Descrição geral do controlo de acesso baseado em funções no Microsoft Entra ID

Este artigo descreve como entender o controle de acesso baseado em função do Microsoft Entra. As funções do Microsoft Entra permitem que você conceda permissões granulares aos seus administradores, respeitando o princípio do menor privilégio. As funções internas e personalizadas do Microsoft Entra operam em conceitos semelhantes aos encontrados no sistema de controle de acesso baseado em função para recursos do Azure (funções do Azure). A diferença entre esses dois sistemas de controle de acesso baseados em funções é:

  • As funções do Microsoft Entra controlam o acesso aos recursos do Microsoft Entra, como usuários, grupos e aplicativos usando a API do Microsoft Graph
  • As funções do Azure controlam o acesso aos recursos do Azure, como máquinas virtuais ou armazenamento, usando o Gerenciamento de Recursos do Azure

Ambos os sistemas contêm definições de função e atribuições de função usadas de forma semelhante. No entanto, as permissões de função do Microsoft Entra não podem ser usadas em funções personalizadas do Azure e vice-versa.

Compreender o controle de acesso baseado em função do Microsoft Entra

O Microsoft Entra ID suporta dois tipos de definições de funções:

As funções internas são funções prontas para uso que têm um conjunto fixo de permissões. Estas definições de funções não podem ser modificadas. Há muitas funções internas que o Microsoft Entra ID suporta, e a lista está crescendo. Para arredondar as bordas e atender aos seus requisitos sofisticados, o Microsoft Entra ID também oferece suporte a funções personalizadas. Conceder permissão através das funções personalizadas do Microsoft Entra é um processo de dois passos que envolve criar uma definição de função personalizada e, em seguida, atribuí-la através de uma atribuição de função. Uma definição de função personalizada é uma coleção de permissões que adiciona a partir de uma lista predefinida. Estas permissões são as mesmas que foram utilizadas nas funções incorporadas.

Uma vez criada a definição de função personalizada (ou através de uma função incorporada), pode atribuí-la a um utilizador ao criar uma atribuição de função. Uma atribuição de função concede ao utilizador as permissões numa definição de função num âmbito especificado. Este processo de dois passos permite-lhe criar uma definição de função única e atribuí-la várias vezes em diferentes âmbitos. Um âmbito define o conjunto de recursos do Microsoft Entra a que o membro da função tem acesso. O âmbito mais comum é o âmbito ao nível da organização (org-wide). Uma função personalizada pode ser atribuída no âmbito org-wide, o que significa que o membro da função tem as permissões sobre todos os recursos na organização. Uma função personalizada também pode ser atribuída num âmbito de objeto. Uma aplicação única é um exemplo de um âmbito de objeto. A mesma função pode ser atribuída a um utilizador em todas as aplicações da organização e depois a outro utilizador com um âmbito apenas da aplicação Contoso Expense Reports.

Como o Microsoft Entra ID determina se um usuário tem acesso a um recurso

A seguir estão as etapas de alto nível que o Microsoft Entra ID usa para determinar se você tem acesso a um recurso de gerenciamento. Use essas informações para solucionar problemas de acesso.

  1. Um usuário (ou entidade de serviço) adquire um token para o ponto de extremidade do Microsoft Graph.
  2. O usuário faz uma chamada de API para o Microsoft Entra ID via Microsoft Graph usando o token emitido.
  3. Dependendo da circunstância, o Microsoft Entra ID executa uma das seguintes ações:
    • Avalia as associações de função do usuário com base na declaração wids no token de acesso do usuário.
    • Recupera todas as atribuições de função que se aplicam ao usuário, diretamente ou por meio da associação ao grupo, ao recurso no qual a ação está sendo executada.
  4. O ID do Microsoft Entra determina se a ação na chamada de API está incluída nas funções que o usuário tem para esse recurso.
  5. Se o usuário não tiver uma função com a ação no escopo solicitado, o acesso não será concedido. Caso contrário, o acesso é concedido.

Atribuição de função

Uma atribuição de função é um recurso do Microsoft Entra que anexa uma definição de função a uma entidade de segurança em um escopo específico para conceder acesso aos recursos do Microsoft Entra. O acesso é concedido ao criar uma atribuição de função e o acesso é revogado ao remover uma atribuição de função. Em sua essência, uma atribuição de função consiste em três elementos:

  • Entidade de segurança - Uma identidade que obtém as permissões. Pode ser um usuário, grupo ou entidade de serviço.
  • Definição de função - Uma coleção de permissões.
  • Escopo - Uma maneira de restringir onde essas permissões são aplicáveis.

