Criar autorizações qualificadas

Quando integra clientes no Azure Lighthouse, cria autorizações para conceder funções incorporadas especificadas no Azure aos utilizadores do seu tenant de gestão. Também pode criar autorizações elegíveis que usem Microsoft Entra Privileged Identity Management (PIM) para permitir que os utilizadores do seu tenant gestor elevem temporariamente o seu papel. Esta elevação de função concede permissões adicionais num formato just-in-time, de modo que os utilizadores só tenham essas permissões por um período determinado.

Ao criar autorizações elegíveis, minimiza o número de atribuições permanentes de utilizadores a papéis privilegiados. Esta abordagem ajuda a reduzir os riscos de segurança relacionados com o acesso privilegiado por parte dos utilizadores no seu inquilino.

Este artigo explica como funcionam as autorizações elegíveis e como criá-las durante a integração de um cliente no Azure Lighthouse.

Requisitos de licença

Como as autorizações elegíveis utilizam Microsoft Entra Privileged Identity Management, o inquilino gestor deve ter uma licença de Microsoft Entra ID Governance válida que suporte Privileged Identity management para criar autorizações elegíveis.

Quaisquer custos adicionais associados a uma função elegível aplicam-se apenas durante o período em que o utilizador eleva o seu acesso a essa função.

Nota

A criação de autorizações qualificadas não é suportada em nuvens nacionais.

Como funcionam as autorizações elegíveis

Uma autorização elegível define uma atribuição de função que exige que o usuário ative a função quando precisar executar tarefas privilegiadas. Quando ativam a função elegível, têm acesso total concedido por essa função durante o período especificado.

Os usuários no locatário do cliente podem revisar todas as atribuições de função, incluindo aquelas em autorizações qualificadas, antes do processo de integração.

Quando um utilizador ativa uma função elegível, recebe essa função elevada no âmbito delegado para um período pré-configurado, além das suas atribuições permanentes para esse âmbito.

Os administradores do tenant gestor podem rever todas as atividades da Privileged Identity Management consultando o registo de auditoria no tenant gestor. Os clientes podem visualizar estas ações no registo de atividades do Azure para a subscrição delegada.

Elementos de autorização elegíveis

Pode criar uma autorização elegível ao integrar clientes utilizando modelos do Azure Resource Manager ou publicando uma oferta de Serviços Geridos no Microsoft Marketplace. Cada autorização elegível deve incluir três elementos: o usuário, a função e a política de acesso.

Utilizador

Para cada autorização elegível, forneça o ID principal de um utilizador individual ou de um grupo Microsoft Entra no tenant gestor. Juntamente com o ID principal, forneça um nome de exibição para cada autorização.

Se atribuir uma autorização elegível a um grupo, qualquer membro desse grupo pode elevar o seu próprio acesso individual a esse papel, conforme a política de acesso.

Não é possível usar autorizações qualificadas com entidades de serviço, pois atualmente não há como uma conta de entidade de serviço elevar seu acesso e usar uma função qualificada. Também não pode usar autorizações elegíveis que delegatedRoleDefinitionIds um Administrador de Acesso ao Utilizador possa atribuir a identidades geridas.

Nota

Para cada autorização elegível, certifique-se também de criar uma autorização permanente (ativa) para o mesmo principal ID com um papel diferente, como Reader (ou outro papel incorporado no Azure que inclua acesso Reader). Se não incluir uma autorização permanente com acesso ao Leitor, o utilizador não pode elevar o seu papel no portal Azure.

Funções

Cada autorização elegível deve incluir uma função incorporada do Azure que o utilizador possa usar de forma just-in-time.

O papel pode ser qualquer função incorporada do Azure que seja suportada para gestão de recursos delegados do Azure, exceto para Administrador de Acesso ao Utilizador.

Importante

Se você incluir várias autorizações qualificadas que usam a mesma função, cada uma das autorizações qualificadas deverá ter as mesmas configurações de política de acesso.

Política de acesso

A política de acesso define os requisitos de autenticação multifator, o período de tempo em que um usuário será ativado na função antes que ela expire, e se os aprovadores são necessários.

Autenticação multifator

Especifique se deve exigir autenticação multifator Microsoft Entra para ativar uma função elegível.

Duração máxima

Defina o período total de tempo durante o qual o utilizador terá a função elegível. O valor mínimo é de 30 minutos e o máximo de 8 horas.

Aprovadores

O elemento aprovadores é opcional. Se você incluí-lo, poderá especificar até 10 usuários ou grupos de usuários no locatário de gerenciamento que podem aprovar ou negar solicitações de um usuário para ativar a função qualificada.

Não é possível usar uma conta principal de serviço como aprovador. Além disso, os aprovadores não podem aprovar o seu próprio acesso. Se um aprovador também for incluído como utilizador numa autorização elegível, um aprovador diferente deve conceder-lhe acesso para elevar o seu papel.

