Dentro de las medidas de cumplimiento y seguridad en Microsoft 365, existe hoy la opción de trabajar con las cuentas administrativas en modo Just in Time Access o JIT. pero ¿que es JIT?
Básicamente JIT es la entrega o activación de roles de administración privilegiados o de los permisos para ejecutar comando administrativos sensibles, solo en demanda y por periodos de tiempos finitos y previa autorización del manager.
Por ejemplo, uno de nuestros administradores debe realizar modificaciones en Exchange, para esto, debe solicitar la activación del rol de administrador de Exchange por el tiempo necesario. Luego esta solicitud es enviada a los aprobadores, quienes aprueban la solicitud y se asignan los permisos. Una vez expirado el plazo de activación el administrador pierde los privilegios y debe solicitar nuevamente la activación del Rol.
Adicionalmente podemos agregar una segunda capa de protección de comando privilegiados dentro del rol, es decir, puedes activar el rol de administrador de Exchange, pero las tareas sensibles como por ejemplo una búsqueda eDiscovery, se bloquean y necesitan elevación de permisos para poder ser realizadas.
¿Que me ofrece Microsoft 365 para lograr esto?
Dentro de Microsoft 365, tenemos 2 características o productos para habilitar JIT. El primero asociado al control de la asignación o activación de roles es Privileged Identity Management o desde ahora PIM. El segundo dirigido al control de la ejecución de comandos administrativos es Privileged Access Management y en conjunto ambas PIM y PAM nos permitirán tener un mejor control sobre los administradores y sobre las tareas que ejecutan dentro del tenant.
¿Que licenciamiento necesito?
Siempre la recomendación es ir al máximo nivel de licenciamiento para poder contar con todas las características de seguridad, dentro de Microsoft 365 este licenciamiento es “Microsoft 365 E5”, aun que si tenemos otro tipo de Office 365, podemos agregar estas caracteristicas con los siguientes complementos o SKU.
- Privileged Identity Management : Azure AD Premium P2
- Privileged Access Management : Advanced Compliance.
Habilitación de Privileged Indentity Management (PIM)
Para habilitar PIM, debemos ir al portal de Azure en https://portal.azure.com/#home. en el buscador superior escribimos Privileged y seleccionamos Azure AD Privileged Identity Management.
Una vez dentro del panel principal de PIM, presionamos el botón “Consent to PIM”
Si nuestro usuario no tiene activo MFA, se nos pedira verificar nuestra identidad forzando la activación. Para continuar damos clic en “Verificar mi identidad” y realizamos el proceso de enrolamiento.
Una vez finalizado el proceso de MFA tendremos este mensaje de éxito .
Luego presionamos “Consent” y luego presionamos “si” en el warning para continuar.
Una vez finalizado este proceso volvemos al panel principal de PIM y esta sera su vista.
Una vez activado PIM procedemos a configurar los roles, para bajo Administrar, hacemos clic en Roles de Azure AD. Luego presionamos en la opción “Registrar PIM para roles de Azure AD”.
Luego, presionamos registrase
Comenzara el proceso de registro y una vez completado nos llevara de vuelta al panel principal del PIM. En este paso recomiendo esperar 1 minutos y actualizar la pagina desde el navegador para refrescar los cambios realizados.
Finalizado este proceso, ya nos encontramos en condiciones de configurar y asignar roles. Antes de realizar esta tarea haremos una validación de las cuentas dentro de nuestro tenant que ya cuentan con permisos administrativos para poder realizar las modificaciones necesarias para PIM. Para realizar esto desde el panel de administración, bajo “Administrar” damos clic en “miembros”.
En la imagen anterior, podemos ver que todos los administradores del tenant están con activación permanente. para este ejemplo, usaremos el usuario Samuel Campos, quien es administrador de Exchange permanente y ahora lo convertiremos en “Apto” para ser administrador de Exchange y no tener los permisos de forma fija, Para esto damos clic en el usuario para ver las opciones. en la tarjeta siguiente presionamos el botón, “Establecer como apto” para remover la asignación permanente del rol de administrador de Exchange, con este simple paso logramos el objetivo.
