Compartilhar via

Atribuir funções do Microsoft Entra (versão prévia)

  • Artigo

O Gerenciamento de Direitos dá suporte ao ciclo de vida de acesso para vários tipos de recursos, como Aplicativos, sites do SharePoint, Grupos e Teams. Às vezes, os usuários precisam de permissões extras para utilizar esses recursos de maneiras específicas. Por exemplo, um usuário pode precisar ter acesso aos dashboards do Power BI da sua organização, mas precisaria da função de Administrador do Power BI para ver as métricas de toda a organização. Embora outras funcionalidades do Microsoft Entra ID, como grupos atribuíveis a função, possam dar suporte a essas atribuições de função do Microsoft Entra, o acesso concedido por meio desses métodos é menos explícito. Por exemplo, você estaria gerenciando a associação de um grupo em vez de gerenciar diretamente as atribuições de função dos usuários.

Ao atribuir funções do Microsoft Entra a funcionários e convidados, usando o Gerenciamento de Direitos, é possível analisar os direitos de um usuário para determinar rapidamente quais funções são atribuídas a esse usuário. Ao incluir uma função do Microsoft Entra como um recurso em um pacote de acesso, você também pode especificar se essa atribuição de função é "qualificada" ou "ativa".

Atribuir funções do Microsoft Entra por meio de pacotes de acesso ajuda a gerenciar com eficiência as atribuições de função em escala e aprimora o ciclo de vida da atribuição de função.

Cenários para atribuição de função do Microsoft Entra usando pacotes de acesso

Vamos imaginar que sua organização contratou recentemente 50 novos funcionários para a equipe de suporte e que você tem a tarefa de dar a esses novos funcionários acesso aos recursos necessários. Esses funcionários precisam de acesso ao Grupo de Suporte e a determinados aplicativos relacionados ao suporte. Eles também precisam de três funções do Microsoft Entra, incluindo a função de Administrador de Assistência Técnica, para realizar os trabalhos deles. Em vez de atribuir individualmente cada um dos 50 funcionários a todos os recursos e funções, você pode configurar um pacote de acesso contendo o site do SharePoint, o Grupo e as funções específicas do Microsoft Entra. Em seguida, você pode configurar o pacote de acesso para ter gerentes como aprovadores e compartilhar o link com a equipe de suporte.

Captura de tela da adição de uma função de recurso ao novo pacote de acesso.

Agora, novos membros que ingressarem na equipe de Suporte poderão solicitar acesso a esse pacote de acesso em Meu Acesso e obter acesso a tudo o que precisam assim que o gerente aprovar a solicitação. Isso economiza tempo e energia porque a equipe de Suporte está planejando expandir globalmente, contratando cerca de 1.000 novos funcionários, mas você não precisa mais atribuir manualmente cada pessoa a um pacote de acesso.

Nota de acesso ao PIM:

Anotação

Recomendamos que você use o Privileged Identity Management para fornecer acesso just-in-time a um usuário para executar uma tarefa que exija permissões elevadas. Essas permissões são fornecidas por meio das Funções do Microsoft Entra, marcadas como "privilegiadas", em nossa documentação aqui: funções internas do Microsoft Entra. O Gerenciamento de Direitos é mais adequado para atribuir aos usuários um pacote de recursos, que pode incluir uma função do Microsoft Entra, necessária para uma pessoa realizar seu trabalho. Os usuários atribuídos a pacotes de acesso tendem a ter acesso mais duradouro aos recursos. Embora recomendemos que você gerencie funções com privilégios elevados por meio do Privileged Identity Management, você pode configurar a elegibilidade para essas funções por meio de pacotes de acesso no Gerenciamento de Direitos.

Pré-requisitos

O uso desse recurso requer licenças do Microsoft Entra ID Governance ou do conjunto do Microsoft Entra. Para encontrar a licença certa para seus requisitos, confira Conceitos básicos de licenciamento do Microsoft Entra ID Governance.

Adicionar uma função do Microsoft Entra como um recurso em um pacote de acesso

Siga estas etapas para mudar a lista de grupos incompatíveis ou outros pacotes de acesso para um pacote de acesso existente:

  1. Entre no centro de administração do Microsoft Entra como Administrador global.

  2. Navegue até Governança de identidade>Gerenciamento de direitos>Pacotes de acesso.

  3. Na página Pacotes de acesso, abra o pacote de acesso ao qual você quer adicionar funções de recursos e selecione Funções de recurso.

