Criar as autorizações elegíveis

Ao integrar clientes ao Azure Lighthouse, você cria autorizações para conceder funções internas do Azure especificadas aos usuários no seu tenant de gerenciamento. Você também pode criar autorizações qualificadas que usam o Microsoft Entra Privileged Identity Management (PIM) para permitir que os usuários no seu locatário gerenciado elevem temporariamente suas funções. Essa elevação de função concede permissões adicionais em tempo real, garantindo que os usuários tenham acesso apenas por um período determinado.

Ao criar autorizações qualificadas, você minimiza o número de atribuições permanentes de usuários a funções privilegiadas. Essa abordagem ajuda a reduzir os riscos de segurança relacionados ao acesso privilegiado por usuários em seu locatário.

Este artigo explica como as autorizações qualificadas funcionam e como criá-las durante a integração de um cliente no Azure Lighthouse.

Requisitos de licença

Como as autorizações elegíveis usam o Gerenciamento de Identidades Privilegiadas do Microsoft Entra, o locatário de gerenciamento deve ter uma licença Microsoft Entra ID Governance válida que ofereça suporte ao Gerenciamento de Identidades Privilegiadas para criar autorizações elegíveis.

Todos os custos extras associados a uma função qualificada se aplicam somente durante o período em que o usuário eleva seu acesso a essa função.

Observação

Não há suporte para a criação de autorizações qualificadas em nuvens nacionais.

Como funcionam as autorizações qualificadas

Uma autorização qualificada define uma atribuição de função que exige que o usuário ative a função quando precisa realizar tarefas privilegiadas. Quando ativam a função qualificada, elas têm o acesso completo concedido por essa função pelo período de tempo especificado.

Os usuários no locatário do cliente podem examinar todas as atribuições de função, incluindo aquelas em autorizações qualificadas, antes do processo de integração.

Quando um usuário ativa uma função qualificada, ele obtém essa função elevada no escopo delegado para um período de tempo pré-configurado, além de suas atribuições de função permanentes para esse escopo.

Os administradores no locatário de gerenciamento podem examinar todas as atividades do Privileged Identity Management, exibindo o log de auditoria no locatário de gerenciamento. Os clientes podem exibir essas ações no log de atividades do Azure para a assinatura delegada.

Elementos de autorização elegíveis

Você pode criar uma autorização qualificada ao integrar clientes usando modelos Azure Resource Manager ou publicando uma oferta de Serviços Gerenciados para Microsoft Marketplace. Cada autorização elegível deve incluir três elementos: o usuário, a função e a política de acesso.

Usuário

Para cada autorização qualificada, informe o ID do principal de um usuário individual ou de um grupo do Microsoft Entra no locatário administrador. Juntamente com ID principal, forneça um nome de exibição para cada autorização.

Se você atribuir uma autorização qualificada a um grupo, qualquer membro desse grupo poderá elevar seu próprio acesso individual a essa função, de acordo com a política de acesso.

Você não pode usar autorizações qualificadas com entidades de serviço, pois atualmente não há como uma conta de entidade de serviço elevar seu acesso e usar uma função qualificada. Você também não pode usar autorizações qualificadas com delegatedRoleDefinitionIds as quais um Administrador de Acesso de Usuário pode atribuir a identidades gerenciadas.

Observação

Para cada autorização qualificada, crie também uma autorização permanente (ativa) para o mesmo ID de principal, com uma função diferente, como Leitor (ou outra função integrada do Azure que inclua esse nível de acesso). Se você não incluir uma autorização permanente com acesso de Leitor, o usuário não poderá elevar sua função no portal Azure.

Função

Cada autorização qualificada deve incluir uma função integrada do Azure que o usuário possa utilizar em tempo real.

A função pode ser qualquer função interna do Azure suportada para o gerenciamento de recursos delegados do Azure, com exceção do Administrador de Acesso do Usuário.

Importante

Se você incluir várias autorizações qualificadas que usam a mesma função, cada uma das autorizações qualificadas deverá ter as mesmas configurações de política de acesso.

Política de acesso

A política de acesso define os requisitos de autenticação multifator, o período de tempo que um usuário permanecerá ativado na função antes de expirar e se são necessários aprovadores.

Autenticação multifator

Especifique se é necessário autenticação multifator do Microsoft Entra para ativar um papel elegível.

Duração máxima

Define o período total em que o usuário terá a função qualificada. O valor mínimo é de 30 minutos e o máximo é de 8 horas.

Aprovadores

O elemento aprovadores é opcional. Se você incluí-lo, poderá especificar até dez usuários ou grupos de usuários no locatário de gerenciamento que poderão aprovar ou negar solicitações de um usuário para ativar a função qualificada.

