Expandir ou renovar atribuições de funções de Azure AD no Privileged Identity Management

Privileged Identity Management (PIM) fornece controlos para gerir o ciclo de vida de acesso e atribuição de funções no Azure Active Directory (Azure AD), parte do Microsoft Entra. Os administradores podem atribuir funções com propriedades de data/hora de início e de fim. Quando o fim da atribuição se aproxima, Privileged Identity Management envia notificações por e-mail aos utilizadores ou grupos afetados. Também envia notificações por e-mail para Azure AD administradores para garantir que o acesso adequado é mantido. As atribuições podem ser renovadas e permanecer visíveis num estado expirado até 30 dias, mesmo que o acesso não seja prolongado.

Quem pode prolongar e renovar?

Apenas os Administradores Globais ou administradores de Funções Privilegiadas podem expandir ou renovar Azure AD atribuições de funções. O utilizador ou grupo afetado pode pedir para expandir funções que estão prestes a expirar e pedir para renovar funções que já expiraram.

Quando são enviadas as notificações?

Privileged Identity Management envia notificações por e-mail aos administradores e aos utilizadores ou grupos de funções afetados que expiram no prazo de 14 dias e um dia antes da expiração. Envia outro e-mail quando uma tarefa expira oficialmente.

Os administradores recebem notificações quando um utilizador ou grupo atribuiu um pedido de função expirado ou expirado para prolongar ou renovar. Quando um administrador resolve um pedido como aprovado ou negado, todos os outros administradores são notificados da decisão. Em seguida, o utilizador ou grupo que pede é notificado da decisão.

Expandir atribuições de funções

Os passos seguintes descrevem o processo de pedido, resolução ou administração de uma extensão ou renovação de uma atribuição de função.

Prolongar automaticmente as atribuições expiradas

Os utilizadores atribuídos a uma função podem expandir as atribuições de funções expiradas diretamente a partir do separador Elegível ou Ativo na página As minhas funções, quer em funções Azure AD, quer a partir da página De nível superior As minhas funções do portal Privileged Identity Management. No portal, os utilizadores podem pedir para expandir funções elegíveis ou ativas (atribuídas) que expiram nos próximos 14 dias.

Azure AD funções - Página as minhas funções a listar funções elegíveis com uma coluna Ação

Quando a data e hora de fim da atribuição são dentro de 14 dias, o botão Para Expandir torna-se uma ligação ativa na interface de utilizador. No exemplo seguinte, suponha que a data atual é 27 de março.

Nota

Para um grupo atribuído a uma função, a ligação Expandir nunca fica disponível para que um utilizador com uma atribuição herdada não possa expandir a atribuição de grupo.

Coluna de ação com ligações para Ativar ou Expandir

Para pedir uma extensão desta atribuição de função, selecione Expandir para abrir o formulário de pedido.

Painel Expandir atribuição de funções com uma caixa Motivo

Introduza um motivo para o pedido de extensão e, em seguida, selecione Expandir.

Nota

Recomendamos incluir os detalhes do motivo pelo qual a extensão é necessária e durante quanto tempo a extensão deve ser concedida (se tiver estas informações).

Os administradores recebem uma notificação por e-mail para rever o pedido de extensão. Se já tiver sido submetido um pedido de extensão, será apresentada uma notificação do Azure no portal.

Notificação a explicar que já existe uma extensão de atribuição de função pendente

Aceda à página Pedidos pendentes para ver o estado do seu pedido ou cancelá-lo.

Azure AD funções - Página de pedidos pendentes com uma lista de pedidos pendentes e uma ligação para Cancelar

Administração extensão aprovada

Quando um utilizador ou grupo submete um pedido para expandir uma atribuição de função, os administradores recebem uma notificação por e-mail que contém os detalhes da atribuição original e o motivo do pedido. A notificação inclui uma ligação direta para o pedido de aprovação ou negação do administrador.

Além de utilizar a seguinte ligação a partir do e-mail, os administradores podem aprovar ou negar pedidos acedendo ao portal de administração do Privileged Identity Management e selecionando Aprovar pedidos no painel esquerdo.

Azure AD funções – Aprovar pedidos de listamento de páginas e ligações para aprovar ou negar

Quando um Administrador seleciona Aprovar ou Negar, os detalhes do pedido são apresentados, juntamente com um campo para fornecer uma justificação comercial para os registos de auditoria.

