Estender ou renovar atribuições de função do Microsoft Entra no Privileged Identity Management

O Microsoft Entra Privileged Identity Management (PIM) fornece controles para gerenciar o ciclo de vida de acesso e atribuição de funções no Microsoft Entra ID. Os administradores podem atribuir funções usando propriedades de data-hora de início e fim. Quando o fim da atribuição se aproxima, o Privileged Identity Management envia notificações por e-mail para os usuários ou grupos afetados. Ele também envia notificações por e-mail aos administradores do Microsoft Entra para garantir que o acesso apropriado seja mantido. As atribuições podem ser renovadas e permanecer visíveis em um estado expirado por até 30 dias, mesmo que o acesso não seja estendido.

Quem pode prorrogar e renovar?

Somente Administradores Globais ou Administradores de Função Privilegiada podem estender ou renovar atribuições de função do Microsoft Entra. O usuário ou grupo afetado pode solicitar a extensão de funções que estão prestes a expirar e solicitar a renovação de funções que já expiraram.

Quando são enviadas as notificações?

O Privileged Identity Management envia notificações por e-mail para administradores e usuários afetados ou grupos de funções que estão expirando dentro de 14 dias e um dia antes da expiração. Ele envia outro e-mail quando uma tarefa expira oficialmente.

Os administradores recebem notificações quando um usuário ou grupo atribuído a uma função expirada ou expirada solicita a extensão ou renovação. Quando um administrador resolve uma solicitação como aprovada ou negada, todos os outros administradores são notificados da decisão. Em seguida, o usuário ou grupo solicitante é notificado da decisão.

Estender atribuições de função

As etapas a seguir descrevem o processo para solicitar, resolver ou administrar uma extensão ou renovação de uma atribuição de função.

Auto-estender atribuições expirando

Os usuários atribuídos a uma função podem estender atribuições de função expirando diretamente da guia Qualificado ou Ativo na página Minhas funções, em Funções do Microsoft Entra ou na página Minhas funções de nível superior do portal de Gerenciamento de Identidades Privilegiadas. No portal, os usuários podem solicitar a extensão de funções qualificadas ou ativas (atribuídas) que expiram nos próximos 14 dias.

Funções do Microsoft Entra - Página Minhas funções listando funções qualificadas com uma coluna Ação.

Quando a data e hora de término da atribuição estiver dentro de 14 dias, o botão Estender se tornará um link ativo na interface do usuário. No exemplo a seguir, suponha que a data atual seja 27 de março.

Nota

Para um grupo atribuído a uma função, o link Estender nunca fica disponível para que um usuário com uma atribuição herdada não possa estender a atribuição de grupo.

Captura de tela mostrando a coluna de ação com links para Ativar ou Estender.

Para solicitar uma extensão dessa atribuição de função, selecione Estender para abrir o formulário de solicitação.

Captura de tela mostrando o painel de atribuição de função estendida com uma caixa Motivo.

Insira um motivo para a solicitação de extensão e selecione Estender.

Nota

Recomendamos incluir os detalhes do motivo pelo qual a extensão é necessária e por quanto tempo a extensão deve ser concedida (se você tiver essas informações).

Os administradores recebem uma notificação por e-mail para analisar a solicitação de extensão. Se uma solicitação de extensão já tiver sido enviada, uma notificação do Azure aparecerá no portal.

Captura de tela mostrando a notificação explicando que já existe uma extensão de atribuição de função pendente.

Aceda à página Pedidos pendentes para ver o estado do seu pedido ou cancelá-lo.

Captura de tela mostrando funções do Microsoft Entra - Página de solicitações pendentes listando todas as solicitações pendentes e um link para Cancelar.

Extensão aprovada pelo administrador

Quando um usuário ou grupo envia uma solicitação para estender uma atribuição de função, os administradores recebem uma notificação por email que contém os detalhes da atribuição original e o motivo da solicitação. A notificação inclui um link direto para a solicitação para que o administrador aprove ou negue.

Além de usar seguir o link do email, os administradores podem aprovar ou negar solicitações acessando o portal de administração do Privileged Identity Management e selecionando Aprovar solicitações no painel esquerdo.

Captura de tela mostrando funções do Microsoft Entra - página Aprovar solicitações, listando solicitações e links para aprovar ou negar.

Quando um administrador seleciona Aprovar ou Negar, os detalhes da solicitação são mostrados, juntamente com um campo para fornecer uma justificativa comercial para os logs de auditoria.

