Implementando Privileged Identity Management (PIM) com o Portal RealmJoin
Visão Geral
Este guia orienta você na implementação do Microsoft Entra ID Privileged Identity Management (PIM) para Grupos com acesso administrativo ao Portal RealmJoin. O PIM fornece acesso administrativo just-in-time, reduzindo riscos de segurança ao exigir que os usuários ativem suas funções privilegiadas quando necessário.
Ao implementar o PIM com o RealmJoin, os administradores devem ativar explicitamente seus privilégios de administrador por um período de tempo definido, criando um registro de auditoria e reduzindo a superfície de ataque do acesso administrativo persistente.
Pré-requisitos
Licenciamento Microsoft Entra ID P2 para usuários que necessitam de acesso ao PIM
Permissões de Administrador Global ou Administrador de Funções Privilegiadas
Acesso à configuração do Portal RealmJoin
Conhecimento de Grupos do Microsoft Entra ID e atribuições de função
Etapas de Implementação
Etapa 1: Criar Grupos Atribuíveis a Função
Crie dois grupos de segurança no Microsoft Entra ID. Embora o atributo "atribuível a função" não seja mais um pré-requisito estrito, continua sendo recomendado para funcionalidade ideal do PIM.
Grupo 1: Grupo de Elegibilidade
Nome:
sec - PIM-Eligibility - RealmJoin Portal - AdminsPropósito: Contém usuários elegíveis para acesso administrativo ao RealmJoin
Tipo: Grupo de Segurança
Atribuível a função: Recomendado (Sim)
Grupo 2: Grupo Ativo de Administradores
Nome:
sec - PIM-Enabled - RealmJoin Portal - AdminsPropósito: O grupo alvo que fornece as permissões administrativas efetivas do RealmJoin
Tipo: Grupo de Segurança
Atribuível a função: Recomendado (Sim)
Etapa 2: Configurar o PIM para Grupos
Ativar PIM para Grupos
Navegue até Microsoft Entra ID > Privileged Identity Management
Selecione Grupos a partir do painel de navegação à esquerda
Escolha Descobrir grupos para identificar grupos elegíveis para gerenciamento pelo PIM
Selecione seus grupos recém-criados para colocá-los sob controle do PIM
Para etapas detalhadas de configuração, consulte a documentação oficial da Microsoft:
Configurar as Configurações do Grupo
Definir duração de ativação (recomendado: 1-8 horas)
Configurar requisitos de aprovação, se necessário
Definir requisitos de ativação (MFA, justificativa comercial)
Definir políticas de duração máxima de ativação
Etapa 3: Atribuir Elegibilidade
Configurar a elegibilidade de usuários para o grupo habilitado para PIM:
No PIM, navegue até Grupos > Atribuições
Selecione a
sec - PIM-Enabled - RealmJoin Portal - AdminsgrupoEscolha Adicionar atribuições
Selecione Elegível tipo de atribuição
Escolha usuários ou o grupo de elegibilidade (
sec - PIM-Eligibility - RealmJoin Portal - Admins)Defina a duração e o cronograma da atribuição conforme necessário
Para orientações completas sobre atribuições, veja: Atribuir elegibilidade para um grupo no Privileged Identity Management
Lógica de Configuração
Fluxo de Trabalho de Gerenciamento de Usuários
Adicionar Usuários ao Grupo de Elegibilidade: Adicione contas de usuário a
sec - PIM-Eligibility - RealmJoin Portal - AdminsEste grupo serve como fonte de usuários que podem solicitar acesso administrativo
Usuários neste grupo podem ativar a associação no grupo habilitado para PIM
Configurar o Portal RealmJoin: Defina
sec - PIM-Enabled - RealmJoin Portal - Adminscomo o grupo administrativo nas configurações do Portal RealmJoinApenas membros ativos deste grupo terão permissões de administrador
Os usuários devem ativar sua associação através do PIM para obter acesso
Processo de Ativação de Acesso
Quando os usuários precisarem de acesso administrativo ao RealmJoin:
O usuário navega até Meu Acesso portal ou interface do PIM
Solicita ativação da associação em
sec - PIM-Enabled - RealmJoin Portal - AdminsFornece justificativa comercial (se exigido)
Conclui o desafio de MFA (se configurado)
Recebe acesso administrativo com tempo limitado ao Portal RealmJoin
O acesso expira automaticamente após a duração definida
Benefícios de Segurança
Acesso Just-in-Time: Privilégios de administrador são concedidos apenas quando necessários
Registro de Auditoria: Todas as solicitações de ativação e aprovações são registradas
Superfície de Ataque Reduzida: Menos contas administrativas persistentes
Conformidade: Suporta requisitos regulatórios para gerenciamento de acesso privilegiado
Duração Controlada: O acesso de administrador expira automaticamente
Fluxos de Trabalho de Aprovação: Processos de aprovação opcionais para funções sensíveis
Melhores Práticas
Revisões Regulares de Acesso: Revise periodicamente as associações de grupo e as atribuições do PIM
Duração Adequada: Defina períodos de ativação com base na duração típica das tarefas administrativas
Aplicação de MFA: Exigir sempre autenticação multifator para ativação
Justificativa Comercial: Exigir que os usuários forneçam motivos para solicitações de acesso
Monitoramento: Revise regularmente os registros de auditoria do PIM em busca de padrões incomuns de ativação
Documentação: Mantenha procedimentos claros para cenários de acesso de emergência
Solução de Problemas
Problemas Comuns
Usuários não conseguem ver a opção de ativação: Verifique o licenciamento do PIM e as atribuições de grupo
Falha na ativação: Verifique a configuração do MFA e do fluxo de aprovação
Acesso ao RealmJoin negado: Confirme se o grupo correto está configurado nas configurações do Portal RealmJoin
Etapas de Verificação
Teste o processo de ativação com um usuário piloto
Verifique se o Portal RealmJoin reconhece o grupo habilitado para PIM
Confirme se o registro de auditoria está funcionando corretamente
Teste os procedimentos de acesso de emergência
Recursos Adicionais
Last updated
Was this helpful?