Implementação do Privileged Identity Management (PIM) com o Portal RealmJoin

Overview

Este guia orienta você na implementação do Microsoft Entra ID Privileged Identity Management (PIM) para Groups com acesso administrativo ao RealmJoin Portal. O PIM fornece acesso administrativo just-in-time, reduzindo os riscos de segurança ao exigir que os usuários ativem suas funções privilegiadas quando necessário.

Ao implementar o PIM com o RealmJoin, os administradores devem ativar explicitamente seus privilégios de administrador por um período de tempo definido, criando um trilho de auditoria e reduzindo a superfície de ataque do acesso administrativo persistente.

Pré-requisitos

Licenciamento Microsoft Entra ID P2 para usuários que exigem acesso PIM
Permissões de Global Administrator ou Privileged Role Administrator
Acesso à configuração do RealmJoin Portal
Compreensão de Microsoft Entra ID Groups e atribuições de funções

Etapas de implementação

Etapa 1: Criar Groups atribuíveis a funções

Crie dois grupos de segurança em Microsoft Entra ID. Embora o atributo "role-assignable" não seja mais um pré-requisito rígido, ele continua sendo recomendado para a funcionalidade ideal do PIM.

Grupo 1: Grupo de elegibilidade

Nome: sec - PIM-Eligibility - RealmJoin Portal - Admins
Finalidade: Contém usuários elegíveis para acesso administrativo do RealmJoin
Tipo: Security Group
Role-assignable: Recomendado (Sim)

Grupo 2: Grupo de administradores ativos

Nome: sec - PIM-Enabled - RealmJoin Portal - Admins
Finalidade: O grupo de destino que fornece as permissões administrativas reais do RealmJoin
Tipo: Security Group
Role-assignable: Recomendado (Sim)

Etapa 2: Configurar o PIM para Groups

Ativar o PIM para Groups

Navegue para Microsoft Entra ID > Privileged Identity Management
Selecione Grupos no painel de navegação à esquerda
Escolha Discover groups para identificar grupos elegíveis para gerenciamento do PIM
Selecione os grupos recém-criados para colocá-los sob o controle do PIM

Para obter etapas detalhadas de configuração, consulte a documentação oficial da Microsoft:

Configurar definições de grupo

Definir duração de ativação (recomendado: 1 a 8 horas)
Configurar requisitos de aprovação, se necessário
Definir requisitos de ativação (MFA, justificativa de negócio)
Definir políticas de duração máxima de ativação

Etapa 3: Atribuir elegibilidade

Configure a elegibilidade do usuário para o grupo habilitado para PIM:

No PIM, navegue até Grupos > Atribuições
Selecione o sec - PIM-Enabled - RealmJoin Portal - Admins grupo
Escolha Adicionar atribuições
Selecione Elegível tipo de atribuição
Escolha usuários ou o grupo de elegibilidade (sec - PIM-Eligibility - RealmJoin Portal - Admins)
Defina a duração e o agendamento da atribuição conforme necessário

Para obter orientação completa sobre atribuições, consulte: Atribuir elegibilidade a um grupo no Privileged Identity Management

Lógica de configuração

Fluxo de trabalho de gerenciamento de usuários

Adicionar usuários ao grupo de elegibilidade: Adicione contas de usuário a sec - PIM-Eligibility - RealmJoin Portal - Admins
- Este grupo serve como a fonte de usuários que podem solicitar acesso administrativo
- Os usuários neste grupo podem ativar a associação no grupo habilitado para PIM
Configurar o RealmJoin Portal: Defina sec - PIM-Enabled - RealmJoin Portal - Admins como o grupo administrativo nas definições do RealmJoin Portal
- Somente os membros ativos deste grupo terão permissões de administrador
- Os usuários devem ativar sua associação por meio do PIM para obter acesso

Processo de ativação de acesso

Quando os usuários precisarem de acesso administrativo ao RealmJoin:

O usuário navega até My Access portal ou interface PIM
Solicita a ativação da associação em sec - PIM-Enabled - RealmJoin Portal - Admins
Fornece justificativa de negócio (se necessário)
Conclui o desafio de MFA (se configurado)
Recebe acesso administrativo ao RealmJoin Portal por tempo limitado
O acesso expira automaticamente após a duração definida

Benefícios de segurança

Acesso just-in-Time: Os privilégios de administrador são concedidos somente quando necessário
Trilho de auditoria: Todas as solicitações e aprovações de ativação são registradas
Superfície de ataque reduzida: Menos contas de administrador persistentes
Conformidade: Oferece suporte aos requisitos regulatórios para gerenciamento de acesso privilegiado
Duração controlada: O acesso de administrador expira automaticamente
Fluxos de trabalho de aprovação: Processos de aprovação opcionais para funções sensíveis

Melhores práticas

Revisões regulares de acesso: Revise periodicamente as associações de grupo e as atribuições do PIM
Duração adequada: Defina os períodos de ativação com base na duração típica das tarefas administrativas
Aplicação de MFA: Sempre exija autenticação multifator para ativação
Justificativa de negócio: Exija que os usuários forneçam motivos para as solicitações de acesso
Monitoramento: Revise regularmente os logs de auditoria do PIM em busca de padrões incomuns de ativação
Documentação: Mantenha procedimentos claros para cenários de acesso de emergência

Solução de problemas

Problemas comuns

Os usuários não conseguem ver a opção de ativação: Verifique o licenciamento do PIM e as atribuições de grupo
A ativação falha: Verifique a configuração de MFA e a configuração do fluxo de trabalho de aprovação
Acesso ao RealmJoin negado: Confirme se o grupo correto está configurado nas definições do RealmJoin Portal

Etapas de verificação

Teste o processo de ativação com um usuário piloto
Verifique se o RealmJoin Portal reconhece o grupo habilitado para PIM
Confirme se o registro de auditoria está funcionando corretamente
Teste os procedimentos de acesso de emergência

Recursos adicionais

Última atualização há 9 meses

Isto foi útil?