Expandir ou renovar atribuições de função de recurso do Azure no Privileged Identity Management

O Microsoft Entra Privileged Identity Management (PIM) fornece controles para gerenciar o ciclo de vida de acesso e atribuição dos recursos do Azure. Os administradores podem atribuir funções usando propriedades de data e hora de início e término. Quando a atribuição termina, o Privileged Identity Management envia notificações por e-mail aos usuários ou grupos afetados. Ele também envia notificações por e-mail aos administradores do recurso para garantir que o acesso apropriado seja mantido. As atribuições podem ser renovadas e permanecer visíveis em um estado expirado por até 30 dias, mesmo que o acesso não seja estendido.

Quem pode estender e renovar?

Somente os administradores do recurso podem estender ou renovar atribuições de função. O usuário ou grupo afetado pode solicitar a extensão de funções que estão prestes a expirar e solicitar a renovação de funções que já expiraram.

Quando as notificações são enviadas?

O Privileged Identity Management envia notificações por email para administradores e usuários ou grupos afetados de funções que estão expirando dentro de 14 dias e um dia antes da expiração. Ele envia um e-mail adicional quando uma atribuição expira oficialmente.

Os administradores recebem notificações quando um usuário ou grupo de uma função expirada ou expirando solicita a extensão ou renovação. Quando um administrador específico resolve a solicitação, todos os outros administradores são notificados da decisão de resolução (aprovada ou recusada). Em seguida, o usuário ou grupo solicitante é notificado da decisão.

Estender atribuições de função

As etapas a seguir descrevem o processo de solicitação, resolução ou administração de uma extensão ou renovação de uma atribuição de função.

Estender automaticamente as atribuições de expiração

Os usuários atribuídos a uma função podem estender as atribuições de função expirando diretamente da guia Qualificado ou Ativo na página Minhas funções de um recurso e na página Minhas funções do portal de Azure Active Directory Privileged Identity Management. No portal, os usuários podem solicitar a extensão de funções qualificadas ou ativas (atribuídas) que expiram nos próximos 14 dias.

Quando a data e hora de término da atribuição estiver dentro de 14 dias, o link para Estender torna-se ativo no centro de administração do Microsoft Entra. No exemplo a seguir, suponha que a data atual seja 27 de março.

Observação

Para um grupo atribuído a uma função, o link Estender nunca fica disponível, de modo que um usuário com uma atribuição herdada não possa estender a atribuição de grupo.

Para solicitar uma extensão dessa atribuição de função, selecione Estender para abrir o formulário de solicitação.

Para visualizar informações sobre a atribuição original, expanda Detalhes da atribuição . Digite uma razão para a solicitação de extensão e, em seguida, selecione Estender .

Observação

Recomendamos incluir os detalhes de por que a extensão é necessária e por quanto tempo a extensão deve ser concedida (se você tiver essa informação).

Em questão de momentos, os administradores de recursos recebem uma notificação por email solicitando que eles examinem a solicitação de extensão. Se uma solicitação de extensão já tiver sido enviada, uma notificação do Azure será exibida no portal.

Acesse a página Solicitações pendentes para ver o status da sua solicitação ou para cancelá-la.

Extensão aprovada pelo administrador

Quando um usuário ou membro envia uma solicitação para estender uma atribuição de função, os administradores de recursos recebem uma notificação por email que contém os detalhes da atribuição original e o motivo da solicitação. A notificação inclui um link direto com a solicitação para o administrador aprovar ou negar.

Além de usar o link a seguir do email, os administradores podem aprovar ou negar solicitações acessando o portal de administração do Privileged Identity Management e selecionando Aprovar solicitações no painel esquerdo.

Quando um administrador seleciona Aprovar ou Negar, os detalhes da solicitação são mostrados junto com um campo para fornecer uma justificativa comercial para os logs de auditoria.

Ao aprovar uma solicitação para estender a atribuição de função, os administradores de recursos podem escolher uma nova data de início, uma data de término e um tipo de atribuição. Alterar o tipo de atribuição pode ser necessário se o administrador quiser fornecer acesso limitado para concluir uma tarefa específica (um dia, por exemplo). Neste exemplo, o administrador pode alterar a atribuição de Qualificado para Ativo . Isso significa que eles podem fornecer acesso ao solicitante sem precisar que eles sejam ativados.

Extensão iniciada pelo administrador

Se um usuário atribuído a uma função não solicitar uma extensão para a atribuição de função, um administrador poderá estender uma atribuição em nome do usuário. As extensões administrativas de atribuição de função não exigem aprovação, mas as notificações são enviadas a todos os outros administradores após a extensão da função.

Para estender uma atribuição de função, navegue até a função de recurso ou exibição de atribuição em Privileged Identity Management. Localize a atribuição que requer uma extensão. Em seguida, selecione estender na coluna ação.

Renovar atribuições de função

Embora seja conceitualmente semelhante ao processo para solicitar uma extensão, o processo para renovar uma atribuição de função expirada é diferente. Usando as etapas a seguir, atribuições e administradores podem renovar o acesso a funções expiradas quando necessário.

Renovação automática

Usuários que não podem mais acessar recursos podem acessar até 30 dias do histórico de atribuições expiradas. Para fazer isso, navegue até funções Meus no painel esquerdo e, em seguida, selecione o expirado funções guia na seção de funções de recurso do Azure.

A lista de papéis mostrada é padronizada para Funções elegíveis . Use o menu suspenso para alternar entre as funções atribuídas Elegíveis e Ativas.

Para solicitar a renovação de qualquer uma das atribuições de função na lista, selecione a ação Renovar . Em seguida, forneça um motivo para a solicitação. É útil fornecer uma duração além de algum contexto adicional ou uma justificativa comercial que ajude o administrador de recursos a decidir se deve aprovar ou negar.

Depois que a solicitação é enviada, os administradores de recursos são notificados sobre uma solicitação pendente para renovar uma atribuição de função.

Aprovação pelo administrador

Os administradores de recursos podem acessar a solicitação de renovação do link na notificação por email ou acessando o Privileged Identity Management do portal do Azure e selecionando Aprovar solicitações no painel esquerdo.

Quando um administrador seleciona Aprovar ou Negar, os detalhes da solicitação são mostrados junto com um campo para fornecer uma justificativa comercial para os logs de auditoria.

Ao aprovar uma solicitação para renovar a atribuição de função, os administradores de recursos devem inserir uma nova data de início, uma data de término e um tipo de atribuição.

Renovação pelo administrador

Os administradores de recursos podem renovar atribuições de função expiradas da guia Members no menu de navegação à esquerda de um recurso. Eles também podem renovar atribuições de função expiradas de dentro do expirado guia funções de uma função de recurso.

Para visualizar uma lista de todas as atribuições de funções expiradas, na tela Members , selecione Expired roles .

Próximas etapas

• Aprovar ou negar solicitações para funções de recursos do Azure no Privileged Identity Management
• Definir configurações de função de recurso do Azure no Privileged Identity Management