Definir uma estratégia de acesso privilegiado para usuários administrativos
O que é o PIM (Privileged Identity Management)?
O PIM é um serviço para gerenciar o acesso a recursos privilegiados no Microsoft Entra ID. Ele permite que você gerencie, controle e monitore o acesso a recursos importantes em sua organização. Esses recursos incluem aqueles no Microsoft Entra ID, no Azure e em outros Microsoft Online Services, como o Microsoft 365 ou o Microsoft Intune.
O que o PIM faz?
O PIM fornece ativação de função baseada em tempo e aprovação para acessar recursos. Isso ajuda a mitigar os riscos de permissões de acesso excessivas, desnecessárias ou mal utilizadas em recursos importantes para você. Os principais recursos do PIM incluem:
- Fornecer acesso privilegiado just-in-time aos recursos do Microsoft Entra ID e do Azure
- Atribuir acesso com limite de tempo aos recursos usando as datas de início e término
- Exigir aprovação para ativar funções com privilégios
- Impor a Autenticação Multifator do Azure para ativar qualquer função
- Usar justificativa para entender por que os usuários ativam
- Obter notificações quando funções privilegiadas forem ativadas
- Realizar revisões de acesso para garantir que os usuários ainda precisem de funções
- Baixar o histórico de auditoria para auditorias internas ou externas
Antes de implantar o PIM em sua organização, siga as instruções e entenda os conceitos desta seção. Isso ajudará você a criar um plano adaptado aos requisitos de identidade privilegiada da sua organização.
Observação
O PIM requer uma licença Premium P2.
Identificar os participantes
A seção a seguir ajuda a identificar todos os stakeholders envolvidos no projeto. Você verá quem precisa de aprovação, revisão ou informações. Inclui tabelas separadas para implantar um PIM para funções do Microsoft Entra e um PIM para funções do Azure. Adicione os participantes à tabela a seguir, conforme apropriado para sua organização.
SO = Aprovação neste projeto
R = Revisar este projeto e fornecer comentários
I = Informado sobre este projeto
Stakeholders: Privileged Identity Management para funções do Microsoft Entra
| Nome | Função | Ação |
|---|---|---|
| Nome e email | Arquiteto de identidades ou Administrador Global do Azure – um representante da equipe de gerenciamento de identidades responsável por definir como alinhar essa mudança com a infraestrutura principal de gerenciamento de identidades em sua organização. | SO/R/I |
| Nome e email | Proprietário do serviço ou Gerente de linha – um representante dos proprietários de TI de um serviço ou grupo de serviços. Eles são essenciais para a tomada de decisões e ajudam a implantar o PIM da equipe. | SO/R/I |
| Nome e email | Proprietário de segurança – um representante da equipe de segurança que pode atestar que o plano atende aos requisitos de segurança de sua organização. | SO/R |
| Nome e email | Gerente de suporte de TI / Assistência técnica – um representante da organização de suporte de TI que pode fornecer comentários sobre a compatibilidade dessa mudança de uma perspectiva de assistência técnica. | R/I |
| Nome e email de usuários piloto | Usuários com funções com privilégios – o grupo de usuários para o qual o gerenciamento de identidades com privilégios é implementado. Eles precisarão saber como ativar suas funções depois que o PIM for implementado. | I |
Stakeholders: Privileged Identity Management para funções do Azure
| Nome | Função | Ação |
|---|---|---|
| Nome e email | Proprietário da assinatura/recurso – um representante dos proprietários de TI de cada assinatura ou recurso no qual você deseja implantar o PIM. | SO/R/I |
| Nome e email | Proprietário de segurança – um representante da equipe de segurança que pode atestar que o plano atende aos requisitos de segurança de sua organização. | SO/R |
| Nome e email | Gerente de suporte de TI / Assistência técnica – um representante da organização de suporte de TI que pode fornecer comentários sobre a compatibilidade dessa mudança de uma perspectiva de assistência técnica. | R/I |
| Nome e email de usuários piloto | Usuários com funções do Azure – o grupo de usuários para o qual o gerenciamento de identidades com privilégios é implementado. Eles precisarão saber como ativar suas funções depois que o PIM for implementado. | I |
Começar usando o Privileged Identity Management
Como parte do processo de planejamento, prepare o PIM seguindo nosso artigo “Começar a usar o Privileged Identity Management”. O PIM fornece acesso a alguns recursos desenvolvidos para auxiliar a implantação.
