Criar autorizações qualificadas

Ao integrar clientes ao Azure Lighthouse, você cria autorizações para conceder funções internas especificadas do Azure aos usuários em seu locatário de gerenciamento. Você também pode criar autorizações qualificadas que usam o Microsoft Entra Privileged Identity Management (PIM) para permitir que os usuários em seu locatário de gerenciamento elevem temporariamente sua função. Isso permite que você conceda permissões adicionais just-in-time para que os usuários só tenham essas permissões por uma duração definida.

A criação de autorizações qualificadas permite minimizar o número de atribuições permanentes de usuários a funções privilegiadas, ajudando a reduzir os riscos de segurança relacionados ao acesso privilegiado por usuários em seu locatário.

Este tópico explica como as autorizações qualificadas funcionam e como criá-las ao integrar um cliente ao Azure Lighthouse.

Requisitos de licença

A criação de autorizações elegíveis requer uma licença Enterprise Mobility + Security E5 (EMS E5) ou Microsoft Entra ID P2 .

A licença EMS E5 ou Microsoft Entra ID P2 deve ser mantida pelo locatário administrador, não pelo locatário do cliente.

Quaisquer custos adicionais associados a uma função elegível serão aplicados apenas durante o período de tempo em que o usuário elevar seu acesso a essa função.

Para obter informações sobre licenças para usuários, consulte Fundamentos de licenciamento do Microsoft Entra ID Governance.

Como funcionam as autorizações elegíveis

Uma autorização elegível define uma atribuição de função que exige que o usuário ative a função quando precisar executar tarefas privilegiadas. Quando ativarem a função elegível, terão o acesso total concedido por essa função durante o período de tempo especificado.

Os usuários no locatário do cliente podem revisar todas as atribuições de função, incluindo aquelas em autorizações qualificadas, antes do processo de integração.

Quando um usuário ativar com êxito uma função qualificada, ele terá essa função elevada no escopo delegado por um período de tempo pré-configurado, além de suas atribuições de função permanente para esse escopo.

Os administradores no locatário de gerenciamento podem revisar todas as atividades do Privileged Identity Management exibindo o log de auditoria no locatário de gerenciamento. Os clientes podem exibir essas ações no log de atividades do Azure para a assinatura delegada.

Elementos de autorização elegíveis

Você pode criar uma autorização qualificada ao integrar clientes com modelos do Azure Resource Manager ou publicando uma oferta de Serviços Gerenciados no Azure Marketplace. Cada autorização elegível deve incluir três elementos: o usuário, a função e a política de acesso.

User

Para cada autorização qualificada, você fornece a ID Principal para um usuário individual ou um grupo do Microsoft Entra no locatário de gerenciamento. Junto com a ID principal, você deve fornecer um nome de exibição de sua escolha para cada autorização.

Se um grupo for fornecido em uma autorização elegível, qualquer membro desse grupo poderá elevar seu próprio acesso individual a essa função, de acordo com a política de acesso.

Não é possível usar autorizações qualificadas com entidades de serviço, pois atualmente não há como uma conta de entidade de serviço elevar seu acesso e usar uma função qualificada. Também não é possível usar autorizações qualificadas com delegatedRoleDefinitionIds as quais um Administrador de Acesso de Usuário pode atribuir a identidades gerenciadas.

Nota

Para cada autorização qualificada, certifique-se também de criar uma autorização permanente (ativa) para a mesma ID Principal com uma função diferente, como Reader (ou outra função interna do Azure que inclua acesso de Leitor). Se você não incluir uma autorização permanente com acesso de leitor, o usuário não poderá elevar sua função no portal do Azure.

Role

Cada autorização qualificada precisa incluir uma função interna do Azure que o usuário estará qualificado para usar em uma base just-in-time.

A função pode ser qualquer função interna do Azure com suporte para o gerenciamento de recursos delegados do Azure, exceto para Administrador de Acesso de Usuário.

Importante

Se você incluir várias autorizações qualificadas que usam a mesma função, cada uma das autorizações qualificadas deverá ter as mesmas configurações de política de acesso.

Política de acesso

A política de acesso define os requisitos de autenticação multifator, o período de tempo em que um usuário será ativado na função antes que ela expire, e se os aprovadores são necessários.

Autenticação multifator

Especifique se deve ou não ser necessária a autenticação multifator do Microsoft Entra para que uma função qualificada seja ativada.

Duração máxima

Defina o período total de tempo durante o qual o utilizador terá a função elegível. O valor mínimo é de 30 minutos e o máximo de 8 horas.

Aprovadores

O elemento aprovadores é opcional. Se você incluí-lo, poderá especificar até 10 usuários ou grupos de usuários no locatário de gerenciamento que podem aprovar ou negar solicitações de um usuário para ativar a função qualificada.

Não é possível usar uma conta principal de serviço como aprovador. Além disso, os aprovadores não podem aprovar seu próprio acesso; Se um aprovador também for incluído como usuário em uma autorização qualificada, um aprovador diferente terá que conceder acesso para que ele possa elevar sua função.

