Definir uma estratégia de acesso privilegiado para usuários administrativos
O que é o PIM (Privileged Identity Management)?
O PIM é um serviço na ID do Microsoft Entra, para gerenciar o acesso a recursos privilegiados. O PIM permite que você gerencie, controle e monitore o acesso a recursos importantes em sua organização. Esses recursos incluem aqueles no Microsoft Entra ID, no Azure e em outros Serviços Online da Microsoft, como o Microsoft 365 ou o Microsoft Intune.
O que o PIM faz?
O PIM fornece ativação de função baseada em tempo e aprovação para acessar recursos. Isso ajuda a reduzir os riscos de permissões de acesso excessivas, desnecessárias ou indevidas nos recursos com os quais você se importa. Os principais recursos do PIM incluem:
- Fornecer acesso privilegiado just-in-time à ID do Microsoft Entra e aos recursos do Azure
- Atribuir acesso a recursos com limite de tempo usando datas de início e término
- Exigir aprovação para ativar funções privilegiadas
- Impor a Autenticação Multifator do Azure para ativar qualquer função
- Usar justificativa para entender por que os usuários ativam
- Obter notificações quando funções privilegiadas são ativadas
- Realizar revisões de acesso para garantir que os usuários ainda precisem de funções
- Baixar o histórico de auditoria para auditoria interna ou externa
Antes de implantar o PIM em sua organização, siga as instruções e entenda os conceitos nesta seção. Isso ajudará você a criar um plano adaptado aos requisitos de identidade privilegiados da sua organização.
Nota
O PIM requer uma licença P2 Premium.
Identifique seus stakeholders
A seção a seguir ajuda a identificar todos os stakeholders envolvidos no projeto. Você avaliará quem precisa aprovar, revisar ou manter-se informado. Ele inclui tabelas separadas para implantar o PIM para funções do Microsoft Entra e o PIM para funções do Azure. Adicione as partes interessadas à tabela a seguir, conforme apropriado para sua organização.
SO = Aprovação neste projeto
R = Examinar este projeto e fornecer entrada
I = Informado deste projeto
Stakeholders: Privileged Identity Management para funções do Microsoft Entra
| Nome | Função | de Ação |
|---|---|---|
| Nome e email | Arquiteto de identidades ou administrador global do Azure – um representante da equipe de gerenciamento de identidade responsável por definir como alinhar essa alteração com a infraestrutura de gerenciamento de identidade principal em sua organização. | SO/R/I |
| Nome e email | proprietário do serviço ou gerente de linha – um representante dos proprietários de TI de um serviço ou de um grupo de serviços. Eles são fundamentais para tomar decisões e ajudar a distribuir o PIM para sua equipe. | SO/R/I |
| Nome e email | proprietário de segurança - Um representante da equipe de segurança que pode aprovar que o plano atende aos requisitos de segurança da sua organização. | SO/R |
| Nome e email | gerente de suporte de TI/Helpdesk – um representante da organização de suporte de TI que pode fornecer comentários sobre a capacidade de suporte dessa alteração de uma perspectiva de assistência técnica. | R/I |
| Nome e email para usuários piloto | usuários de função com privilégios – o grupo de usuários para o qual o gerenciamento de identidade privilegiado é implementado. Eles precisarão saber como ativar suas funções depois que o PIM for implementado. | Eu |
Partes interessadas: Gerenciamento de Identidade Privilegiada para funções do Azure
| Nome | Função | Ação |
|---|---|---|
| Nome e email | de proprietário de assinatura/recurso – um representante dos proprietários de TI de cada assinatura ou recurso para o qual você deseja implantar o PIM. | SO/R/I |
| Nome e email | responsável pela segurança – um representante da equipe de segurança que pode aprovar se o plano atende aos requisitos de segurança da sua organização. | SO/R |
| Nome e email | gerente de suporte de TI/Helpdesk – um representante da organização de suporte de TI que pode fornecer comentários sobre a capacidade de suporte dessa alteração de uma perspectiva de assistência técnica. | R/I |
| Nome e email para usuários piloto | usuários de função do Azure – o grupo de usuários para o qual o gerenciamento de identidade privilegiado é implementado. Eles precisarão saber como ativar suas funções depois que o PIM for implementado. | Eu |
Começar a usar o Privileged Identity Management
Como parte do processo de planejamento, prepare o PIM seguindo nosso artigo "Comece a usar o Privileged Identity Management". O PIM fornece acesso a alguns recursos que foram projetados para ajudar na implantação.
