A necessidade de acesso a recursos privilegiados do Azure e funções de Azure por parte dos funcionários muda ao longo do tempo. Para reduzir o risco associado a atribuições de papéis obsoletas, você deve revisar regularmente o acesso. Você pode usar o Azure Active Directory (Azure AD) Privileged Identity Management (PIM) para criar avaliações de acesso para acesso privilegiado aos recursos do Azure e aos papéis do Azure AD. Você também pode configurar revisões de acesso recorrentes que ocorrem automaticamente.
Pré-requisitos
O uso deste recurso requer uma licença Azure AD Premium P2.
Para criar avaliações de acesso para recursos do Azure, você deve ser designado para a função Owner ou User Access Administrator para os recursos do Azure. Para criar avaliações de acesso para funções de AD do Azure, você deve ser designado para a função Global Adminisstratorou para o Privileged Role Administrator.
Passo a Passo
Access reviews Azure Resources
01 – Faça login no portal do Azure.
02 – No portal pesquise por Azure AD Privileged Identity Management.
03 – Na tela Privileged Identity Management clique em Azure resources.
04 – Na tela Privileged Identity Management | Azure resources vamos executar o Access Review para a assinatura “Assinatura do Visual Studio Enterprise – MPN”, selecione a assinatura.
05 – Na tela Assinatura do Visual Studio Enterprise – MPN | Overview em Manage clique em Access reviews.
06 – Na tela Assinatura do Visual Studio Enterprise – MPN | Access reviews clique em New.
07 – Na tela Create an acess review defina um nome para a revisão, em seguida adicione a data de início e término para a revisão, nesta demonstração vamos executar por 24 horas, além disso, só será executada uma vez.
7.1 – Em User deixe selecionado All user and groups em Role clique em Select privileged role(s), na tela Select role selecione Owner e clique em Done.
7.2 – Em Assignment type selecione All active and eligible assignments em Reviewers deixe selecionado Selected users, em reviewers selecione os usuários revisores em seguida clique em Select.
7.3 – Em Upon completion settings você pode definir revisões automatizadas baseadas em ações, como Remover access, Approve access, Take recommendations. Ao final da revisão podemos enviar um email para usuários ou grupos. Nesta demonstração não vamos aplicar ações automatizadas.
7.4 – Para a opção Advanced settings vamos deixar as configurações padrão.
7.5 – Para iniciar a revisão, clique em Start.
08 – Como podemos observar a revisão foi criada.
Revisar os acessos
08 – Faça login no portal do Azure com a conta do usuáro que foi atribuido a função de revisor, em nosso exemplo o usuário adm.jadson@jadsonalvess.com.
09 – No portal do Azure pesquise por Azure AD Privileged Identity Management.
10 – Na tela Privileged Identity Management em Tasks clique em Review access.
11 – Na tela Review access | Azure AD roles clique em Azure sources.
12 – Na tela Review access | Azure resources selecione a revisão “Review Role Owner”.
13 – Como podemos observar encontramos 4 usuários com permissão de Owner na assinatura.
16 – Podemos verificar todas as ativades realizadas pelo usuário, selecione o usuário Jádson Bispo Aves em seguida clique em View.
17 – Na tela Audit Logs temos todas as atividades executas pelo usuário, podemos fazer Download dessas informações.
18 – As decisões tomadas com base em revisões precisam ser aplicadas manualmente à medida que selecionamos o método manual. Se escolhermos o método automático, ele será aplicado quando a revisão terminar.
Vamos finalizar a revisão de acesso, na tela Privileged Identity Management em Manage clique Azure resources.
19 – Na tela Privileged Identity Management | Azure resources selecione a assinatura.
20 – Na tela Assinatura do Visual Studio Enterprise – MPN | Overview em Manage clique em Access reviews.
21 – Na tela Assinatura do Visual Studio Enterprise – MPN | Access reviews selecione a revisão “Review Role Owner”.
22 – Na tela Access review details | Overview podemos ver um gráfico de progresso com as decições tomadas, temos as solicitações aprovadas, Negadas e Não revisado, clique em Stop para parar a revião.
23 – Clique em Apply para remover as associações de função dos usuários que negamos.
24 – Como podemos observar a revisão foi finalizada.
25 – No portal do Azure pesquise por subscriptions, em seguida selecione a assinatura “Assinatura do Visual Studio Enterprise – MPN”.
26 – Na tela Assinatura do Visual Studio Enterprise – MPN clique em Access control (IAM).
27 – Na tela Assinatura do Visual Studio Enterprise – MPN | Access control (IAM) clique em Role assignments, em Owner observe que não temos mais os usuários Daniela Siqueira e José Santos.
Comente suas sugestões e observações!
Forte abraço, obrigado e até o próximo post.
Me siga nas redes sociais:
https://lnkd.in/enx4eSV
Carreira desenvolvida na área de tecnologia da informação, com ampla experiência em Cloud
Computing e Cloud Security.
Forte atuação em projetos de Cloud Security no Microsoft Azure e com tecnologias de
segurança do Microsoft 365.
Tenho Experiência em Microsoft Azure, Microsoft 365, AWS e Windows Server.
Sou Microsoft MVP na categoria Microsoft Azure, AWS Communit Builder Security & Identity e
MCT.