Como configurar o Privileged Identity Management (PIM) – Azure resources

O que é o Azure AD Privileged Identity Management?

Motivos para usá-lo

As empresas desejam minimizar o número de pessoas que têm acesso a informações seguras ou recursos, porque isso reduz a chance de:

  • um usuário mal-intencionado obter esse tipo de acesso
  • um usuário autorizado inadvertidamente afetar um recurso confidencial

No entanto, os usuários ainda precisam executar operações privilegiadas em aplicativos do Azure AD, Azure, Microsoft 365 ou SaaS. As organizações podem dar aos usuários o acesso privilegiado just-in-time aos recursos do Azure e do Azure AD, além de poderem supervisionar o que esses usuários estão fazendo com seu acesso privilegiado.

Requisitos de licença

Para usar esse recurso, é necessária uma licença do Azure AD Premium P2 ou Enterprise Mobility + Security E5. Para encontrar a licença ideal para seus requisitos, confira Comparar os recursos em disponibilidade geral do Azure Active Directory.

O que ela faz?

O Privileged Identity Management fornece ativação de função baseada em tempo e aprovação para atenuar os riscos de permissões de acesso excessivas, desnecessárias ou que foram indevidamente utilizadas em recursos importantes. Estes são alguns dos principais recursos do Privileged Identity Management:

  • Fornecer acesso privilegiado just-in-time ao Azure AD e aos recursos do Azure
  • Atribua acesso com limite de tempo aos recursos usando as datas de início e término
  • Exigir aprovação para ativar funções com privilégios
  • Impor autenticação multifator para ativar qualquer função
  • Usar justificativa para entender por que os usuários ativam
  • Obter notificações quando as funções privilegiadas forem ativadas
  • Realizar revisões de acesso para garantir que os usuários ainda precisem de funções
  • Baixar o histórico de auditoria para auditoria interna ou externa
  • Impede a remoção da última atribuição de função de Administrador Global ativa

Passo a Passo

Atribuir licença Azure AD Premium P2

    • O Global Administrator quem configura o PIM não precisa ter uma licença atribuída;
    • Os aprovadores precisam ter uma licença atribuída;
    • Os usuários que utilizam o Access Review precisam ter uma licença atribuída;

Em resumo todos os usuários que vão utilizar o PIM precisam ter uma licença Premium P2 ou Enterprise Mobility + Security E5 atribuída.

Para maiores informações acesse o link abaixo:

License requirements to use Privileged Identity Management – Azure Active Directory | Microsoft Docs

Atribuir licença Azure AD Premium P2 ao usuário Aprovador

01 – Faça login no portal do Azure com um usuário que tenha a função Global Administrator.

https://portal.azure.com

02 – É importante que você tenha a licença Azure AD Premium P2, podemos consultar essa informação em Azure Active Directory  –> Licenses.

03 – Na tela Licenses clique em All products.

04 – Como podemos observar já temos a licença Azure Active Diretory Premium P2 atribuída.

05 – O próximo passo será atribuir a licença ao usuário que irá administrar o PIM, no portal do Azure pesquise por Azure Active Directory, em seguida clique em Users.

06 – Na tela All users selecione o usuário que deseja atribuir a licença.

07 – Após selecionar o usuário clique em Licenses.

08 – Na tela Licenses clique em + Assignments.

09 – Na tela Update license assignments selecione a licença “Azure Active Directory Premium P2” em Review license options deixe as opções padrões e clique em Save.

10 – Como podemos observar a licença foi atribuía ao usuário.

Atribuir licença Azure AD Premium P2 aos usuários que utilizaram o PIM

11 – No portal do Azure pesquise por Azure Active Directory.

12 – Na tela do Azure Active Directory em Manage clique em Users.

13 – Na tela All user selecione o usuário Ismael Alves.

14 – Na tela Profile em Manage clique em Licenses.

15 – Na tela Licenses clique em + Assignments.

16 – Na tela Update license assignments selecione Azure Active Directory Premium P2, deixe os valores padrões selecionados e clique em Save.

17 – Como podemos observar a licença foi atribuída ao usuário.

Privileged Identity Management – Azure resouces

O Azure Active Directory (Azure AD) Privileged Identity Management (PIM) pode gerenciar as funções de recursos do Azure incorporadas, bem como funções personalizadas, incluindo (mas não se limitando a):

  • Owner
  • User Access Administrator
  • Contributor
  • Security Admin
  • Security Manager

Você pode usar a visualização do Azure baseado em controle de acesso baseado em atributos (Azure ABAC) para colocar condições de recursos em atribuições de papel elegíveis usando o PIM (Privileged Identity Management, gerenciamento de identidade privilegiado). Com o PIM, seus usuários finais devem ativar uma atribuição de função elegível para obter permissão para executar determinadas ações. O uso de condições de controle de acesso baseadas em atributos do Azure no PIM permite que você não apenas limite as permissões de papel de um usuário a um recurso usando condições de grãos finos, mas também use o PIM para garantir a atribuição da função com uma configuração vinculada ao tempo, fluxo de trabalho de aprovação, trilha de auditoria e assim por diante.

