Compartilhar via


PIM (Privileged Identity Management) para Grupos

O Microsoft Entra ID permite que você conceda aos usuários uma filiação just-in-time e os designe como proprietários de grupos por meio do Privileged Identity Management (PIM) para Grupos. Os grupos podem ser usados para controlar o acesso a uma variedade de cenários, incluindo funções do Microsoft Entra, funções do Azure, SQL do Azure, Azure Key Vault, Intune, outras funções de aplicativo e aplicativos de terceiros.

O que é o PIM para Grupos?

O PIM para Grupos faz parte do Privileged Identity Management do Microsoft Entra. Juntamente com o PIM para funções do Microsoft Entra e o PIM para Recursos do Azure, o PIM para Grupos permite que os usuários ativem sua filiação ou qualificação como proprietários de um grupo de segurança do Microsoft Entra ou do Microsoft 365. Os grupos podem ser usados para controlar o acesso a vários cenários, que incluem funções do Microsoft Entra, funções do Azure, SQL do Azure, Azure Key Vault, Intune, outras funções de aplicativo e aplicativos de terceiros.

Com o PIM para Grupos, você pode usar políticas semelhantes às usadas no PIM para funções do Microsoft Entra e no PIM para Recursos do Azure; você pode requer aprovação para a ativação da filiação ou qualificação como proprietário, implementar a MFA (autenticação multifator), exigir uma justificativa, limitar o tempo máximo de ativação e muito mais. Cada grupo no PIM para Grupos tem duas políticas: uma para ativação da associação e outra para ativação da propriedade no grupo. Até janeiro de 2023, o recurso do PIM para Grupos era chamado de "Grupos de Acesso Privilegiado".

Observação

No caso de grupos usados para elevar as funções do Microsoft Entra, recomendamos exigir um processo de aprovação para atribuições de membros qualificados. As atribuições que podem ser ativadas sem aprovação podem deixar você vulnerável a um risco de segurança de administradores menos privilegiados. Por exemplo, o administrador da assistência técnica tem permissão para redefinir as senhas de um usuário qualificado.

O que são os grupos do Microsoft Entra aos quais é possível atribuir funções?

Ao trabalhar com o Microsoft Entra ID, você pode atribuir uma função do Microsoft Entra a um grupo de segurança do Microsoft Entra ou um grupo do Microsoft 365. Isso só é possível com grupos criados como atribuíveis a funções.

Para saber mais sobre os grupos aos quais é possível atribuir funções do Microsoft Entra ID, confira Criar um grupo aos quais é possível atribuir funções no Microsoft Entra ID.

Grupos que podem receber atribuições de função se beneficiam de proteções extra em comparação com grupos que não podem receber atribuições de função:

  • Grupos que podem receber atribuições de função – Somente o administrador global, o administrador de funções com privilégios ou o proprietário do grupo podem gerenciar o grupo. Além disso, nenhum outro usuário pode alterar as credenciais dos usuários que são membros (ativos) do grupo. Esse recurso ajuda a impedir que um administrador eleve para uma função com privilégios mais altos sem passar por um procedimento de solicitação e aprovação.
  • Grupos não atribuíveis a função - várias funções do Microsoft Entra podem gerenciar esses grupos – que incluem Administradores do Exchange, Administradores de Grupos, Administradores de Usuários, e assim por diante. Além disso, várias funções do Microsoft Entra podem alterar as credenciais dos usuários que são membros (ativos) do grupo – que inclui Administradores de Autenticação, Administradores de Assistência Técnica, Administradores de Usuário, e assim por diante.

Para saber mais sobre as funções integradas do Microsoft Entra e suas permissões, confira Funções integradas do Microsoft Entra.

O recurso de grupo ao qual é possível atribuir uma função do Microsoft Entra não faz parte do Privileged Identity Management do Microsoft Entra (PIM). Para obter mais informações sobre o licenciamento, confira os Conceitos básicos de licenciamento do Microsoft Entra ID Governance.

Relação entre grupos que podem receber atribuições de função e PIM para Grupos

Os grupos do Microsoft Entra ID podem ser classificados como grupos aos quais é possível atribuir uma função e grupos aos quais não é possível atribuir uma função. Além disso, qualquer grupo pode ser habilitado ou não habilitado para uso com o Microsoft Entra Privileged Identity Management (PIM) para Grupos. Essas são propriedades independentes do grupo. Qualquer grupo de segurança do Microsoft Entra e qualquer grupo do Microsoft 365 (exceto grupos de associação dinâmica e grupos sincronizados a partir do ambiente local) podem ser habilitados no PIM para Grupos. O grupo não precisa ser um grupo que pode receber atribuições de função para ser habilitado no PIM para Grupos.

Caso você queira atribuir uma função do Microsoft Entra a um grupo, é preciso que seja possível lhe atribuir uma função. Mesmo que você não pretenda atribuir uma função do Microsoft Entra ao grupo, se o grupo fornecer acesso a recursos confidenciais continua sendo recomendável pensar em criar um grupo para o qual seja possível atribuir uma função. Isso ocorre devido às proteções extras concedidas aos grupos aos quais é possível atribuir uma função. Confira “O que são grupos aos quais é possível atribuir uma função do Microsoft Entra?” na seção abaixo.

