Estender ou renovar o PIM para atribuições de grupos

  • Artigo

O Privileged Identity Management (PIM) no Microsoft Entra ID fornece controles para gerenciar o ciclo de vida de acesso e atribuição para associação e propriedade de grupo. Os administradores podem atribuir propriedades de data e hora de início e término para associação e propriedade do grupo. Quando o fim da atribuição se aproxima, o Privileged Identity Management envia notificações por e-mail para os usuários ou grupos afetados. Ele também envia notificações por e-mail aos administradores do recurso para garantir que o acesso apropriado seja mantido. As atribuições podem ser renovadas e permanecer visíveis em um estado expirado por até 30 dias, mesmo que o acesso não seja estendido.

Quem pode prorrogar e renovar

Somente os usuários com permissões para gerenciar grupos podem estender ou renovar a associação ao grupo ou atribuições de propriedade com limite de tempo. O usuário ou grupo afetado pode solicitar a extensão de atribuições que estão prestes a expirar e solicitar a renovação de atribuições que já expiraram.

Os grupos atribuíveis por função podem ser gerenciados por Administrador Global, Administrador de Função Privilegiada ou Proprietário do grupo. Os grupos não atribuíveis por função podem ser gerenciados por Administrador Global, Gravador de Diretório, Administrador de Grupos, Administrador de Governança de Identidade, Administrador de Usuário ou Proprietário do grupo. As atribuições de função para administradores devem ter escopo no nível de diretório (não no nível da Unidade Administrativa).

Nota

Outras funções com permissões para gerenciar grupos (como Administradores do Exchange para grupos M365 não atribuíveis por função) e administradores com atribuições com escopo no nível da unidade administrativa podem gerenciar grupos por meio da API/UX de Grupos e substituir as alterações feitas no Microsoft Entra PIM.

Quando as notificações são enviadas

O Privileged Identity Management envia notificações por e-mail para administradores e usuários afetados de atribuições do PIM for Groups que estão expirando:

  • No prazo de 14 dias antes da expiração
  • Um dia antes da expiração
  • Quando uma atribuição expira

Os administradores recebem notificações quando um usuário ou grupo solicita a extensão ou renovação de uma atribuição expirada ou expirada. Quando um administrador resolve a solicitação, todos os administradores e o usuário solicitante são notificados da aprovação ou recusa.

Estender atribuições de grupo

As etapas a seguir descrevem o processo para solicitar, resolver ou administrar uma extensão ou renovação de uma associação de grupo ou atribuição de propriedade.

Auto-estender atribuições expirando

Os usuários atribuídos à associação ou propriedade do grupo podem estender as atribuições de grupo que expiram diretamente na guia Elegível ou Ativo na página Atribuições do grupo. Os usuários ou grupos podem solicitar a extensão de atribuições qualificadas e ativas que expiram nos próximos 14 dias.

Screenshot of where to self-extend expiring assignments.

Quando a data-hora de término da atribuição estiver dentro de 14 dias, o comando Estender estará disponível. Para solicitar uma extensão de uma atribuição de grupo, selecione Estender para abrir o formulário de solicitação.

Screenshot of where to extend group assignment pane with a Reason box and details.

Nota

Recomendamos incluir os detalhes do motivo pelo qual a extensão é necessária e por quanto tempo a extensão deve ser concedida (se você tiver essas informações).

Os administradores recebem uma notificação por e-mail solicitando que analisem a solicitação de extensão. Se uma solicitação de extensão já tiver sido enviada, uma notificação do Azure aparecerá no portal.

Para ver o estado ou cancelar o seu pedido, abra a página Pedidos pendentes para a atribuição de grupo.

Screenshot of the pending requests page showing the link to Cancel.

Extensão aprovada pelo administrador

Quando um usuário ou grupo envia uma solicitação para estender uma atribuição de grupo, os administradores recebem uma notificação por email que contém os detalhes da atribuição original e o motivo da solicitação. A notificação inclui um link direto para a solicitação para que o administrador aprove ou negue.

Além de usar seguir o link do email, os administradores podem aprovar ou negar solicitações acessando o portal de administração do Privileged Identity Management e selecionando Aprovar solicitações no painel esquerdo.

Screenshot of the approve requests page listing requests and links to approve or deny.

Quando um administrador seleciona Aprovar ou Negar, os detalhes da solicitação são mostrados, juntamente com um campo para fornecer uma justificativa comercial para os logs de auditoria.

Screenshot of where to approve group assignment request with requestor reason, assignment type, start time, end time, and reason.

Ao aprovar uma solicitação para estender uma atribuição de grupo, os administradores de recursos podem escolher uma nova data de início, data de término e tipo de atribuição. Alterar o tipo de atribuição pode ser necessário se o administrador quiser fornecer acesso limitado para concluir uma tarefa específica (um dia, por exemplo). Neste exemplo, o administrador pode alterar a atribuição de Elegível para Ativo. Isso significa que eles podem fornecer acesso ao solicitante sem exigir que ele seja ativado.

Extensão iniciada pelo administrador

Se um usuário atribuído a um grupo não solicitar uma extensão para a atribuição de grupo, um administrador poderá estender uma atribuição em nome do usuário. As extensões administrativas da atribuição de grupo não exigem aprovação, mas as notificações são enviadas a todos os outros administradores após a atribuição ter sido estendida.

Para estender uma atribuição de grupo, navegue até o modo de exibição de atribuição no Privileged Identity Management. Encontre a atribuição que requer uma extensão. Em seguida, selecione Estender na coluna de ação.

Screenshot of the assignments page listing eligible group assignments with links to extend.

Renovar trabalhos de grupo

Embora conceitualmente semelhante ao processo para solicitar uma extensão, o processo para renovar uma atribuição de grupo expirada é diferente. Usando as etapas a seguir, as atribuições e os administradores podem renovar o acesso a atribuições expiradas quando necessário.

Autorrenovação

Os usuários que não podem mais acessar recursos podem acessar até 30 dias de histórico de atribuições expirado. Para fazer isso, eles navegam até Minhas Funções no painel esquerdo e selecionam a guia Atribuições expiradas .

A lista de atribuições mostrada assume como padrão Atribuições qualificadas. Use o menu suspenso para alternar entre atribuições Qualificadas e Ativas.

Para solicitar a renovação de qualquer uma das atribuições de grupo na lista, selecione a ação Renovar . Em seguida, forneça um motivo para o pedido. É útil fornecer uma duração, além de qualquer contexto adicional ou uma justificativa comercial que possa ajudar o administrador de recursos a decidir aprovar ou negar.

Depois que a solicitação for enviada, os administradores de recursos serão notificados de uma solicitação pendente para renovar uma atribuição de grupo.

Administrador aprova

Os administradores de recursos podem acessar a solicitação de renovação a partir do link na notificação por email ou acessando o Privileged Identity Management no centro de administração do Microsoft Entra e selecionando Aprovar solicitações no painel esquerdo.

Quando um administrador seleciona Aprovar ou Negar, os detalhes da solicitação são mostrados junto com um campo para fornecer uma justificativa comercial para os logs de auditoria.

Ao aprovar uma solicitação para renovar uma atribuição de grupo, os administradores de recursos devem inserir uma nova data de início, data de término e tipo de atribuição.

Próximos passos