Captura de tela mostrando a solicitação de atribuição de função Aprovar com o motivo do solicitante, o tipo de atribuição, a hora de início, a hora de término e o motivo.

Ao aprovar uma solicitação para estender a atribuição de função, os administradores podem escolher uma nova data de início, data de término e tipo de atribuição. Alterar o tipo de atribuição pode ser necessário se o administrador quiser fornecer acesso limitado para concluir uma tarefa específica (um dia, por exemplo). Neste exemplo, o administrador pode alterar a atribuição de Elegível para Ativo. Isso significa que eles podem fornecer acesso ao solicitante sem exigir que ele seja ativado.

Extensão iniciada pelo administrador

Se um usuário atribuído a uma função não solicitar uma extensão para a atribuição de função, um administrador poderá estender uma atribuição em nome do usuário. As extensões administrativas da atribuição de função não exigem aprovação, mas as notificações são enviadas a todos os outros administradores após a extensão da função.

Para estender uma atribuição de função, navegue até a exibição de função ou atribuição no Privileged Identity Management. Encontre a atribuição que requer uma extensão. Em seguida, selecione Estender na coluna de ação.

Captura de tela mostrando funções do Microsoft Entra - Página de atribuições listando funções qualificadas com links para estender.

Estender atribuições de função usando a API do Microsoft Graph

Na solicitação a seguir, um administrador estende uma atribuição ativa usando a API do Microsoft Graph.

Pedido HTTP

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 
 
{
    "action": "adminExtend",
    "justification": "TEST",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "scheduleInfo": {
        "startDateTime": "2022-04-10T00:00:00Z",
        "expiration": {
            "type": "afterDuration",
            "duration": "PT3H"
        }
    }
}

HTTP response

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
    "id": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
    "status": "Provisioned",
    "createdDateTime": "2022-05-13T16:18:36.3647674Z",
    "completedDateTime": "2022-05-13T16:18:40.0835993Z",
    "approvalId": null,
    "customData": null,
    "action": "adminExtend",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
    "justification": "TEST",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "aaaaaaaa-bbbb-cccc-1111-222222222222"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-05-13T16:18:40.0835993Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDuration",
            "endDateTime": null,
            "duration": "PT3H"
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}

Renovar atribuições de função

Embora conceitualmente semelhante ao processo para solicitar uma extensão, o processo para renovar uma atribuição de função expirada é diferente. Usando as etapas a seguir, as atribuições e os administradores podem renovar o acesso a funções expiradas quando necessário.

Autorrenovação

Os usuários que não podem mais acessar recursos podem acessar até 30 dias de histórico de atribuições expirado. Para fazer isso, eles navegam até Minhas funções no painel esquerdo e selecionam a guia Funções expiradas na seção Funções do Microsoft Entra.

Captura de ecrã a mostrar a página As minhas funções - separador Funções expiradas.

A lista de funções mostrada assume como padrão Funções qualificadas. Selecione Funções atribuídas elegíveis ou ativas .

Para solicitar a renovação de qualquer uma das atribuições de função na lista, selecione a ação Renovar . Em seguida, forneça um motivo para o pedido. É útil fornecer uma duração, além de qualquer contexto adicional ou uma justificativa comercial que possa ajudar o administrador a decidir se aprova ou nega.

Captura de tela mostrando o painel Renovar atribuição de função mostrando a caixa Motivo.

Depois que a solicitação for enviada, os administradores serão notificados de uma solicitação pendente para renovar uma atribuição de função.

Administrador aprova

Os administradores do Microsoft Entra podem acessar a solicitação de renovação a partir do link na notificação por email ou acessando o Privileged Identity Management no centro de administração do Microsoft Entra e selecionando Aprovar solicitações no PIM.

Captura de tela mostrando as funções do Microsoft Entra - página Aprovar solicitações, listando solicitações e links para aprovar ou negar.

Quando um administrador seleciona Aprovar ou Negar, os detalhes da solicitação são mostrados junto com um campo para fornecer uma justificativa comercial para os logs de auditoria.

Captura de ecrã a mostrar a página Aprovar pedido de atribuição de função.

Ao aprovar uma solicitação para renovar a atribuição de função, os administradores devem inserir uma nova data de início, data de término e tipo de atribuição.

Renovação de administrador

Eles também podem renovar atribuições de função expiradas na guia Funções expiradas de uma função do Microsoft Entra. Para exibir uma lista de todas as atribuições de função expiradas, na tela Atribuições , selecione Funções expiradas.

Captura de tela da página Funções do Microsoft Entra - Atribuições listando funções expiradas com links para renovação.

Próximos passos