Atribuir qualificação a um grupo (versão prévia) no Privileged Identity Management
No Microsoft Entra ID, anteriormente conhecido como Azure Active Directory, você pode usar o PIM (Privileged Identity Management) para gerenciar a associação just-in-time no grupo ou a propriedade just-in-time do grupo.
Quando uma associação ou propriedade é atribuída, a atribuição:
- Não pode ser atribuída por um período inferior a cinco minutos
- Não pode ser removida até cinco minutos após a atribuição
Observação
Todos os usuários qualificados para associação ou propriedade de um PIM para Grupos devem ter uma licença do Microsoft Entra ID P2 ou do Microsoft Entra ID Governance. Para saber mais, confira Requisitos de licença para usar o Privileged Identity Management.
Atribuir um proprietário ou membro de um grupo
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Siga estas etapas para qualificar um usuário como membro ou proprietário de um grupo. Você precisará de permissões para gerenciar grupos. Quanto aos grupos atribuíveis a funções, você precisa ter pelo menos a função de Administrador de Função Privilegiada ou ser Proprietário do grupo. Quanto aos grupos não atribuíveis a funções, você precisa ser pelo menos um Gravador de Diretório, Administrador de Grupos, ou Administrador de Governança de Identidade, função de Administrador de Usuário, ou ser um Proprietário do grupo. As atribuições de função para administradores devem ter o escopo definido no nível do diretório (não no nível da unidade administrativa).
Observação
Outras funções com permissões para gerenciar grupos (como Administradores do Exchange para grupos do M365 não atribuíveis a funções) e administradores com atribuições com escopo no nível da unidade administrativa podem gerenciar grupos por meio da API/UX de Grupos e substituir as alterações feitas no Microsoft Entra PIM.
Navegue até Governança de identidade>Gerenciamento de Identidade Privilegiada>Grupos.
Aqui você pode ver os grupos que já estão habilitados para o PIM para Grupos.
Selecione o grupo que você precisa gerenciar.
Selecione Atribuições.
Use as folhas Atribuições qualificadas e Atribuições ativas para examinar as atribuições de associação ou propriedade existentes para o grupo selecionado.
Selecione Adicionar atribuições.
Em Selecionar função, escolha entre Membro e Proprietário para atribuir associação ou propriedade.
Selecione os membros ou proprietários que você quer qualificar para o grupo.
Selecione Avançar.
Na lista Tipo de atribuição, selecione Qualificado ou Ativo. O Privileged Identity Management fornece dois tipos distintos de atribuição:
- A atribuição qualificada exige que o membro ou proprietário execute uma ativação para usar a função. As ativações também podem exigir uma verificação de MFA (Autenticação Multifator), fornecimento de uma justificativa comercial ou solicitação de aprovação dos aprovadores designados.
Importante
No caso dos grupos usados para elevar as funções do Microsoft Entra, a Microsoft recomenda que você exija um processo de aprovação para as atribuições dos membros elegíveis. Atribuições que podem ser ativadas sem aprovação deixam você vulnerável ao risco de segurança de outro administrador com permissão redefinir as senhas de um usuário qualificado.
- Atribuições ativas não exigem que o membro execute qualquer ativação para usar a função. Membros ou proprietários atribuídos como ativos sempre possuem privilégios atribuídos pela função.
Se uma atribuição permanente for necessária (permanentemente qualificada ou permanentemente atribuída), marque a caixa de seleção Permanentemente. Dependendo das configurações do grupo, essa caixa de seleção pode não aparecer ou não ser editável. Para obter mais informações, confira o artigo Configurar as definições do PIM para Grupos no Privileged Identity Management.
Selecione Atribuir.
Atualizar ou remover uma atribuição de função existente
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Siga estas etapas para atualizar ou remover uma atribuição de função existente. Você precisará de permissões para gerenciar grupos. Quanto aos grupos atribuíveis a funções, você precisa ter pelo menos a função de Administrador de Função Privilegiada ou ser Proprietário do grupo. Quanto aos grupos não atribuíveis a funções, você precisa ter pelo menos a função de Gravador de Diretório, Administrador de Grupos, Administrador de Governança de Identidade, Administrador de Usuário ou ser um Proprietário do grupo. As atribuições de função para administradores devem ter o escopo definido no nível do diretório (não no nível da unidade administrativa).
Observação
Outras funções com permissões para gerenciar grupos (como Administradores do Exchange para grupos do M365 não atribuíveis a funções) e administradores com atribuições com escopo no nível da unidade administrativa podem gerenciar grupos por meio da API/UX de Grupos e substituir as alterações feitas no Microsoft Entra PIM.
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.
Navegue até Governança de identidade>Privileged Identity Management>Grupos.
Aqui você pode ver os grupos que já estão habilitados para o PIM para Grupos.
Selecione o grupo que você precisa gerenciar.
Selecione Atribuições.
Use as folhas Atribuições qualificadas e Atribuições ativas para examinar as atribuições de associação ou propriedade existentes para o grupo selecionado.
Selecione Atualizar ou Remover para atualizar ou remover a atribuição de associação ou propriedade.