Estender ou renovar o PIM para atribuições de grupos

  • Artigo

O PIM (Privileged Identity Management) no Microsoft Entra ID fornece controles para gerenciar o ciclo de vida de acesso e atribuição para associação de grupo e propriedade. Os administradores podem atribuir propriedades de data e hora de início e término para associação e propriedade de grupos. Quando a atribuição termina, o Privileged Identity Management envia notificações por e-mail aos usuários ou grupos afetados. Ele também envia notificações por e-mail aos administradores do recurso para garantir que o acesso apropriado seja mantido. As atribuições podem ser renovadas e permanecem visíveis em um estado expirado por até 30 dias, mesmo que o acesso não seja estendido.

Quem pode estender e renovar

Somente usuários com permissões para gerenciar grupos podem estender ou renovar atribuições de associação de grupo ou associação de tempo de propriedade. O usuário ou grupo afetado pode solicitar a extensão de atribuições que estão prestes a expirar e solicitar a renovação de atribuições que já expiraram.

Os grupos atribuíveis à função podem ser gerenciados pelo menos pelo Administrador de Funções Privilegiadas ou pelo Proprietário do grupo. Grupos não atribuíveis a função podem ser gerenciados pelo menos pelo Gravador de Diretório, Administrador de Grupos, Administrador de Governança de Identidade, Administrador de Usuário ou Proprietário do grupo. As atribuições de função para administradores devem ter o escopo definido no nível do diretório (não no nível da unidade administrativa).

Observação

Outras funções com permissões para gerenciar grupos (como Administradores do Exchange para grupos do M365 não atribuíveis a funções) e administradores com atribuições com escopo no nível da unidade administrativa podem gerenciar grupos por meio da API/UX de Grupos e substituir as alterações feitas no Microsoft Entra PIM.

Quando as notificações são enviadas

Privileged Identity Management envia notificações por email para administradores e usuários afetados de atribuições do PIM para Grupos que estão expirando:

  • Dentro de 14 dias antes da expiração
  • Um dia antes da expiração
  • Quando uma atribuição expira

Os administradores recebem notificações quando um usuário ou grupo solicita a extensão ou renovação de uma atribuição expirada ou prestes a expirar. Quando um administrador resolve a solicitação, todos os administradores e o usuário solicitante são notificados sobre a aprovação ou negação.

Estender atribuições de grupo

As etapas a seguir descrevem o processo de solicitação, resolução ou administração de uma extensão ou renovação de uma atribuição de associação ou propriedade de grupo.

Estender automaticamente as atribuições de expiração

Usuários com associação ou propriedade de um grupo podem estender as atribuições de grupo prestes a expirar diretamente na guia Qualificado ou Ativo na página de Atribuições do grupo. Usuários e grupos podem solicitar a extensão de atribuições qualificadas e ativas que expirarão dentro de 14 dias.

Captura de tela de onde estender por conta própria atribuições expiradas.

Quando a data/hora de término da atribuição está a 14 dias, o comando Estender está disponível. Para solicitar uma extensão de uma atribuição de grupo, selecione Estender para abrir o formulário de solicitação.

Captura de tela do painel onde estender a atribuição de grupo com uma caixa de motivo e detalhes.

Observação

Recomendamos incluir os detalhes de por que a extensão é necessária e por quanto tempo a extensão deve ser concedida (se você tiver essa informação).

Os administradores recebem uma notificação por e-mail solicitando que eles examinem a solicitação de extensão. Se uma solicitação de extensão já tiver sido enviada, uma notificação do Azure será exibida no portal.

Para exibir o status ou cancelar sua solicitação, abra a página Solicitações pendentes para a atribuição de grupo.

Captura de tela da página de solicitações pendentes mostrando o link para Cancelar.

Extensão aprovada pelo administrador

Quando um usuário ou grupo envia uma solicitação para estender uma atribuição de grupo, os administradores recebem uma notificação por e-mail que contém os detalhes da atribuição original e o motivo da solicitação. A notificação inclui um link direto com a solicitação para o administrador aprovar ou negar.

Além de usar o link a seguir do email, os administradores podem aprovar ou negar solicitações acessando o portal de administração do Privileged Identity Management e selecionando Aprovar solicitações no painel esquerdo.

Captura de tela da página Aprovar solicitações listando solicitações e links para aprovar ou negar.

Quando um administrador seleciona Aprovar ou Negar, os detalhes da solicitação são mostrados junto com um campo para fornecer uma justificativa comercial para os logs de auditoria.

Captura de tela de onde aprovar solicitação de atribuição de grupo com motivo do solicitante, tipo de atribuição, hora de início, hora de término e motivo.

Ao aprovar uma solicitação para estender uma atribuição de grupo, os administradores de recursos podem escolher uma nova data de início, uma data de término e um tipo de atribuição. Alterar o tipo de atribuição pode ser necessário se o administrador quiser fornecer acesso limitado para concluir uma tarefa específica (um dia, por exemplo). Neste exemplo, o administrador pode alterar a atribuição de Qualificado para Ativo . Isso significa que eles podem fornecer acesso ao solicitante sem precisar que eles sejam ativados.

Extensão iniciada pelo administrador

Se um usuário atribuído a um grupo não solicitar uma extensão para a atribuição de grupo, um administrador poderá estender uma atribuição em nome do usuário. As extensões administrativas da atribuição de grupo não exigem aprovação, mas as notificações são enviadas a todos os outros administradores depois que a atribuição foi estendida.

Para estender uma atribuição de grupo, navegue até a exibição de atribuição em Privileged Identity Management. Localize a atribuição que requer uma extensão. Em seguida, selecione estender na coluna ação.

Captura de tela da página de atribuições listando atribuições de grupo qualificadas com links para estender.

Renovar atribuições de grupo

Embora seja conceitualmente semelhante ao processo para solicitar uma extensão, o processo para renovar uma atribuição de grupo expirada é diferente. Usando as etapas a seguir, atribuições e administradores podem renovar o acesso a atribuições expiradas quando necessário.

Renovação automática

Usuários que não podem mais acessar recursos podem acessar até 30 dias do histórico de atribuições expiradas. Para fazer isso, navegue até Minhas funções no painel esquerdo e, em seguida, selecione a guia Atribuições expiradas.

A lista de atribuições mostrada tem como padrão as Atribuições qualificadas. Use o menu suspenso para alternar entre as atribuições Qualificadas e Ativas.

Para solicitar a renovação de qualquer uma das atribuições de grupo na lista, selecione a ação Renovar. Em seguida, forneça um motivo para a solicitação. É útil fornecer uma duração além de algum contexto adicional ou uma justificativa comercial que ajude o administrador de recursos a decidir se deve aprovar ou negar.

Depois que a solicitação é enviada, os administradores de recursos são notificados sobre uma solicitação pendente para renovar uma atribuição de grupo.

Aprovação pelo administrador

Os administradores de recursos podem acessar a solicitação de renovação a partir do link na notificação por email ou acessando o Privileged Identity Management no centro de administração do Microsoft Entra e selecionando Aprovar solicitações no painel esquerdo.

Quando um administrador seleciona Aprovar ou Negar, os detalhes da solicitação são mostrados junto com um campo para fornecer uma justificativa comercial para os logs de auditoria.

Ao aprovar uma solicitação para renovar uma atribuição de grupo, os administradores de recursos devem inserir uma nova data de início, uma data de término e um tipo de atribuição.

Próximas etapas