Se sua meta for implantar o PIM para recursos do Azure, siga nosso artigo "Descobrir recursos do Azure para gerenciar no Privileged Identity Management". Somente os proprietários de assinaturas e grupos de gerenciamento podem colocar esses recursos sob gerenciamento pelo PIM. Após estar sob gerenciamento, a funcionalidade do PIM estará disponível para proprietários em todos os níveis, incluindo grupo de gestão, assinatura, grupo de recursos e recurso. Se você for um Administrador Global tentando implantar o PIM para seus recursos do Azure, é possível elevar o acesso para gerenciar todas as assinaturas do Azure, permitindo a si mesmo acesso a todos os recursos do Azure no diretório para descoberta de recursos. No entanto, aconselhamos que você obtenha a aprovação de cada um dos proprietários de sua assinatura antes de gerenciar seus recursos com o PIM.
Impor princípio de privilégio mínimo
É importante garantir que você tenha imposto o princípio de privilégio mínimo em sua organização para suas funções do Microsoft Entra D e do Azure.
Planejar delegação de privilégios mínimos
Para funções do Microsoft Entra, é comum que as organizações atribuam a função de Administrador Global a vários administradores quando a maioria dos administradores precisa apenas de uma ou duas funções de administrador específicas e menos poderosas. Com um grande número de administradores globais ou outras funções de alto privilégio, é difícil acompanhar suas atribuições de função privilegiadas de perto o suficiente.
Siga estas etapas para implementar o princípio de privilégio mínimo para suas funções do Microsoft Entra.
Entenda a granularidade das funções lendo e entendendo as funções de administrador disponíveis do Microsoft Entra. Você e sua equipe também devem referenciar funções de administrador por tarefa relacionada à identidade no Microsoft Entra ID, que explica qual é a função menos privilegiada adequada para tarefas específicas.
Listar quem tem funções privilegiadas em sua organização. Você pode usar o recurso de Descoberta e insights do PIM (versão prévia) para reduzir seu risco.
Para todos os Administradores Globais em sua organização, descubra por que eles precisam da função. Em seguida, remova-as da função de Administrador Global e atribua funções internas ou funções personalizadas com privilégios inferiores dentro da ID do Microsoft Entra. FYI, a Microsoft atualmente tem apenas cerca de 10 administradores com a função de Administrador Global.
Para todas as outras funções do Microsoft Entra, examine a lista de atribuições, identifique os administradores que não precisam mais da função e remova-os de suas atribuições.
Para automatizar as duas últimas etapas, você pode usar revisões de acesso no PIM. Seguindo as etapas em "Iniciar uma revisão de acesso para funções do Microsoft Entra no Privileged Identity Management", você pode configurar uma revisão de acesso para cada função de ID do Microsoft Entra que tenha um ou mais membros.
Defina os revisores como membros (self). Todos os usuários na função receberão um email solicitando que confirmem se precisam do acesso. Além disso, ative Exigir motivo na aprovação nas configurações avançadas para que os usuários justifiquem por que precisam do papel. Com base nessas informações, você pode remover usuários de funções desnecessárias ou delegar-os a funções de administrador mais granulares.
As revisões de acesso dependem de emails para notificar as pessoas para revisarem seu acesso às funções. Se você tiver contas privilegiadas que não têm emails vinculados, preencha o campo de email secundário nessas contas.
Planejar a delegação de função de recurso do Azure
Para assinaturas e recursos do Azure, você pode configurar um processo de revisão do Access semelhante para examinar as funções em cada assinatura ou recurso. O objetivo desse processo é minimizar as atribuições de Proprietário e Administrador de Acesso do Usuário anexadas a cada assinatura ou recurso e remover atribuições desnecessárias. No entanto, as organizações geralmente delegam essas tarefas ao proprietário de cada assinatura ou recurso porque têm uma melhor compreensão das funções específicas (especialmente funções personalizadas).
Se você estiver na função de Administrador Global tentando implantar o PIM para funções do Azure em sua organização, poderá elevar o acesso para gerenciar todas as assinaturas do Azure para obter acesso a cada assinatura. Em seguida, você pode encontrar cada proprietário da assinatura e trabalhar com eles para remover atribuições desnecessárias e minimizar a atribuição de função de proprietário.
