Compartilhar via

Detetar, remediar e monitorizar permissões em infraestruturas de várias clouds através de APIs de gestão de permissões (pré-visualização)

Observação

A partir de 1 de abril de 2025, Gerenciamento de Permissões do Microsoft Entra deixarão de estar disponíveis para compra e, a 1 de outubro de 2025, iremos extinguir e descontinuar o suporte deste produto. Pode encontrar mais informações aqui.

Gerenciamento de Permissões do Microsoft Entra fornece visibilidade abrangente sobre as permissões atribuídas a todas as identidades em várias infraestruturas de cloud, como o Microsoft Azure, Amazon Web Services (AWS) e Google Cloud Platform (GCP). As APIs de gestão de permissões no Microsoft Graph fornecem a forma programática de detetar, gerir e monitorizar estas permissões na sua infraestrutura multicloud.

Este artigo apresenta as capacidades de Gerenciamento de Permissões que pode gerir programaticamente através do Microsoft Graph.

Para obter mais informações sobre Gerenciamento de Permissões, consulte O que é Gerenciamento de Permissões do Microsoft Entra.

Principais casos de utilização de APIs de gestão de permissões

Ao fornecer-lhe visibilidade abrangente sobre as permissões atribuídas a todas as identidades em várias clouds, as APIs de gestão de permissões permitem-lhe abordar três casos de utilização chave de Gerenciamento de Permissões do Microsoft Entra: detetar, remediar e monitorizar.

Sistemas de autorização

Um sistema de autorização é uma plataforma que contém identidades e recursos. Expõe permissões que controlam a que recursos uma identidade tem acesso e a que ações podem realizar.

Utilize o tipo de recurso authorizationSystem e os respetivos métodos relacionados para detetar os sistemas de autorização integrados para Gerenciamento de Permissões e os respetivos detalhes. Atualmente, o Gerenciamento de Permissões suporta o Microsoft Azure, o AWS e o GCP.

Os seguintes cenários principais de API permitem-lhe obter detalhes para sistemas de autorização.

Descrição APIs
Obter sistemas de autorização Listar authorizationSystems
Obter detalhes para um sistema de autorização do AWS Listar awsAuthorizationSystems
Obter detalhes para um sistema de autorização Azure Listar azureAuthorizationSystems
Obter detalhes para um sistema de autorização GCP Listar gcpAuthorizationSystems

Descubra a referência rápida das operações de API para sistemas de autorização do AWS, sistemas de autorização Azure e sistemas de autorização GCP.

Inventário do sistema de autorização

Cada sistema de autorização tem um conjunto definido de objetos que formam as capacidades do sistema de autorização. Por exemplo, identidades como utilizadores e contas de serviço ou ações e recursos.

Os seguintes cenários principais de API permitem-lhe obter o inventário para sistemas de autorização.

Descrição APIs
Listar todas as identidades num sistema de autorização
Listar tipos de identidade em sistemas de autorização específicos
Outro inventário

Pedidos de permissões

As identidades podem pedir permissões relativamente a ações e recursos num sistema de autorização. As capacidades de pedidos de permissões permitem que os autores da chamada peçam permissões para si próprios ou em nome de outra identidade e outras identidades para aprovar, rejeitar ou cancelar os pedidos.

Os seguintes cenários principais de API permitem-lhe implementar permissões nas capacidades a pedido.

Cenários API
Pedir permissões; conceder ou rejeitar um pedido Criar scheduledPermissionsRequest
Cancelar um pedido de permissões scheduledPermissionsRequest: cancelAll
Controlar pedidos de permissões e os respetivos status Permissões de listaRequestChanges

Análise de permissões

Através das APIs de análise de permissões, Gerenciamento de Permissões ajuda-o a descobrir o risco de permissões em identidades e recursos para os seus sistemas de autorização. Pode utilizar estas descobertas para automatizar casos de utilização, tais como:

  • Criar dashboards
  • Acionar uma revisão de risco
  • Priorizar a remediação
  • Gerar pedidos de suporte

Os seguintes resultados de exemplo estão disponíveis através das APIs:

Localizar API de cenários de exemplo
Identidades inativas: identidades que não utilizaram nenhuma das permissões concedidas nos últimos 90 dias.
Grupos inativos: nenhuma identidade utilizou as permissões atribuídas através do grupo nos últimos 90 dias.
Super-identidades: permissões ao nível do administrador em todo o sistema de autorização. Estas identidades podem gerir todos os recursos no sistema de autorização.

Outras conclusões incluem:

  • Resultados baseados em recursos: por exemplo, Azure contentores de blobs, registos S3 e Registos de armazenamento acessíveis publicamente; abrir grupos de segurança de rede e identidades que podem aceder a informações secretas ou utilizar ferramentas de segurança
  • Utilizadores, funções, recursos, principais de serviço e contas de serviço sobreaprovisionados
  • Utilizadores com autenticação multifator não forçada no AWS
  • Oportunidades de escalamento de privilégios
  • Utilização e idade da chave de acesso do AWS

Confiança Zero

Esta funcionalidade ajuda as organizações a alinhar os respetivos inquilinos com os três princípios de orientação de uma arquitetura Confiança Zero:

  • Verificar explicitamente
  • Utilizar menos privilégios
  • Assumir violação

Para saber mais sobre Confiança Zero e outras formas de alinhar a sua organização com os princípios de orientação, consulte o Centro de Orientação do Confiança Zero.

Permissões e privilégios

Para chamar as APIs de gestão de permissões, o autor da chamada não precisa de permissões do Microsoft Graph. No entanto, têm de ter privilégios adequados no inquilino Microsoft Entra e no sistema externo.

Para obter mais informações, veja Gerenciamento de Permissões funções e níveis de permissões

Conteúdo relacionado

  • Last updated on