Ativar minhas funções de recurso do Azure no Privileged Identity Management

Use o PIM (Microsoft Entra Privileged Identity Management), para permitir que membros de função qualificados para recursos do Azure agendem a ativação para uma data e hora futuras. Eles também podem selecionar uma duração de ativação específica dentro do máximo (configurado pelos administradores).

Este artigo é para membros que precisam ativar sua função de recurso do Azure no Privileged Identity Management.

Nota

A partir de março de 2023, agora você pode ativar suas atribuições e exibir seu acesso diretamente de folhas fora do PIM no portal do Azure. Leia mais aqui.

Importante

Quando uma função é ativada, o Microsoft Entra PIM adiciona temporariamente a atribuição ativa para a função. O Microsoft Entra PIM cria uma atribuição ativa (atribui o usuário a uma função) em segundos. Quando ocorre a desativação (expiração manual ou por meio do tempo de ativação), o Microsoft Entra PIM remove a atribuição ativa em segundos também.

O aplicativo pode fornecer acesso com base na função que o usuário tem. Em algumas situações, o acesso ao aplicativo pode não refletir imediatamente o fato de que o usuário recebeu a função atribuída ou removida. Se o aplicativo tiver armazenado em cache anteriormente o fato de que o usuário não tem uma função – quando o usuário tenta acessar o aplicativo novamente, o acesso pode não ser fornecido. Da mesma forma, se o aplicativo tiver armazenado em cache anteriormente o fato de que o usuário tem uma função – quando a função é desativada, o usuário ainda poderá obter acesso. A situação específica depende da arquitetura do aplicativo. Para alguns aplicativos, sair e entrar novamente pode ajudar a obter acesso adicionado ou removido.

Pré-requisitos

Nenhum

Ativar uma função

Quando você precisa assumir uma função de recurso do Azure, pode solicitar a ativação usando a opção de navegação Minhas funções no Privileged Identity Management.

Nota

O PIM agora está disponível no aplicativo móvel do Azure (iOS | Android) para funções de recurso do Microsoft Entra ID e do Azure. Ative facilmente as atribuições qualificadas, solicite renovações para as que estão expirando ou verifique o status das solicitações pendentes. Leia mais abaixo

1. Entre no Centro de administração do Microsoft Entra.

2. Navegue até o Gerenciamento de>de Governança> de IDMinhas funções.

   

3. Selecione funções de recurso do Azure para ver uma lista de suas funções de recurso qualificadas do Azure.

   

4. Na lista de funções de recursos do Azure , localize a função que você deseja ativar.

   

5. Selecione Ativar para abrir a página Ativar.

   

6. Se sua função exigir autenticação multifator, selecione Verificar sua identidade antes de prosseguir. Você só precisa se autenticar uma vez por sessão.

7. Selecione Verificar minha identidade e siga as instruções para fornecer verificação de segurança adicional.

   

8. Se você quiser especificar um escopo reduzido, selecione Escopo para abrir o painel Filtro de recursos.

   É uma prática recomendada solicitar apenas acesso aos recursos necessários. No painel Filtro de recursos, você pode especificar os grupos de recursos ou os recursos aos quais precisa acessar.

   

9. Se necessário, especifique uma hora de início de ativação personalizada. O membro seria ativado após o horário selecionado.

10. Na caixa motivo do , insira o motivo da solicitação de ativação.

11. Selecione Ativar.

    Nota

    Se a função exigir aprovação para ativar, uma notificação será exibida no canto superior direito do navegador informando que a solicitação está pendente de aprovação.

Ativar uma função com a API do Azure Resource Manager

O Privileged Identity Management dá suporte a comandos de API do Azure Resource Manager para gerenciar funções de recurso do Azure, conforme documentado na referência da API DO ARM do PIM. Para obter as permissões necessárias para usar a API do PIM, consulte Understand the Privileged Identity Management APIs.

