Configurando funções (roles) no Entra ID Privileged Identity Management

Configurando funções (roles) no Entra ID Privileged Identity Management

No último texto falamos sobre o Entra ID PIM. Explicamos os conceitos básicos que regem a proteção do acesso privilegiado e fizemos uma breve tour pela console do PIM no Portal do Azure. Hoje, faremos um hands-on, configurando duas funções diferentes com dois níveis de segurança diferentes.


O que faremos?

Esse tutorial visa te ensinar em detalhes como realizar as configurações das funções no PIM. Nós iremos:

  • Criar um grupo no Entra ID e popular com 2 aprovadores;

  • Configurar uma função para solicitar o uso do Azure MFA na ação de aprovação;

  • Configurar uma função que exige a aprovação de um grupo antes de ter seu uso liberado para o usuário;

  • Configurar o tempo de eligibilidade das funções para os usuários.

Todas essas operações serão feitas utilizando o Portal do Azure e o Cloud Shell.

Requisitos

Para conseguir realizar esse tutorial, seu tenant precisa ter no mínimo a licença P2 atribuída. Isso é necessário pois o PIM não é um recurso gratuito e disponível para todos os usuários. O Entra ID permite que você faça testes com as licenças, podendo ativar licenças P2 por 30 dias ou o pacote de licenças E5 por 90 dias (pacote que disponibiliza 250 licenças das mais variadas para você testar).

É importante que você esteja utilizando um usuário com privilégios adequados. Se estiver realizando o tutorial em sua conta pessoal, você provavelmente estará utilizando sua conta com privilégios Global Admin, que não é uma boa prática porém para o propósito do tutorial, não tem problema.


Iniciando

O primeiro passo será criar o grupo de aprovadores e inserir alguns usuários nele. Os usuários podem ser existentes ou podem ser usuários criados por você na hora. Como o propósito do tutorial é a configuração das funções no PIM, vou deixar um script para ser utilizado no Azure CLI para você criar um grupo, criar alguns usuários e inseri-los no grupo criado.

Vamos aos preparativos.

Criando os usuários e grupo

Para execução dos comandos eu utilizei o Cloud Shell como mencionado no começo do artigo, mas você também pode executar os comandos na sua máquina local através do CMD ou do Powershell.

Para executar os comandos localmente, certifique-se de que está logado em sua conta executando o comando:

az login

Criação do grupo:

Como esse grupo será utilizado para aprovação dos pedidos, sugiro escolher um nome que remeta à função que o grupo executará (ex: Aprovadores).

az ad group create --display-name --mail-nickname

NOME-DISPLAY (obrigatório)— nome que será retornado quando o grupo for consultado, seja através da CLI, Azure Portal ou outros meios.

NOME-EMAIL (obrigatório)— nome utilizado no endereço de e-mail do grupo.

Criação dos usuários:

az ad user create --user-principal-name --display-name --password

EMAIL (obrigatório) — e-mail do usuário que será criado. O e-mail deve utilizar o domínio próprio do tenant (se você não registrou um domínio próprio para ser utilizado em seu tenant, seu domínio será .onmicrosoft.com, busque essa informação na página principal do seu Entra ID Tenant).

NOME (obrigatório) — nome que será retornado quando o usuário for consultado.

SENHA (obrigatório) — senha inicial para o usuário. Quando ele realizar o primeiro login, será solicitado que altere a senha.

Após a criação de cada usuário, é importante que você anote o ID do usuário que é retornado. Esse ID será utilizado para realizarmos a atribuição do usuário no grupo.

Atribuição dos usuários no grupo:

az ad group member add --group --member-id <ID-USUÁRIO>

NOME (obrigatório) — nome do grupo.

ID-USUÁRIO (obrigatório) — IDs dos usuários que foram anotados anteriormente.

Agora que fizemos a atribuição dos usuários ao grupo, vamos passar para a próxima parte, onde vamos configurar as funções.


Navegando no portal do PIM

Dentro do Portal do Azure podemos procurar na barra superior pelo PIM. Ao acessar o recurso você deve visualizar algo parecido com isso:

Dentro da console do PIM na seção “Gerenciar”, vamos acessar a opção Funções do Azure AD. Dentro do próximo painel, novamente abaixo de “Gerenciar” selecione a opção Funções. Será aberta uma lista com todas as funções existentes no Azure AD e que podem ser configuradas no PIM. Você deve estar em uma página igual a essa:

Painel com as funções do Entra ID

Para te explicar de maneira efetiva como esse recurso pode (e deve) ser utilizado, as funções que nós configuraremos serão:

  • Administrador da Assistência Técnica (Helpdesk Administrator);

  • Leitor Global.

