En este post vamos a mostrar como activar Azure Privileged Identity Management en nuestra suscripción. Después le daremos permisos a un usuario para ser GlobalAdmin.

Para activar PIM necesitamos:

  • Azure AD Premium P2
  • Enterprise Mobility + Security (EMS) E5

En nuestro caso vamos a habilitar el mes de prueba de Azure AD  Premium. Lo podemos hacer desde AzureAD o donde prefiramos.

Una vez habilitado, buscamos en el buscador general privileged:

Disponemos de un Quick Start, donde nos hara un repaso de las características de PIM y nos ayudará a configurarlo.

Le damos a Consent to PIM, para empezar la integración con nuestro directorio.

Nos obliga a configurar MFA en nuestra cuenta, descargamos la aplicación de Microsoft Authenticatos y añadimos la cuenta educativa con el codigo que nos muestra en pantalla

Volvemos a ir a Azure AD Privileged….

Y ahora si nos deja darla a “Consent”

Quizá debamos actualizar la página, y cuando esté listo vemos que desaparece la opción de Consent to PIM.

Tenemos que añadir recursos para que los proteja mediante PIM, entonces nos vamos a la categoría “Manage” y seleccionamos “Azure resources” y después le damos a descubrir recursos.

Seleccionamos la suscripción y le damos a “Manage resource”

En breve nos apareceran todos los recursos, si tenemos puesto en el filtro que nos aparezca todo.

Queremos marcar un rol como elegible para que otro usuario lo pueda utilizar. Nos dirigimos a la sección Azure AD roles y seleccionamos el rol que queramos permitir, en nuestro caso vamos a hacerlo a lo grande, seleccionamos Global Administrator.

Seleccionamos “Assign eligility”

Elegimos el rol Global Administrator y le añadimos un miembro, por ejemplo test1@labsdemo.com (Este usuario debe estar creado anteriormente)

Una vez elegido y dentro del rol GlobalAdmin, vemos que nos aparece en la liste de miembros, pero en vez de poner Permanente como nuestro usuario, nos aparece “Eligible”

Ahora vamos a solicitar el acceso desde este usuario. Iniciamos sesión con el usuario y nos dirigimos a PIM

En el apartado “Mis roles” nos aparece para poder activar el administrador global. Si le damos a  activar, tenemos que:

  • Comprobar la identidad, añadir un teléfono para comprobar que no somos un bot
  • Indicar durante cuanto tiempo queremos el rol o marcar las fechas exactas durante lo cual lo vamos a necesitar
  • Indicar la razón para la que necesitamos la elevación de permisos

Y en el momento que le damos a activar, ya somos global admin durante una hora.