Atribuir funções do Microsoft Entra no Privileged Identity Management

Com o Microsoft Entra ID, um Administrador Global pode tornar permanente as atribuições da função de administrador do Microsoft Entra. Essas atribuições de função podem ser criadas usando o Centro de administração do Microsoft Entra ou usando comandos do PowerShell.

O serviço Privileged Identity Management (PIM) do Microsoft Entra também permite que os Administradores de Função com privilégios façam atribuições de funções de administrador permanente. Além disso, os Administradores de Função com Privilégios podem tornar os usuários qualificados para funções de administrador do Microsoft Entra. Um administrador qualificado pode ativar a função quando necessário e suas permissões expirarão assim que forem feitas.

O Privileged Identity Management dá suporte a funções internas e personalizadas do Microsoft Entra. Para obter mais informações sobre funções personalizadas do Microsoft Entra, confira Controle de acesso baseado em função no Microsoft Entra ID.

Observação

Quando uma função é atribuída, a atribuição:

  • Não pode ser atribuída por um período inferior a cinco minutos
  • Não pode ser removida até cinco minutos após a atribuição

Atribuir uma função

Siga estas etapas para tornar um usuário elegível para uma função de administrador do Microsoft Entra.

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.

  2. Navegue até Governança de identidade>Privileged Identity Management>Funções do Microsoft Entra.

  3. Selecione Funções para ver a lista de funções para permissões do Microsoft Entra.

    Captura de tela da página Funções com a ação Adicionar atribuições selecionada.

  4. Escolha Adicionar atribuições para abrir a página Adicionar atribuições.

  5. Selecione Selecionar uma função para abrir a páginaSelecionar uma função.

    Captura de tela mostrando o painel nova atribuição.

  6. Selecione uma função que deseja atribuir e um membro ao qual você deseja atribuir à função e escolha Avançar.

    Observação

    Se você atribuir uma função interna do Microsoft Entra a um usuário convidado, o usuário convidado será elevado para ter as mesmas permissões que um usuário membro. Para obter informações sobre permissões padrão de usuários membros e convidados, consulte Quais são as permissões de usuário padrão no Microsoft Entra ID?

  7. Na lista Tipo de atribuição no painel Configurações de associação, escolha Qualificada ou Ativa.

    • Atribuições Qualificadas exigem que o membro da função execute uma ação para usar a função. As ações podem incluir a execução de uma verificação de autenticação multifator (MFA), o fornecimento de uma justificativa comercial ou a solicitação de aprovação de aprovadores designados.

    • Atribuições ativas não exigem que o membro execute qualquer ação para usar a função. Membros atribuídos como ativos sempre possuem privilégios atribuídos pela função.

  8. Para especificar uma duração de atribuição específica, adicione caixas de data e hora de início e término. Quando terminar, selecione Atribuir para criar a atribuição de função.

    • Atribuições permanentes não têm data de validade. Use essa opção para trabalhadores permanentes que frequentemente precisam das permissões de função.

    • As atribuições com limite de tempo expirarão no final de um período especificado. Use essa opção com trabalhadores temporários ou de contrato, por exemplo, cuja data e hora de término do projeto são conhecidas.

    Captura de tela mostrando as configurações de associações – data e hora.

  9. Uma notificação do status da atribuição é exibida depois que a função é atribuída.

    Captura de tela mostrando a notificação de nova atribuição.

Atribuir uma função com escopo restrito

Para determinadas funções, o escopo das permissões concedidas pode ser restrito a uma única unidade de administração, uma única entidade de serviço ou um único aplicativo. Esse procedimento é um exemplo de como atribuir uma função que tenha o escopo de uma unidade administrativa. Para obter uma lista de funções que dão suporte ao escopo por meio de uma unidade administrativa, confira Atribuir funções com escopo a uma unidade administrativa. Atualmente, esse recurso está sendo distribuído para organizações do Microsoft Entra.

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.

  2. Navegue até Identidade>Funções e administradores>Funções e administradores.

  3. Escolha o Administrador de Usuários.

    Captura de tela mostrando que o comando Adicionar atribuição fica disponível quando você abre uma função no portal.

  4. Selecione Adicionar Atribuições.

    Captura de tela mostrando que, quando uma função dá suporte ao escopo, é possível selecionar um escopo.

  5. Na página Adicionar atribuições, você pode:

    • Selecionar um usuário ou um grupo a ser atribuído à função
    • Selecionar o escopo da função (nesse caso, unidades administrativas)
    • Selecionar uma unidade administrativa para o escopo

Para obter mais informações sobre como criar unidades administrativas, confira Adicionar e remover unidades administrativas.

Atribuir uma função usando a API do Microsoft Graph

Para obter mais informações sobre as APIs do Microsoft Graph para PIM, confira Visão geral do gerenciamento de funções por meio da API de PIM (Privileged Identity Management) .

Para obter permissões necessárias para usar a API do PIM, confia Noções básicas sobre as APIs do Privileged Identity Management.

Qualificada sem data de término

Veja a seguir uma solicitação HTTP de exemplo para criar uma atribuição qualificada sem data de término. Para obter detalhes sobre os comandos de API, incluindo amostras de solicitação em linguagens como C# e JavaScript, confira Criar roleEligibilityScheduleRequests.

