Editar

Compartilhar via

Ativar minhas funções de recurso do Azure no Privileged Identity Management

  • Como fazer

Use o PIM (Microsoft Entra Privileged Identity Management), para permitir que membros de função qualificados para recursos do Azure agendem a ativação para uma data e hora futuras. Eles também podem selecionar uma duração de ativação específica dentro do máximo (configurado pelos administradores).

Este artigo é para membros que precisam ativar sua função de recurso do Azure no Privileged Identity Management.

Nota

A partir de março de 2023, agora você pode ativar suas atribuições e exibir seu acesso diretamente de folhas fora do PIM no portal do Azure. Leia mais aqui.

Importante

Quando uma função é ativada, o Microsoft Entra PIM adiciona temporariamente a atribuição ativa para a função. O Microsoft Entra PIM cria uma atribuição ativa (atribui o usuário a uma função) em segundos. Quando ocorre a desativação (expiração manual ou por meio do tempo de ativação), o Microsoft Entra PIM remove a atribuição ativa em segundos também.

O aplicativo pode fornecer acesso com base na função que o usuário tem. Em algumas situações, o acesso ao aplicativo pode não refletir imediatamente o fato de que o usuário recebeu a função atribuída ou removida. Se o aplicativo tiver armazenado em cache anteriormente o fato de que o usuário não tem uma função – quando o usuário tenta acessar o aplicativo novamente, o acesso pode não ser fornecido. Da mesma forma, se o aplicativo tiver armazenado em cache anteriormente o fato de que o usuário tem uma função – quando a função é desativada, o usuário ainda poderá obter acesso. A situação específica depende da arquitetura do aplicativo. Para alguns aplicativos, sair e entrar novamente pode ajudar a obter acesso adicionado ou removido.

Pré-requisitos

Nenhum

Ativar uma função

Ponta

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Quando você precisa assumir uma função de recurso do Azure, pode solicitar a ativação usando a opção Minhas funções navegação no Privileged Identity Management.

Nota

O PIM agora está disponível no aplicativo móvel do Azure (iOS | Android) para funções de recurso do Microsoft Entra ID e do Azure. Ative facilmente as atribuições qualificadas, solicite renovações para as que estão expirando ou verifique o status das solicitações pendentes. Leia mais abaixo

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de funções com privilégios .

  2. Navegue até governança de identidade>Privileged Identity Management>Minhas funções.

    Captura de tela da página minhas funções mostrando as funções que você pode ativar.

  3. Selecione funções de recurso do Azure para ver uma lista de suas funções de recurso qualificadas do Azure.

    Captura de tela das minhas funções – página de funções de recurso do Azure.

  4. No lista de funções de recurso do Azure, localize a função que você deseja ativar.

    Captura de tela das funções de recurso do Azure – Minha lista de funções qualificadas.

  5. Selecione Ativar para abrir a página Ativar.

    Captura de tela do painel Ativar aberto com escopo, hora de início, duração e motivo.

  6. Se sua função exigir autenticação multifator, selecione Verificar sua identidade antes de continuar. Você só precisa se autenticar uma vez por sessão.

  7. Selecione Verificar minha identidade e siga as instruções para fornecer verificação de segurança adicional.

    captura de tela para fornecer verificação de segurança, como um código PIN.

  8. Se você quiser especificar um escopo reduzido, selecione Escopo para abrir o painel Filtro de recursos.

    É uma prática recomendada solicitar apenas acesso aos recursos necessários. No painel Filtro de recursos, você pode especificar os grupos de recursos ou os recursos aos quais precisa acessar.

    Captura de tela de ativação – Painel filtro de recurso para especificar o escopo.

  9. Se necessário, especifique uma hora de início de ativação personalizada. O membro seria ativado após o horário selecionado.

  10. Na caixa motivo do , insira o motivo da solicitação de ativação.

  11. Selecione Ativar.

    Nota

    Se a função exigir aprovação para ativar, uma notificação será exibida no canto superior direito do navegador informando que a solicitação está pendente de aprovação.

Ativar uma função com a API do Azure Resource Manager

O Privileged Identity Management dá suporte a comandos de API do Azure Resource Manager para gerenciar funções de recurso do Azure, conforme documentado na referência da API ARM do PIM. Para obter as permissões necessárias para usar a API do PIM, consulte Noções básicas sobre as APIs do Privileged Identity Management.

Para ativar uma atribuição de função qualificada do Azure e obter acesso ativado, use o Solicitações de Agendamento de Atribuição de Função – Criar a API REST para criar uma nova solicitação e especificar a entidade de segurança, a definição de função, requestType = SelfActivate e o escopo. Para chamar essa API, você deve ter uma atribuição de função qualificada no escopo.

Use uma ferramenta GUID para gerar um identificador exclusivo para o identificador de atribuição de função. O identificador tem o formato: 00000000-0000-0000-0000-000000000000000.

Substitua {roleAssignmentScheduleRequestName} na solicitação PUT pelo identificador GUID da atribuição de função.

Para obter mais informações sobre funções qualificadas para o gerenciamento de recursos do Azure, consulte tutorial da API DO ARM do PIM.

Esta é uma solicitação HTTP de exemplo para ativar uma atribuição qualificada para uma função do Azure.