Se seu objetivo for implantar o PIM para recursos do Azure, siga nosso artigo “Descobrir recursos do Azure para gerenciar no Privileged Identity Management”. Somente os proprietários de assinaturas e grupos de gerenciamento podem colocar esses recursos sob gerenciamento pelo PIM. Depois de estar sob gerenciamento, a funcionalidade do PIM fica disponível para proprietários em todos os níveis, incluindo grupos de gerenciamento, assinaturas, grupos de recursos e recursos. Se você for um Administrador Global tentando implantar o PIM para seus recursos do Azure, poderá elevar o acesso para gerenciar todas as assinaturas do Azure para obter acesso a todos os recursos do Azure no diretório para descoberta. No entanto, recomendamos que você obtenha aprovação de cada um dos proprietários da assinatura antes de gerenciar seus recursos com o PIM.
Aplicar o princípio de privilégios mínimos
É importante certificar-se que você impôs o princípio de privilégios mínimos em sua organização para o Microsoft Entra ID e suas funções do Azure.
Planejar a delegação de privilégios mínimos
Para as funções do Microsoft Entra, é comum que as organizações atribuam a função de Administrador Global a um número de administradores, quando a maioria dos administradores precisa de apenas uma ou duas funções de administrador específicas e menos potentes. Com um grande número de Administradores globais ou outras funções de alto privilégio, é difícil acompanhar as atribuições de função privilegiadas bem de perto.
Siga estas etapas para implementar o princípio de privilégios mínimos para suas funções do Microsoft Entra.
Entenda a granularidade das funções lendo e entendendo as funções de administrador disponíveis do Microsoft Entra. Você e sua equipe também devem referenciar funções de administrador por tarefa de identidade no Microsoft Entra ID, o que explica a função menos privilegiada para tarefas específicas.
Liste quem tem função com privilégios em sua organização. Você pode usar a Descoberta e insights do PIM (versão prévia) para reduzir a exposição.
Para todos os Administradores Globais da organização, descubra por que eles precisam da função. Em seguida, remova-os da função de Administrador Global e atribua funções internas ou funções personalizadas com privilégio inferior no Microsoft Entra ID. Observação: atualmente, a Microsoft tem apenas 10 administradores com a função de Administrador global.
Para todas as outras funções do Microsoft Entra, revise a lista de atribuições, identifique os administradores que não precisam mais da função e remova-os de suas atribuições.
Para automatizar as duas últimas etapas, você pode usar as revisões de acesso no PIM. Seguindo as etapas em “Iniciar uma revisão de acesso para funções do Microsoft Entra no Privileged Identity Management”, você poderá configurar uma revisão de acesso para cada função do Microsoft Entra que tenha um ou mais membros.
Definir os revisores como Membros (por conta própria). Todos os usuários nessa função receberão um email solicitando que eles confirmem que precisam do acesso. Além disso, ative a opção Requer motivo sob aprovação nas configurações avançadas para que os usuários sejam obrigados a declarar por que precisam da função. Com base nessas informações, você pode remover usuários de funções desnecessárias ou delegá-los a funções de administrador mais granulares.
As revisões de acesso dependem de emails para notificar as pessoas sobre o acesso às funções. Se você tiver contas que não têm emails vinculados com privilégios, lembre-se de preencher o campo de email secundário nessas contas.
Planejar a delegação da função de recurso do Azure
Para assinaturas do Azure e recursos, você pode configurar um processo de revisão de acesso semelhante para revisar as funções em cada assinatura ou recurso. O objetivo desse processo é minimizar as atribuições de Administrador de Acesso do Proprietário e Usuário anexadas a cada assinatura ou recurso e remover atribuições desnecessárias. No entanto, as organizações geralmente delegam essas tarefas ao proprietário de cada assinatura ou recurso porque eles têm um melhor entendimento de funções específicas (especialmente funções personalizadas).
Se você tiver a função de Administrador Global e estiver tentando implantar o PIM para funções do Azure em sua organização, poderá elevar o acesso para gerenciar todas as assinaturas do Azure para obter acesso a todas as assinaturas. Em seguida, é possível localizar o proprietário de cada assinatura e trabalhar com ele para remover atribuições desnecessárias e minimizar a atribuição de funções do proprietário.
