Estender ou renovar o PIM para atribuições de grupos

O PIM (Privileged Identity Management) no Microsoft Entra ID fornece controles para gerenciar o ciclo de vida de acesso e atribuição para associação de grupo e propriedade. Os administradores podem atribuir propriedades de data e hora de início e término para associação e propriedade de grupos. Quando a atribuição termina, o Privileged Identity Management envia notificações por e-mail aos usuários ou grupos afetados. Ele também envia notificações por e-mail aos administradores do recurso para garantir que o acesso apropriado seja mantido. As atribuições podem ser renovadas e permanecem visíveis em um estado expirado por até 30 dias, mesmo que o acesso não seja estendido.

Quem pode estender e renovar

Somente usuários com permissões para gerenciar grupos podem estender ou renovar atribuições de associação de grupo ou associação de tempo de propriedade. O usuário ou grupo afetado pode solicitar a extensão de atribuições que estão prestes a expirar e solicitar a renovação de atribuições que já expiraram.

Os grupos atribuíveis a funções podem ser gerenciados por Administrador Global, Administrador de Função Com Privilégios ou Proprietário do grupo. Grupos não atribuíveis a funções podem ser gerenciados por Administrador Global, Gravador de Diretório, Administrador de Grupos, Administrador de Governança de Identidade, Administrador de Usuários ou Proprietário do grupo. As atribuições de função para administradores devem ter o escopo definido no nível do diretório (não no nível da unidade administrativa).

Observação

Outras funções com permissões para gerenciar grupos (como Administradores do Exchange para grupos do M365 não atribuíveis a funções) e administradores com atribuições com escopo no nível da unidade administrativa podem gerenciar grupos por meio da API/UX de Grupos e substituir as alterações feitas no Microsoft Entra PIM.

Quando as notificações são enviadas

Privileged Identity Management envia notificações por email para administradores e usuários afetados de atribuições do PIM para Grupos que estão expirando:

  • Dentro de 14 dias antes da expiração
  • Um dia antes da expiração
  • Quando uma atribuição expira

Os administradores recebem notificações quando um usuário ou grupo solicita a extensão ou renovação de uma atribuição expirada ou prestes a expirar. Quando um administrador resolve a solicitação, todos os administradores e o usuário solicitante são notificados sobre a aprovação ou negação.

Estender atribuições de grupo

As etapas a seguir descrevem o processo de solicitação, resolução ou administração de uma extensão ou renovação de uma atribuição de associação ou propriedade de grupo.

Estender automaticamente as atribuições de expiração

Usuários com associação ou propriedade de um grupo podem estender as atribuições de grupo prestes a expirar diretamente na guia Qualificado ou Ativo na página de Atribuições do grupo. Usuários e grupos podem solicitar a extensão de atribuições qualificadas e ativas que expirarão dentro de 14 dias.

Screenshot of where to self-extend expiring assignments.

Quando a data/hora de término da atribuição está a 14 dias, o comando Estender está disponível. Para solicitar uma extensão de uma atribuição de grupo, selecione Estender para abrir o formulário de solicitação.

Screenshot of where to extend group assignment pane with a Reason box and details.

Observação

Recomendamos incluir os detalhes de por que a extensão é necessária e por quanto tempo a extensão deve ser concedida (se você tiver essa informação).

Os administradores recebem uma notificação por e-mail solicitando que eles examinem a solicitação de extensão. Se uma solicitação de extensão já tiver sido enviada, uma notificação do Azure será exibida no portal.

Para exibir o status ou cancelar sua solicitação, abra a página Solicitações pendentes para a atribuição de grupo.

Screenshot of the pending requests page showing the link to Cancel.

Extensão aprovada pelo administrador

Quando um usuário ou grupo envia uma solicitação para estender uma atribuição de grupo, os administradores recebem uma notificação por e-mail que contém os detalhes da atribuição original e o motivo da solicitação. A notificação inclui um link direto com a solicitação para o administrador aprovar ou negar.

Além de usar o link a seguir do email, os administradores podem aprovar ou negar solicitações acessando o portal de administração do Privileged Identity Management e selecionando Aprovar solicitações no painel esquerdo.

Screenshot of the approve requests page listing requests and links to approve or deny.

Quando um administrador seleciona Aprovar ou Negar, os detalhes da solicitação são mostrados junto com um campo para fornecer uma justificativa comercial para os logs de auditoria.

Screenshot of where to approve group assignment request with requestor reason, assignment type, start time, end time, and reason.

Ao aprovar uma solicitação para estender uma atribuição de grupo, os administradores de recursos podem escolher uma nova data de início, uma data de término e um tipo de atribuição. Alterar o tipo de atribuição pode ser necessário se o administrador quiser fornecer acesso limitado para concluir uma tarefa específica (um dia, por exemplo). Neste exemplo, o administrador pode alterar a atribuição de Qualificado para Ativo . Isso significa que eles podem fornecer acesso ao solicitante sem precisar que eles sejam ativados.

Extensão iniciada pelo administrador

Se um usuário atribuído a um grupo não solicitar uma extensão para a atribuição de grupo, um administrador poderá estender uma atribuição em nome do usuário. As extensões administrativas da atribuição de grupo não exigem aprovação, mas as notificações são enviadas a todos os outros administradores depois que a atribuição foi estendida.

Para estender uma atribuição de grupo, navegue até a exibição de atribuição em Privileged Identity Management. Localize a atribuição que requer uma extensão. Em seguida, selecione estender na coluna ação.

Screenshot of the assignments page listing eligible group assignments with links to extend.

Renovar atribuições de grupo

Embora seja conceitualmente semelhante ao processo para solicitar uma extensão, o processo para renovar uma atribuição de grupo expirada é diferente. Usando as etapas a seguir, atribuições e administradores podem renovar o acesso a atribuições expiradas quando necessário.

Renovação automática

Usuários que não podem mais acessar recursos podem acessar até 30 dias do histórico de atribuições expiradas. Para fazer isso, navegue até Minhas funções no painel esquerdo e, em seguida, selecione a guia Atribuições expiradas.

A lista de atribuições mostrada tem como padrão as Atribuições qualificadas. Use o menu suspenso para alternar entre as atribuições Qualificadas e Ativas.

Para solicitar a renovação de qualquer uma das atribuições de grupo na lista, selecione a ação Renovar. Em seguida, forneça um motivo para a solicitação. É útil fornecer uma duração além de algum contexto adicional ou uma justificativa comercial que ajude o administrador de recursos a decidir se deve aprovar ou negar.

Depois que a solicitação é enviada, os administradores de recursos são notificados sobre uma solicitação pendente para renovar uma atribuição de grupo.

Aprovação pelo administrador

Os administradores de recursos podem acessar a solicitação de renovação a partir do link na notificação por email ou acessando o Privileged Identity Management no centro de administração do Microsoft Entra e selecionando Aprovar solicitações no painel esquerdo.

Quando um administrador seleciona Aprovar ou Negar, os detalhes da solicitação são mostrados junto com um campo para fornecer uma justificativa comercial para os logs de auditoria.

Ao aprovar uma solicitação para renovar uma atribuição de grupo, os administradores de recursos devem inserir uma nova data de início, uma data de término e um tipo de atribuição.

Próximas etapas