Criar uma revisão de acesso do recurso do Azure e das funções do Microsoft Entra no PIM
A necessidade de acesso a recursos privilegiados do Azure e funções do Microsoft Entra por seus usuários muda com o tempo. Para reduzir o risco associado a atribuições de funções obsoletas, tem de rever regularmente o acesso. Você pode usar o Microsoft Entra Privileged Identity Management (PIM) para criar revisões de acesso para acesso privilegiado ao recurso do Azure e às funções do Microsoft Entra. Também pode configurar revisões de acesso recorrentes que ocorrem automaticamente. Este artigo descreve como criar uma ou mais revisões de acesso.
Pré-requisitos
O uso do Privileged Identity Management requer licenças. Para obter mais informações sobre licenciamento, consulte Fundamentos de licenciamento do Microsoft Entra ID Governance .
Para obter mais informações sobre licenças para PIM, consulte Requisitos de licença para usar o Privileged Identity Management.
Para criar revisões de acesso para recursos do Azure, você deve ser atribuído à função Proprietário ou Administrador de Acesso de Usuário para os recursos do Azure. Para criar revisões de acesso para funções do Microsoft Entra, você deve receber pelo menos a função de Administrador de Função Privilegiada .
O uso de Revisões de Acesso para Entidades de Serviço requer um plano Premium do Microsoft Entra Workload ID, além de uma licença do Microsoft Entra ID P2 ou do Microsoft Entra ID Governance.
- Licenciamento Premium de Identidades de Carga de Trabalho: você pode exibir e adquirir licenças na folha Identidades de Carga de Trabalho no centro de administração do Microsoft Entra.
Nota
As revisões do Access capturam um instantâneo do acesso no início de cada instância de revisão. Quaisquer alterações feitas durante o processo de revisão serão refletidas no ciclo de revisão subsequente. Essencialmente, com o início de cada nova recorrência, dados pertinentes sobre os usuários, recursos em análise e seus respetivos revisores são recuperados.
Criar revisões de acesso
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
Entre no centro de administração do Microsoft Entra como um utilizador atribuído a uma das funções pré-requisitas.
Navegue até Governança de>identidade, Gerenciamento privilegiado de identidades.
Para funções do Microsoft Entra, selecione Funções do Microsoft Entra. Para recursos do Azure, selecione Recursos do Azure
Para funções do Microsoft Entra, selecione Funções do Microsoft Entra novamente em Gerenciar. Para recursos do Azure, selecione a assinatura que você deseja gerenciar.
Em Gerir, selecione Aceder a comentários e, em seguida, selecione Novo para criar uma nova análise de acesso.
Nomeie a revisão de acesso. Opcionalmente, dê uma descrição à avaliação. O nome e a descrição são mostrados aos revisores.
Defina a data de início. Por padrão, uma revisão de acesso ocorre uma vez. Começa no momento da criação e termina em um mês. Você pode alterar as datas de início e término para que uma revisão de acesso comece no futuro e dure quantos dias quiser.
Para tornar a revisão de acesso recorrente, altere a configuração de Frequência de Uma vez para Semanal, Mensal, Trimestral, Anual ou Semestral. Use a barra de deslizamento ou a caixa de texto Duração para especificar a duração da revisão. Por exemplo, a duração máxima que você pode definir para uma avaliação mensal é de 27 dias, para evitar a sobreposição de avaliações.
Use a configuração Fim para especificar como encerrar a série de revisão de acesso recorrente. A série pode terminar de três maneiras: é executada continuamente para iniciar revisões indefinidamente, até uma data específica ou após a conclusão de um número definido de ocorrências. Você, ou outro administrador que possa gerenciar avaliações, pode interromper a série após a criação alterando a data em Configurações, para que ela termine nessa data.
Na seção Escopo de usuários, selecione o escopo da revisão. Para funções do Microsoft Entra, a primeira opção de escopo é Usuários e Grupos. Os usuários atribuídos diretamente e grupos atribuíveis por função estão incluídos nesta seleção. Para funções de recursos do Azure, o primeiro escopo é Utilizadores. Os grupos atribuídos a funções de recursos do Azure são expandidos para exibir atribuições de usuário transitivas na revisão com esta seleção. Você também pode selecionar Entidades de Serviço para revisar as contas de máquina com acesso direto ao recurso do Azure ou à função Microsoft Entra.