Se você não incluir nenhum aprovador, o usuário poderá ativar a função qualificada sempre que desejar.

Crie autorizações qualificadas usando ofertas de Serviços Gerenciados

Para integrar seu cliente ao Azure Lighthouse, você pode publicar ofertas de Serviços Gerenciados no Azure Marketplace. Ao criar suas ofertas no Partner Center, agora você pode especificar se o tipo de Acesso para cada Autorização deve ser Ativo ou Elegível.

Quando você seleciona Elegível, o usuário em sua autorização poderá ativar a função de acordo com a política de acesso configurada. Você deve definir uma duração máxima entre 30 minutos e 8 horas e especificar se precisará de autenticação multifator. Você também pode adicionar até 10 aprovadores se optar por usá-los, fornecendo um nome para exibição e um ID principal para cada um.

Certifique-se de revisar os detalhes na seção Elementos de autorização qualificados ao configurar suas autorizações qualificadas no Partner Center.

Criar autorizações qualificadas usando modelos do Azure Resource Manager

Para integrar seu cliente ao Azure Lighthouse, use um modelo do Azure Resource Manager junto com um arquivo de parâmetros correspondente que você modificar. O modelo escolhido dependerá se você está integrando uma assinatura inteira, um grupo de recursos ou vários grupos de recursos dentro de uma assinatura.

Para incluir autorizações qualificadas ao integrar um cliente, use um dos modelos da seção delegated-resource-management-elegiible-authorizations do nosso repositório de amostras. Fornecemos modelos com e sem aprovadores incluídos, para que você possa usar o que funciona melhor para o seu cenário.

Para integrar (com autorizações elegíveis) Usar este modelo do Azure Resource Manager E modificar este arquivo de parâmetro
Subscrição subscription.json subscription.parameters.json
Subscrição (com aprovadores) subscription-managing-tenant-approvers.json subscription-managing-tenant-approvers.parameters.json
Grupo de recursos rg.json rg.parameters.json
Grupo de recursos (com aprovadores) rg-managing-tenant-approvers.json rg-managing-tenant-approvers.parameters.json
Múltiplos grupos de recursos numa subscrição multiple-rg.json multiple-rg.parameters.json
Vários grupos de recursos dentro de uma assinatura (com aprovadores) multiple-rg-managing-tenant-approvers.json multiple-rg-managing-tenant-approvers.parameters.json

O modelo de subscription-managing-tenant-approvers.json , que pode ser usado para integrar uma assinatura com autorizações qualificadas (incluindo aprovadores), é mostrado abaixo.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/subscriptionDeploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "mspOfferName": {
            "type": "string",
            "metadata": {
                "description": "Specify a unique name for your offer"
            }
        },
        "mspOfferDescription": {
            "type": "string",
            "metadata": {
                "description": "Name of the Managed Service Provider offering"
            }
        },
        "managedByTenantId": {
            "type": "string",
            "metadata": {
                "description": "Specify the tenant id of the Managed Service Provider"
            }
        },
        "authorizations": {
            "type": "array",
            "metadata": {
                "description": "Specify an array of objects, containing tuples of Azure Active Directory principalId, a Azure roleDefinitionId, and an optional principalIdDisplayName. The roleDefinition specified is granted to the principalId in the provider's Active Directory and the principalIdDisplayName is visible to customers."
            }
        },
        "eligibleAuthorizations": {
            "type": "array",
            "metadata": {
                "description": "Provide the authorizations that will have just-in-time role assignments on customer environments with support for approvals from the managing tenant"
            }
        }
    },
        "variables": {
            "mspRegistrationName": "[guid(parameters('mspOfferName'))]",
            "mspAssignmentName": "[guid(parameters('mspOfferName'))]"
        },
        "resources": [
            {
                "type": "Microsoft.ManagedServices/registrationDefinitions",
                "apiVersion": "2020-02-01-preview",
                "name": "[variables('mspRegistrationName')]",
                "properties": {
                    "registrationDefinitionName": "[parameters('mspOfferName')]",
                    "description": "[parameters('mspOfferDescription')]",
                    "managedByTenantId": "[parameters('managedByTenantId')]",
                    "authorizations": "[parameters('authorizations')]",
                    "eligibleAuthorizations": "[parameters('eligibleAuthorizations')]"
                }
            },
            {
                "type": "Microsoft.ManagedServices/registrationAssignments",
                "apiVersion": "2020-02-01-preview",
                "name": "[variables('mspAssignmentName')]",
                "dependsOn": [
                    "[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
                ],
                "properties": {
                    "registrationDefinitionId": "[resourceId('Microsoft.ManagedServices/registrationDefinitions/', variables('mspRegistrationName'))]"
                }
            }
        ],
        "outputs": {
            "mspOfferName": {
                "type": "string",
                "value": "[concat('Managed by', ' ', parameters('mspOfferName'))]"
            },
            "authorizations": {
                "type": "array",
                "value": "[parameters('authorizations')]"
            },
            "eligibleAuthorizations": {
                "type": "array",
                "value": "[parameters('eligibleAuthorizations')]"
            }
        }
    }

Definir autorizações qualificadas em seu arquivo de parâmetros

O modelo de exemplo subscription-managing-tenant-approvers.parameters.json pode ser usado para definir autorizações, incluindo autorizações qualificadas, ao integrar uma assinatura.

