Visão geral do controle de acesso baseado em função no Microsoft Entra ID

Este artigo descreve como entender o controle de acesso baseado em função do Microsoft Entra. As funções do Microsoft Entra permitem conceder permissões granulares aos administradores, cumprindo o princípio dos privilégios mínimos. As funções internas e personalizadas do Microsoft Entra operam segundo conceitos semelhantes aos que você encontra no sistema de controle de acesso baseado em função para recursos do Azure (funções do Azure). A diferença entre esses dois sistemas de controle de acesso baseado em função é:

  • As funções do Microsoft Entra controlam o acesso aos recursos do Microsoft Entra, como usuários, grupos e aplicativos, usando a API do Microsoft Graph
  • As funções do Azure controlam o acesso aos recursos do Azure, como máquinas virtuais ou armazenamento, usando o Gerenciamento de Recursos do Azure

Os dois sistemas têm semelhanças no uso de definições de função e atribuições de função. No entanto, as permissões de função do Microsoft Entra não podem ser usadas em funções personalizadas do Azure e vice-versa.

Visão geral do controle de acesso baseado em função no Microsoft Entra ID

O Microsoft Entra ID dá suporte a dois tipos de definições de funções:

As funções internas são funções prontas para uso que têm um conjunto fixo de permissões. Essas definições de função não podem ser modificadas. Há muitas funções internas às quais o Microsoft Entra ID dá suporte, e a lista está crescendo. Para arredondar as bordas e atender aos seus requisitos sofisticados, o Microsoft Entra ID também dá suporte a funções personalizadas. Conceder permissão usando funções personalizadas do Microsoft Entra é um processo de duas etapas que envolve a criação de uma definição de função personalizada e, em seguida, a atribuição dela usando uma atribuição de função. Uma definição de função personalizada é uma coleção de permissões que podem ser adicionadas de uma lista predefinida. Essas permissões são as mesmas permissões usadas nas funções internas.

Quando você tiver criado sua definição de função personalizada (ou usando uma função interna), você poderá atribuí-la a um usuário criando uma atribuição de função. Uma atribuição de função concede ao usuário as permissões em uma definição de função em um escopo especificado. Esse processo de duas etapas permite criar uma única definição de função e atribuí-la muitas vezes em escopos diferentes. Um escopo define o conjunto de recursos do Microsoft Entra ao qual o membro da função tem acesso. O escopo mais comum é o escopo de toda a organização (toda a empresa). Uma função personalizada pode ser atribuída no escopo de toda a organização, o que significa que o membro da função tem as permissões de função sobre todos os recursos na empresa. Uma função personalizada também pode ser atribuída em um escopo de objeto. Um exemplo de escopo de objeto seria um único aplicativo. A mesma função pode ser atribuída a um usuário em todos os aplicativos da organização e, em seguida, a outro usuário com um escopo apenas do aplicativo de Relatórios de Despesas da Contoso.

Como o Microsoft Entra ID determina se um usuário tem acesso a um recurso

Veja a seguir as etapas de alto nível que o Microsoft Entra ID usa para determinar se você tem acesso a um recurso de gerenciamento. Use essas informações para solucionar problemas de acesso.

  1. Um usuário (ou entidade de serviço) adquire um token para o ponto de extremidade do Microsoft Graph.
  2. O usuário faz uma chamada à API para o Microsoft Entra ID por meio do Microsoft Graph usando o token emitido.
  3. Dependendo da circunstância, a ID do Microsoft Entra executa uma das seguintes ações:
    • Avalia as associações de função do usuário com base na declaração de wids no token de acesso do usuário.
    • Recupera todas as atribuições de função que se aplicam para usuário, diretamente ou por meio da associação de grupo, ao recurso no qual a ação está sendo executada.
  4. O Microsoft Entra ID determina se a ação na chamada à API está incluída nas funções que o usuário tem para este recurso.
  5. Se o usuário não tem uma função com a ação no escopo solicitado, o acesso não é concedido. Caso contrário, o acesso será permitido.

Atribuição de função

Uma atribuição de função é um recurso do Microsoft Entra que anexa uma definição de função a uma entidade de segurança em um escopo específico para conceder acesso a recursos do Microsoft Entra. O acesso é concedido criando uma atribuição de função, e é revogado removendo uma atribuição de função. Em essência, uma atribuição de função consiste em três elementos:

  • Entidade de segurança – uma identidade que obtém as permissões. Pode ser um usuário, um grupo ou uma entidade de serviço.
  • Definição de função – uma coleção de permissões.
  • Escopo – uma forma de restringir o local em que essas permissões são aplicáveis.