Para ativar uma atribuição de função qualificada do Azure e obter acesso ativado, use as Solicitações de Agendamento de Atribuição de Função – Criar a API REST para criar uma nova solicitação e especificar a entidade de segurança, a definição de função, requestType = SelfActivate e o escopo. Para chamar essa API, você deve ter uma atribuição de função qualificada no escopo.

Use uma ferramenta GUID para gerar um identificador exclusivo para o identificador de atribuição de função. O identificador tem o formato: 00000000-0000-0000-0000-000000000000000.

Substitua {roleAssignmentScheduleRequestName} na solicitação PUT pelo identificador GUID da atribuição de função.

Para obter mais informações sobre funções qualificadas para o gerenciamento de recursos do Azure, consulte o tutorial da API DO ARM do PIM.

Esta é uma solicitação HTTP de exemplo para ativar uma atribuição qualificada para uma função do Azure.

Pedir

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignmentScheduleRequests/{roleAssignmentScheduleRequestName}?api-version=2020-10-01

Corpo da solicitação

{ 
"properties": { 
  "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
  "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
  "requestType": "SelfActivate", 
  "linkedRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413", 
  "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
          "type": "AfterDuration", 
          "endDateTime": null, 
          "duration": "PT8H" 
      } 
  }, 
  "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
  "conditionVersion": "1.0" 
} 
} 

Resposta

Código de status: 201

{ 
  "properties": { 
    "targetRoleAssignmentScheduleId": "c9e264ff-3133-4776-a81a-ebc7c33c8ec6", 
    "targetRoleAssignmentScheduleInstanceId": null, 
    "scope": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", 
    "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
    "principalType": "User", 
    "requestType": "SelfActivate", 
    "status": "Provisioned", 
    "approvalId": null, 
    "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
        "type": "AfterDuration", 
        "endDateTime": null, 
        "duration": "PT8H" 
      } 
    }, 
    "ticketInfo": { 
      "ticketNumber": null, 
      "ticketSystem": null 
    }, 
    "justification": null, 
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
    "createdOn": "2020-09-09T21:35:27.91Z", 
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
    "conditionVersion": "1.0", 
    "expandedProperties": { 
      "scope": { 
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", 
        "displayName": "Pay-As-You-Go", 
        "type": "subscription" 
      }, 
      "roleDefinition": { 
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
        "displayName": "Contributor", 
        "type": "BuiltInRole" 
      }, 
      "principal": { 
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
        "displayName": "User Account", 
        "email": "user@my-tenant.com", 
        "type": "User" 
      } 
    } 
  }, 
  "name": "fea7a502-9a96-4806-a26f-eee560e52045", 
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/RoleAssignmentScheduleRequests/fea7a502-9a96-4806-a26f-eee560e52045", 
  "type": "Microsoft.Authorization/RoleAssignmentScheduleRequests" 
} 

Exibir o status de suas solicitações

Você pode exibir o status de suas solicitações pendentes para ativar.

1. Abra o Microsoft Entra Privileged Identity Management.

2. Selecione Minhas solicitações para ver uma lista de suas solicitações de função de recurso do Microsoft Entra e do Azure.

   

3. Role para a direita para exibir a coluna Status da Solicitação .

Cancelar uma solicitação pendente

Se você não precisar de ativação de uma função que exija aprovação, poderá cancelar uma solicitação pendente a qualquer momento.

1. Abra o Microsoft Entra Privileged Identity Management.

2. Selecione Minhas solicitações.

3. Para a função que você deseja cancelar, selecione o link Cancelar .

   When you select Cancel, the request will be canceled. To activate the role again, you will have to submit a new request for activation.
   

   

Desativar uma atribuição de função

Quando uma atribuição de função é ativada, você vê uma opção Desativar no portal do PIM para a atribuição de função. Além disso, você não pode desativar uma atribuição de função dentro de cinco minutos após a ativação.