Os usuários com a função de Proprietário de uma assinatura do Azure também podem usar as revisões de acesso para recursos do Azure para auditar e remover atribuições de função desnecessárias semelhantes ao processo descrito anteriormente para funções do Microsoft Entra.
Decidir quais atribuições de função devem ser protegidas pelo Privileged Identity Management
Depois de limpar as atribuições de função com privilégios em sua organização, você precisará decidir quais funções proteger com o PIM.
Se uma função for protegida pelo PIM, os usuários qualificados atribuídos a ela deverão ser elevados para usar os privilégios concedidos pela função. O processo de elevação também pode incluir a obtenção de aprovação, o uso da autenticação multifator e a indicação do motivo da ativação. O PIM também pode acompanhar as elevações por meio de notificações e dos logs de eventos de auditoria do PIM e do Microsoft Entra.
A escolha das funções que serão protegidas com o PIM pode ser difícil e diferente para cada organização. Essa seção fornece nossas práticas recomendadas para funções do Microsoft Entra ID e do Azure.
Funções do Microsoft Entra
É importante priorizar a proteção de funções do Microsoft Entra que têm a maioria das permissões. Com base nos padrões de uso entre todos os clientes do PIM, as 10 principais funções do Microsoft Entra gerenciadas pelo PIM são:
Administrador Global
Administrador de Segurança
Administrador de usuários
Administrador do Exchange
Administrador do SharePoint
Administrador do Intune
Leitor de segurança
Administrador de serviços
Administrador de cobrança
Administrador do Skype for Business
Dica
A Microsoft recomenda que você gerencie todos os Administradores globais e Administradores de segurança usando o PIM como o primeiro passo, pois eles são os usuários que podem causar mais danos caso sejam comprometidos.
É importante levar em consideração os dados e as permissões mais confidenciais da sua organização. Por exemplo, algumas organizações podem querer proteger sua função de Administrador do Power BI ou sua função de Administrador de equipes usando o PIM, uma vez que eles podem acessar dados e alterar fluxos de trabalho principais.
Se houver funções com usuários convidados atribuídos, eles estarão vulneráveis a ataques.
Dica
A Microsoft recomenda que você gerencie todas as funções com usuários convidados que usam o PIM para reduzir o risco associado a contas de usuários convidados comprometidas.
Às vezes, as funções de leitor, como Leitor de diretório, Leitor do Centro de Mensagens e Leitor de segurança, são consideradas menos importantes do que outras funções, pois não têm permissão de gravação. No entanto, temos alguns clientes que também protegem essas funções porque os invasores que tiverem acesso a essas contas podem ser capazes de ler dados confidenciais, incluindo dados pessoais. Leve esse risco em consideração ao decidir se deseja que as funções de leitor da organização sejam gerenciadas usando o PIM.
Funções do Azure
Ao decidir quais atribuições de função devem ser gerenciadas usando o PIM para recursos do Azure, primeiro você deve identificar as assinaturas/recursos que são mais vitais para a organização. Exemplos dessas assinaturas/recursos são:
- Recursos que hospedam os dados mais confidenciais.
- Recursos dos quais dependem os principais aplicativos voltados ao cliente.
Se você for um Administrador global que está tendo problemas para decidir quais assinaturas e recursos são mais importantes, entre em contato com os proprietários da assinatura em sua organização para reunir uma lista de recursos gerenciados por cada assinatura. Depois, trabalhe com os proprietários da assinatura para agrupar os recursos com base no nível de gravidade, no caso de eles estarem comprometidos (baixo, médio, alto). Priorize o gerenciamento de recursos com o PIM com base nesse nível de gravidade.
Dica
A Microsoft recomenda trabalhar com os proprietários de recursos/assinatura dos serviços essenciais para definir o fluxo de trabalho do PIM para todas as funções dentro de assinaturas/recursos confidenciais.
O PIM para recursos do Azure oferece suporte a contas de serviço com tempo associado. Você deve tratar as contas de serviço exatamente como você trataria uma conta de usuário normal.
Para assinaturas/recursos que não são tão críticos, não será necessário configurar o PIM para todas as funções. No entanto, você ainda deve proteger funções de Administrador de Acesso do Proprietário e Usuário com o PIM.
Dica
A Microsoft recomenda que você gerencie funções de Proprietário e funções de Administrador de acesso de usuário de todas as assinaturas/recursos usando o PIM.
