Gerenciamento privilegiado de identidades (PIM) para grupos
O Microsoft Entra ID permite que você conceda aos usuários associação just-in-time e propriedade de grupos por meio do Gerenciamento Privilegiado de Identidades (PIM) para Grupos. Os grupos podem ser usados para controlar o acesso a uma variedade de cenários, incluindo funções do Microsoft Entra, funções do Azure, Azure SQL, Azure Key Vault, Intune, outras funções de aplicativo e aplicativos de terceiros.
O que é o PIM for Groups?
O PIM for Groups faz parte do Microsoft Entra Privileged Identity Management – juntamente com o PIM para funções do Microsoft Entra e o PIM para Recursos do Azure, o PIM for Groups permite que os usuários ativem a propriedade ou a associação de um grupo de segurança do Microsoft Entra ou do Microsoft 365. Os grupos podem ser usados para controlar o acesso a vários cenários que incluem funções do Microsoft Entra, funções do Azure, Azure SQL, Azure Key Vault, Intune, outras funções de aplicativo e aplicativos de terceiros.
Com o PIM for Groups, você pode usar políticas semelhantes às usadas nas funções do PIM for Microsoft Entra e no PIM for Azure Resources: você pode exigir aprovação para ativação de associação ou propriedade, impor autenticação multifator (MFA), exigir justificação, limitar o tempo máximo de ativação e muito mais. Cada grupo no PIM for Groups tem duas políticas: uma para ativação de associação e outra para ativação de propriedade no grupo. Até janeiro de 2023, o recurso PIM for Groups era chamado de "Grupos de Acesso Privilegiado".
Nota
Para grupos usados para elevar a funções do Microsoft Entra, recomendamos que você exija um processo de aprovação para atribuições de membros qualificados. As atribuições que podem ser ativadas sem aprovação podem deixá-lo vulnerável a um risco de segurança de administradores menos privilegiados. Por exemplo, o Administrador do Helpdesk tem permissão para redefinir as senhas de um usuário qualificado.
O que são grupos atribuíveis de função do Microsoft Entra?
Ao trabalhar com o Microsoft Entra ID, você pode atribuir um grupo de segurança do Microsoft Entra ou um grupo do Microsoft 365 a uma função do Microsoft Entra. Isso só é possível com grupos criados como atribuíveis a funções.
Para saber mais sobre os grupos atribuíveis de função do Microsoft Entra, consulte Criar um grupo atribuível de função na ID do Microsoft Entra.
Os grupos atribuíveis por função se beneficiam de proteções extras em comparação com os grupos não atribuíveis por função:
- Grupos atribuíveis por função - somente o Administrador Global, o Administrador de Função Privilegiada ou o Proprietário do grupo podem gerenciar o grupo. Além disso, nenhum outro usuário pode alterar as credenciais dos usuários que são membros (ativos) do grupo. Esse recurso ajuda a evitar que um administrador seja elevado a uma função privilegiada sem passar por um procedimento de solicitação e aprovação.
- Grupos não atribuíveis por função - várias funções do Microsoft Entra podem gerenciar esses grupos – o que inclui Administradores do Exchange, Administradores de Grupos, Administradores de Usuários e assim por diante. Além disso, várias funções do Microsoft Entra podem alterar as credenciais dos usuários que são membros (ativos) do grupo – isso inclui Administradores de Autenticação, Administradores de Helpdesk, Administradores de Usuário e assim por diante.
Para saber mais sobre as funções internas do Microsoft Entra e suas permissões, consulte Funções internas do Microsoft Entra.
O recurso de grupo atribuível por função do Microsoft Entra não faz parte do Microsoft Entra Privileged Identity Management (Microsoft Entra PIM). Para obter mais informações sobre licenciamento, consulte Fundamentos de licenciamento do Microsoft Entra ID Governance .
Relação entre grupos atribuíveis por função e PIM para grupos
Os grupos no Microsoft Entra ID podem ser classificados como atribuíveis ou não atribuíveis como função. Além disso, qualquer grupo pode ser habilitado ou não para uso com o Microsoft Entra Privileged Identity Management (PIM) para grupos. Estas são propriedades independentes do grupo. Qualquer grupo de segurança do Microsoft Entra e qualquer grupo do Microsoft 365 (exceto grupos de associação dinâmica e grupos sincronizados a partir do ambiente local) podem ser habilitados no PIM for Groups. O grupo não precisa ser um grupo atribuível por função para ser habilitado no PIM for Groups.
Se você quiser atribuir uma função do Microsoft Entra a um grupo, ela deve ser atribuível à função. Mesmo que você não pretenda atribuir uma função do Microsoft Entra ao grupo, mas o grupo forneça acesso a recursos confidenciais, ainda é recomendável considerar a criação do grupo como atribuível à função. Isso ocorre devido às proteções extras que os grupos atribuíveis de função têm – consulte "O que são grupos atribuíveis de função do Microsoft Entra?" na secção acima.