Importante

Até janeiro de 2023, era necessário que cada Grupo com Acesso Privilegiado (antigo nome desse recurso do PIM para Grupos) fosse um grupo que pode receber atribuições de função. Essa restrição foi removida. Por isso, agora é possível habilitar mais de 500 grupos por locatário no PIM, mas apenas até 500 grupos podem receber atribuições de função.

Como qualificar um grupo de usuários a uma função do Microsoft Entra

Existem duas maneiras de qualificar um grupo de usuários para funções do Microsoft Entra:

  1. Faça atribuições ativas de usuários ao grupo e atribua o grupo a uma função como qualificado para ativação.
  2. Torne a atribuição ativa de uma função a um grupo e atribua usuários para serem qualificados para associação de grupo.

Para fornecer a um grupo de usuários um acesso just-in-time às funções do Microsoft Entra com permissões no SharePoint, no Exchange ou no portal de conformidade do Microsoft Purview e Segurança (por exemplo, uma função de Administrador do Exchange), faça atribuições ativas de usuários ao grupo e atribua uma função ao grupo como qualificado para ativação (Opção n.° 1 acima). Se você optar por fazer uma atribuição ativa de um grupo para uma função e atribuir usuários a serem qualificados para associação ao grupo, pode levar um tempo significativo para que todas as permissões da função estejam ativadas e prontas para uso.

Privileged Identity Management e aninhamento de grupo

No Microsoft Entra ID, os grupos aos quais é possível atribuir uma função não podem ter outros grupos aninhados em seu interior. Para saber mais, confira como Usar grupos do Microsoft Entra para gerenciar atribuições de função. Isso é aplicável à associação ativa: um grupo não pode ser um membro ativo de outro grupo que pode receber atribuições de função.

Um grupo pode ser um membro qualificado de outro grupo, mesmo que um desses grupos possa receber atribuições de função.

Se um usuário for um membro ativo do Grupo A e o Grupo A for um membro qualificado do Grupo B, o usuário poderá ativar a associação no Grupo B. Essa ativação serve somente para o usuário que solicitou a ativação, mas não significa que todo o Grupo A se torna um membro ativo do Grupo B.

Privileged Identity Management e provisionamento de aplicativos

Se o grupo estiver configurado para provisionamento de aplicativos, a ativação da associação de grupo disparará o provisionamento de associação de grupo (e a própria conta de usuário, se não tiver sido provisionada anteriormente) para o aplicativo usando o protocolo SCIM.

Temos uma funcionalidade que dispara o provisionamento logo após a associação ao grupo ser ativada no PIM. A configuração do aplicativo depende do aplicativo. Em geral, é recomendável ter pelo menos dois grupos atribuídos ao aplicativo. Dependendo do número de funções em seu aplicativo, você pode optar por definir "grupos privilegiados.":

Grupo Finalidade Membros Associação de grupo Função atribuída no aplicativo
O grupo Todos os Usuários Verifique se todos os usuários que precisam de acesso ao aplicativo são constantemente provisionados para o aplicativo. Todos os usuários que precisam acessar o aplicativo. Ativa Nenhuma ou função com baixo privilégio
Grupo privilegiado Forneça acesso just-in-time à função com privilégios no aplicativo. Usuários que precisam ter acesso just-in-time à função privilegiada no aplicativo. Qualificado Função com privilégios

Considerações-chave

  • Quanto tempo leva para que um usuário seja provisionado para o aplicativo?
    • Quando um usuário é adicionado a um grupo no Microsoft Entra ID fora da ativação de sua associação de grupo usando o Microsoft Entra Privileged Identity Management (PIM):
      • A associação ao grupo é provisionada no aplicativo durante o próximo ciclo de sincronização. O ciclo de sincronização é executado a cada 40 minutos.
    • Quando um usuário ativa sua associação de grupo no Microsoft Entra PIM:
      • A associação ao grupo é provisionada em dois a dez minutos. Quando há uma alta taxa de solicitações simultâneas, as solicitações são limitadas a uma taxa de cinco solicitações a cada dez segundos.
      • Para os primeiros cinco usuários em um período de dez segundos que ativam a associação ao grupo para um aplicativo específico, a associação ao grupo é provisionada no aplicativo dentro de dois a dez minutos.
      • Para o sexto usuário ou mais, dentro de um período de dez segundos, que ativar a associação ao grupo para um aplicativo específico, a associação ao grupo será provisionada para o aplicativo no próximo ciclo de sincronização. O ciclo de sincronização é executado a cada 40 minutos. Os parâmetros de limitação são por aplicativo empresarial.
  • Se o usuário não conseguir acessar o grupo necessário no aplicativo de destino, revise os logs do PIM e os logs de provisionamento para garantir que a associação ao grupo foi atualizada com êxito. Dependendo de como o aplicativo de destino foi projetado, pode levar mais tempo para que a associação ao grupo entre em vigor no aplicativo.
  • Usando o Azure Monitor, os clientes podem criar alertas e falhas.

Próximas etapas