Pedir

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignmentScheduleRequests/{roleAssignmentScheduleRequestName}?api-version=2020-10-01

Corpo da solicitação

{ 
"properties": { 
  "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
  "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
  "requestType": "SelfActivate", 
  "linkedRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413", 
  "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
          "type": "AfterDuration", 
          "endDateTime": null, 
          "duration": "PT8H" 
      } 
  }, 
  "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
  "conditionVersion": "1.0" 
} 
}

Resposta

Código de status: 201

{ 
  "properties": { 
    "targetRoleAssignmentScheduleId": "c9e264ff-3133-4776-a81a-ebc7c33c8ec6", 
    "targetRoleAssignmentScheduleInstanceId": null, 
    "scope": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", 
    "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
    "principalType": "User", 
    "requestType": "SelfActivate", 
    "status": "Provisioned", 
    "approvalId": null, 
    "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
        "type": "AfterDuration", 
        "endDateTime": null, 
        "duration": "PT8H" 
      } 
    }, 
    "ticketInfo": { 
      "ticketNumber": null, 
      "ticketSystem": null 
    }, 
    "justification": null, 
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
    "createdOn": "2020-09-09T21:35:27.91Z", 
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
    "conditionVersion": "1.0", 
    "expandedProperties": { 
      "scope": { 
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", 
        "displayName": "Pay-As-You-Go", 
        "type": "subscription" 
      }, 
      "roleDefinition": { 
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
        "displayName": "Contributor", 
        "type": "BuiltInRole" 
      }, 
      "principal": { 
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
        "displayName": "User Account", 
        "email": "user@my-tenant.com", 
        "type": "User" 
      } 
    } 
  }, 
  "name": "fea7a502-9a96-4806-a26f-eee560e52045", 
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/RoleAssignmentScheduleRequests/fea7a502-9a96-4806-a26f-eee560e52045", 
  "type": "Microsoft.Authorization/RoleAssignmentScheduleRequests" 
}

Exibir o status de suas solicitações

Você pode exibir o status de suas solicitações pendentes para ativar.

  1. Abra o Microsoft Entra Privileged Identity Management.

  2. Selecione Minhas solicitações para ver uma lista de suas solicitações de função de recurso do Microsoft Entra e do Azure.

    Captura de tela das minhas solicitações – página de recursos do Azure mostrando suas solicitações pendentes.

  3. Role para a direita para exibir a coluna Status da Solicitação.

Cancelar uma solicitação pendente

Se você não precisar de ativação de uma função que exija aprovação, poderá cancelar uma solicitação pendente a qualquer momento.

  1. Abra o Microsoft Entra Privileged Identity Management.

  2. Selecione Minhas solicitações.

  3. Para a função que você deseja cancelar, selecione o link Cancelar.

    When you select Cancel, the request will be canceled. To activate the role again, you will have to submit a new request for activation.

    Captura de tela da minha lista de solicitações com a ação Cancelar realçada.

Desativar uma atribuição de função

Quando uma atribuição de função é ativada, você vê uma opção Desativar no portal do PIM para a atribuição de função. Além disso, você não pode desativar uma atribuição de função dentro de cinco minutos após a ativação.

Ativar com o portal do Azure

A ativação da função Privileged Identity Management é integrada às extensões de Controle de Acesso e Cobrança no portal do Azure. Os atalhos para Assinaturas (cobrança) e Controle de Acesso (AD) permitem ativar funções PIM diretamente dessas folhas.

Na folha Assinaturas, selecione "Exibir assinaturas qualificadas" no menu de comando horizontal para verificar suas atribuições qualificadas, ativas e expiradas. A partir daí, você pode ativar uma atribuição qualificada no mesmo painel.

Captura de tela da exibição de assinaturas qualificadas na página Assinaturas.

Captura de tela da exibição de assinaturas qualificadas na página Gerenciamento de Custos: Serviço de Integração.

No Controle de Acesso (IAM) para um recurso, agora você pode selecionar "Exibir meu acesso" para ver suas atribuições de função atualmente ativas e qualificadas e ativar diretamente.

Captura de tela das atribuições de função atuais na página Medida.

Ao integrar recursos do PIM em diferentes folhas do portal do Azure, esse novo recurso permite que você obtenha acesso temporário para exibir ou editar assinaturas e recursos com mais facilidade.

Ativar funções PIM usando o aplicativo móvel do Azure

O PIM agora está disponível na ID do Microsoft Entra e nos aplicativos móveis de funções de recurso do Azure no iOS e no Android.

  1. Para ativar uma atribuição de função qualificada do Microsoft Entra, comece baixando o aplicativo móvel do Azure (iOS | Android). Você também pode baixar o aplicativo selecionando Abrir em móveis no Privileged Identity Management > Minhas funções > funções do Microsoft Entra.

    Captura de tela mostra como baixar o aplicativo móvel.

  2. Abra o aplicativo móvel do Azure e entre. Clique no cartão 'Privileged Identity Management' e selecione Minhas funções de Recurso do Azure para exibir suas atribuições de função qualificadas e ativas.

    Captura de tela do aplicativo móvel mostrando o gerenciamento de identidade privilegiado e as funções do usuário.

  3. Selecione a atribuição de função e clique em Ação > Ativar nos detalhes da atribuição de função. Conclua as etapas para ativar e preencher todos os detalhes necessários antes de clicar em Ativar na parte inferior.

    Captura de tela do aplicativo móvel mostrando que o processo de validação foi concluído. A imagem mostra um botão Ativar.

  4. Exiba o status de suas solicitações de ativação e suas atribuições de função em "Minhas funções de Recurso do Azure".

    Captura de tela do aplicativo móvel mostrando a ativação na mensagem em andamento.

Conteúdo relacionado