Os usuários com a função de Proprietário de uma assinatura do Azure também podem usar revisões de acesso para recursos do Azure, a fim de auditar e remover atribuições de função desnecessárias, de maneira similar ao processo anteriormente descrito para funções do Microsoft Entra.
Decidir quais atribuições de função devem ser protegidas pelo Privileged Identity Management
Depois de limpar atribuições de função com privilégios em sua organização, você precisará decidir quais funções que precisam ser protegidas com o PIM.
Se uma função for protegida pelo PIM, os usuários elegíveis atribuídos a ela deverão realizar a elevação para utilizar os privilégios concedidos pela função. O processo de elevação também pode incluir a obtenção de aprovação, o uso da Autenticação Multifator do Azure e a especificação do motivo pelo qual eles estão ativando as permissões. O PIM também pode acompanhar as elevações por meio de notificações e dos logs de eventos de auditoria do PIM e do Microsoft Entra.
Escolher quais funções proteger com PIM pode ser difícil e será diferente para cada organização. Esta seção fornece nossas práticas recomendadas para funções do Microsoft Entra e funções do Azure.
Funções do Microsoft Entra
É importante priorizar a proteção das funções do Microsoft Entra que têm mais permissões. Com base nos padrões de uso entre todos os clientes DO PIM, as 10 principais funções do Microsoft Entra gerenciadas pelo PIM são:
Administrador global
Administrador de segurança
Administrador de Usuários
Administrador do Exchange
Administrador do SharePoint
Administrador do Intune
Leitor de Segurança
Administrador de Serviços
Administrador de Cobrança
Administrador do Skype for Business
Dica
A Microsoft recomenda que você gerencie todos os administradores globais e administradores de segurança usando o PIM como uma primeira etapa, pois eles são os usuários que podem causar mais danos quando comprometidos.
É importante considerar os dados e permissões mais confidenciais para sua organização. Por exemplo, algumas organizações desejam proteger sua função de Administrador do Power BI ou sua função de Administrador do Teams usando o PIM, pois podem acessar dados e alterar fluxos de trabalho principais.
Se houver funções com usuários convidados atribuídos, elas ficarão vulneráveis a ataques.
Dica
A Microsoft recomenda que você gerencie todas as funções com usuários convidados usando o PIM para reduzir o risco associado a contas de usuário convidado comprometidas.
As funções de leitor, como o Leitor de Diretório, o Leitor do Centro de Mensagens e o Leitor de Segurança, às vezes são consideradas menos importantes do que outras funções, pois não têm permissão de gravação. No entanto, temos alguns clientes que também protegem essas funções porque os invasores com acesso a essas contas podem ser capazes de ler dados confidenciais, incluindo dados pessoais. Leve esse risco em consideração ao decidir se deseja que as funções de leitor em sua organização sejam gerenciadas usando o PIM.
Funções do Azure
Ao decidir quais atribuições de função devem ser gerenciadas usando o PIM para recursos do Azure, primeiro você deve identificar as assinaturas/recursos mais vitais para sua organização. Exemplos dessas assinaturas/recursos são:
- Recursos que hospedam os dados mais confidenciais.
- Recursos dos quais os principais aplicativos voltados para o cliente dependem.
Se você for um Administrador Global com problemas para decidir quais assinaturas e recursos são mais importantes, entre em contato com os proprietários da assinatura em sua organização para coletar uma lista de recursos gerenciados por cada assinatura. Em seguida, trabalhe com os proprietários da assinatura para agrupar os recursos com base no nível de severidade no caso de eles estarem comprometidos (baixo, médio, alto). Priorize o gerenciamento de recursos com PIM com base nesse nível de severidade.
Dica
A Microsoft recomenda que você trabalhe com os proprietários de assinaturas/recursos de serviços críticos para configurar o fluxo de trabalho do PIM para todas as funções dentro de assinaturas/recursos sensíveis.
O PIM para recursos do Azure dá suporte a contas de serviço com prazo determinado. Você deve tratar as contas de serviço exatamente da mesma forma que trataria uma conta de usuário regular.
Para assinaturas/recursos que não são tão críticos, você não precisará configurar o PIM para todas as funções. No entanto, você ainda deve proteger as funções de Proprietário e Administrador de Acesso de Usuário com o PIM.
