Desafio 17: RBAC, Conditional Access e Identidades Externas
20-30 min | Custo: Gratuito | Domínio: Arquitetura e Serviços Azure (35-40%)
Habilidades do exame cobertas
- Descrever identidades externas e acesso de convidado (B2B)
- Descrever Conditional Access
- Descrever controle de acesso baseado em função Azure (RBAC)
Visão Geral
Uma vez que os usuários estão autenticados (provaram quem são), o Azure precisa controlar o que eles podem fazer. É aqui que o RBAC (Role-Based Access Control) entra. Conditional Access adiciona políticas sensíveis ao contexto (onde, quando, como o usuário está fazendo login). Identidades externas permitem colaboração com pessoas fora da sua organização.
Explorar
Tarefa 1: Entender Azure RBAC
RBAC responde: "Quem pode fazer o quê, em quais recursos?"
| Componente RBAC | Descrição | Exemplo |
|---|---|---|
| Security principal | Quem | Usuário, grupo, service principal |
| Role | O que pode fazer | Reader, Contributor, Owner |
| Scope | Onde se aplica | Management group, subscription, RG, recurso |
Funções integradas:
| Função | Permissões |
|---|---|
| Owner | Acesso total + pode atribuir funções a outros |
| Contributor | Acesso total EXCETO atribuir funções |
| Reader | Apenas visualização — não pode alterar nada |
| User Access Administrator | Gerenciar apenas acesso de usuários |
Tarefa 2: Explorar RBAC no Portal
- No Azure Portal, navegue até sua Subscription
- Clique em Access control (IAM) no menu à esquerda
- Clique na aba Roles — navegue pelas funções disponíveis
- Clique na aba Role assignments — veja quem tem acesso
- Clique em Check access — veja o que um usuário específico pode fazer
- Esta é uma exploração somente leitura
Herança de RBAC:
Management Group (Owner) → applies to all below
└── Subscription (Contributor) → applies to all RGs and resources
└── Resource Group (Reader) → applies to all resources in this RG
└── Resource (custom) → applies to this resource only
Tarefa 3: Entender Conditional Access
Políticas de Conditional Access são regras "se-então":
SE (condição) → ENTÃO (ação)
| Sinal (SE) | Ação (ENTÃO) |
|---|---|
| Usuário em localização arriscada | Exigir MFA |
| Dispositivo não está em conformidade | Bloquear acesso |
| Acessando app sensível | Exigir dispositivo gerenciado |
| Usuário é funcionário interno | Permitir com MFA |
| Usuário é convidado de localização desconhecida | Bloquear |
Políticas comuns:
- Exigir MFA para todas as contas de administrador
- Bloquear logins de países onde você não opera
- Exigir dispositivos em conformidade para acessar dados corporativos
- Forçar troca de senha se risco de login for detectado
Tarefa 4: Explorar Conditional Access no Portal
- No Azure Portal, pesquise por Conditional Access
- Ou navegue: Microsoft Entra ID → Security → Conditional Access
- Navegue pela seção Policies
- Clique em + New policy para ver quais opções existem:
- Assignments: Usuários, apps, condições
- Access controls: Grant, Block, Require MFA
- Clique em Cancel — não crie uma política
Tarefa 5: Entender identidades externas
B2B (Business-to-Business) permite convidar usuários externos:
- Funcionários de parceiros colaboram no seu ambiente
- Eles usam sua PRÓPRIA identidade (email da empresa deles)
- Você controla o que podem acessar via RBAC
- Eles aparecem como usuários "Guest" no seu diretório
| Tipo de identidade | Descrição | Exemplo |
|---|---|---|
| Member | Usuário interno da organização | employee@contoso.com |
| Guest (B2B) | Usuário externo convidado para colaborar | partner@fabrikam.com |
| B2C | Identidade de cliente para apps públicos | customer@gmail.com |
# List role assignments on your subscription
az role assignment list --output table --query "[0:5].{Principal:principalName, Role:roleDefinitionName, Scope:scope}"
# List built-in RBAC roles
az role definition list --query "[?roleType=='BuiltInRole'] | [0:10].{Name:roleName, Description:description}" --output table
Conceitos-Chave
| Conceito | Descrição |
|---|---|
| RBAC | Controle de acesso baseado em função — atribuir permissões a funções, funções a usuários |
| Role assignment | Combinação de security principal + role + scope |
| Scope | Onde a função se aplica (management group → subscription → RG → recurso) |
| Conditional Access | Políticas se-então que avaliam contexto de login |
| B2B | Convidar usuários externos para colaborar usando sua própria identidade |
| B2C | Gerenciamento de identidade voltado ao cliente para apps |
| Least privilege | Dar aos usuários apenas as permissões que precisam |
Verificação de Conhecimento
1. Um usuário precisa visualizar recursos Azure, mas não deve poder fazer nenhuma alteração. Qual função RBAC deve ser atribuída?
2. Qual é o propósito das políticas de Conditional Access?
3. Uma empresa quer colaborar com uma organização parceira. Funcionários do parceiro devem usar suas credenciais existentes da empresa para acessar recursos compartilhados. Qual recurso permite isso?
4. Se uma função Contributor é atribuída no nível da subscription, a que o usuário tem acesso?
5. Qual é a diferença entre as funções Owner e Contributor?
Saiba Mais
- 📚 Study Guide AZ-900 — Materiais de estudo selecionados
- Microsoft Learn: Describe Azure identity, access, and security
- Azure RBAC documentation