Se não incluir aprovadores, o utilizador pode ativar a função elegível sempre que quiser.

Crie autorizações elegíveis utilizando ofertas de Serviços Geridos

Pode integrar o seu cliente no Azure Lighthouse publicando ofertas de Serviços Geridos no Microsoft Marketplace. Ao criar as suas ofertas no Centro de Parceiros, especifica se o tipo de Acesso para cada Autorização deve ser Ativo ou Elegível.

Quando seleciona Elegível, o utilizador na sua autorização pode ativar o papel de acordo com a política de acesso que configurar. Deve definir uma duração máxima entre 30 minutos e 8 horas, e especificar se necessita de autenticação multifator. Você também pode adicionar até 10 aprovadores se optar por usá-los, fornecendo um nome para exibição e um ID principal para cada um.

Certifique-se de compreender os elementos de autorização elegíveis ao configurar as suas autorizações elegíveis no Partner Center.

Crie autorizações elegíveis utilizando templates do Azure Resource Manager

Podes integrar clientes para Azure Lighthouse usando um modelo Azure Resource Manager juntamente com um ficheiro de parâmetros correspondente que modificas. O modelo que escolher depende se está a integrar uma subscrição completa, um grupo de recursos ou vários grupos de recursos dentro de uma subscrição.

Para incluir autorizações elegíveis ao integrar um cliente, utilize um dos templates da secção delegated-resource-management-eligible-authorizations do nosso repositório de exemplos. O repositório fornece modelos com e sem aprovadores incluídos, para que possa usar aquele que melhor funcionar para o seu cenário.

Para integrar (com autorizações elegíveis) Use este modelo do Azure Resource Manager E modificar este ficheiro de parâmetro
Subscrição subscription.json subscription.parameters.json
Subscrição (com aprovadores) subscription-managing-tenant-approvers.json subscription-managing-tenant-approvers.parameters.json
Grupo de recursos rg.json rg.parameters.json
Grupo de recursos (com aprovadores) rg-managing-tenant-approvers.json rg-managing-tenant-approvers.parameters.json
Múltiplos grupos de recursos numa subscrição multiple-rg.json multiple-rg.parameters.json
Vários grupos de recursos numa subscrição (com aprovadores) multiple-rg-managing-tenant-approvers.json multiple-rg-managing-tenant-approvers.parameters.json

Por exemplo, este é o modelo subscription-managing-tenant-approvers.json , que integra uma subscrição com autorizações elegíveis (incluindo aprovadores).

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/subscriptionDeploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "mspOfferName": {
            "type": "string",
            "metadata": {
                "description": "Specify a unique name for your offer"
            }
        },
        "mspOfferDescription": {
            "type": "string",
            "metadata": {
                "description": "Name of the Managed Service Provider offering"
            }
        },
        "managedByTenantId": {
            "type": "string",
            "metadata": {
                "description": "Specify the tenant id of the Managed Service Provider"
            }
        },
        "authorizations": {
            "type": "array",
            "metadata": {
                "description": "Specify an array of objects, containing tuples of Azure Active Directory principalId, a Azure roleDefinitionId, and an optional principalIdDisplayName. The roleDefinition specified is granted to the principalId in the provider's Active Directory and the principalIdDisplayName is visible to customers."
            }
        },
        "eligibleAuthorizations": {
            "type": "array",
            "metadata": {
                "description": "Provide the authorizations that will have just-in-time role assignments on customer environments with support for approvals from the managing tenant"
            }
        }
    },
        "variables": {
            "mspRegistrationName": "[guid(parameters('mspOfferName'))]",
            "mspAssignmentName": "[guid(parameters('mspOfferName'))]"
        },
        "resources": [
            {
                "type": "Microsoft.ManagedServices/registrationDefinitions",
                "apiVersion": "2020-02-01-preview",
                "name": "[variables('mspRegistrationName')]",
                "properties": {
                    "registrationDefinitionName": "[parameters('mspOfferName')]",
                    "description": "[parameters('mspOfferDescription')]",
                    "managedByTenantId": "[parameters('managedByTenantId')]",
                    "authorizations": "[parameters('authorizations')]",
                    "eligibleAuthorizations": "[parameters('eligibleAuthorizations')]"
                }
            },
            {
                "type": "Microsoft.ManagedServices/registrationAssignments",
                "apiVersion": "2020-02-01-preview",
                "name": "[variables('mspAssignmentName')]",
                "dependsOn": [
                    "[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
                ],
                "properties": {
                    "registrationDefinitionId": "[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
                }
            }
        ],
        "outputs": {
            "mspOfferName": {
                "type": "string",
                "value": "[concat('Managed by', ' ', parameters('mspOfferName'))]"
            },
            "authorizations": {
                "type": "array",
                "value": "[parameters('authorizations')]"
            },
            "eligibleAuthorizations": {
                "type": "array",
                "value": "[parameters('eligibleAuthorizations')]"
            }
        }
    }

Definir autorizações qualificadas em seu arquivo de parâmetros

O ficheiro de parâmetros correspondente ao seu modelo de implementação define autorizações, incluindo as elegíveis.