Você não pode usar uma conta principal de serviço como um aprovador. Além disso, os aprovadores não podem aprovar o próprio acesso. Se um aprovador também for incluído como o usuário em uma autorização elegível, um aprovador diferente deverá conceder acesso para que ele possa elevar sua função.

Se nenhum aprovador for definido, o usuário poderá ativar a função qualificada sempre que desejar.

Criar autorizações qualificadas usando ofertas de Serviços Gerenciados

Você pode integrar seu cliente para Azure Lighthouse publicando ofertas de Serviços Gerenciados no Microsoft Marketplace. Ao criar suas ofertas no Partner Center, especifique se o tipo de acesso para cada autorização deve ser ativo ou qualificado.

Quando você seleciona Qualificado, o usuário em sua autorização pode ativar a função de acordo com a política de acesso configurada. Você deve definir uma duração máxima entre 30 minutos e 8 horas e especificar se você precisa de autenticação multifator. Você também pode adicionar até 10 aprovadores caso opte por utilizá-los, informando um nome a ser exibido e uma ID principal para cada um.

Lembre-se de entender os elementos de autorização qualificados ao configurar suas autorizações qualificadas no Partner Center.

Criar autorizações qualificadas usando modelos de Azure Resource Manager

Você pode integrar clientes para Azure Lighthouse usando um modelo Azure Resource Manager juntamente com um arquivo de parâmetros correspondente que você modificar. O modelo escolhido depende se você está integrando uma assinatura inteira, um grupo de recursos ou vários grupos de recursos em uma assinatura.

Para incluir as autorizações qualificadas ao integrar um cliente, use um dos modelos da seção delegated-resource-management-eligible-authorizations do nosso repositório de exemplos. O repositório fornece modelos com e sem aprovadores incluídos, para que você possa usar aquele que funciona melhor para seu cenário.

Para fazer essa integração (com autorizações qualificadas) Usar este modelo de Azure Resource Manager e altere esse arquivo de parâmetros
Assinatura subscription.json subscription.parameters.json
Assinatura (com aprovadores) subscription-managing-tenant-approvers.json subscription-managing-tenant-approvers.parameters.json
Grupo de recursos rg.json rg.parameters.json
Grupo de recursos (com aprovadores) rg-managing-tenant-approvers.json rg-managing-tenant-approvers.parameters.json
Múltiplos grupos de recursos em uma assinatura multiple-rg.json multiple-rg.parameters.json
Múltiplos grupos de recursos em uma assinatura (com aprovadores) multiple-rg-managing-tenant-approvers.json multiple-rg-managing-tenant-approvers.parameters.json

Por exemplo, este é o modelo subscription-managing-tenant-approvers.json, que integra uma assinatura com autorizações qualificadas (incluindo aprovadores).

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/subscriptionDeploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "mspOfferName": {
            "type": "string",
            "metadata": {
                "description": "Specify a unique name for your offer"
            }
        },
        "mspOfferDescription": {
            "type": "string",
            "metadata": {
                "description": "Name of the Managed Service Provider offering"
            }
        },
        "managedByTenantId": {
            "type": "string",
            "metadata": {
                "description": "Specify the tenant id of the Managed Service Provider"
            }
        },
        "authorizations": {
            "type": "array",
            "metadata": {
                "description": "Specify an array of objects, containing tuples of Azure Active Directory principalId, a Azure roleDefinitionId, and an optional principalIdDisplayName. The roleDefinition specified is granted to the principalId in the provider's Active Directory and the principalIdDisplayName is visible to customers."
            }
        },
        "eligibleAuthorizations": {
            "type": "array",
            "metadata": {
                "description": "Provide the authorizations that will have just-in-time role assignments on customer environments with support for approvals from the managing tenant"
            }
        }
    },
        "variables": {
            "mspRegistrationName": "[guid(parameters('mspOfferName'))]",
            "mspAssignmentName": "[guid(parameters('mspOfferName'))]"
        },
        "resources": [
            {
                "type": "Microsoft.ManagedServices/registrationDefinitions",
                "apiVersion": "2020-02-01-preview",
                "name": "[variables('mspRegistrationName')]",
                "properties": {
                    "registrationDefinitionName": "[parameters('mspOfferName')]",
                    "description": "[parameters('mspOfferDescription')]",
                    "managedByTenantId": "[parameters('managedByTenantId')]",
                    "authorizations": "[parameters('authorizations')]",
                    "eligibleAuthorizations": "[parameters('eligibleAuthorizations')]"
                }
            },
            {
                "type": "Microsoft.ManagedServices/registrationAssignments",
                "apiVersion": "2020-02-01-preview",
                "name": "[variables('mspAssignmentName')]",
                "dependsOn": [
                    "[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
                ],
                "properties": {
                    "registrationDefinitionId": "[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
                }
            }
        ],
        "outputs": {
            "mspOfferName": {
                "type": "string",
                "value": "[concat('Managed by', ' ', parameters('mspOfferName'))]"
            },
            "authorizations": {
                "type": "array",
                "value": "[parameters('authorizations')]"
            },
            "eligibleAuthorizations": {
                "type": "array",
                "value": "[parameters('eligibleAuthorizations')]"
            }
        }
    }

Definir as autorizações qualificadas no arquivo de parâmetros

O arquivo de parâmetros que corresponde ao modelo de implantação define autorizações, incluindo autorizações qualificadas.

