Compartilhar via

Atribuições de funções qualificadas e por tempo limitado no Azure RBAC

  • Artigo

Se você tiver uma licença do Microsoft Entra P2 ou do Microsoft Entra ID Governance, o Microsoft Entra PIM (Privileged Identity Management) será integrado às etapas de atribuição de função. Por exemplo, você pode atribuir funções aos usuários por um tempo limitado. Você também pode tornar os usuários qualificados para atribuições de função para que eles precisem ser ativados para usar a função, como a aprovação da solicitação. As atribuições de função qualificadas fornecem acesso just-in-time a uma função por um tempo limitado.

Este artigo descreve a integração do controle de acesso baseado em função (RBAC) do Azure e do Privileged Identity Management (PIM) do Microsoft Entra para criar atribuições de função qualificadas e por tempo limitado.

Funcionalidade do PIM

Se tiver um PIM, você poderá criar atribuições de função qualificadas e por tempo limitado usando a página de Controle de Acesso (IAM) no portal do Azure. Você pode criar atribuições de função qualificadas para usuários, mas não pode criar atribuições de função qualificadas para aplicativos, entidades de serviço ou identidades gerenciadas, porque estes não podem executar as etapas de ativação. Na página controle de acesso (IAM), você pode criar atribuições de função qualificadas no grupo de gerenciamento, da assinatura e do escopo do grupo de recursos, mas não no escopo do recurso.

Aqui está um exemplo da guia Tipo de atribuição quando você adiciona uma atribuição de função usando a página de Controle de Acesso (IAM). Essa capacidade está a ser implementada em fases, pelo que poderá ainda não estar disponível no seu inquilino ou a sua interface poderá parecer diferente.

Captura de tela da opção Adicionar atribuição de função com as opções Tipo de atribuição exibidas.

As opções de tipo de atribuição disponíveis para você podem variar conforme a política do PIM. Por exemplo, a política do PIM define se as atribuições permanentes podem ser criadas, a duração máxima para atribuições associadas ao tempo, os requisitos de ativações de funções (aprovação, autenticação multifator ou contexto de autenticação de acesso condicional) e outras configurações. Para obter mais informações, confira Definir configurações de função do recurso do Azure no Privileged Identity Management.

Os usuários com atribuições qualificadas e/ou por tempo limitado precisam ter uma licença válida. Se você não quiser usar a funcionalidade PIM, selecione as opções Ativo para tipo de atribuição e Permanente para duração da atribuição. Essas configurações criam uma atribuição de função em que a entidade de segurança sempre tem permissões na função.

Para entender melhor o PIM, confira os termos a seguir.

Termo ou conceito Categoria de atribuição de função Descrição
qualificado Type Uma atribuição de função que requer que um usuário execute uma ou mais ações para usá-la. Se um usuário se qualificou para uma função, isso significa que ele poderá ativá-la quando precisar executar tarefas privilegiadas. Não há nenhuma diferença no modo de acesso concedido a uma pessoa com uma atribuição de função permanente em comparação com uma qualificada. A única diferença é que algumas pessoas não precisam desse acesso o tempo todo.
ativo Type Uma atribuição de função que não requer que um usuário execute nenhuma ação para usar a função. Usuários atribuídos como ativos têm os privilégios atribuídos à função.
ativar O processo de execução de uma ou mais ações a fim de usar uma função para a qual um usuário está qualificado. As ações podem incluir a execução de uma verificação de autenticação multifator (MFA), o fornecimento de uma justificativa comercial ou a solicitação de aprovação de aprovadores designados.
qualificada permanentemente Duration Uma atribuição de função em que um usuário sempre está qualificado para ativar a função.
permanentemente ativa Duration Uma atribuição de função em que um usuário sempre pode usar a função sem executar nenhuma ação.
tempo associado qualificado Duração Uma atribuição de função em que um usuário está qualificado para ativar a função somente na data de início e término especificada.
tempo associado ativo Duração Uma atribuição de função em que um usuário pode usar determinada função somente na data de início e término especificada.
Acesso JIT (Just-In-Time) Um modelo no qual os usuários recebem permissões temporárias para executar tarefas privilegiadas, o que impede que usuários mal-intencionados ou não autorizados obtenham acesso após a expiração das permissões. O acesso é concedido somente quando os usuários precisam dele.
princípio de acesso de privilégios mínimos Uma prática de segurança recomendada na qual todos os usuários recebem apenas os privilégios mínimos necessários para realizar as tarefas que estão autorizados a executar. Essa prática minimiza o número de Administradores Globais usando funções de administrador específicas para determinados cenários.

