Usar grupos do Microsoft Entra para gerenciar atribuições de função
Com o Microsoft Entra ID P1 ou P2, você pode criar grupos atribuíveis por função e atribuir funções do Microsoft Entra a esses grupos. Esse recurso simplifica o gerenciamento de funções, garante o acesso consistente e torna as permissões de auditoria mais simples. A atribuição de funções a um grupo em vez de indivíduos permite adicionar ou remover facilmente usuários de uma função e criar permissões consistentes para todos os membros do grupo. Você também pode criar funções personalizadas com permissões específicas e atribuí-las a grupos.
Por que atribuir funções a grupos?
Considere o exemplo em que a empresa Contoso contratou pessoas em diferentes regiões para gerenciar e redefinir senhas de funcionários na organização do Microsoft Entra. Em vez de pedir a um Administrador de Função com Privilégios para atribuir a função de Administrador de Helpdesk a cada pessoa individualmente, a empresa pode criar um grupo Contoso_Helpdesk_Administrators e atribuir a função ao grupo. Quando as pessoas ingressam no grupo, elas recebem a função indiretamente. O fluxo de trabalho de governança existente pode, então, assistir o processo de aprovação e auditoria da associação ao grupo para garantir que somente os usuários legítimos sejam membros do grupo e, portanto, tenham a função de Administrador de Helpdesk.
Como funcionam as atribuições de funções a grupos
Para atribuir uma função a um grupo, você deve criar um novo grupo do Microsoft 365 ou de segurança com a propriedade isAssignableToRole
configurada como true
. No centro de administração do Microsoft Entra, você define a opção Funções do Microsoft Entra podem ser atribuídas a um grupo como Sim. De qualquer maneira, é possível atribuir uma ou mais funções do Microsoft Entra ao grupo da mesma forma que você atribui funções aos usuários.
Restrições de grupos que podem receber funções
Os grupos que podem receber funções têm as seguintes restrições:
- Somente é possível definir a propriedade
isAssignableToRole
ou a opção Funções do Microsoft Entra podem ser atribuídas a um grupo para novos grupos. - A propriedade
isAssignableToRole
éisAssignableToRole
. Depois que um grupo é criado com esta propriedade definida, ela não pode ser alterada. - Não é possível transformar um grupo existente em um grupo que pode receber funções.
- Um máximo de 500 grupos atribuíveis a funções pode ser criado em uma única organização (locatário) do Microsoft Entra.
Como os grupos que podem receber funções são protegidos?
Se uma função for atribuída a um grupo, qualquer administrador de TI que possa gerenciar grupos de associação dinâmica também poderã gerenciar indiretamente a associação dessa função. Por exemplo, suponha que um grupo denominado Contoso_User_Administrators tenha a função de Administrador de Usuários. Um administrador do Exchange que pode modificar grupos de associação dinâmica pode incluir a si mesmo no grupo Contoso_User_Administrators e, dessa forma, tornar-se Administrador de Usuários. Como é possível ver, um administrador pode elevar os privilégios dele de uma forma que você não pretendia.
Somente os grupos que têm a propriedade isAssignableToRole
configurada como true
no momento da criação podem receber uma função. Essa propriedade é imutável. Depois que um grupo é criado com esta propriedade definida, ela não pode ser alterada. Não é possível definir a propriedade em um grupo existente.
Os grupos que podem receber funções são projetados para ajudar a prevenir possíveis violações com as seguintes restrições:
- Você precisa receber pelo menos a função de Administrador de Função com Privilégios para criar um grupo ao qual funções podem ser atribuídas.
- O tipo de associação dos grupos que podem receber funções deve ser Atribuído e eles não podem ser grupos dinâmicos do Microsoft Entra. O preenchimento automatizado de grupos de associação dinâmica pode levar a uma conta indesejada ser adicionada ao grupo e, portanto, atribuída à função.
- Por padrão, apenas Administradores Globais e Administradores de Função com Privilégios gerenciam a associação de um grupo ao qual funções podem ser atribuídas. Mas você pode delegar o gerenciamento de grupos aos quais funções podem ser atribuídas adicionando proprietários de grupo.
- No Microsoft Graph, a permissão RoleManagement.ReadWrite.Directory é necessária para poder gerenciar a associação de grupos atribuíveis a função. A permissão Group.ReadWrite.All não funcionará.
- Para evitar a elevação de privilégios, você precisa receber pelo menos a função de Administrador de Autenticação Privilegiada para alterar as credenciais ou redefinir a MFA ou modificar atributos confidenciais para membros e proprietários de um grupo ao qual funções podem ser atribuídas.
- Não há suporte para o aninhamento de grupo. Um grupo não pode ser adicionado como membro de um grupo de função atribuível.
Usar o PIM para tornar um grupo qualificado para uma atribuição de função
Para que os membros do grupo não tenham acesso permanente a uma função, use o PIM (Privileged Identity Management) do Microsoft Entra para tornar um grupo qualificado para uma atribuição de função. Assim, cada membro do grupo é qualificado para ativar a atribuição de função por um período de tempo fixo.
Observação
No caso de grupos usados para elevar as funções do Microsoft Entra, recomendamos exigir um processo de aprovação para atribuições de membros qualificados. As atribuições que podem ser ativadas sem aprovação podem deixar você vulnerável a um risco de segurança de administradores menos privilegiados. Por exemplo, o administrador da assistência técnica tem permissão para redefinir as senhas de um usuário qualificado.
Cenários sem suporte
Ainda não há suporte para os cenários a seguir:
- Atribua funções do Microsoft Entra (internas ou personalizadas) a grupos locais.
Problemas conhecidos
Veja a seguir os problemas conhecidos com grupos que podem receber funções:
- Somente clientes do Microsoft Entra ID com licença P2: mesmo após a exclusão do grupo, ele ainda mostra um membro qualificado da função na IU do PIM. Funcionalmente, não há problema; é apenas um problema de cache no centro de administração do Microsoft Entra.
- Use o novo Centro de Administração do Exchange para atribuir funções por meio de grupos de associação dinâmica. O centro de administração do Exchange antigo não oferece suporte a esse recurso. Se for necessário acessar o Centro de Administração do Exchange antigo, atribua a função qualificada diretamente ao usuário (não por grupos de atribuição de função). Os cmdlets do PowerShell do Exchange funcionam conforme o esperado.
- Se uma função de administrador for atribuída a um grupo atribuível a uma função em vez de a usuários individuais, os membros do grupo não poderão acessar Regras, Organização ou Pastas Públicas no novo centro de administração do Exchange. A solução alternativa é atribuir a função diretamente aos usuários em vez de atribuí-la ao grupo.
- O Portal da Proteção de Informações do Azure (o portal clássico) ainda não reconhece a associação de função via grupo. Você pode migrar para a plataforma de rotulagem de confidencialidade unificada e usar o portal de conformidade do Microsoft Purview para usar atribuições de grupo a fim de gerenciar as funções.
Requisitos de licença
O uso desse recurso requer uma licença P1 do Microsoft Entra ID. O Privileged Identity Management para a ativação de função just-in-time exige uma licença P2 do Microsoft Entra ID. Para localizar a licença correta para os seus requisitos, consulte Comparar recursos geralmente disponíveis nos planos Gratuito e Premium.