  4. Na página Adicionar funções de recurso ao pacote de acesso, selecione as Funções do Microsoft Entra (versão prévia) para abrir o painel Selecionar funções do Microsoft Entra.

  5. Selecione as funções do Microsoft Entra que você deseja incluir no pacote de acesso. Captura de tela da seleção da função para o pacote de acesso.

  6. Na lista Função, selecione Membro Qualificado ou Membro Ativo. Captura de tela da escolha da função para a função de recurso no pacote de acesso.

  7. Selecione Adicionar.

Anotação

Se você selecionar Qualificado, os usuários se tornarão qualificados para essa função e poderão ativar sua atribuição usando o Privileged Identity Management no centro de administração do Microsoft Entra. Se você selecionar Ativo, os usuários terão uma atribuição de função ativa até que não tenham mais acesso ao pacote de acesso. Para funções do Entra marcadas como "privilegiadas", você só poderá selecionar Qualificado. Você pode encontrar uma lista de funções privilegiadas aqui: Funções internas do Microsoft Entra.

Adicionar uma função do Microsoft Entra como um recurso em um pacote de acesso programaticamente

Para adicionar uma função do Microsoft Entra programaticamente, você usaria o seguinte código:

    "role": {
        "originId": "Eligible",
        "displayName": "Eligible Member",
        "originSystem": "DirectoryRole",
        "resource": {
            "id": "ea036095-57a6-4c90-a640-013edf151eb1"
        }
    },
    "scope": {
        "description": "Root Scope",
        "displayName": "Root",
        "isRootScope": true,
        "originSystem": "DirectoryRole",
        "originId": "c4e39bd9-1100-46d3-8c65-fb160da0071f"
    }
}

Adicionar uma função do Microsoft Entra como um recurso em um pacote de acesso usando o Graph

Você pode adicionar funções do Microsoft Entra como recursos em um pacote de acesso usando o Microsoft Graph. Um usuário em uma função apropriada com um aplicativo que tem o delegado EntitlementManagement.ReadWrite.All permission ou um aplicativo com a permissão do aplicativo EntitlementManagement.ReadWrite.All pode chamar a API para criar um pacote de acesso contendo funções do Microsoft Entra e atribuir usuários a esse pacote de acesso.

Adicionar uma função do Microsoft Entra como um recurso em um pacote de acesso usando o PowerShell

Você também pode criar um pacote de acesso no PowerShell com os cmdlets do módulo Cmdlets do PowerShell do Microsoft Graph para Governança de Identidade versão 1.16.0 ou posterior.

O seguinte script ilustra a adição de uma função do Microsoft Entra como um recurso em um pacote de acesso:

Primeiro, recupere a ID do catálogo e do recurso nesse catálogo e seu escopo e funções que você quer incluir no pacote de acesso. Use um script semelhante ao exemplo a seguir. Isso pressupõe que haja um recurso de função do Microsoft Entra no catálogo.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Entra Admins'" -All
if ($catalog -eq $null) { throw "catalog not found" }
$rsc = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter "originSystem eq 'DirectoryRole'" -ExpandProperty scopes
if ($rsc -eq $null) { throw "resource not found" }
$filt = "(id eq '" + $rsc.Id + "')"
$rrs = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter $filt -ExpandProperty roles,scopes

Em seguida, atribua a função do Microsoft Entra desse recurso ao pacote de acesso. Por exemplo, se você quisesse incluir a função do primeiro recurso do recurso retornado anteriormente como uma função de recurso de um pacote de acesso, usaria um script semelhante ao seguinte.

$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"

$rparams = @{
    role = @{
        id =  $rrs.Roles[0].Id
        displayName =  $rrs.Roles[0].DisplayName
        description =  $rrs.Roles[0].Description
        originSystem =  $rrs.Roles[0].OriginSystem
        originId =  $rrs.Roles[0].OriginId
        resource = @{
            id = $rrs.Id
            originId = $rrs.OriginId
            originSystem = $rrs.OriginSystem
        }
    }
    scope = @{
        id = $rsc.Scopes[0].Id
        originId = $rsc.Scopes[0].OriginId
        originSystem = $rsc.Scopes[0].OriginSystem
    }
}

New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $apid -BodyParameter $rparams

Próxima etapa

Exibir, adicionar e remover as atribuições de um pacote de acessoExibir relatórios e logs