Para obter mais informações, confira O que é o Microsoft Entra Privileged Identity Management?.

Como listar atribuições de função qualificadas e por tempo limitado

Se você quiser ver quais usuários estão usando a funcionalidade do PIM, aqui estão as opções de como listar atribuições de função qualificadas e por tempo limitado.

Opção 1: Listar usando o portal do Azure

  1. Entre no portal do Azure, abra a página de Controle de Acesso (IAM) e selecione a guia Atribuições de função.

  2. Filtre as atribuições de função qualificadas e por tempo limitado.

    Você pode agrupar e classificar por Estado e procurar atribuições de função que não sejam do tipo Ativa permanente.

    Captura de tela das guias Controle de acesso e Atribuições ativas e Atribuições qualificadas.

Opção 2: Listar usando o PowerShell

Não existe um comando único do PowerShell que possa listar tanto as atribuições de função qualificadas quanto ativas por tempo limitado. Para listar suas atribuições de função qualificadas, use o comando Get-AzRoleEligibilitySchedule. Para listar suas atribuições de função ativas, use o comando Get-AzRoleAssignmentSchedule.

Esse exemplo mostra como listar atribuições de função qualificadas e por tempo limitado em uma assinatura, o que inclui esses tipos de atribuição de função:

  • Permanente elegível
  • Limite de tempo qualificado
  • Associação de tempo ativa

O comando Where-Object usa um filtro para excluir as atribuições de função ativas permanentes que estão disponíveis com a funcionalidade de RBAC do Azure sem o PIM.

Get-AzRoleEligibilitySchedule -Scope /subscriptions/<subscriptionId> 
Get-AzRoleAssignmentSchedule -Scope /subscriptions/<subscriptionId> | Where-Object {$_.EndDateTime -ne $null }

Para obter informações sobre como os escopos são construídos, confira Entenda como criar escopos do RBAC do Azure.

Como converter atribuições de função qualificadas e por tempo limitado em ativas permanentes

Se a sua organização tiver processos ou motivos de conformidade para limitar o uso do PIM, aqui estão algumas opções de como converter essas atribuições de função em ativas permanentes.

Opção 1: Converter usando o portal do Azure

  1. No portal do Azure, na guia Atribuições de função e na coluna Estado, selecione os links Qualificada permanente, Qualificada por tempo limitado e Ativa por tempo limitado para cada atribuição de função que você quiser converter.

  2. No painel Editar atribuição, selecione Ativa para o tipo de atribuição e Permanente para a duração da atribuição.

    Para obter mais informações, confira Editar uma atribuição.

    Captura de tela do painel Editar atribuição com as opções de tipo de Atribuição exibidas.

  3. Quando terminar, selecione Avançar.

    Suas atualizações podem demorar um pouco para serem processadas e refletidas no portal.

  4. Repita essas etapas para todas as atribuições de função nos escopos de grupo de gerenciamento, assinatura e grupo de recursos que você quiser converter.

    Se tiver atribuições de função no escopo do recurso que quiser converter, você terá que fazer alterações diretamente no PIM.

OPÇÃO 2: Converter usando o PowerShell

Não existe um comando ou uma API para converter diretamente as atribuições de função em um estado ou tipo diferentes, portanto, você pode seguir essas etapas.

Importante

A remoção de atribuições de função poderá, possivelmente, causar interrupções no seu ambiente. Certifique-se de entender o impacto antes de executar essas etapas.

  1. Recupere e salve a lista de todas as suas atribuições de função qualificadas e por tempo limitado em um local seguro para evitar perda de dados.

    Importante

    É importante que você salve a lista de atribuições de função qualificadas e por tempo limitado porque essas etapas requerem que você remova essas atribuições de função antes de criar as mesmas atribuições de função como ativas permanentes.

  2. Use o comando New-AzRoleEligibilityScheduleRequest para remover suas atribuições de função qualificadas.

    Esse exemplo mostra como remover uma atribuição de função qualificada.

