O que é o Microsoft Entra Privileged Identity Management?

O Privileged Identity Management (PIM) é um serviço no Microsoft Entra ID que permite gerenciar, controlar e monitorar o acesso a recursos importantes em sua organização. Esses recursos incluem recursos no Microsoft Entra ID, Azure e outros Microsoft Online Services, como o Microsoft 365 ou o Microsoft Intune. O vídeo a seguir explica conceitos e recursos importantes do PIM.

Razões para usar

As organizações querem minimizar o número de pessoas que têm acesso a informações ou recursos seguros, porque isso reduz a chance de

• um ator mal-intencionado obtendo acesso
• um usuário autorizado que afeta inadvertidamente um recurso confidencial

No entanto, os usuários ainda precisam realizar operações privilegiadas em aplicativos Microsoft Entra ID, Azure, Microsoft 365 ou SaaS. As organizações podem conceder aos usuários acesso privilegiado just-in-time aos recursos do Azure e do Microsoft Entra e podem supervisionar o que esses usuários estão fazendo com seu acesso privilegiado.

Requisitos de licença

O uso do Privileged Identity Management requer licenças. Para obter mais informações sobre licenciamento, consulte Fundamentos de licenciamento do Microsoft Entra ID Governance .

Para que serve?

O Privileged Identity Management fornece ativação de função baseada em tempo e aprovação para reduzir os riscos de permissões de acesso excessivas, desnecessárias ou mal utilizadas em recursos que lhe interessam. Aqui estão alguns dos principais recursos do Privileged Identity Management:

• Fornecer acesso privilegiado just-in-time aos recursos do Microsoft Entra ID e do Azure
• Atribuir acesso com limite de tempo a recursos usando datas de início e término
• Exigir aprovação para ativar funções privilegiadas
• Impor autenticação multifator para ativar qualquer função
• Use a justificação para entender por que os usuários ativam
• Receba notificações quando funções privilegiadas são ativadas
• Realizar revisões de acesso para garantir que os usuários ainda precisem de funções
• Baixar histórico de auditoria para auditoria interna ou externa
• Impede a remoção das últimas atribuições ativas das funções de Administrador Global e Administrador de Função Privilegiada

O que posso fazer com ele?

Depois de configurar o Privileged Identity Management, você verá as opções Tarefas, Gerenciamento e Atividade no menu de navegação à esquerda. Como administrador, você pode escolher entre opções como gerenciar funções do Microsoft Entra, gerenciar funções de recursos do Azure ou PIM for Groups. Quando você escolhe o que deseja gerenciar, você vê o conjunto apropriado de opções para essa opção.

Quem pode fazer o quê?

Para funções do Microsoft Entra no Privileged Identity Management, somente um usuário que esteja na função Privileged Role Administrator ou Global Administrator pode gerenciar atribuições para outros administradores. Administradores Globais, Administradores de Segurança, Leitores Globais e Leitores de Segurança também podem exibir atribuições para funções do Microsoft Entra no Gerenciamento Privilegiado de Identidades.

Para funções de recurso do Azure no Privileged Identity Management, apenas um administrador de assinatura, um proprietário de recurso ou um administrador de acesso de usuário de recurso pode gerenciar atribuições para outros administradores. Os usuários que são Administradores de Função Privilegiada, Administradores de Segurança ou Leitores de Segurança não têm, por padrão, acesso para exibir atribuições de funções de recursos do Azure no Gerenciamento de Identidades Privilegiadas.

Terminologia

Para entender melhor o Privileged Identity Management e sua documentação, consulte os seguintes termos.

Termo ou conceito	Categoria de atribuição de função	Description
elegível	Type	Uma atribuição de função que requer que um usuário execute uma ou mais ações para usar a função. Se um usuário tiver sido qualificado para uma função, isso significa que ele poderá ativá-la quando precisar executar tarefas privilegiadas. Não há diferença no acesso dado a alguém com uma atribuição de função permanente versus uma atribuição de função elegível. A única diferença é que algumas pessoas não precisam desse acesso o tempo todo.
active	Type	Uma atribuição de função que não exige que um usuário execute nenhuma ação para usar a função. Os usuários atribuídos como ativos têm os privilégios atribuídos à função.
ativar		O processo de executar uma ou mais ações para usar uma função para a qual um usuário é qualificado. As ações podem incluir a realização de uma verificação de autenticação multifator (MFA), o fornecimento de uma justificativa comercial ou a solicitação de aprovação de aprovadores designados.
atribuído	Estado	Um usuário que tem uma atribuição de função ativa.
ativado	Estado	Um usuário que tem uma atribuição de função qualificada, executou as ações para ativar a função e agora está ativo. Uma vez ativado, o usuário pode usar a função por um período de tempo pré-configurado antes de precisar ativar novamente.
elegível permanente	Duração	Uma atribuição de função em que um usuário está sempre qualificado para ativar a função.
ativo permanente	Duração	Uma atribuição de função em que um usuário sempre pode usar a função sem executar nenhuma ação.
elegível com limite de tempo	Duração	Uma atribuição de função em que um usuário é elegível para ativar a função somente nas datas de início e fim.
ativo com limite de tempo	Duração	Uma atribuição de função em que um usuário pode usar a função somente nas datas de início e término.
acesso just-in-time (JIT)		Um modelo no qual os usuários recebem permissões temporárias para executar tarefas privilegiadas, o que impede que usuários mal-intencionados ou não autorizados obtenham acesso depois que as permissões expirarem. O acesso é concedido somente quando os usuários precisam dele.
Princípio do acesso com privilégios mínimos		Uma prática de segurança recomendada na qual cada usuário recebe apenas os privilégios mínimos necessários para realizar as tarefas que está autorizado a executar. Essa prática minimiza o número de Administradores Globais e, em vez disso, usa funções de administrador específicas para determinados cenários.