Solicitação HTTP

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests
Content-Type: application/json

{
    "action": "adminAssign",
    "justification": "Permanently assign the Global Reader to the auditor",
    "roleDefinitionId": "f2ef992c-3afb-46b9-b7cf-a126ee74c451",
    "directoryScopeId": "/",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "scheduleInfo": {
        "startDateTime": "2022-04-10T00:00:00Z",
        "expiration": {
            "type": "noExpiration"
        }
    }
}

Resposta HTTP

Veja a seguir um exemplo da resposta. O objeto de resposta mostrado aqui pode ser reduzido para facilitar a leitura.

HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity",
    "id": "42159c11-45a9-4631-97e4-b64abdd42c25",
    "status": "Provisioned",
    "createdDateTime": "2022-05-13T13:40:33.2364309Z",
    "completedDateTime": "2022-05-13T13:40:34.6270851Z",
    "approvalId": null,
    "customData": null,
    "action": "adminAssign",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "f2ef992c-3afb-46b9-b7cf-a126ee74c451",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "42159c11-45a9-4631-97e4-b64abdd42c25",
    "justification": "Permanently assign the Global Reader to the auditor",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-05-13T13:40:34.6270851Z",
        "recurrence": null,
        "expiration": {
            "type": "noExpiration",
            "endDateTime": null,
            "duration": null
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}

Ativo e com limite de tempo

Veja a seguir uma solicitação HTTP de exemplo para criar uma atribuição ativa com limite de tempo. Para obter detalhes sobre os comandos de API, incluindo amostras de solicitação em linguagens como C# e JavaScript, confira Criar roleAssignmentScheduleRequests.

Solicitação HTTP

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 

{
    "action": "adminAssign",
    "justification": "Assign the Exchange Recipient Administrator to the mail admin",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "scheduleInfo": {
        "startDateTime": "2022-04-10T00:00:00Z",
        "expiration": {
            "type": "afterDuration",
            "duration": "PT3H"
        }
    }
}

Resposta HTTP

Veja a seguir um exemplo da resposta. O objeto de resposta mostrado aqui pode ser reduzido para facilitar a leitura.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
    "id": "ac643e37-e75c-4b42-960a-b0fc3fbdf4b3",
    "status": "Provisioned",
    "createdDateTime": "2022-05-13T14:01:48.0145711Z",
    "completedDateTime": "2022-05-13T14:01:49.8589701Z",
    "approvalId": null,
    "customData": null,
    "action": "adminAssign",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "ac643e37-e75c-4b42-960a-b0fc3fbdf4b3",
    "justification": "Assign the Exchange Recipient Administrator to the mail admin",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-05-13T14:01:49.8589701Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDuration",
            "endDateTime": null,
            "duration": "PT3H"
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}

Atualizar ou remover uma atribuição de função existente

Siga estas etapas para atualizar ou remover uma atribuição de função existente. Somente clientes licenciados do Microsoft Entra ID P2 ou do Microsoft Entra ID Governance: não atribua um grupo como Ativo a uma função através do Microsoft Entra ID e do Privileged Identity Management (PIM). Para obter uma explicação detalhada, confira Problemas conhecidos.

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.

  2. Navegue até Governança de identidade>Privileged Identity Management>Funções do Microsoft Entra.

  3. Selecione Funções para ver a lista de funções para o Microsoft Entra ID.

  4. Selecione a função que você deseja atualizar ou remover.

  5. Localize a atribuição de função nas guias Funções qualificadas ou Funções ativas.

    Captura de tela mostrando como atualizar ou remover uma atribuição de função.

  6. Selecione Atualizar ou Remover para atualizar ou remover a atribuição de função.

Remover atribuição qualificada por meio de API do Microsoft Graph

Veja a seguir uma solicitação HTTP de exemplo para revogar uma atribuição qualificada a uma função de uma entidade de segurança. Para obter detalhes sobre os comandos de API, incluindo amostras de solicitação em linguagens como C# e JavaScript, confira Criar roleEligibilityScheduleRequests.

Solicitação

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests 

{ 
    "action": "AdminRemove", 
    "justification": "abcde", 
    "directoryScopeId": "/", 
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
    "roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b" 
} 

Resposta

{ 
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleEligibilityScheduleRequests/$entity", 
    "id": "fc7bb2ca-b505-4ca7-ad2a-576d152633de", 
    "status": "Revoked", 
    "createdDateTime": "2021-07-15T20:23:23.85453Z", 
    "completedDateTime": null, 
    "approvalId": null, 
    "customData": null, 
    "action": "AdminRemove", 
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
    "roleDefinitionId": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b", 
    "directoryScopeId": "/", 
    "appScopeId": null, 
    "isValidationOnly": false, 
    "targetScheduleId": null, 
    "justification": "test", 
    "scheduleInfo": null, 
    "createdBy": { 
        "application": null, 
        "device": null, 
        "user": { 
            "displayName": null, 
            "id": "5d851eeb-b593-4d43-a78d-c8bd2f5144d2" 
        } 
    }, 
    "ticketInfo": { 
        "ticketNumber": null, 
        "ticketSystem": null 
    } 
} 

Próximas etapas