Ou, você pode criar revisões de acesso apenas para usuários inativos. Na seção Escopo de usuários, defina os Usuários inativos (no nível de locatário) somente como true. Se a alternância estiver definida como verdadeiro, o escopo da revisão se concentrará apenas em usuários inativos. Em seguida, especifique Dias inativos. Pode especificar até 730 dias (dois anos). Os usuários inativos pelo número de dias especificado são os únicos usuários na revisão.
Em Rever a associação à função, selecione o recurso privilegiado do Azure ou as funções do Microsoft Entra a rever.
Nota
Selecionar mais de uma função criará várias revisões de acesso. Por exemplo, selecionar cinco funções criará cinco revisões de acesso separadas.
Em Tipo de atribuição, defina o escopo da revisão de acordo com a forma como o principal foi atribuído à função. Escolha atribuições qualificadas apenas para revisar atribuições qualificadas (independentemente do status de ativação quando a revisão for criada) ou atribuições ativas apenas para revisar atribuições ativas. Escolha todas as atribuições ativas e qualificadas para revisar todas as atribuições, independentemente do tipo.
Na seção Revisores, selecione uma ou mais pessoas para revisar todos os usuários. Ou você pode optar por fazer com que os membros revisem seu próprio acesso.
- Usuários selecionados - Use esta opção para designar um usuário específico para concluir a revisão. Essa opção está disponível independentemente do escopo da revisão, e os revisores selecionados podem revisar usuários, grupos e entidades de serviço.
- Membros (self) - Use esta opção para que os usuários revisem suas próprias atribuições de função. Essa opção só estará disponível se a revisão tiver como escopo Usuários e Grupos ou Usuários. Para funções do Microsoft Entra, grupos com atribuição de função não fazem parte da revisão quando essa opção é selecionada.
- Gerente – Use esta opção para que o gerente do usuário revise sua atribuição de função. Essa opção só estará disponível se a revisão tiver como escopo Usuários e Grupos ou Usuários. Ao selecionar Gerente, você também pode especificar um revisor de fallback. Os revisores de fallback são solicitados a revisar um usuário quando o usuário não tem um gerenciador especificado no diretório. Para funções do Microsoft Entra, os grupos atribuíveis por função são revisados pelo revisor de último recurso se um estiver selecionado.
Após a conclusão, as configurações
Para especificar o que acontece após a conclusão de uma revisão, expanda a seção Configurações após a conclusão .
Se você quiser remover automaticamente o acesso de usuários que foram negados, defina Auto apply results to resource como Enable. Se quiser aplicar manualmente os resultados quando a revisão for concluída, defina a opção como Desativar.
Use a lista Se o revisor não responder para especificar o que acontece com os usuários que não são revisados pelo revisor dentro do período de avaliação. Essa configuração não afeta os usuários que já foram revisados.
- Sem alteração - Deixe o acesso do usuário inalterado
- Remover acesso - Remover acesso do usuário
- Aprovar acesso - Aprovar acesso do usuário
- Tome recomendações - Siga a recomendação do sistema sobre como negar ou aprovar o acesso contínuo do usuário
Use a Ação para aplicar na lista de usuários convidados negados para especificar o que acontece para os usuários convidados que são negados. Essa configuração não é editável de momento para revisões de função de recursos do Microsoft Entra ID e do Azure. Os utilizadores convidados, como todos os utilizadores, perdem sempre o acesso ao recurso se lhes for negado.
Você pode enviar notificações para outros usuários ou grupos para receber atualizações de conclusão de revisão. Esse recurso permite que outras partes interessadas além do criador da avaliação sejam atualizadas sobre o progresso da avaliação. Para usar esse recurso, selecione Selecionar usuário(s) ou grupo(s) e adicione os usuários ou grupos que deseja receber notificações de status de conclusão.
Definições avançadas
Para definir mais configurações, expanda a seção
Configurações avançadas. Defina Mostrar recomendações como Ativar para mostrar aos revisores as recomendações do sistema com base nas informações de acesso do usuário. As recomendações baseiam-se num intervalo de 30 dias. Os utilizadores que iniciaram sessão nos últimos 30 dias são apresentados com a aprovação de acesso recomendada, enquanto os utilizadores que não iniciaram sessão são apresentados com a recusa de acesso recomendada. Esses logins são independentes de serem interativos. O último login do usuário também é exibido junto com a recomendação.
Defina Exigir motivo na aprovação como Habilitar para exigir que o revisor forneça um motivo para a aprovação.
