Conceder elegibilidade a um grupo no Privileged Identity Management

Visão geral

No Microsoft Entra ID, você pode usar o Privileged Identity Management (PIM) para gerenciar a filiação just-in-time no grupo ou o proprietário just-in-time do grupo.

Quando uma associação ou propriedade é atribuída, a atribuição:

• Não pode ser atribuída por um período inferior a cinco minutos
• Não pode ser removida até cinco minutos após a atribuição

Observação

Todos os usuários qualificados para associação ou propriedade de um PIM para Grupos devem ter uma licença do Microsoft Entra ID P2 ou do Microsoft Entra ID Governance. Para saber mais, confira Requisitos de licença para usar o Privileged Identity Management.

Atribuir um proprietário ou membro de um grupo

Siga estas etapas para tornar um usuário um membro qualificado ou proprietário de um grupo. Você precisa de permissões para gerenciar grupos. Para grupos atribuíveis a funções, você precisa ser pelo menos Administrador de Função com Privilégios ou ser Proprietário do grupo. Para grupos que não são atribuíveis a funções de papel, você precisa ser pelo menos um Escritor de Diretório, Administrador de Grupos, Administrador de Governança de Identidade ou Administrador de Usuário, ou ser Proprietário do grupo. As atribuições de função para administradores devem ter o escopo definido no nível do diretório (não no nível da unidade administrativa).

Observação

Outras funções com permissões para gerenciar grupos (como Administradores do Exchange para grupos do Microsoft 365 não atribuíveis a funções) e administradores com atribuições com escopo no nível da unidade administrativa podem gerenciar grupos pela API/UX de Grupos e substituir as alterações feitas no PIM do Microsoft Entra.

1. Entre no Centro de administração do Microsoft Entra.

2. Navegue até Governança de IDs>Gerenciamento de Identidade com Privilégios>Grupos.

3. Aqui você pode ver os grupos que já estão habilitados para o PIM para Grupos.

   

4. Selecione o grupo que você precisa gerenciar.

5. Selecione Atribuições.

6. Use os painéis Atribuições qualificadas e Atribuições ativas para revisar as atribuições de associação e propriedade existentes para o grupo selecionado.

   

7. Selecione Adicionar atribuições.

8. Em Selecionar função, escolha entre Membro e Proprietário para atribuir associação ou propriedade.

9. Selecione os membros ou proprietários que você quer qualificar para o grupo.

   

10. Selecione Avançar.

11. Na lista de tipos atribuição , selecione Qualificado ou Ativo. O Privileged Identity Management fornece dois tipos distintos de atribuição:

    • A atribuição elegível exige que o membro ou proprietário execute uma ativação para usar a função. As ativações também podem exigir o fornecimento de uma MFA (autenticação multifator), fornecer uma justificativa empresarial ou solicitar aprovação de aprovadores designados.

    Importante

    No caso dos grupos usados para elevar as funções do Microsoft Entra, a Microsoft recomenda que você exija um processo de aprovação para as atribuições dos membros elegíveis. Atribuições que podem ser ativadas sem aprovação deixam você vulnerável ao risco de segurança de outro administrador com permissão redefinir as senhas de um usuário qualificado.

    • Atribuições ativas não exigem que o membro execute qualquer ativação para usar a função. Membros ou proprietários designados como ativos sempre têm os privilégios associados à função.

12. Se a atribuição deve ser permanente (permanentemente qualificada ou permanentemente atribuída), marque a caixa de seleção Permanentemente . Dependendo das configurações do grupo, essa caixa de seleção pode não aparecer ou não ser editável. Para obter mais informações, confira o artigo Configurar as definições do PIM para Grupos no Privileged Identity Management.

    

13. Selecione Atribuir.

Atualizar ou remover uma atribuição de função existente

Siga estas etapas para atualizar ou remover uma atribuição de função existente. Você precisa de permissões para gerenciar grupos. Para grupos atribuíveis a funções, você precisa ser pelo menos Administrador de Função com Privilégios ou ser Proprietário do grupo. Para grupos que não podem ser atribuídos a uma função, você precisa ter pelo menos uma das seguintes funções: Gravador de Diretório, Administrador de Grupos, Administrador de Governança de Identidade, Administrador de Usuário ou ser um proprietário do grupo. As atribuições de função para administradores devem ter o escopo definido no nível do diretório (não no nível da unidade administrativa).

Observação

Outras funções com permissões para gerenciar grupos (como Administradores do Exchange para grupos do Microsoft 365 não atribuíveis a funções) e administradores com atribuições com escopo no nível da unidade administrativa podem gerenciar grupos pela API/UX de Grupos e substituir as alterações feitas no PIM do Microsoft Entra.

1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.

2. Navegue até Governança de IDs>Gerenciamento de Identidade com Privilégios>Grupos.

3. Aqui você pode ver os grupos que já estão habilitados para o PIM para Grupos.

   

4. Selecione o grupo que você precisa gerenciar.

5. Selecione Atribuições.

6. Use os painéis Atribuições qualificadas e Atribuições ativas para revisar as atribuições de associação e propriedade existentes para o grupo selecionado.

   

7. Selecione Atualizar ou Remover para atualizar ou remover a atribuição de associação ou propriedade.

Próximas etapas

• Ative sua associação ou propriedade do grupo no Privileged Identity Management
• Aprovar solicitações de ativação para membros e proprietários de grupo