18 – No portal do Azure temos um grupo de recursos “RG-PIM” e uma máquina virtual “VM-DEMO-PIM” vamos dar permissão de contributo ao usuário Ismael Alves através do PIM ao grupo de recursos.

19 – Precisamos permitir que meu usuário Global Admin possam gerenciar todas assinaturas e grupos de gerenciamento,  no portal do Azure pesquise por Azure Active Directory.

Para maiores informações acesse o link abaixo:

Elevar o acesso para gerenciar todas as assinaturas do Azure e grupos de gerenciamento | Microsoft Docs

20 – Em Manage clique em Properties.

21 – Na tela Properties em Access management for Azure resources selecione Yes e clique em Save.

22 – No portal do Azure pesquise por Azure AD Privileged Identity Management.

23 – Na tela Privileged Identity Management em Manage clique em Azure resources.

24 – Após selecionar Azure resources clique em Discover resources.

25 – Na tela Discovery percebam que está sendo exibida todas as minhas assinaturas, selecione ambas ou a que deseja configurar, em seguida clique em Manage resource.
26 – Na tela de notificação A notificação Onbording selected resource for management clique em OK.
27 – Após finalizar o processo clique em Privileged Identity Management para retornar do Azure resouces.

28 – Na tela Azure resouces em Resource type selecione Resource, Resource Group e Subscription.

29 – Agora podemos visualizar todos os recursos de todas as assinaturas, selecione o grupo de recursos RG-PIM.

30 – Na tela RG-PIM|Overview clique em Settings.

31 – Na tela Settings selecione a Role Contributor.

32 – Na tela Role setting details – Contributor clique em Edit.

33 – Na tela Role setting details – Contributor em Activation, para a opção Activation maximum duration (hours) posso definir a duração máxima da sessão do usuário, o mínimo de tempo é 0.5 é o máximo é 24 horas, para a opção On activation, requirede selecione Azure MFA, deixe selecionado a opção Require justification on activation nessa opção obrigamos o usuário a fornecer um comentário justificando porque precisa de acesso a essa função, selecione a opção Require ticket information on activation essa opção obriga o usuário a adicionar um ticket de chamado por exemplo, marque a opção Require approval to activate nessa configuração um usuário com permissão precisa aprovar a solicitação de atribuição de função do usuário, clique em Select aprove, a tela Select a member será aberta selecione um grupo com os usuários que serão aprovadores e clique em Select.

34 – Na tela Edit role setting – Contributor após realizar todas as configurações necessárias em Activation, clique em Next: Assignment.

35 – Na tela Assignment temos algumas informações importantes como Allow permanent eligible assignment e Allow permanent active assignment deixe o valo padrão para ambas as opções, todos esses valores podem ser alterados de acordo com a sua necessidade, selecione a opção Require Azure Multi-Factor Authentication on active assignment e clique em Next: Notification.

36 –

Na tela Notification temos a opção de enviar notificações por e-mail caso algumas dessas configurações sejam realizadas, os membros forem designados como elegíveis para esta função, os membros são designados como ativos para esta função e os membros elegíveis ativarem esta função, vou adicionar meu endereço de e-mail para todas as opções, em seguida clique em Update.

37 – Na tela RG-PIM | Settings clique em Assignments.

38 – Na tela Assignments clique em + Add assignments.

39 – Na tela Add assignments em Select role selecione Contributor, para a opção Select member(s) clique em No member selected, a tela Select a member será aberta selecione o usuário ismael.alves@jadsonalvess.com em seguida clique em Select.

40 – Ainda na tela Add assignments em Membership clique em Next.

41 – Na tela Add assignments em Settings selecione Eligible, desmarque a opção Permanenty eligible, em Assignment starts selecione a data de início, para a opção Assignment ends selecione a data de fim, em seguida clique em Assign.

  • Eligible – As atribuições elegíveis exigem que o membro da função realize uma ação para usar a função. As ações podem incluir a realização de uma verificação de autenticação multifatorial (MFA), fornecer uma justificativa de negócios ou solicitar a aprovação dos aprovadores designados.
  • Active – Atribuições ativas não exigem que o membro realize qualquer ação para usar a função. Os membros designados como ativos têm os privilégios atribuídos ao cargo em todos os momentos.

42 – Como podemos observar adicionamos a função de Global administrator ao usuário.