Defina Notificações de correio como Ativar para que o Microsoft Entra ID envie notificações por e-mail aos revisores quando é iniciada uma revisão de acesso e aos administradores quando é concluída uma revisão.
Defina Lembretes como Habilite para que a ID do Microsoft Entra envie lembretes de revisões de acesso em andamento para revisores que não concluíram a avaliação.
O conteúdo do e-mail enviado aos revisores é gerado automaticamente com base nos detalhes da revisão, como nome da revisão, nome do recurso, data de vencimento e assim por diante. Se precisar de uma maneira de comunicar informações adicionais, como mais instruções ou informações de contato, especifique esses detalhes no Conteúdo adicional para o e-mail do revisor estão incluídos nos e-mails de convite e lembrete enviados aos revisores atribuídos. A seção destacada é onde essas informações são exibidas.
Gerenciar a revisão de acesso
Você pode acompanhar o progresso à medida que os revisores concluem suas avaliações na página Visão geral da revisão de acesso. Nenhum direito de acesso é alterado no diretório até que a revisão seja concluída.
Após a revisão de acesso, siga as etapas em Concluir uma revisão de acesso do recurso do Azure e das funções do Microsoft Entra para ver e aplicar os resultados.
Se estiver a gerir uma série de revisões de acesso, navegue até à revisão de acesso onde encontrará as ocorrências futuras em Revisões Agendadas. Em seguida, pode editar a data de término ou adicionar/remover revisores conforme necessário.
Com base nas suas seleções nas configurações Após a conclusão, a aplicação automática será executada após a data de término da revisão ou quando você interromper manualmente a revisão. O status da revisão muda de Concluído através de estados intermediários, como Aplicando e, finalmente, para o estado Aplicado. Você deve esperar ver usuários negados, se houver, sendo removidos de funções em alguns minutos.
Impacto de grupos atribuídos a funções do Microsoft Entra e funções de recursos do Azure em revisões de acesso
• Para funções do Microsoft Entra, grupos atribuíveis a funções podem ser atribuídos à função usando grupos atribuíveis por função. Quando uma revisão é criada em uma função do Microsoft Entra com grupos atribuíveis de função atribuídos, o nome do grupo aparece na revisão sem expandir a associação ao grupo. O revisor pode aprovar ou negar o acesso de todo o grupo à função. Os grupos negados perdem a atribuição à função quando os resultados da revisão são aplicados.
• Para funções de recursos do Azure, qualquer grupo de segurança pode ser atribuído à função. Quando uma revisão é criada em uma função de recurso do Azure com um grupo de segurança atribuído, os revisores de função podem ver uma exibição totalmente expandida da associação do grupo. Quando um revisor nega um usuário que foi atribuído à função por meio do grupo de segurança, o usuário não será removido do grupo. Isso ocorre porque um grupo pode ser compartilhado com outros recursos do Azure ou não-Azure. Os administradores devem implementar as alterações resultantes de uma negação de acesso.
Nota
É possível que um grupo de segurança tenha outros grupos atribuídos a ele. Nesse caso, somente os usuários atribuídos diretamente ao grupo de segurança atribuído à função aparecerão na revisão da função.
Atualizar a revisão de acesso
Depois que uma ou mais avaliações de acesso forem iniciadas, convém modificar ou atualizar as configurações das revisões de acesso existentes. Aqui estão alguns cenários comuns que você pode querer considerar:
Adicionar e remover revisores - Ao atualizar as avaliações de acesso, você pode optar por adicionar um revisor de fallback além do revisor principal. Os revisores principais podem ser removidos ao atualizar uma revisão de acesso. No entanto, os revisores de fallback não são removíveis por design.
Nota
Os revisores de fallback só podem ser adicionados quando o tipo de revisor é gerente. Os revisores principais podem ser adicionados quando o tipo de revisor é selecionado como usuário.
Lembrando os revisores - Ao atualizar as avaliações de acesso, você pode optar por ativar a opção de lembrete em Configurações avançadas. Uma vez ativado, os usuários recebem uma notificação por e-mail no meio do período de revisão. Os revisores recebem notificações independentemente de terem concluído a revisão ou não.
Atualizando as configurações - Se uma revisão de acesso for recorrente, há configurações separadas em "Atual" versus em "Série". A atualização das configurações em "Atual" só aplicará alterações à revisão de acesso atual, enquanto a atualização das configurações em "Série" atualizará a configuração para todas as recorrências futuras.