Você pode criar atribuições de função e listar as atribuições de função usando o centro de administração do Microsoft Entra, o Microsoft Graph PowerShell ou a API do Microsoft Graph. A CLI do Azure não tem suporte para atribuições de função do Microsoft Entra.

O diagrama seguinte mostra um exemplo de uma atribuição de função. Neste exemplo, Chris recebeu a função personalizada de Administrador de Registro de Aplicativo no escopo do registro do aplicativo Contoso Widget Builder. A atribuição concede a Chris as permissões da função de Administrador de Registro de Aplicativo apenas para esse registro de aplicativo específico.

A atribuição de função é como as permissões são impostas e tem três partes.

Principal de segurança

Uma entidade de segurança representa um usuário, grupo ou entidade de serviço à qual é atribuído acesso aos recursos do Microsoft Entra. Um usuário é um indivíduo que tem um perfil de usuário no Microsoft Entra ID. Um grupo é um novo Microsoft 365 ou grupo de segurança que foi definido como um grupo atribuível por função. Uma entidade de serviço é uma identidade criada para uso com aplicativos, serviços hospedados e ferramentas automatizadas para acessar recursos do Microsoft Entra.

Definição da função

Uma definição de função, ou função, é uma coleção de permissões. Uma definição de função lista as operações que podem ser executadas nos recursos do Microsoft Entra, como criar, ler, atualizar e excluir. Há dois tipos de funções no Microsoft Entra ID:

  • Funções internas criadas pela Microsoft que não podem ser alteradas.
  • Funções personalizadas criadas e gerenciadas pela sua organização.

Âmbito

Um escopo é uma maneira de limitar as ações permitidas a um conjunto específico de recursos como parte de uma atribuição de função. Por exemplo, se você quiser atribuir uma função personalizada a um desenvolvedor, mas apenas para gerenciar um registro de aplicativo específico, poderá incluir o registro de aplicativo específico como um escopo na atribuição de função.

Ao atribuir uma função, você especifica um dos seguintes tipos de escopo:

Se você especificar um recurso do Microsoft Entra como escopo, ele poderá ser um dos seguintes:

  • Grupos do Microsoft Entra
  • Aplicações Empresariais
  • Inscrições de candidaturas

Quando uma função é atribuída em um escopo de contêiner, como o Locatário ou uma Unidade Administrativa, ela concede permissões sobre os objetos que eles contêm, mas não no contêiner em si. Pelo contrário, quando uma função é atribuída sobre um escopo de recurso, ela concede permissões sobre o próprio recurso, mas não se estende além (em particular, não se estende aos membros de um grupo do Microsoft Entra).

Para obter mais informações, consulte Atribuir funções do Microsoft Entra em escopos diferentes.

Opções de atribuição de função

O Microsoft Entra ID fornece várias opções para atribuir funções:

  • Você pode atribuir funções diretamente aos usuários, que é a maneira padrão de atribuir funções. As funções internas e personalizadas do Microsoft Entra podem ser atribuídas aos usuários, com base nos requisitos de acesso. Para obter mais informações, consulte Atribuir funções do Microsoft Entra aos usuários.
  • Com o Microsoft Entra ID P1, você pode criar grupos atribuíveis a funções e atribuir funções a esses grupos. A atribuição de funções a um grupo em vez de indivíduos permite a fácil adição ou remoção de usuários de uma função e cria permissões consistentes para todos os membros do grupo. Para obter mais informações, consulte Atribuir funções do Microsoft Entra a grupos.
  • Com o Microsoft Entra ID P2, você pode usar o Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) para fornecer acesso just-in-time às funções. Esse recurso permite que você conceda acesso limitado por tempo a uma função aos usuários que precisam dela, em vez de conceder acesso permanente. Ele também fornece relatórios detalhados e recursos de auditoria. Para obter mais informações, consulte Atribuir funções do Microsoft Entra no Privileged Identity Management.

Requisitos de licença

O uso de funções internas no Microsoft Entra ID é gratuito. O uso de funções personalizadas requer uma licença P1 do Microsoft Entra ID para cada usuário com uma atribuição de função personalizada. Para encontrar a licença certa para seus requisitos, consulte Comparando recursos geralmente disponíveis das edições Free e Premium.

Próximos passos