Você pode criar atribuições de função e listar as atribuições de função usando o Centro de administração do Microsoft Entra, Microsoft Graph PowerShell ou a API do Microsoft Graph. Não há suporte para a CLI do Azure nas atribuições de função do Microsoft Entra.

O diagrama a seguir mostra um exemplo de uma atribuição de função. Neste exemplo, foi atribuída a Chris a função personalizada de Administrador de Registro de Aplicativo no escopo do registro de aplicativo do Construtor de Widgets da Contoso. A atribuição concede a Chris as permissões da função de Administrador de Registro de Aplicativo apenas para esse registro de aplicativo específico.

A atribuição de função é como as permissões são impostas e tem três partes.

Entidade de segurança

Uma entidade de segurança representa um usuário, um grupo ou uma entidade de serviço que tem acesso atribuído aos recursos do Microsoft Entra. Um usuário é um indivíduo que tem um perfil do usuário no Microsoft Entra ID. Um grupo é um novo Microsoft 365 ou grupo de segurança que foi definido como um grupo atribuível por função. Uma entidade de serviço é uma identidade criada para uso com aplicativos, serviços hospedados e ferramentas automatizadas a fim de acessar recursos do Microsoft Entra.

Definição de função

Uma definição de função, ou função, é um conjunto de permissões. Uma definição de função lista as operações que podem ser executadas em recursos do Microsoft Entra, como criação, leitura, atualização e exclusão. Há dois tipos de funções no Microsoft Entra ID:

  • Funções internas criadas pela Microsoft que não podem ser alteradas.
  • Funções personalizadas criadas e gerenciadas pela sua organização.

Escopo

Um escopo é uma forma de limitar as ações permitidas a um determinado conjunto de recursos como parte de uma atribuição de função. Por exemplo, se desejar atribuir uma função personalizada a um desenvolvedor, mas apenas para gerenciar um registro de aplicativo específico, você poderá incluir o registro de aplicativo específico como um escopo na atribuição de função.

Ao atribuir uma função, você especifica um dos seguintes tipos de escopo:

Se você especificar um recurso do Microsoft Entra como um escopo, ele poderá ser um dos seguintes:

  • Grupos do Microsoft Entra
  • Aplicativos empresariais
  • Registros de aplicativo

Quando uma função é atribuída em um escopo de contêiner, como o Locatário ou uma Unidade Administrativa, ela concede permissões sobre os objetos que eles contêm, mas não no próprio contêiner. Pelo contrário, quando uma função é atribuída em um escopo de recurso, ela concede permissões sobre o recurso em si, mas não se estende além (em particular, não se estende aos membros de um grupo do Microsoft Entra).

Para obter mais informações, confira Atribuir funções do Microsoft Entra em escopos diferentes.

Opções de atribuição de função

O Microsoft Entra ID fornece várias opções para atribuir funções:

  • Você pode atribuir funções diretamente aos usuários, que é a maneira padrão de atribuir funções. As funções de Microsoft Entra internas e personalizadas podem ser atribuídas aos usuários, com base nos requisitos de acesso. Para obter mais informações, confira Atribuir funções do Microsoft Entra a usuários.
  • Com o Microsoft Entra ID P1 ou P2, você pode criar grupos atribuíveis por função e atribuir funções a esses grupos. A atribuição de funções a um grupo em vez de indivíduos permite adicionar ou remover facilmente usuários de uma função e criar permissões consistentes para todos os membros do grupo. Para obter mais informações, confira Atribuir funções do Microsoft Entra a grupos.
  • Com o Microsoft Entra ID P2, você pode usar o Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) para fornecer acesso just-in-time às funções. Esse recurso permite conceder acesso com tempo limitado a uma função para usuários que precisam dela, em vez de conceder acesso permanente. Ele também fornece recursos detalhados de relatório e auditoria. Para saber mais, consulte Atribuir funções do Microsoft Entra no Privileged Identity Management.

Requisitos de licença

O uso de funções internas no Microsoft Entra ID é gratuito. O uso de funções personalizadas requer uma licença P1 do Microsoft Entra ID Premium para cada usuário com uma atribuição de função personalizada. Para localizar a licença correta para os seus requisitos, consulte Comparar recursos geralmente disponíveis nos planos Gratuito e Premium.

Próximas etapas