    $guid = New-Guid
New-AzRoleEligibilityScheduleRequest -Name $guid -Scope <Scope> -PrincipalId <PrincipalId> -RoleDefinitionId <RoleDefinitionId> -RequestType AdminRemove

  3. Use o comando New-AzRoleAssignmentScheduleRequest para remover suas atribuições de função ativas por tempo limitado.

    Esse exemplo mostra como remover uma atribuição de função ativa por tempo limitado.

    $guid = New-Guid
New-AzRoleAssignmentScheduleRequest -Name $guid -Scope <Scope> -PrincipalId <PrincipalId> -RoleDefinitionId <RoleDefinitionId> -RequestType AdminRemove

  4. Use o comando Get-AzRoleAssignment para verificar uma atribuição de função existente e use o comando New-AzRoleAssignment para criar uma atribuição de função ativa permanente com o RBAC do Azure para cada atribuição de função qualificada e por tempo limitado.

    Esse exemplo mostra como verificar uma atribuição de função existente e criar uma atribuição de função ativa permanente com o RBAC do Azure.

    $result = Get-AzRoleAssignment -ObjectId $RA.PrincipalId -RoleDefinitionName $RA.RoleDefinitionDisplayName -Scope $RA.Scope;
if($result -eq $null) {
New-AzRoleAssignment -ObjectId $RA.PrincipalId -RoleDefinitionName $RA.RoleDefinitionDisplayName -Scope $RA.Scope
}

Como limitar a criação de atribuições de função qualificadas ou por tempo limitado

Se a sua organização tiver processos ou motivos de conformidade para limitar o uso do PIM, você poderá usar o Azure Policy para limitar a criação de atribuições de função qualificadas ou por tempo limitado. Para saber mais, veja O que é o Azure Policy?.

Aqui está um exemplo de política que limita a criação de atribuições de função qualificadas e por tempo limitado, exceto para uma lista específica de identidades. Verificações e parâmetros adicionais podem ser adicionados para outras condições de permissão.

{
  "properties": {
    "displayName": "Limit eligible and active time-bound role assignments except for allowed principal IDs",
    "policyType": "Custom",
    "mode": "All",
    "metadata": {
      "createdBy": "aaaaaaaa-bbbb-cccc-1111-222222222222",
      "createdOn": "2024-11-05T02:31:25.1246591Z",
      "updatedBy": "aaaaaaaa-bbbb-cccc-1111-222222222222",
      "updatedOn": "2024-11-06T07:58:17.1699721Z"
    },
    "version": "1.0.0",
    "parameters": {
      "allowedPrincipalIds": {
        "type": "Array",
        "metadata": {
          "displayName": "Allowed Principal IDs",
          "description": "A list of principal IDs that can receive PIM role assignments."
        },
        "defaultValue": []
      }
    },
    "policyRule": {
      "if": {
        "anyof": [
          {
            "allOf": [
              {
                "field": "type",
                "equals": "Microsoft.Authorization/roleEligibilityScheduleRequests"
              },
              {
                "not": {
                  "field": "Microsoft.Authorization/roleEligibilityScheduleRequests/principalId",
                  "in": "[parameters('allowedPrincipalIds')]"
                }
              }
            ]
          },
          {
            "allOf": [
              {
                "field": "type",
                "equals": "Microsoft.Authorization/roleAssignmentScheduleRequests"
              },
              {
                "not": {
                  "field": "Microsoft.Authorization/roleAssignmentScheduleRequests/principalId",
                  "in": "[parameters('allowedPrincipalIds')]"
                }
              }
            ]
          }
        ]
      },
      "then": {
        "effect": "deny"
      }
    },
    "versions": [
      "1.0.0"
    ]
  },
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4ef/providers/Microsoft.Authorization/policyDefinitions/1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5",
  "type": "Microsoft.Authorization/policyDefinitions",
  "name": "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5",
  "systemData": {
    "createdBy": "test1@contoso.com",
    "createdByType": "User",
    "createdAt": "2024-11-05T02:31:25.0836273Z",
    "lastModifiedBy": "test1@contoso.com",
    "lastModifiedByType": "User",
    "lastModifiedAt": "2024-11-06T07:58:17.1651655Z"
  }
}

Para obter informações sobre as propriedades de recursos do PIM, confira esses documentos de API REST:

Para obter informações sobre como atribuir um Azure Policy com parâmetros, confira Tutorial: Criar e gerenciar políticas para implementar a conformidade.

Próximas etapas