Decida se deseja usar um grupo para atribuir funções
Atribuir uma função a um grupo em vez de a usuários individuais é uma decisão estratégica. Ao fazer o planejamento, cogite atribuir uma função a um grupo para gerenciar atribuições de função quando:
- Muitos usuários estiverem atribuídos a uma função.
- Você deseja delegar a atribuição da função.
Muitos usuários atribuídos a uma função
É preciso ter tempo para manter o controle manual de quem está atribuído a uma função e gerenciar suas atribuições com base em quando eles precisam delas. Para atribuir um grupo a uma função, primeiro crie um grupo de funções atribuídas e depois atribua o grupo como qualificado para uma função. Essa ação faz com que todos no grupo sejam sujeitos ao mesmo processo de ativação que os usuários individuais que estão qualificados a serem promovidos à função. Os membros do grupo ativam suas atribuições ao grupo individualmente usando o processo de aprovação e solicitação de ativação do PIM. O grupo não é ativado — apenas a associação de grupo do usuário.
Você deseja delegar a atribuição da função
Um proprietário de grupo pode gerenciar a associação a um grupo. Para grupos de funções atribuíveis do Microsoft Entra, somente o Administrador de função com privilégios, o Administrador Global e os proprietários de grupo podem gerenciar a associação de grupo. Quando um administrador adiciona novos membros ao grupo, o membro obtém acesso às funções às quais o grupo é atribuído, independentemente de a atribuição ser qualificada ou estar ativa. Use os proprietários do grupo para delegar o gerenciamento da associação do grupo a uma função atribuída a fim de reduzir a amplitude do privilégio necessário.
Dica
A Microsoft recomenda que você coloque os grupos atribuíveis de função do Microsoft Entra sob gerenciamento do PIM. Depois que um grupo de função atribuível for colocado sob gerenciamento pelo PIM, ele é chamado de grupo de acesso privilegiado. Use o PIM para exigir que os proprietários do grupo ativem sua atribuição de função de Proprietário antes de poderem gerenciar a associação de grupo.
Decidir quais atribuições de função devem ser permanentes ou qualificáveis
Depois de ter decidido a lista de funções que serão gerenciadas pelo PIM, você deve decidir quais usuários devem receber a função qualificada versus a função permanentemente ativa. As funções permanentemente ativas são as funções normais atribuídas pelo Microsoft Entra ID e pelos recursos do Azure, enquanto as funções qualificadas só podem ser atribuídas no PIM.
A Microsoft recomenda que você tenha zero atribuições permanentemente ativas para funções do Microsoft Entra e funções do Azure, além das duas contas de acesso de emergência recomendadas, que devem ter a função de Administrador Global permanente.
Apesar de recomendarmos administradores permanentes, às vezes é difícil para as organizações conseguirem isso imediatamente. O que deve ser levado em consideração ao se tomar essa decisão:
Frequência de elevação - se o usuário precisar da atribuição com privilégios apenas uma vez, ele não deverá ter a atribuição permanente. Por outro lado, se o usuário precisar da função para o trabalho diário, e o uso do PIM reduzisse bastante a produtividade, ele poderá ser considerado para a função permanente.
Casos específicos da organização – se a pessoa que recebe a função qualificada pertencer a uma equipe distante ou recebê-la de um executivo de alto escalão, a ponto de a comunicação e o cumprimento do processo de elevação serem difíceis, ela poderá ser considerada para a função permanente.
Dica
A Microsoft recomenda que você configure revisões de acesso recorrentes para usuários com atribuições de função permanentes.
Rascunhe suas configurações do Privileged Identity Management
Antes de implementar sua solução do PIM, convém elaborar suas configurações do PIM para cada função com privilégios utilizada pela organização. Esta seção traz alguns exemplos de configurações do PIM para funções específicas; elas servem apenas como referência e podem ser diferentes para sua organização. Cada uma dessas configurações é explicada em detalhes com as recomendações da Microsoft após as tabelas.
