Começar usando o Privileged Identity Management
Use o Privileged Identity Management (PIM) para gerenciar, controlar e monitorar o acesso na sua organização do Microsoft Entra. Com o PIM, você pode fornecer acesso conforme necessário e just-in-time aos recursos do Microsoft Entra e a outros serviços online da Microsoft, como o Microsoft 365 ou o Microsoft Intune.
Este artigo descreve como habilitar o PIM (Privileged Identity Management) e começar a usá-lo.
Pré-requisitos
Para usar o Privileged Identity Management, você precisa ter uma licença P2 do Microsoft Entra ID ou do Microsoft Entra ID Governance. Para obter mais informações sobre o licenciamento, confira os Princípios básicos de licenciamento do Microsoft Entra ID Governance.
Ativação de atribuições de função
Quando um locatário do Microsoft Entra tem uma licença P2 do Microsoft Entra ID ou do Microsoft Entra ID Governance, os usuários com atribuições de função ativas podem fazer o seguinte:
- Abrir a página Funções e administradores no Microsoft Entra ID e escolher uma função;
- Abrir a página Privileged Identity Management;
- Fazer chamadas para o PIM usando a API de funções do Microsoft Entra.
O Microsoft Entra habilita o PIM para o locatário das seguintes maneiras:
- A partir de agora, você pode criar atribuições qualificadas ou com limite de tempo para funções do Microsoft Entra;
- Administradores Globais ou Administradores de Função com Privilégios podem começar a receber emails adicionais, como o resumo semanal do PIM;
- O nome da entidade de serviço do PIM (MS–PIM) poderá ser mencionado em eventos de log de auditoria relacionados ao gerenciamento de atribuição de função.
Esses comportamentos são esperados e não afetarão seus fluxos de trabalho.
Preparar o PIM para funções do Microsoft Entra
Aqui estão as tarefas que recomendamos que você prepare para o Privileged Identity Management gerenciar funções do Microsoft Entra:
- Definir as configurações de função do Microsoft Entra
- Fornecer atribuições qualificadas
- Permitir que usuários qualificados ativem sua função just-in-time do Microsoft Entra
Preparar o PIM para funções do Azure
Aqui estão as tarefas que recomendamos que você prepare para o Privileged Identity Management gerenciar funções do Azure para assinatura:
- Recursos de descoberta do Azure
- Definir configurações de função do Azure
- Fornecer atribuições qualificadas
- Permitir que usuários qualificados ativem suas funções just-in-time do Azure
Navegue até as tarefas
Quando o Privileged Identity Management estiver configurado, você pode aprender a se encontrar.
| Tarefa + Gerenciar | Descrição |
|---|---|
| Minhas Funções | Exibe uma lista de funções qualificadas e ativas atribuídas a você. É aqui que você pode ativar as funções qualificadas atribuídas. |
| Minhas solicitações | Exibe as solicitações pendentes para ativar atribuições de função qualificadas. |
| Aprovar solicitações | Exibe uma lista de solicitações de usuários para ativar funções qualificadas em seu diretório, que você pode aprovar. |
| Examinar acesso | Lista as revisões de acesso ativas atribuídas a você para completar, esteja você revisando o acesso para si mesmo ou para outra pessoa. |
| Funções do Microsoft Entra | Exibe um painel e configurações para que Administradores de funções com privilégios gerenciem atribuições de função de recurso do Microsoft Entra. Esse painel é desabilitado para todos que não forem administradores de função com privilégios. Esses usuários têm acesso a um painel especial denominado Minha exibição. O painel Minha exibição exibe somente informações sobre o usuário que acessa o painel, não a organização inteira. |
| Grupos | Gerenciar a associação just-in-time no grupo ou a propriedade just-in-time do grupo. Os grupos podem ser usados para fornecer acesso a funções do Microsoft Entra, funções do Azure e vários outros cenários. Para gerenciar um grupo Microsoft Entra no PIM, você deve colocá-lo sob gerenciamento no PIM. |
| Recursos do Azure | Exibe um painel e configurações para que Administradores de funções com privilégios gerenciem atribuições de função de recurso do Azure. Esse painel é desabilitado para todos que não forem administradores de função com privilégios. Esses usuários têm acesso a um painel especial denominado Minha exibição. O painel Minha exibição exibe somente informações sobre o usuário que acessa o painel, não a organização inteira. |
| Configurações gerais | Escolha aplicativos que têm permissão para fazer chamadas somente de aplicativo para a API do Microsoft Graph para PIM. |