Atribuir qualificação a um grupo (versão prévia) no Privileged Identity Management

No Microsoft Entra ID, anteriormente conhecido como Azure Active Directory, você pode usar o PIM (Privileged Identity Management) para gerenciar a associação just-in-time no grupo ou a propriedade just-in-time do grupo.

Quando uma associação ou propriedade é atribuída, a atribuição:

  • Não pode ser atribuída por um período inferior a cinco minutos
  • Não pode ser removida até cinco minutos após a atribuição

Observação

Todos os usuários qualificados para associação ou propriedade de um PIM para Grupos devem ter uma licença do Microsoft Entra ID P2 ou do Microsoft Entra ID Governance. Para saber mais, confira Requisitos de licença para usar o Privileged Identity Management.

Atribuir um proprietário ou membro de um grupo

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Siga estas etapas para qualificar um usuário como membro ou proprietário de um grupo. Você precisará de permissões para gerenciar grupos. Para grupos atribuíveis a funções, você precisará ter a função de Administrador Global ou Administrador de Função com Privilégios, ou ser Proprietário do grupo. Para grupos não atribuíveis a funções, você precisa ter a função de Administrador Global, Gravador de Diretório, Administrador de Grupos, Administrador de Governança de Identidade ou Administrador de Usuários, ou ser Proprietário do grupo. As atribuições de função para administradores devem ter o escopo definido no nível do diretório (não no nível da unidade administrativa).

Observação

Outras funções com permissões para gerenciar grupos (como Administradores do Exchange para grupos do M365 não atribuíveis a funções) e administradores com atribuições com escopo no nível da unidade administrativa podem gerenciar grupos por meio da API/UX de Grupos e substituir as alterações feitas no Microsoft Entra PIM.

  1. Entre no centro de administração do Microsoft Entra

  2. Navegue até Governança de identidade>Gerenciamento de Identidade Privilegiada>Grupos.

  3. Aqui você pode ver os grupos que já estão habilitados para o PIM para Grupos.

    Screenshot of where to view groups that are already enabled for PIM for Groups.

  4. Selecione o grupo que você precisa gerenciar.

  5. Selecione Atribuições.

  6. Use as folhas Atribuições qualificadas e Atribuições ativas para examinar as atribuições de associação ou propriedade existentes para o grupo selecionado.

    Screenshot of where to review existing membership or ownership assignments for selected group.

  7. Selecione Adicionar atribuições.

  8. Em Selecionar função, escolha entre Membro e Proprietário para atribuir associação ou propriedade.

  9. Selecione os membros ou proprietários que você quer qualificar para o grupo.

    Screenshot of where to select the members or owners you want to make eligible for the group.

  10. Selecione Avançar.

  11. Na lista Tipo de atribuição, selecione Qualificado ou Ativo. O Privileged Identity Management fornece dois tipos distintos de atribuição:

    • A atribuição qualificada exige que o membro ou proprietário execute uma ativação para usar a função. As ativações também podem exigir uma verificação de MFA (Autenticação Multifator), fornecimento de uma justificativa comercial ou solicitação de aprovação dos aprovadores designados.

    Importante

    No caso dos grupos usados para elevar as funções do Microsoft Entra, a Microsoft recomenda que você exija um processo de aprovação para as atribuições dos membros elegíveis. Atribuições que podem ser ativadas sem aprovação deixam você vulnerável ao risco de segurança de outro administrador com permissão redefinir as senhas de um usuário qualificado.

    • Atribuições ativas não exigem que o membro execute qualquer ativação para usar a função. Membros ou proprietários atribuídos como ativos sempre possuem privilégios atribuídos pela função.
  12. Se uma atribuição permanente for necessária (permanentemente qualificada ou permanentemente atribuída), marque a caixa de seleção Permanentemente. Dependendo das configurações do grupo, essa caixa de seleção pode não aparecer ou não ser editável. Para obter mais informações, confira o artigo Configurar as definições do PIM para Grupos no Privileged Identity Management.

    Screenshot of where to configure the setting for add assignments.

  13. Selecione Atribuir.

Atualizar ou remover uma atribuição de função existente

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Siga estas etapas para atualizar ou remover uma atribuição de função existente. Você precisará de permissões para gerenciar grupos. Para grupos atribuíveis a funções, você precisará ter a função de Administrador Global ou Administrador de Função com Privilégios, ou ser Proprietário do grupo. Para grupos não atribuíveis a funções, você precisa ter a função de Administrador Global, Gravador de Diretório, Administrador de Grupos, Administrador de Governança de Identidade ou Administrador de Usuários, ou ser Proprietário do grupo. As atribuições de função para administradores devem ter o escopo definido no nível do diretório (não no nível da unidade administrativa).

Observação

Outras funções com permissões para gerenciar grupos (como Administradores do Exchange para grupos do M365 não atribuíveis a funções) e administradores com atribuições com escopo no nível da unidade administrativa podem gerenciar grupos por meio da API/UX de Grupos e substituir as alterações feitas no Microsoft Entra PIM.

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.

  2. Navegue até Governança de identidade>Privileged Identity Management>Grupos.

  3. Aqui você pode ver os grupos que já estão habilitados para o PIM para Grupos.

    Screenshot of where to view groups that are already enabled for PIM for Groups.

  4. Selecione o grupo que você precisa gerenciar.

  5. Selecione Atribuições.

  6. Use as folhas Atribuições qualificadas e Atribuições ativas para examinar as atribuições de associação ou propriedade existentes para o grupo selecionado.

    Screenshot of where to review existing membership or ownership assignments for selected group.

  7. Selecione Atualizar ou Remover para atualizar ou remover a atribuição de associação ou propriedade.

Próximas etapas