No How To deste mês iremos demonstrar os passos necessários para ativar acessos “Just-In-Time” ou JIT com Microsoft Entra, cuja finalidade é impedir que sejam atribuídas permissões excessivas aos utilizadores, garantindo que cada um tem apenas os acessos que precisa para realizar as suas tarefas e reforçando os princípios de ZeroTrust e Least Privilege.
Como sabemos, os utilizadores que são o alvo principal de ataques cibernéticos são aqueles que têm roles de administração. Para os proteger, a Microsoft Entra oferece vários mecanismos e, de seguida, iremos demonstrar como é um administrador pode solicitar as permissões que precisa, apenas quando as necessita – em contraste com acessos de administração permanentes, que normalmente são configurados.
1. Na Microsoft Entra, acedemos a Identity Governance e, se seguida, a Privileged Identity Management. Clicamos em Manage access e depois Add assignments. Neste exemplo iremos configurar o role de administração do Sharepoint, para que só seja atribuído quando há necessidade e por tempo limitado.
![](/Portals/1/2024/janeiro/howto/Imagem1.png)
2. Na configuração, após selecionarmos os utilizadores/grupos a aplicar, deixamos a opção default de Eligible. Nos casos em que seja uma permissão temporária, talvez no decorrer de um projeto, poderíamos também configurar uma data-limite para o mesmo.
![](/Portals/1/2024/janeiro/howto/Imagem2.png)
![](/Portals/1/2024/janeiro/howto/Imagem3.png)
3. Depois de criado, vamos a Settings para editar as condições para este assignment. Das disponíveis, destacamos as seguintes:
• Tempo limite de sessão.
• Solicitar MFA na altura do pedido.
• Obrigar a que o pedido seja validado e aprovado por um superior.
• Envio de notificações por e-mail para alertar que o pedido foi efetuado, para efeitos de auditoria.
![](/Portals/1/2024/janeiro/howto/Imagem4.png)
![](/Portals/1/2024/janeiro/howto/Imagem5.png)
4. Com a configuração efetuada, quando for necessário efetuar administração no Sharepoint e estando com o login do administrador ao qual foi atribuído o assignment anterior, basta ir novamente a Privileged Identity Management e depois a My Roles.
![](/Portals/1/2024/janeiro/howto/Imagem6.png)
![](/Portals/1/2024/janeiro/howto/Imagem7.png)
![](/Portals/1/2024/janeiro/howto/Imagem8.png)
Mas não ficamos por aqui, pois estes mecanismos estendem-se também para os restantes utilizadores, permitindo aos mesmos que peçam autonomamente os acessos que precisam. O primeiro passo será criar um Access Package.
5. No portal Microsoft Entra, vamos a Identity Governance e de seguida Entitlement management
![](/Portals/1/2024/janeiro/howto/Imagem9.png)
6. Aqui iremos selecionar todos os recursos, e respetivas permissões, que um novo colaborador precisará de ter acesso, dependendo do departamento e função na empresa.
![](/Portals/1/2024/janeiro/howto/Imagem10.png)
7. De seguida escolhemos a que utilizadores é que o Access Package será disponibilizado, bem como se os pedidos carecem ou não de aprovação.
![](/Portals/1/2024/janeiro/howto/Imagem11.png)
8. Finalmente, de forma semelhante ao que fizemos para os acessos de administração, podemos especificar um tempo limite para estes acessos, bem como reviews obrigatórias para garantir que os acessos continuam a fazer sentido
![](/Portals/1/2024/janeiro/howto/Imagem12.png)
Com o Access Package criado, os utilizadores podem requisitar acesso a partir do portal https://myaccess.microsoft.com ou o mesmo poderá ser atribuído diretamente por um administrador.
![](/Portals/1/2024/janeiro/howto/Imagem13.png)
Em conjunto com acessos JIT, é possível combinar esta medida de segurança adicional com políticas de acesso condicional da Microsoft Entra. O mais provável é já usarem pelo menos uma que obriga a configuração de MFA para os administradores/utilizadores, mas estas políticas podem garantir que os pedidos JIT só são aprovados a partir de certas localizações ou apenas a partir de equipamentos que estejam compliant com as políticas de MDM da organização, reforçando mais uma vez os dois princípios de segurança referidos.