Defina cada uma de suas autorizações qualificadas no eligibleAuthorizations parâmetro. Por exemplo, este modelo de exemplo subscription-managing-tenant-approvers.parameters.json inclui uma autorização qualificada. Ele também inclui o managedbyTenantApprovers elemento, que adiciona um principalId que deve aprovar todas as tentativas de ativar as funções qualificadas definidas no eligibleAuthorizations elemento.

{
    "$schema": "https://schema.management.azure.com/schemas/2018-05-01/subscriptionDeploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "mspOfferName": {
            "value": "Relecloud Managed Services"
        },
        "mspOfferDescription": {
            "value": "Relecloud Managed Services"
        },
        "managedByTenantId": {
            "value": "<insert the managing tenant id>"
        },
        "authorizations": {
            "value": [
                { 
                    "principalId": "00000000-0000-0000-0000-000000000000",
                    "roleDefinitionId": "acdd72a7-3385-48ef-bd42-f606fba81ae7",
                    "principalIdDisplayName": "PIM group"
                }
            ]
        }, 
        "eligibleAuthorizations":{
            "value": [
                {
                        "justInTimeAccessPolicy": {
                            "multiFactorAuthProvider": "Azure",
                            "maximumActivationDuration": "PT8H",
                            "managedByTenantApprovers": [ 
                                { 
                                    "principalId": "00000000-0000-0000-0000-000000000000", 
                                    "principalIdDisplayName": "PIM-Approvers" 
                                } 
                            ]
                        },
                        "principalId": "00000000-0000-0000-0000-000000000000", 
                        "principalIdDisplayName": "Tier 2 Support",
                        "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"

                }
            ]
        }
    }
}

Cada entrada dentro do parâmetro eligibleAuthorizations contém três elementos que definem uma autorização qualificada: principalId, roleDefinitionId, e justInTimeAccessPolicy.

principalId especifica a ID do usuário ou grupo Microsoft Entra ao qual essa autorização qualificada se aplica.

roleDefinitionId contém o ID da definição de função de uma função integrada do Azure que o usuário estará apto a utilizar em tempo real. Se você incluir várias autorizações qualificadas que usam o mesmo roleDefinitionId, todas elas devem ter configurações idênticas para o justInTimeAccessPolicy.

justInTimeAccessPolicy especifica três elementos:

  • multiFactorAuthProvider pode ser definido como Azure, o que requer autenticação multifator usando Microsoft Entra, ou como Nenhum se nenhuma autenticação multifator for necessária.
  • maximumActivationDuration define o período total em que o usuário terá a função qualificada. Esse valor deve usar o formato de duração da ISO 8601. O valor mínimo é PT30M (30 minutos) e o valor máximo é PT8H (8 horas). Para simplificar, use valores em incrementos de meia hora, como PT6H por 6 horas ou PT6H30M por 6,5 horas.
  • managedByTenantApprovers é opcional. Se incluído, ele deverá conter uma ou mais combinações de principalId e principalIdDisplayName, responsáveis por aprovar qualquer ativação da função elegível.

Para obter mais informações sobre esses elementos, confira a seção Elementos de autorização qualificados.

Processo de elevação para usuários

Depois que você integrar um cliente para Azure Lighthouse, o usuário especificado (ou usuários em qualquer grupo especificado) poderá acessar as funções qualificadas que você incluiu.

Cada usuário pode elevar seu acesso a qualquer momento visitando a página My customers no portal Azure, selecionando uma delegação e selecionando funções qualificadas Manage. Depois disso, eles podem seguir os passos para ativar o papel em Microsoft Entra Privileged Identity Management.

Se você especificar aprovadores, o usuário só poderá acessar a função após a aprovação de um aprovador do locatário de gerenciamento. Todos os aprovadores são notificados quando a aprovação é solicitada e o usuário não pode usar a função qualificada até que a aprovação seja concedida. Os aprovadores também são notificados sobre cada aprovação.

Para obter mais informações sobre o processo de aprovação, consulte Aprovar ou negar solicitações para funções de recurso do Azure no Privileged Identity Management.

Depois que a função qualificada tiver sido ativada, o usuário terá essa função pela duração total especificada na autorização qualificada. Após esse período, ele não poderá mais usar essa função, a menos que repita o processo de elevação e eleve o acesso novamente.

Próximas etapas

  • Last updated on