Ativar com o portal do Azure

A ativação da função Privileged Identity Management é integrada às extensões de Controle de Acesso e Cobrança no portal do Azure. Os atalhos para Assinaturas (cobrança) e Controle de Acesso (AD) permitem ativar funções PIM diretamente dessas folhas.

Na folha Assinaturas, selecione "Exibir assinaturas qualificadas" no menu de comando horizontal para verificar suas atribuições qualificadas, ativas e expiradas. A partir daí, você pode ativar uma atribuição qualificada no mesmo painel.

No Controle de Acesso (IAM) para um recurso, agora você pode selecionar "Exibir meu acesso" para ver suas atribuições de função atualmente ativas e qualificadas e ativar diretamente.

Ao integrar recursos do PIM em diferentes folhas do portal do Azure, esse novo recurso permite que você obtenha acesso temporário para exibir ou editar assinaturas e recursos com mais facilidade.

Ativar funções PIM usando o aplicativo móvel do Azure

O PIM agora está disponível na ID do Microsoft Entra e nos aplicativos móveis de funções de recurso do Azure no iOS e no Android.

1. Para ativar uma atribuição de função qualificada do Microsoft Entra, comece baixando o aplicativo móvel do Azure (iOS | Android). Você também pode baixar o aplicativo selecionando Abrir em dispositivos móveis no Privileged Identity Management > Minhas funções > do Microsoft Entra.

   

2. Abra o aplicativo móvel do Azure e entre. Clique no cartão 'Privileged Identity Management' e selecione Minhas funções de Recurso do Azure para exibir suas atribuições de função qualificadas e ativas.

   

3. Selecione a atribuição de função e clique em Ativar a Ação > nos detalhes da atribuição de função. Conclua as etapas para ativar e preencher todos os detalhes necessários antes de clicar em Ativar na parte inferior.

   

4. Exiba o status de suas solicitações de ativação e suas atribuições de função em "Minhas funções de Recurso do Azure".

   

Conteúdo relacionado

• Estender ou renovar funções de recurso do Azure no Privileged Identity Management
• Ativar minhas funções do Microsoft Entra no Privileged Identity Management

Use o PIM (Microsoft Entra Privileged Identity Management), para permitir que membros de função qualificados para recursos do Azure agendem a ativação para uma data e hora futuras. Eles também podem selecionar uma duração de ativação específica dentro do máximo (configurado pelos administradores).

Este artigo é para membros que precisam ativar sua função de recurso do Azure no Privileged Identity Management.

Nota

A partir de março de 2023, agora você pode ativar suas atribuições e exibir seu acesso diretamente de folhas fora do PIM no portal do Azure. Leia mais aqui.

Importante

Quando uma função é ativada, o Microsoft Entra PIM adiciona temporariamente a atribuição ativa para a função. O Microsoft Entra PIM cria uma atribuição ativa (atribui o usuário a uma função) em segundos. Quando ocorre a desativação (expiração manual ou por meio do tempo de ativação), o Microsoft Entra PIM remove a atribuição ativa em segundos também.

O aplicativo pode fornecer acesso com base na função que o usuário tem. Em algumas situações, o acesso ao aplicativo pode não refletir imediatamente o fato de que o usuário recebeu a função atribuída ou removida. Se o aplicativo tiver armazenado em cache anteriormente o fato de que o usuário não tem uma função – quando o usuário tenta acessar o aplicativo novamente, o acesso pode não ser fornecido. Da mesma forma, se o aplicativo tiver armazenado em cache anteriormente o fato de que o usuário tem uma função – quando a função é desativada, o usuário ainda poderá obter acesso. A situação específica depende da arquitetura do aplicativo. Para alguns aplicativos, sair e entrar novamente pode ajudar a obter acesso adicionado ou removido.

Quando você precisa assumir uma função de recurso do Azure, pode solicitar a ativação usando a opção de navegação Minhas funções no Privileged Identity Management.