Dica
A Microsoft recomenda que você gerencie funções de proprietário e funções de Administrador de Acesso do Usuário de todas as assinaturas/recursos usando o PIM.
Decidir se deseja usar um grupo para atribuir funções
Se atribuir uma função a um grupo em vez de a usuários individuais é uma decisão estratégica. Ao planejar, considere atribuir uma função a um grupo para gerenciar atribuições de função quando:
- Muitos usuários são designados para uma função.
- Você deseja delegar a atribuição da função.
Muitos usuários são atribuídos a uma função
Manter manualmente o controle de quem é atribuído a uma função e gerenciar suas atribuições com base em quando eles precisam pode levar tempo. Para atribuir um grupo a uma função, primeiro crie um grupo atribuível a função e, em seguida, atribua o grupo como qualificado para uma função. Essa ação submete todos no grupo ao mesmo processo de ativação que os usuários individuais qualificados para serem elevados ao papel. Os membros do grupo ativam suas atribuições para o grupo individualmente usando o processo de solicitação e aprovação de ativação do PIM. O grupo não está ativado: apenas a adesão do usuário ao grupo.
Você deseja delegar a atribuição da função
Um proprietário de grupo pode gerenciar a associação a um grupo. Para os grupos atribuíveis a funções do Microsoft Entra ID, somente o Administrador de Funções com Privilégios, o Administrador Global e os donos do grupo podem gerenciar os membros do grupo. Quando um administrador adiciona novos membros ao grupo, o membro obtém acesso às funções às quais o grupo é atribuído se a atribuição é qualificada ou ativa. Use os proprietários do grupo para delegar o gerenciamento de associação de grupo para uma função atribuída para reduzir a amplitude do privilégio necessário.
Dica
A Microsoft recomenda que você traga grupos atribuíveis a funções do Microsoft Entra ID sob a gestão do PIM. Depois que um grupo com função atribuível é integrado sob gestão do PIM, ele é chamado de grupo de acesso privilegiado. Use o PIM para exigir que os proprietários de grupo ativem sua atribuição de função de proprietário antes que possam gerenciar o pertencimento ao grupo.
Decidir quais atribuições de função devem ser permanentes ou qualificadas
Depois de decidir a lista de funções a serem gerenciadas pelo PIM, você deve decidir quais usuários devem obter a função qualificada versus a função permanentemente ativa. funções permanentemente ativas são as funções normais atribuídas por meio da Microsoft Entra ID e dos recursos do Azure, enquanto as funções elegíveis só podem ser atribuídas no PIM.
A Microsoft recomenda que você não tenha nenhuma atribuição permanentemente ativa para funções do Microsoft Entra e funções do Azure, exceto pelas duas contas de acesso de emergência (conhecidas como "break-glass") recomendadas, que devem ter a função de Administrador Global permanente.
Embora recomendemos zero administradores permanentes, às vezes é difícil para as organizações conseguir isso imediatamente. As coisas a serem consideradas ao tomar essa decisão incluem:
Frequência de elevação – se o usuário precisar apenas da atribuição privilegiada uma vez, ele não deverá ter a atribuição permanente. Por outro lado, se o usuário precisar da função para seu trabalho diário e usar o PIM reduzirá consideravelmente sua produtividade, ele poderá ser considerado para a função permanente.
Casos específicos à sua organização – se a pessoa que recebe a função elegível for de uma equipe distante, ou um executivo de alto escalão, tornando a comunicação e a imposição do processo de elevação difíceis, ela poderá ser considerada para a função permanente.
Dica
A Microsoft recomenda que você configure revisões de acesso recorrentes para usuários com atribuições de função permanentes.
Elaborar suas configurações de Privileged Identity Management
Antes de implementar sua solução pim, é uma boa prática elaborar suas configurações de PIM para cada função privilegiada que sua organização usa. Esta seção tem alguns exemplos de configurações de PIM para funções específicas; elas são apenas para referência e podem ser diferentes para sua organização. Cada uma dessas configurações é explicada em detalhes com as recomendações da Microsoft após as tabelas.
