Como configurar o Privileged Identity Management (PIM) – Access reviews Azure AD roles

A necessidade de acesso a recursos privilegiados do Azure e funções de Azure por parte dos funcionários muda ao longo do tempo. Para reduzir o risco associado a atribuições de papéis obsoletas, você deve revisar regularmente o acesso. Você pode usar o Azure Active Directory (Azure AD) Privileged Identity Management (PIM) para criar avaliações de acesso para acesso privilegiado aos recursos do Azure e aos papéis do Azure AD. Você também pode configurar revisões de acesso recorrentes que ocorrem automaticamente.

Pré-requisitos

O uso deste recurso requer uma licença Azure AD Premium P2.

Para criar avaliações de acesso para recursos do Azure, você deve ser designado para a função Owner ou User Access Administrator para os recursos do Azure. Para criar avaliações de acesso para funções de AD do Azure, você deve ser designado para a função Global Adminisstratorou para o Privileged Role Administrator.

Passo a Passo

Access reviews Azure AD roles

01 – Faça login no portal do Azure.

02 – No portal pesquise por Azure AD Privileged Identity Management.

03 – Na tela Privileged Identity Management clique em Azure AD roles.

04 – Na tela Diretório Padrão em Manage clique em Access reviews.

05 – Na tela Access reviews clique em New.

06 – Na tela Create an access review defina um nome para a revisão, em seguida, atribua a data de início e término para a revisão. Nesta demonstração eu vou executá-lo por 24 horas. Além disso, só vou executá-lo uma vez.

6.1 – Em User deixe selecionado All user and groups em Role clique em Select privileged role(s), na tela Select role selecione Gobal Administrator e clique em Done.

6.2 – Em Assignment type selecione All active and eligible assignments, em Reviewers deixe selecionado Selected users, em reviewers selecione os usuários revisores em seguida clique em Select.

6.3 – Em Upon completion settings você pode definir revisões automatizadas baseadas em ações, como Remover access, Approve access, Take recommendations. Ao final da revisão podemos enviar e-mail para usuários ou grupos. Nessa demonstração não vou aplicar ações automatizadas.

6.4 – Para a opção Advanced settings deixe as configurações padrão.

6.5 – Para iniciar a revisão, clique em Start.

07 – Como podemos observar a revisão foi criada.

Revisar os acessos

08 – Faça login no portal do Azure com a conta do usuário que foi atribuído como revisor, em nosso exemplo o usuário adm.jadson@jadsonalvess.com.

09 – No portal do pesquise por Azure AD Privileged Identity Management.

10 – Na tela Privileged Identity Management em Tasks clique em Review access.

11 – Na tela Review access | Azure AD roles selecione a revisão Review Role Global Administrator.

12 – Como podemos observar, encontramos 6 usuários com permissão de Global Administrator.

13 – Da lista de usuário vamos negar o acesso a Daniela siqueira e José Santos, selecione os usuários, adicione uma razão para remover o acesso dos usuários e clique em Deny.

14 – Como podemos observar removemos os usuários Daniela siqueira e José Santos.

15 – Podemos verificar todas as atividades realizadas pelo usuário, selecione o usuário Angélica Santos em seguida clique em View.

16 – Na tela Audit Logs temos todas as atividades executas pelo usuário, podemos fazer download dessas informações.

17 – As decisões tomadas com base em revisões precisam ser aplicadas manualmente à medida que selecionamos o método manual. Se escolhermos o método automático, ele será aplicado quando a revisão terminar. Vamos finalizar a revisão, na tela Privileged Identity Management em Manage clique em Azure AD roles.

18 – Na tela Diretório Padrão | Quick start em Manage clique em Access reviews.

19 – Na tela Diretório Padrão | Access reviews selecione a revisão Review Role Global Administrator.

20 – Na tela Access review details | Overview podemos ver um gráfico de progresso com as decisões tomadas, temos as solicitações aprovadas, negadas e não revisado, clique em Stop para parar a revisão.

21 – Clique em Apply para remover as associações de função dos usuários que negamos.

22 – Como podemos observar a revisão foi finalizada.

23 – No portal do Azure pesquise por Azure Active directory, em Manage clique em Users.

24 – Na tela Users perceba que não temos mais a role de Global Administrator atribuída aos usuário José Santos e Daniela Siqueira.

Comente suas sugestões e observações! 

Forte abraço, obrigado e até o próximo post.

Deixe um comentário

O seu endereço de e-mail não será publicado.