Por quê essas funções?

No texto passado comentei sobre um possível problema que pode ser gerado quando estivermos configurando o PIM, que é do “engessamento” dos processos.

Devemos ser cautelosos na configuração das funções para não tirar a autonomia dos times operacionais que precisam de seus acessos para realização das atividades. É importante que os controles sejam bem aplicados mas por outro lado, não podemos esquecer que alguns desses acessos são cruciais para a realização de atividades triviais no dia a dia das equipes.

A função de Administrador da Assistência Técnica permite que o usuário reinicie as senhas outros usuários, exceto Administradores da plataforma e de outros Administrador de Assistência Técnica. Em uma empresa que contenha um serviço de helpdesk para seus funcionários, a atividade de reinicialização das senhas será recorrente, uma tarefa comum para esses funcionários. Não existe motivo para configurar essa função de modo que o usuário elegível para sua ativação precise aguardar a aprovação do acesso vindo de outro time. Isso impactará as tarefas do time aprovador, que receberá pedidos de aprovação constantes, do time de helpdesk, que precisará aguardar a aprovação da solicitação e dos funcionários da empresa, que não conseguirão realizar seus acessos até que a solicitação seja aprovada e a senha restaurada. Por isso, configuraremos a função para solicitar o MFA do usuário toda vez que ela for ativada.

Por outro lado, a função Leitor Global permite ao usuário visualizar informações de todo o seu escopo de aplicação. Se a função for aplicada com escopo de uma subscription ele conseguirá visualizar informações sobre todos os recursos contidos nela. Caso a função seja aplicada no escopo de um management group, o usuário visualizará informações de todas as subscriptions ali contidas. Essa função oferece um alto risco de vazamento de dados confidenciais para a organização, então devido ao seu nível de acesso aos recursos e escopo de aplicação, essa função vale a necessidade da aprovação de um time em específico (no contexto da sua empresa, essa equipe pode ter diversas responsabilidades).


Configurando a primeira função

Ainda na página que nos fornece uma visão de todas as funções do Azure AD, procure pela função Administrador da Assistência Técnica e a selecione. Uma página parecida com essa deve se abrir:

Painel da função: Administrador da Assitência Técnica

Nas opções horizontais, 2 nos importam:

  • “Adicionar atribuições”: opção que nos permite atribuir essa função à certos usuários e grupos. A utilizaremos após configurarmos as propriedades da função;

  • “Configurações”: onde realizaremos nossos primeiros passos, configurando as opções da função.

Clicando em “configurações” e logo em seguida em “editar”, seremos levados à seguinte página:

Painel de configuração de ativação da função

Iremos habilitar as configurações em 3 etapas:

  • Ativação: diz respeito às ações que serão tomadas pelo usuário no momento da ativação da função;

  • Atribuição: onde podemos realizar alterações sobre as propriedades de atribuição da função;

  • Notificação: definição das partes que poderão ser notificadas quando algum tipo de modificação ou atribuição for feita na função.

Ativação

Como primeiros passos, vamos configurar para que o usuário utilize o Azure MFA para a ativação e vamos diminuir o tempo de duração para 4 horas.

Para esse cenário em específico, as empresas habilitariam a opção “Exigir informações de tíquete na ativação”, visto que muitas delas utilizam softwares que auxiliam na gestão da solicitação de serviços. Para manter nosso exemplo mais simples e conciso vamos deixar essa opção desmarcada.

No final dessas configurações, você presenciará o seguinte cenário:

Painel de configuração da ativação da função

Para fins de curiosidade, caso o usuário não tenha o Azure MFA conectado com sua conta, no momento de ativação ele será levado para uma jornada que o permitirá instalar o aplicativo Microsoft Authenticator e registrar seu token .

Atribuição

Passando para a tela de atribuição, deixaremos as configurações da seguinte forma:

Painel de configuração da atribuição

A primeira opção marcada (“Permitir atribuição qualificada permanente”) permite que a função atribuída ao usuário não expire com o tempo. Ela estará disponível para ser ativada até que seja removida de forma explícita. Caso essa caixa não esteja marcada, poderemos definir um tempo máximo de duração da atribuição. Para nosso exemplo, não configuraremos a expiração visto que os usuários que terão essa função atribuída farão uso dela diariamente.

A segunda caixa funciona de maneira parecida em relação à primeira, se diferenciando no ponto em que neste caso a função pode ser atribuída como ativa para o usuário, não exigindo que ele faça uso do Azure MFA. Também a manteremos habilitada.