Configurações do Privileged Identity Management para funções do Microsoft Entra
| de Configuração | administrador global | Administrador do Exchange | Administrador de Assistência Técnica |
|---|---|---|---|
| Exigir MFA; verificação em duas etapas | Sim | Sim | Não |
| Notificação | Sim | Sim | Não |
| Chamado de incidente | Sim | Não | Sim |
| Exigir aprovação | Sim | Não | Não |
| Aprovador | Outros administradores globais | Nenhum | Nenhum |
| Duração da ativação | 1 hora | 2 horas | 8 horas |
| Administrador permanente | Contas de acesso de emergência | Nenhum | Nenhum |
Configurações do Privileged Identity Management para funções do Azure
| de Configuração | Proprietário de assinaturas críticas | Administrador de Acesso do Usuário de assinaturas menos críticas | Colaborador da Máquina Virtual |
|---|---|---|---|
| Exigir MFA; verificação em duas etapas | Sim | Sim | Não |
| Notificação | Sim | Sim | Sim |
| Exigir aprovação | Sim | Não | Não |
| Aprovador | Outros proprietários da assinatura | Nenhum | Nenhum |
| Duração da ativação | 1 hora | 1 hora | 3 horas |
| Administrador ativo | Nenhum | Nenhum | Nenhum |
| Expiração ativa | n/a | n/a | n/a |
A tabela a seguir descreve cada uma das configurações.
| de Configuração | descrição |
|---|---|
| Função | Nome da função para a qual você está definindo as configurações. |
| Exigir MFA; verificação em duas etapas | Se o usuário qualificado precisa executar a MFA; verificação em duas etapas antes de ativar a função. |
| A Microsoft recomenda impor MFA; verificação em duas etapas para todos os papéis de administrador, especialmente se os papéis tiverem usuários convidados. | |
| Notificação | Se definido como true, o Administrador Global, o Administrador de Funções Com Privilégios e o Administrador de Segurança na organização receberão uma notificação por email quando um usuário qualificado ativar a função. |
| Algumas organizações não têm um endereço de email vinculado a suas contas de administrador. Para obter essas notificações por email, defina um endereço de email alternativo para que os administradores recebam esses emails. | |
| Chamado de incidente | Se o usuário qualificado precisa registrar um número de tíquete de incidente ao ativar sua função. Essa configuração ajuda uma organização a identificar cada ativação com um número de incidente interno para atenuar ativações indesejadas. |
| a Microsoft recomenda aproveitar os números de tíquetes de incidentes para vincular o PIM ao seu sistema interno. Esse método pode ser útil para aprovadores que precisam de contexto para a ativação. | |
| Exigir aprovação | Se o usuário qualificado precisa obter aprovação para ativar a função. |
| a Microsoft recomenda que você configure a aprovação para funções com mais permissões. Com base nos padrões de uso de todos os clientes do PIM, o Administrador Global, o Administrador do Usuário, o Administrador do Exchange, o Administrador de Segurança e o Administrador de Senhas são as funções mais comuns com aprovação necessária. | |
| Aprovador | Se a aprovação for necessária para ativar a função qualificada, liste as pessoas que devem aprovar a solicitação. Por padrão, o PIM define o aprovador como todos os usuários que são administradores de função com privilégios, sejam eles permanentes ou qualificados. |
| Se um usuário for qualificado para uma função do Microsoft Entra e também for o aprovador dessa função, ele não poderá se aprovar. | |
| A Microsoft recomenda que os aprovadores sejam usuários que sejam mais conhecedores sobre a função e seus usuários frequentes em vez de um Administrador Global. | |
| Duração da ativação | O período de tempo em que um usuário será ativado na função antes de expirar. |
| Administrador permanente | Lista de usuários que serão administradores permanentes da função (nunca é necessário ativar). |
| a Microsoft recomenda você não tem administrador permanente para todas as funções, exceto para Administradores Globais. | |
| Administrador ativo | Para recursos do Azure, o administrador ativo é a lista de usuários que nunca precisarão ser ativados para usar a função. Essa lista não é conhecida como administrador permanente, como em funções do Microsoft Entra, porque você pode definir um tempo de expiração para quando o usuário perderá essa função. |
| Expiração ativa | As atribuições de função ativa para funções do Azure expiram após a duração configurada. Você pode escolher entre 15 dias, 1 mês, 3 meses, 6 meses, 1 ano ou permanentemente ativo. |
| Expiração Elegível | As atribuições de função qualificadas para funções do Azure expiram após essa duração. Você pode escolher entre 15 dias, 1 mês, 3 meses, 6 meses, 1 ano ou permanentemente qualificado. |