Visão geral da atribuição de função

As atribuições de função PIM oferecem uma maneira segura de conceder acesso a recursos em sua organização. Esta seção descreve o processo de atribuição. Inclui atribuir funções aos membros, ativar atribuições, aprovar ou negar solicitações, estender e renovar atribuições.

O PIM mantém você informado enviando notificações por e-mail a você e a outros participantes. Esses e-mails também podem incluir links para tarefas relevantes, como ativar, aprovar ou negar uma solicitação.

A captura de tela a seguir mostra uma mensagem de e-mail enviada pelo PIM. O e-mail informa Patti que Alex atualizou uma atribuição de papel para Emily.

Atribuir

O processo de atribuição começa com a atribuição de funções aos membros. Para conceder acesso a um recurso, o administrador atribui funções a usuários, grupos, entidades de serviço ou identidades gerenciadas. A atribuição inclui os seguintes dados:

• Os membros ou proprietários para atribuir a função.
• O âmbito da atribuição. O escopo limita a função atribuída a um conjunto específico de recursos.
• O tipo de atribuição
  • As atribuições qualificadas exigem que o membro da função execute uma ação para usar a função. As ações podem incluir ativação ou solicitação de aprovação de aprovadores designados.
  • As atribuições ativas não exigem que o membro execute nenhuma ação para usar a função. Os membros atribuídos como ativos têm os privilégios atribuídos à função.
• A duração da atribuição, usando datas de início e término ou permanente. Para atribuições elegíveis, os membros podem ativar ou solicitar aprovação durante as datas de início e fim. Para atribuições ativas, os membros podem usar a função atribuída durante esse período de tempo.

A captura de tela a seguir mostra como o administrador atribui uma função aos membros.

Para obter mais informações, confira os seguintes artigos: Atribuir funções do Microsoft Entra, Atribuir funções de recurso do Azure e Atribuir elegibilidade para um PIM para grupos

Activar

Se os usuários se tornaram elegíveis para uma função, eles devem ativar a atribuição de função antes de usá-la. Para ativar a função, os usuários selecionam a duração de ativação específica dentro do máximo (configurado pelos administradores) e o motivo da solicitação de ativação.

A captura de tela a seguir mostra como os membros ativam sua função por um tempo limitado.

Se a função exigir aprovação para ser ativada, uma notificação aparecerá no canto superior direito do navegador do usuário informando que a solicitação está pendente de aprovação. Se não for necessária uma aprovação, o membro pode começar a usar a função.

Para obter mais informações, confira os seguintes artigos: Ativar funções do Microsoft Entra, Ativar minhas funções de recurso do Azure e Ativar minhas funções do PIM para grupos

Aprovar ou negar

Os aprovadores delegados recebem notificações por e-mail quando uma solicitação de função está pendente de aprovação. Os aprovadores podem visualizar, aprovar ou negar essas solicitações pendentes no PIM. Depois que a solicitação for aprovada, o membro poderá começar a usar a função. Por exemplo, se um usuário ou um grupo foi atribuído com a função Contribuição a um grupo de recursos, eles são capazes de gerenciar esse grupo de recursos específico.

Para obter mais informações, confira os seguintes artigos: Aprovar ou negar solicitações para funções do Microsoft Entra, Aprovar ou negar solicitações para funções de recurso do Azure e Aprovar solicitações de ativação para PIM for Groups

Estender e renovar atribuições

Depois que os administradores configuram atribuições de proprietário ou membro com limite de tempo, a primeira pergunta que você pode fazer é: o que acontece se uma atribuição expirar? Nesta nova versão, fornecemos duas opções para este cenário:

• Estender – Quando uma atribuição de função se aproxima da expiração, o usuário pode usar o Gerenciamento de Identidades Privilegiadas para solicitar uma extensão para a atribuição de função
• Renovar – Quando uma atribuição de função já expirou, o usuário pode usar o Privileged Identity Management para solicitar uma renovação para a atribuição de função

Ambas as ações iniciadas pelo usuário exigem uma aprovação de um Administrador Global ou Administrador de Função Privilegiada. Os administradores não precisam estar no negócio de gerenciar expirações de atribuições. Você pode apenas esperar que os pedidos de extensão ou renovação cheguem para uma simples aprovação ou negação.

Para obter mais informações, confira os seguintes artigos: Estender ou renovar atribuições de função do Microsoft Entra, Estender ou renovar atribuições de função de recurso do Azure e Estender ou renovar atribuições do PIM para Grupos

Cenários

O Privileged Identity Management suporta os seguintes cenários:

Permissões de Administrador de Função Privilegiada

• Ativar a aprovação de funções específicas
• Especificar usuários ou grupos de aprovadores para aprovar solicitações
• Ver o histórico de pedidos e de aprovação de todas as funções com privilégios

Permissões de aprovador

• Ver aprovações pendentes (pedidos)
• Aprovar ou rejeitar solicitações de elevação de função (única e em massa)
• Apresentar uma justificação para a minha aprovação ou rejeição

Permissões de usuário de função qualificadas

• Pedir a ativação de uma função que requer aprovação
• Ver o estado do seu pedido para ativação
• Conclua sua tarefa no Microsoft Entra ID se a ativação foi aprovada

Microsoft Graph APIs

Você pode usar o Privileged Identity Management programaticamente por meio das seguintes APIs do Microsoft Graph:

• APIs de funções do PIM for Microsoft Entra
• APIs do PIM para grupos

Próximos passos

• Requisitos de licença para usar o Privileged Identity Management
• Protegendo o acesso privilegiado para implantações híbridas e na nuvem no Microsoft Entra ID
• Implantar o gerenciamento privilegiado de identidades