Ahora debemos configurar las características del rol para la asignación, es decir, cual es la activación máxima en horas para el rol, las notificaciones, solicitar un numero de ticket asociado a la activación y configurar si el rol requiere aprobación o sera de activación automática. Para realizar esto, bajo “Administración” damos clic en “Configuración” y luego en “Roles”
Luego, buscamos el rol, para este ejemplo “Administrador de Exchange” y damos clic en el y en la tarjeta realizamos la configuración. para este rol configuraremos un máximo de activación de 2 horas, habilitaremos las notificaciones, solicitaremos un numero de ticket o incidencia para asociar a la solicitud y haremos que requiera aprobación antes de activar(debemos agregar el aprobador o grupo de aprobador. Para finalizar damos clic en “Guardar”.
Esta configuración la debemos hacer por todos los roles que queramos proteger de la misma manera. para este ejemplo solo lo haremos con el rol de Administrador de Exchange.
Validando permisos en el usuario.
Luego de dejar al usuario Samuel Campos solo como “Apto” para ser administrador de Exchange, revisemos su comportamiento ingresando a https://outlook.office.com/ecp. al revisar la pagina solo tenemos acceso a validar nuestro perfil y cero permisos administrativos.
Ahora, para solicitar la activación del rol, ingresamos con el usuario Samuel Campos a https://portal.azure.com. y en la barra superior buscamos Privileged Identity Management y damos clic en el.
Luego en la ventana de PIM, pinchamos la opción “Mis roles”
Una vez dentro de la ventana de “Mis roles” presionamos el boton “Roles de Azure AD” y en panel derecho, veremos nuestros roles asociados. Para el usuario Samuel Campos solo tenemos el rol de adminstrador de Exchange, entonces para activar el rol damos clic en “Activar”. En este paso el usuario debe tener activado MFA, de lo contrario, antes de activar el rol se le forzara a configurar MFA.
Al presiona activar, nos llevara al detalle del usuario y nuevamente debemos presionar en “Activar”
En la siguiente tarjeta, debemos ingresar los datos de activación, para este ejemplo, solicitamos 2 horas de permisos como administrador de Exchange, asociado a un numero de requerimiento , indicando el sistema y el detalle. Al presionar “Activar”, por la configuración del rol, se enviara una solicitud de aprobación al manager asignado.
El aprobador, recibirá un correo indicando que existe una solicitud de PIM pendiente, con un que lo llevara directo al panel de control para aprobar o rechazar la solicitud.
Luego de presionar aprobar, el aprobador, deberá indicar una razón de por que se aprueba la solicitud y presionar en “Aprobar” nuevamente. Luego de presionado el botón activar, cambia el estado del usuario, por lo cual podemos validar visualmente que el rol esta activo.
Luego de esta acción por parte del aprobador, el usuario solicitante recibe un correo indicando que el rol se encuentra activo junto con la fecha de expiración del permiso.
si actualizas la pagina de “Mis roles”, podemos ver que el rol ya se encuentra activo y la fecha de caducidad del permiso.
Finalmente con el usuario, nos dirigimos nuevamente al portal de administración de Exchange, y ya están asignados los permisos administrativos por el tiempo solicitado, en este caso 2 horas.
Con estos simples paso, ya logramos que nuestros administradores de los servicios no mantenga permisos de forma permanente en sus cuentas y que solo se activen en función de las tareas y requerimientos generados en el día a día.
En la próxima entrada veremos la forma de limitar el acceso administrativo ya asignado controlando la ejecución de comando Powershell con Privileged Access Management, PAM, y en conjunto con PIM generar un entorno administrativo mas seguro con Just in time access.
Saludos
Samuel 🙂
1 comment