Configurações do Privileged Identity Management para funções do Microsoft Entra
| Configuração | Administrador global | Administrador do Exchange | Administrador de Assistência Técnica |
|---|---|---|---|
| Exigir MFA, verificação em duas etapas | Sim | Sim | Não |
| Notificação | Sim | Sim | Não |
| Tíquete de incidente | Sim | Não | Sim |
| Exigir aprovação | Sim | Não | Não |
| Aprovador | Outros administradores globais | Nenhum | Nenhum |
| Duração da ativação | 1 hora | 2 horas | 8 horas |
| Administrador permanente | Contas de acesso de emergência | Nenhum | Nenhum |
Configurações do Privileged Identity Management para funções do Azure
| Configuração | Proprietário de assinaturas críticas | Administrador de Acesso do Usuário de assinaturas menos críticas | Colaborador de Máquina Virtual |
|---|---|---|---|
| Exigir MFA, verificação em duas etapas | Sim | Sim | Não |
| Notificação | Sim | Sim | Sim |
| Exigir aprovação | Sim | Não | Não |
| Aprovador | Outros proprietários da assinatura | Nenhum | Nenhum |
| Duração da ativação | 1 hora | 1 hora | 3 horas |
| Administradores ativos | Nenhum | Nenhum | Nenhum |
| Expiração ativa | N/D | N/D | N/D |
A tabela a seguir descreve cada configuração.
| Configuração | Descrição |
|---|---|
| Função | Nome da função para a qual você está definindo as configurações. |
| Exigir MFA, verificação em duas etapas | Se o usuário qualificado precisa realizar a MFA; verificação em duas etapas antes de ativar a função. |
| A Microsoft recomenda que você aplique o MFA/a verificação em duas etapas para todas as funções de administrador, especialmente se as funções tiverem usuários convidados. | |
| Notificação | Se configurado como true, o Administrador Global, o Administrador de Função com Privilégios e o Administrador de Segurança da organização receberão uma notificação por email quando um usuário qualificado ativar a função. |
| Algumas organizações não têm um endereço de email vinculado às suas contas de administrador. Para obter essas notificações por email, defina um endereço de email alternativo para que os administradores recebam as notificações. | |
| Tíquete de incidente | Se o usuário qualificado precisa registrar um número de tíquete de incidente ao ativar sua função. Essa configuração ajuda uma organização a identificar cada ativação com um número de incidente interno para atenuar ativações indesejadas. |
| A Microsoft recomenda aproveitar os números de tíquetes de incidentes para fazer a ligação entre o PIM e o seu sistema interno. Esse método pode ser útil para os aprovadores que precisam de contexto para a ativação. | |
| Exigir aprovação | Se o usuário qualificado precisa obter aprovação para ativar a função. |
| A Microsoft recomenda que você configure a aprovação para funções com mais permissão. Com base nos padrões de uso de todos os clientes do PIM, Administrador Global, Administrador de Usuários, Administrador do Exchange, Administrador de Segurança e Administrador de Senha são as funções mais comuns com aprovação necessária. | |
| Aprovador | Se a aprovação for necessária para ativar a função qualificada, liste as pessoas que deverão aprovar a solicitação. Por padrão, o PIM define como aprovadores todos os usuários que sejam administradores de funções com privilégios, sejam eles permanentes ou qualificados. |
| Se um usuário estiver qualificado para uma função do Microsoft Entra e um aprovador da função, ele não poderá se aprovar. | |
| A Microsoft recomenda que você escolha como aprovadores os usuários que sejam os mais bem informados sobre a função e seus usuários frequentes, em vez de um Administrador global. | |
| Duração da ativação | O período de tempo que um usuário será ativado na função antes da expiração. |
| Administrador permanente | Lista de usuários que serão administradores permanentes da função (nunca precisarão ser ativados). |
| A Microsoft recomenda que você não tenha administradores para todas as funções, exceto para Administradores Globais. | |
| Administradores ativos | Para recursos do Azure, o administrador ativo é a lista de usuários que nunca precisarão ser ativados para usar a função. Essa lista não é chamada de administrador permanente, como nas funções do Microsoft Entra, porque você pode definir um tempo de expiração para quando o usuário perder essa função. |
| Expiração ativa | As atribuições de função ativas para as funções do Azure expiram após a duração configurada. Você pode escolher entre 15 dias, 1 mês, 3 meses, 6 meses, 1 ano ou permanentemente ativa. |
| Expiração qualificada | As atribuições de função qualificadas para funções do Azure expiram após essa duração. Você pode escolher entre 15 dias, 1 mês, 3 meses, 6 meses, 1 ano ou permanentemente qualificada. |