar a revisão.
21 – Clique em Apply para remover as associações de função dos usuários que negamos.
22 – Como podemos observar a revisão foi finalizada.
23 – No portal do Azure pesquise por Azure Active directory, em Manage clique em Users.
24 – Na tela Users perceba que não temos mais a role de Global Administrator atribuída aos usuário José Santos e Daniela Siqueira.
Comente suas sugestões e observações!
Forte abraço, obrigado e até o próximo post.
Carreira desenvolvida na área de tecnologia da informação, com ampla experiência em Cloud Computing, com foco em Microsoft Azure.
Fui nomeado Microsoft MVP na categoria Microsoft Azure.
Faço parte da Ong MTAC, sou MCT Microsoft, tenho algumas certificações como AZ-303 Microsoft Azure Architect Technologies, AZ-104 Azure Administrator, MCSE Core Infrastructure e MCSA Windows Server 2012.
Também participo como palestrante em eventos online da comunidade de TI, sou administrador e escritor no blog https://jadsonalves.com.br cujo principal objetivo é compartilhar conhecimento com a comunidade de TI e também escrevo artigos técnicos no portal https://cooperati.com.br