Configurar alertas de segurança para as funções do Azure no Privileged Identity Management
O PIM (Privileged Identity Management) gera alertas quando há atividades suspeitas ou inseguras em sua organização no Microsoft Entra ID. Quando um alerta é disparado, ele aparece na página Alertas.
Observação
Um evento no Privileged Identity Management pode gerar notificações por email para vários destinatários: destinatários, aprovadores ou administradores. O número máximo de notificações enviadas por evento é 1.000. Se o número de destinatários for superior a 1.000, somente os primeiros 1.000 destinatários receberão uma notificação por email. Isso não impede que outros destinatários, administradores ou aprovadores usem suas permissões no Microsoft Entra ID e no Privileged Identity Management.
Revisar alertas
Selecione um alerta para ver um relatório que lista os usuários ou as funções que dispararam o alerta, junto com o guia correção.
Alertas
| Alerta | Severidade | Gatilho | Recomendação |
|---|---|---|---|
| Muitos proprietários atribuídos a um recurso | Médio | Muitos usuários têm a função de proprietário. | Examine os usuários na lista e reatribua alguns a funções menos privilegiadas. |
| Muitos proprietários permanentes atribuídos a um recurso | Médio | Muitos usuários são permanentemente atribuídos a uma função. | Examine os usuários na lista e transfira alguns para exigir ativação para o uso da função. |
| Duplicar função criada | Médio | Várias funções têm os mesmos critérios. | Use apenas uma dessas funções. |
| As funções estão sendo atribuídas fora do Privileged Identity Management | Alto | Uma função é gerenciada diretamente por meio do recurso do IAM do Azure ou da API do Azure Resource Manager. | Revise os usuários na lista e remova-os das funções privilegiadas atribuídas fora do Privileged Identity Management. |
Observação
Para as funções que estão sendo atribuídas fora dos alertas do Privileged Identity Management, você pode encontrar notificações duplicadas. Essas duplicações estão relacionadas principalmente a um incidente ao vivo no site em que as notificações estão sendo enviadas novamente.
Severidade
- Alta: exige ação imediata devido a uma violação da política.
- Média: não exige ação imediata, mas sinaliza uma possível violação da política.
- Baixa: não exige ação imediata, mas sugere uma alteração preferencial da política.
Definir configurações de alerta de segurança
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Siga estas etapas para configurar alertas de segurança para funções do Azure no Privileged Identity Management:
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.
Navegue até Governança de identidade>Privileged Identity Management>Recursos do Azure Selecione sua assinatura >Alertas>Configuração. Para saber mais sobre como adicionar o bloco Privileged Identity Management ao seu painel, confira Começar a usar o Privileged Identity Management.
Personalize configurações nos diferentes alertas para trabalhar com seu ambiente e as metas de segurança.
Observação
O alerta "As funções estão sendo atribuídas fora do Gerenciamento de Identidades Privilegiadas" é disparado para atribuições de função criadas para assinaturas do Azure e não é disparado para atribuições de função em Grupos de Gerenciamento, Grupos de Recursos ou escopo de Recursos.