Nota

O PIM agora está disponível no aplicativo móvel do Azure (iOS | Android) para funções de recurso do Microsoft Entra ID e do Azure. Ative facilmente as atribuições qualificadas, solicite renovações para as que estão expirando ou verifique o status das solicitações pendentes. Leia mais abaixo

1. Entre no Centro de administração do Microsoft Entra.

2. Navegue até o Gerenciamento de>de Governança> de IDMinhas funções.

   

3. Selecione funções de recurso do Azure para ver uma lista de suas funções de recurso qualificadas do Azure.

   

4. Na lista de funções de recursos do Azure , localize a função que você deseja ativar.

   

5. Selecione Ativar para abrir a página Ativar.

   

6. Se sua função exigir autenticação multifator, selecione Verificar sua identidade antes de prosseguir. Você só precisa se autenticar uma vez por sessão.

7. Selecione Verificar minha identidade e siga as instruções para fornecer verificação de segurança adicional.

   

8. Se você quiser especificar um escopo reduzido, selecione Escopo para abrir o painel Filtro de recursos.

   É uma prática recomendada solicitar apenas acesso aos recursos necessários. No painel Filtro de recursos, você pode especificar os grupos de recursos ou os recursos aos quais precisa acessar.

   

9. Se necessário, especifique uma hora de início de ativação personalizada. O membro seria ativado após o horário selecionado.

10. Na caixa motivo do , insira o motivo da solicitação de ativação.

11. Selecione Ativar.

    Nota

    Se a função exigir aprovação para ativar, uma notificação será exibida no canto superior direito do navegador informando que a solicitação está pendente de aprovação.

O Privileged Identity Management dá suporte a comandos de API do Azure Resource Manager para gerenciar funções de recurso do Azure, conforme documentado na referência da API DO ARM do PIM. Para obter as permissões necessárias para usar a API do PIM, consulte Understand the Privileged Identity Management APIs.

Para ativar uma atribuição de função qualificada do Azure e obter acesso ativado, use as Solicitações de Agendamento de Atribuição de Função – Criar a API REST para criar uma nova solicitação e especificar a entidade de segurança, a definição de função, requestType = SelfActivate e o escopo. Para chamar essa API, você deve ter uma atribuição de função qualificada no escopo.

Use uma ferramenta GUID para gerar um identificador exclusivo para o identificador de atribuição de função. O identificador tem o formato: 00000000-0000-0000-0000-000000000000000.

Substitua {roleAssignmentScheduleRequestName} na solicitação PUT pelo identificador GUID da atribuição de função.

Para obter mais informações sobre funções qualificadas para o gerenciamento de recursos do Azure, consulte o tutorial da API DO ARM do PIM.

Esta é uma solicitação HTTP de exemplo para ativar uma atribuição qualificada para uma função do Azure.

Pedir

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignmentScheduleRequests/{roleAssignmentScheduleRequestName}?api-version=2020-10-01

Corpo da solicitação

{ 
"properties": { 
  "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
  "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
  "requestType": "SelfActivate", 
  "linkedRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413", 
  "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
          "type": "AfterDuration", 
          "endDateTime": null, 
          "duration": "PT8H" 
      } 
  }, 
  "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
  "conditionVersion": "1.0" 
} 
} 