Por fim as duas últimas opções. Caso desejássemos solicitar o MFA para atribuições ativas, poderíamos marcar a penúltima caixa mas visto que esse tipo de atribuição será pouco utilizado, vamos deixá-la desabilitada e marcaremos a última opção, que exige uma justificativa para atribuir a função de maneira ativa.

Notificação

O último passo agora é definirmos os usuários que serão notificados quando houver algum tipo de mudança nas configurações e atribuições da função.

Para fins de simplicidade, vamos manter essas configurações da maneira padrão:

Painel de configuração das notificações da função

Clique em “Atualizar” e pronto! Temos nossa primeira função configurada. Para a próxima, vamos passar pelos passos de maneira mais rápida, visto que grande parte das etapas de configuração é igual ao que acabamos de fazer.


Configurando a segunda função

Voltando à tela que contém a lista das funções, vamos pesquisar pela função Leitor Global. A selecione e acesse a opção “Configurações”.

Ativação

A segunda função não exigirá o uso de MFA pois terá um grupo de aprovadores que receberão as solicitações dos usuários. Também reduziremos o tempo de duração da ativação para 4 horas.

Para cadastrar um grupo de aprovadores, selecione a caixa que diz “Requer aprovação para ativar”. Após selecioná-la a opção para selecionar os aprovadores se tornará disponível. Selecionaremos o grupo “Aprovadores” que criamos no início do tutorial através do Azure Cloud Shell.

Sua página deve ficar parecida com essa:

Painel de configuração da ativação da função com atribuição de aprovadores

Atribuição

Diferente da primeira função, essa apresenta um risco muito maior à segurança da informação da empresa, visto que o usuário que contém esse privilégio terá acesso à informações sensíveis dos ambientes.

Para essa função vamos desabilitar a atribuição permanente tanto para as atribuições qualificadas quanto para as ativas. O tempo de expiração das funções também será alterado. As atribuições qualificadas terão duração máxima de 6 meses e as ativas duração máxima de 1 mês.

Manteremos a necessidade de uma justificativa para atribuições ativas.

Painel de configuração da atribuição de uma função

Notificação

Não faremos nenhuma modificação nesta aba, manteremos as configurações padrão, que são as mesmas da função anterior.


Atribuindo usuários

Após realizarmos as configurações das funções chegou a hora de atribuí-las à alguns usuários.

No painel da função que iremos atribuir vamos selecionar a opção “Adicionar atribuições”.

Formulário de atribuição da função

Dependendo da função que está sendo atribuída você pode ter a opção “Tipo de escopo” habilitada para personalização. O escopo determina sob qual nível a função será aplicada. Quando estamos tratando de funções do Azure AD os escopos existentes são: Diretório e Unidade Administrativa. Para funções do Azure temos uma granularidade maior de escopos que podemos utilizar.

Cabe a você selecionar os membros que terão acesso a essa função. Você poderá escolher usuários ou grupos.

Obs: para que os grupos possam ter funções atribuídas é necessário que no momento de criação ele tenha sido explicitamente configurado para isso.

Após selecionar os usuários para atribuição, você irá configurar o estado da atribuição e o tempo de duração. O estado pode ser Qualificado ou Ativo. O tempo de atribuição deverá respeitar o que foi configurado previamente na função.

Após finalizar essas seleções, a atribuição estará feita!


Conclusão

Após realizar as atribuições dos usuários, o que resta é testar.

Faça login nas contas dos usuários que tiveram funções atribuídas e realize a ativação delas.

Para a função Administrador da Assistência Técnica será necessário apenas a utilização do Azure MFA, então ao realizar a ativação será solicitado que você complete a operação no aplicativo.

No caso da função Leitor Global você precisará realizar login com qualquer uma das contas dos usuários presentes no grupo “Aprovadores”, navegar até o painel do PIM, selecionar “Funções do Azure AD” no painel à esquerda e escolher a seguinte opção:

Dentro desse painel você poderá visualizar as aprovações que estão pendentes e também as renovações de atribuições.

Quando uma solicitação for feita, todos os aprovadores daquela função receberão um e-mail informando da pendência. A aprovação pode ser feita diretamente pelo e-mail recebido, que contém links que fornecem essa facilidade.


Com esse tutorial conseguimos visualizar e entender a importância de se proteger o acesso privilegiado aos recursos e como isso pode ser facilmente implementado com a ferramenta correta.

O Entra ID PIM é extremamente poderoso e contribuirá muito para a estratégia de segurança e zero trust da sua empresa.

Obrigado por acompanhar até aqui e até logo!