Ativar a função do usuário

Para o próximo passo o usuário “Ismael Alves” que atribuímos a função de Contributor no grupo de recurso “RG-PIM” utilizando o PIM precisa fazer login no portal do Azure e ativar a Role.

43 – Faça login no portal do Azure com a conta do usuário que atribuímos a função de Contributor.

https://portal.azure.com

44 – No portal do Azure pesquise por Resource Groups.

45 -Percebam que não temos nenhuma assinatura e grupo de recurso associado ao usuário Ismael Alves.
46 – No portal pesquise por Azure AD Privileged Identity Management.
47 – Na tela Privileged Identity Management em Tasks clique em My roles.
48 – Na tela My roles | Azure AD roles clique em Azure resources.

49 – Na tela My roles | Azure resources em Eligible assignments percebam que temos a role de Contributor atribuída ao usuário em Action clique em Activate.

50 – A tela Activate – Global Administrator será aberta, percebam que temos a notificação “Additional verification required” isso acontece porque habilitamos o MFA para a conta do usuário, clique em Additional verification required.

Já escrevi um artigo aqui no site mostrando como configurar o Azure Multi-Factor Authentication (MFA), clique no link abaixo para conferir.

40 – Seremos direcionados para a tela de configuração do MFA, clique em Avançar.

41 – Será necessário informar a senha do usuário, em seguida clique em Entrar.

42 – A tela de configuração do Microsoft Authenticator será aberta, clique em Próximo.

Observação: Baixe o aplicativo Microsoft Authenticator em seu smartphone para efetuar as configurações.
43 – Na tela Configure sua conta clique em Próximo.
44 – Em seu smartphone abra o aplicativo Microsoft Authenticator, clique em Adicionar conta, selecione Conta corporativa ou de estudante e selecione Leia um código QR, direcione seu smartphone para tela do computar e escanei o código na tela Verifique o código QR, em seguida clique em Próximo.
45 – Uma notificação de aprovação chegará em seu smartphone, clique em Aprovar na tela do Microsoft Authenticator e clique em Próximo.
46 – Em seguida clique em Conluído.
47 – Será solicitado a autenticação novamente.

48 – Após configurar o MFA e autenticar no Azure retornamos a tela My roles | Azure resources Activate – Contributor.

49 – Na tela Activate – Contributor em Custom activation start time caso não quiséssemos que essa ativação acontece imediatamente poderíamos programar para um outro horário, em Duration podemos definir a duração dessa ativação vamos ajustar para apenas 2 horas a duração da permissão do usuário, como habilitamos a opção require um ticket aqui podemos passar o número do chamado que foi aberto na solução de Help Desk para atribuir essa função ao usuário, lembrando que o campo Ticket number é obrigatório, para a opção Reason precisamos justificar o motivo dessa atribuição de função, após realizar todas as ações necessárias clique em Activate.

50 – Como podemos observar fizemos a ativação da role, falta apenas a aprovação.

Aprovar acesso do usuário

Precisamos que o usuário adm.jadson@jadsonalvess.com que está no grupo G_PIM_APPROVER aprove a atribuição da função Contributor para o usuário Ismael Alves.

51 – Faça login no portal do Azure com a conta do usuário aprovador “adm.jadson@jadsonalvess.com”
52 – No portal do Azure pesquise por Azure AD Privileged Identity Management.
53 – Na tela Privileged Identity Management em Tasks clique em Approve requests.
54 – Na tela Approve requests clique em Azure resources.

55 – Na tela Azure resources em Requests for role activations selecione a conta do Ismael Alves, após selecionar a conta podemos aprovar ou negar a solicitação, clique em Approve.

56 – A tela Approve Request será aberta, em Justification digite uma justificativa para a aprovação e clique em Confirm.

57 – Como podemos observar não temos mais aprovações pendentes.

58 – Como configuramos as notificações por e-mail, recebi um e-mail informando que a função de Contributor foi habilitada para o usuário Ismael Alves no grupo de recursos RG-PIM.

Testando o acesso do usuário

59 – Faça login no portal do Azure com a conta do usuário “Ismael Alves”
60 – No portal do Azure pesquise por Resource groups.

61 – Na tela Resource groups observe que podemos visualizar o RG-PIM, em seguida selecione o RG-PIM.

62 – Na tela RG-PIM selecione todos os recursos e clique em Delete, a tela Delete Resources será aberta em Confirm dele digite yes e clique em Delete.
63 – Como podemos observar todos os recursos foram deletados.

64 – Após percorrido o tempo de 2 horas oberver que a função foi removida do usuário Alison Ismael.

Comente suas sugestões e observações! 

Forte abraço, obrigado e até o próximo post.

Deixe um comentário

O seu endereço de e-mail não será publicado.