Resposta

Código de status: 201

{ 
  "properties": { 
    "targetRoleAssignmentScheduleId": "c9e264ff-3133-4776-a81a-ebc7c33c8ec6", 
    "targetRoleAssignmentScheduleInstanceId": null, 
    "scope": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", 
    "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", 
    "principalType": "User", 
    "requestType": "SelfActivate", 
    "status": "Provisioned", 
    "approvalId": null, 
    "scheduleInfo": { 
      "startDateTime": "2020-09-09T21:35:27.91Z", 
      "expiration": { 
        "type": "AfterDuration", 
        "endDateTime": null, 
        "duration": "PT8H" 
      } 
    }, 
    "ticketInfo": { 
      "ticketNumber": null, 
      "ticketSystem": null 
    }, 
    "justification": null, 
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
    "createdOn": "2020-09-09T21:35:27.91Z", 
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'", 
    "conditionVersion": "1.0", 
    "expandedProperties": { 
      "scope": { 
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", 
        "displayName": "Pay-As-You-Go", 
        "type": "subscription" 
      }, 
      "roleDefinition": { 
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608", 
        "displayName": "Contributor", 
        "type": "BuiltInRole" 
      }, 
      "principal": { 
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea", 
        "displayName": "User Account", 
        "email": "user@my-tenant.com", 
        "type": "User" 
      } 
    } 
  }, 
  "name": "fea7a502-9a96-4806-a26f-eee560e52045", 
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/RoleAssignmentScheduleRequests/fea7a502-9a96-4806-a26f-eee560e52045", 
  "type": "Microsoft.Authorization/RoleAssignmentScheduleRequests" 
} 

Você pode exibir o status de suas solicitações pendentes para ativar.

1. Abra o Microsoft Entra Privileged Identity Management.

2. Selecione Minhas solicitações para ver uma lista de suas solicitações de função de recurso do Microsoft Entra e do Azure.

   

3. Role para a direita para exibir a coluna Status da Solicitação .

Se você não precisar de ativação de uma função que exija aprovação, poderá cancelar uma solicitação pendente a qualquer momento.

1. Abra o Microsoft Entra Privileged Identity Management.

2. Selecione Minhas solicitações.

3. Para a função que você deseja cancelar, selecione o link Cancelar .

   When you select Cancel, the request will be canceled. To activate the role again, you will have to submit a new request for activation.
   

   

Quando uma atribuição de função é ativada, você vê uma opção Desativar no portal do PIM para a atribuição de função. Além disso, você não pode desativar uma atribuição de função dentro de cinco minutos após a ativação.

Ativar com o portal do Azure

A ativação da função Privileged Identity Management é integrada às extensões de Controle de Acesso e Cobrança no portal do Azure. Os atalhos para Assinaturas (cobrança) e Controle de Acesso (AD) permitem ativar funções PIM diretamente dessas folhas.

Na folha Assinaturas, selecione "Exibir assinaturas qualificadas" no menu de comando horizontal para verificar suas atribuições qualificadas, ativas e expiradas. A partir daí, você pode ativar uma atribuição qualificada no mesmo painel.

No Controle de Acesso (IAM) para um recurso, agora você pode selecionar "Exibir meu acesso" para ver suas atribuições de função atualmente ativas e qualificadas e ativar diretamente.

Ao integrar recursos do PIM em diferentes folhas do portal do Azure, esse novo recurso permite que você obtenha acesso temporário para exibir ou editar assinaturas e recursos com mais facilidade.

Ativar funções PIM usando o aplicativo móvel do Azure

O PIM agora está disponível na ID do Microsoft Entra e nos aplicativos móveis de funções de recurso do Azure no iOS e no Android.

1. Para ativar uma atribuição de função qualificada do Microsoft Entra, comece baixando o aplicativo móvel do Azure (iOS | Android). Você também pode baixar o aplicativo selecionando Abrir em dispositivos móveis no Privileged Identity Management > Minhas funções > do Microsoft Entra.

   

2. Abra o aplicativo móvel do Azure e entre. Clique no cartão 'Privileged Identity Management' e selecione Minhas funções de Recurso do Azure para exibir suas atribuições de função qualificadas e ativas.

   

3. Selecione a atribuição de função e clique em Ativar a Ação > nos detalhes da atribuição de função. Conclua as etapas para ativar e preencher todos os detalhes necessários antes de clicar em Ativar na parte inferior.

   

4. Exiba o status de suas solicitações de ativação e suas atribuições de função em "Minhas funções de Recurso do Azure".