Cada uma das suas autorizações elegíveis deve ser definida no eligibleAuthorizations parâmetro. Este exemplo inclui uma autorização elegível.

Esse modelo também inclui o managedbyTenantApprovers elemento , que adiciona um principalId que será necessário para aprovar todas as tentativas de ativar as funções qualificadas definidas no eligibleAuthorizations elemento .

{
    "$schema": "https://schema.management.azure.com/schemas/2018-05-01/subscriptionDeploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "mspOfferName": {
            "value": "Relecloud Managed Services"
        },
        "mspOfferDescription": {
            "value": "Relecloud Managed Services"
        },
        "managedByTenantId": {
            "value": "<insert the managing tenant id>"
        },
        "authorizations": {
            "value": [
                { 
                    "principalId": "00000000-0000-0000-0000-000000000000",
                    "roleDefinitionId": "acdd72a7-3385-48ef-bd42-f606fba81ae7",
                    "principalIdDisplayName": "PIM group"
                }
            ]
        }, 
        "eligibleAuthorizations":{
            "value": [
                {
                        "justInTimeAccessPolicy": {
                            "multiFactorAuthProvider": "Azure",
                            "maximumActivationDuration": "PT8H",
                            "managedByTenantApprovers": [ 
                                { 
                                    "principalId": "00000000-0000-0000-0000-000000000000", 
                                    "principalIdDisplayName": "PIM-Approvers" 
                                } 
                            ]
                        },
                        "principalId": "00000000-0000-0000-0000-000000000000", 
                        "principalIdDisplayName": "Tier 2 Support",
                        "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"

                }
            ]
        }
    }
}

Cada entrada dentro do eligibleAuthorizations parâmetro contém três elementos que definem uma autorização elegível: principalId, roleDefinitionId, e justInTimeAccessPolicy.

principalId especifica a ID do usuário ou grupo do Microsoft Entra ao qual esta autorização qualificada será aplicada.

roleDefinitionId contém a ID de definição de função para uma função interna do Azure que o usuário estará qualificado para usar em uma base just-in-time. Se você incluir várias autorizações qualificadas que usam o mesmo roleDefinitionId, todas elas deverão ter configurações idênticas para justInTimeAccessPolicy.

justInTimeAccessPolicy Especifica três elementos:

  • multiFactorAuthProvider pode ser definido como Azure, que exigirá autenticação usando a autenticação multifator do Microsoft Entra, ou como Nenhum se nenhuma autenticação multifator for necessária.
  • maximumActivationDuration Define o período total de tempo durante o qual o utilizador terá a função elegível. Esse valor deve usar o formato de duração ISO 8601. O valor mínimo é PT30M (30 minutos) e o valor máximo é PT8H (8 horas). Para simplificar, recomendamos o uso de valores apenas em incrementos de meia hora, como PT6H por 6 horas ou PT6H30M por 6,5 horas.
  • managedByTenantApprovers é opcional. Se você incluí-lo, ele deve conter uma ou mais combinações de um principalId e um principalIdDisplayName que serão necessários para aprovar qualquer ativação da função qualificada.

Para obter mais informações sobre esses elementos, consulte a seção Elementos de autorização qualificados.

Processo de elevação para usuários

Depois de integrar um cliente ao Azure Lighthouse, todas as funções qualificadas incluídas estarão disponíveis para o utilizador especificado (ou para utilizadores em quaisquer grupos especificados).

Cada usuário pode elevar seu acesso a qualquer momento visitando a página Meus clientes no portal do Azure, selecionando uma delegação e, em seguida, selecionando Gerenciar funções qualificadas. Depois disso, eles podem seguir as etapas para ativar a função no Microsoft Entra Privileged Identity Management.

Se os aprovadores tiverem sido especificados, o usuário não terá acesso à função até que a aprovação seja concedida por um aprovador designado do locatário administrador. Todos os aprovadores serão notificados quando a aprovação for solicitada e o usuário não poderá usar a função qualificada até que a aprovação seja concedida. Os aprovadores também serão notificados quando isso acontecer. Para obter mais informações sobre o processo de aprovação, consulte Aprovar ou negar solicitações para funções de recurso do Azure no Privileged Identity Management.

Uma vez que a função elegível tenha sido ativada, o usuário terá essa função durante todo o período especificado na autorização elegível. Após esse período, eles não poderão mais usar essa função, a menos que repitam o processo de elevação e elevem seu acesso novamente.

Próximos passos