Funcionalidades de gerenciamento para grupos de acesso privilegiado (versão prévia)

No PIM (Privileged Identity Management), agora você pode atribuir qualificação para associação ou propriedade de grupos com acesso privilegiado. Começando com essa versão prévia, você pode atribuir funções internas do Azure AD (Azure Active Directory), parte do Microsoft Entra, a grupos de nuvem e usar o PIM para gerenciar a qualificação e a ativação de proprietários e membros do grupo. Para obter mais informações sobre grupos passíveis de atribuição de função no Azure AD, confira Usar grupos do Azure AD para gerenciar atribuições de função.

Importante

Para fornecer a um grupo de usuários acesso just-in-time às funções de diretório do Azure AD com permissões no SharePoint, Exchange ou & Centro de Conformidade de Segurança (por exemplo, função de Administrador do Exchange), certifique-se de fazer atribuições ativas de usuários ao grupo, e, em seguida, atribua o grupo a uma função como elegível para ativação. Se, em vez disso, você fizer uma atribuição ativa de uma função a um grupo e atribuir usuários a serem qualificados para associação ao grupo, pode levar um tempo significativo para que todas as permissões da função estejam ativadas e prontas para uso.

Observação

No caso de grupos de acesso privilegiado usados para elevar as funções do Azure AD, é recomendável exigir um processo de aprovação para atribuições de membros qualificados. As atribuições que podem ser ativadas sem aprovação podem criar um risco de segurança dos administradores com um nível inferior de permissões. Por exemplo, o administrador da assistência técnica tem permissões para redefinir a senha de um usuário qualificado.

Exigir políticas diferentes para cada grupo passível de atribuição de função

Algumas organizações usam ferramentas como a colaboração B2B (entre empresas) do Azure AD para convidar os respectivos parceiros como convidados para a organização do Azure AD delas. Em vez de apenas uma política just-in-time para todas as atribuições a uma função com privilégios, você pode criar dois grupos de acesso privilegiado diferentes, cada um com suas próprias políticas. Você pode impor requisitos menos rígidos aos funcionários confiáveis e requisitos mais estritos, como o fluxo de trabalho de aprovação, aos parceiros quando eles solicitam ativação no grupo ao qual foram atribuídos.

Ativar várias atribuições de função em uma única solicitação

Com a versão prévia dos grupos com acesso privilegiado, você pode usar apenas uma solicitação just-in-time para fornecer a administradores de cargas de trabalho específicas acesso rápido a várias funções. Por exemplo, os administradores da Camada 0 do Office podem precisar de acesso just-in-time às funções de administrador do Exchange, administrador dos Aplicativos do Office, administrador do Teams e administrador da Pesquisa para investigar os incidentes minuciosamente e todos os dias. Você pode criar um grupo de atribuições de função chamado "Administradores do Office da Camada 0" e qualificá-lo para atribuição à quatro funções já mencionadas (ou a qualquer função interna do Azure AD) e habilitá-lo para Acesso Privilegiado na seção Atividade do grupo. Depois que o grupo for habilitado para acesso privilegiado, você pode atribuir os administradores e proprietários ao grupo. Quando os administradores elevarem o grupo para as funções, a equipe terá permissões das quatro funções do Azure AD.

Estender e renovar atribuições de grupo

Depois de configurar suas atribuições de proprietário ou de membro associadas ao tempo, a primeira pergunta que você pode fazer é: o que acontecerá se uma atribuição expirar? Nesta nova versão, fornecemos duas opções para esse cenário:

  • Estender – quando uma atribuição de função se aproxima da expiração, o usuário pode usar o Privileged Identity Management para solicitar uma extensão para a atribuição de função
  • Renovar – quando uma atribuição de função já expirou, o usuário pode usar o Privileged Identity Management para solicitar uma renovação da atribuição de função

As duas ações iniciadas pelo usuário exigem uma aprovação de um Administrador global ou de um Administrador de funções com privilégios. Os administradores não precisarão mais se preocupar com o gerenciamento dessas expirações. Eles podem apenas esperar pelas solicitações de renovação e aprová-las se forem válidas.

Próximas etapas