Importante
Até janeiro de 2023, era exigido que cada Grupo de Acesso Privilegiado (antigo nome para esse recurso PIM for Groups) tivesse que ser um grupo atribuível por função. Esta restrição foi atualmente removida. Por isso, agora é possível habilitar mais de 500 grupos por locatário no PIM, mas apenas até 500 grupos podem ser atribuíveis por função.
Tornar o grupo de utilizadores elegível para a função Microsoft Entra
Há duas maneiras de tornar um grupo de usuários elegível para a função Microsoft Entra:
- Faça atribuições ativas de usuários ao grupo e, em seguida, atribua o grupo a uma função como qualificada para ativação.
- Faça a atribuição ativa de uma função a um grupo e atribua usuários para serem qualificados para associação ao grupo.
Para fornecer a um grupo de usuários acesso just-in-time a funções do Microsoft Entra com permissões no SharePoint, Exchange ou Security & Portal de conformidade do Microsoft Purview (por exemplo, função de Administrador do Exchange), certifique-se de fazer atribuições ativas de usuários ao grupo e, em seguida, atribuir o grupo a uma função como qualificada para ativação (Opção #1 acima). Se você optar por fazer a atribuição ativa de um grupo a uma função e atribuir usuários para serem qualificados para associação ao grupo, pode levar um tempo significativo para ter todas as permissões da função ativadas e prontas para uso.
Gerenciamento privilegiado de identidades e aninhamento de grupos
No Microsoft Entra ID, os grupos atribuíveis por função não podem ter outros grupos aninhados dentro deles. Para saber mais, consulte Usar grupos do Microsoft Entra para gerenciar atribuições de função. Isso é aplicável à associação ativa: um grupo não pode ser um membro ativo de outro grupo que seja atribuível a funções.
Um grupo pode ser um membro elegível de outro grupo, mesmo que um desses grupos seja atribuível a funções.
Se um usuário for um membro ativo do Grupo A e o Grupo A for um membro qualificado do Grupo B, o usuário poderá ativar sua associação ao Grupo B. Esta ativação é apenas para o usuário que solicitou a ativação, isso não significa que todo o Grupo A se torna um membro ativo do Grupo B.
Gerenciamento privilegiado de identidades e provisionamento de aplicativos
Se o grupo estiver configurado para provisionamento de aplicativo, a ativação da associação ao grupo acionará o provisionamento da associação ao grupo (e da própria conta de usuário, se ela não tiver sido provisionada anteriormente) para o aplicativo usando o protocolo SCIM.
Temos uma funcionalidade que aciona o provisionamento logo após a associação ao grupo ser ativada no PIM. A configuração de provisionamento depende do aplicativo. Geralmente, recomendamos ter pelo menos dois grupos atribuídos ao aplicativo. Dependendo do número de funções em seu aplicativo, você pode optar por definir "grupos privilegiados" adicionais:
Agrupar | Propósito | Membros | Associação a um grupo | Função atribuída no aplicativo |
---|---|---|---|---|
Grupo de todos os utilizadores | Certifique-se de que todos os usuários que precisam de acesso ao aplicativo sejam constantemente provisionados para o aplicativo. | Todos os usuários que precisam acessar o aplicativo. | Ativos | Nenhuma, ou função pouco privilegiada |
Grupo privilegiado | Forneça acesso just-in-time à função privilegiada no aplicativo. | Usuários que precisam ter acesso just-in-time à função privilegiada no aplicativo. | Elegível | Papel privilegiado |
Considerações principais
- Quanto tempo leva para ter um usuário provisionado para o aplicativo?
- Quando um usuário é adicionado a um grupo no Microsoft Entra ID fora da ativação de sua associação de grupo usando o Microsoft Entra Privileged Identity Management (PIM):
- A associação ao grupo é provisionada no aplicativo durante o próximo ciclo de sincronização. O ciclo de sincronização é executado a cada 40 minutos.
- Quando um usuário ativa sua associação de grupo no Microsoft Entra PIM:
- A participação no grupo é provisionada em 2 a 10 minutos. Quando há uma alta taxa de solicitações ao mesmo tempo, as solicitações são limitadas a uma taxa de cinco solicitações a cada 10 segundos.
- Para os primeiros cinco usuários dentro de um período de 10 segundos ativando sua associação de grupo para um aplicativo específico, a associação de grupo é provisionada no aplicativo dentro de 2-10 minutos.
- Para o sexto usuário e superior dentro de um período de 10 segundos ativando sua associação de grupo para um aplicativo específico, a associação de grupo é provisionada para o aplicativo no próximo ciclo de sincronização. O ciclo de sincronização é executado a cada 40 minutos. Os limites de limitação são por aplicativo corporativo.
- Quando um usuário é adicionado a um grupo no Microsoft Entra ID fora da ativação de sua associação de grupo usando o Microsoft Entra Privileged Identity Management (PIM):
- Se o usuário não conseguir acessar o grupo necessário no aplicativo de destino, revise os logs do PIM e os logs de provisionamento para garantir que a associação ao grupo tenha sido atualizada com êxito. Dependendo de como o aplicativo de destino foi arquitetado, pode levar mais tempo para que a associação ao grupo entre em vigor no aplicativo.
- Usando o Azure Monitor, os clientes podem criar alertas para falhas.