Defina cada uma das suas autorizações elegíveis no eligibleAuthorizations parâmetro. Por exemplo, este modelo de exemplo subscription-managing-tenant-approvers.parameters.json inclui uma autorização elegível. Inclui também o managedbyTenantApprovers elemento, que acrescenta um principalId que deve aprovar todas as tentativas de ativar os papéis elegíveis definidos no eligibleAuthorizations elemento.

{
    "$schema": "https://schema.management.azure.com/schemas/2018-05-01/subscriptionDeploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "mspOfferName": {
            "value": "Relecloud Managed Services"
        },
        "mspOfferDescription": {
            "value": "Relecloud Managed Services"
        },
        "managedByTenantId": {
            "value": "<insert the managing tenant id>"
        },
        "authorizations": {
            "value": [
                { 
                    "principalId": "00000000-0000-0000-0000-000000000000",
                    "roleDefinitionId": "acdd72a7-3385-48ef-bd42-f606fba81ae7",
                    "principalIdDisplayName": "PIM group"
                }
            ]
        }, 
        "eligibleAuthorizations":{
            "value": [
                {
                        "justInTimeAccessPolicy": {
                            "multiFactorAuthProvider": "Azure",
                            "maximumActivationDuration": "PT8H",
                            "managedByTenantApprovers": [ 
                                { 
                                    "principalId": "00000000-0000-0000-0000-000000000000", 
                                    "principalIdDisplayName": "PIM-Approvers" 
                                } 
                            ]
                        },
                        "principalId": "00000000-0000-0000-0000-000000000000", 
                        "principalIdDisplayName": "Tier 2 Support",
                        "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"

                }
            ]
        }
    }
}

Cada entrada dentro do eligibleAuthorizations parâmetro contém três elementos que definem uma autorização elegível: principalId, roleDefinitionId, e justInTimeAccessPolicy.

principalId especifica o ID do utilizador ou grupo Microsoft Entra ao qual esta autorização elegível se aplica.

roleDefinitionId contém o ID de definição de função para uma função integrada do Azure que o utilizador poderá usar de forma just-in-time. Se você incluir várias autorizações qualificadas que usam o mesmo roleDefinitionId, todas elas deverão ter configurações idênticas para justInTimeAccessPolicy.

justInTimeAccessPolicy Especifica três elementos:

  • multiFactorAuthProvider pode ser definido para Azure, que requer autenticação usando autenticação multifator Microsoft Entra, ou para Nenhum se não for necessária autenticação multifator.
  • maximumActivationDuration Define o período total de tempo durante o qual o utilizador terá a função elegível. Esse valor deve usar o formato de duração ISO 8601. O valor mínimo é PT30M (30 minutos) e o valor máximo é PT8H (8 horas). Para simplificar, use valores em incrementos de meia hora, como PT6H durante 6 horas ou PT6H30M durante 6,5 horas.
  • managedByTenantApprovers é opcional. Se o incluir, deve conter uma ou mais combinações de um principalId e um principalIdDisplayName, que devem aprovar qualquer ativação da função elegível.

Para obter mais informações sobre esses elementos, consulte a seção Elementos de autorização elegíveis.

Processo de elevação para utilizadores

Depois de integrar um cliente no Azure Lighthouse, o utilizador especificado (ou utilizadores em quaisquer grupos específicos) pode aceder aos papéis elegíveis que incluiu.

Cada utilizador pode elevar o seu acesso a qualquer momento visitando a página Os meus clientes no portal Azure, selecionando uma delegação e depois selecionando Gerenciar funções elegíveis. Depois disso, podem seguir os passos para ativar o papel em Microsoft Entra Privileged Identity Management.

Se especificar aprovadores, o utilizador não pode aceder à função até que um aprovador do locatário gestor conceda a aprovação. Todos os aprovadores são notificados quando a aprovação é solicitada, e o utilizador não pode usar a função elegível até que a aprovação seja concedida. Os aprovadores também são notificados sobre cada aprovação.

Para mais informações sobre o processo de aprovação, consulte Aprovar ou negar a pedidos para funções de recursos do Azure em Privileged Identity Management.

Uma vez que a função elegível tenha sido ativada, o usuário terá essa função durante todo o período especificado na autorização elegível. Após esse período, eles não poderão mais usar essa função, a menos que repitam o processo de elevação e elevem seu acesso novamente.

Próximos passos

  • Last updated on