Aprovar o pedido de atribuição de função com o motivo do requerente, o tipo de atribuição, a hora de início, a hora de fim e o motivo

Ao aprovar um pedido para alargar a atribuição de funções, os administradores podem escolher uma nova data de início, data de fim e tipo de atribuição. A alteração do tipo de atribuição poderá ser necessária se o administrador quiser fornecer acesso limitado para concluir uma tarefa específica (por exemplo, um dia). Neste exemplo, o administrador pode alterar a atribuição de Elegível para Ativa. Isto significa que podem fornecer acesso ao requerente sem exigir que o mesmo seja ativado.

Administração extensão iniciada

Se um utilizador atribuído a uma função não pedir uma extensão para a atribuição de função, um administrador pode expandir uma atribuição em nome do utilizador. As extensões administrativas da atribuição de função não necessitam de aprovação, mas as notificações são enviadas a todos os outros administradores depois de a função ter sido expandida.

Para expandir uma atribuição de função, navegue para a função ou vista de atribuição no Privileged Identity Management. Localize a atribuição que requer uma extensão. Em seguida, selecione Expandir na coluna de ação.

Azure AD Funções – página Atribuições que lista funções elegíveis com ligações para expandir

Expandir atribuições de funções com o Microsoft Graph API

No pedido seguinte, um administrador expande uma atribuição ativa com o Microsoft Graph API.

Pedido HTTP

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 
 
{
    "action": "adminExtend",
    "justification": "TEST",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "scheduleInfo": {
        "startDateTime": "2022-04-10T00:00:00Z",
        "expiration": {
            "type": "afterDuration",
            "duration": "PT3H"
        }
    }
}

Resposta HTTP

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
    "id": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
    "status": "Provisioned",
    "createdDateTime": "2022-05-13T16:18:36.3647674Z",
    "completedDateTime": "2022-05-13T16:18:40.0835993Z",
    "approvalId": null,
    "customData": null,
    "action": "adminExtend",
    "principalId": "071cc716-8147-4397-a5ba-b2105951cc0b",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
    "justification": "TEST",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "3fbd929d-8c56-4462-851e-0eb9a7b3a2a5"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-05-13T16:18:40.0835993Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDuration",
            "endDateTime": null,
            "duration": "PT3H"
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}

Renovar atribuições de funções

Embora conceptualmente semelhante ao processo de pedido de uma extensão, o processo de renovação de uma atribuição de função expirada é diferente. Com os seguintes passos, as atribuições e os administradores podem renovar o acesso a funções expiradas quando necessário.

Renovação automática

Os utilizadores que já não conseguem aceder aos recursos podem aceder até 30 dias do histórico de atribuições expirado. Para tal, navegam para As Minhas Funções no painel esquerdo e, em seguida, selecionam o separador Funções expiradas na secção Azure AD funções.

Página As minhas funções – separador Funções expiradas

A lista de funções apresentadas é predefinida para Funções elegíveis. Selecione Funções atribuídas elegíveis ou ativas .

Para pedir a renovação de qualquer uma das atribuições de função na lista, selecione a ação Renovar . Em seguida, indique um motivo para o pedido. É útil fornecer uma duração para além de qualquer contexto adicional ou uma justificação comercial que possa ajudar o administrador a decidir se aprova ou nega.

Painel Renovar atribuição de função a mostrar a caixa Razão

Após o pedido ter sido submetido, os administradores são notificados de um pedido pendente para renovar uma atribuição de função.

Administração aprova

Azure AD administradores podem aceder ao pedido de renovação a partir da ligação na notificação por e-mail ou ao aceder a Privileged Identity Management a partir do portal do Azure e selecionar Aprovar pedidos no PIM.

Azure AD funções – Aprovar pedidos de listamento de páginas e ligações para aprovar ou negar

Quando um administrador seleciona Aprovar ou Negar, os detalhes do pedido são apresentados juntamente com um campo para fornecer uma justificação comercial para os registos de auditoria.

Aprovar o pedido de atribuição de função com o motivo do requerente, o tipo de atribuição, a hora de início, a hora de fim e o motivo

Ao aprovar um pedido para renovar a atribuição de função, os administradores têm de introduzir uma nova data de início, data de fim e tipo de atribuição.

Administração renovar

Também podem renovar atribuições de funções expiradas a partir do separador Funções expiradas de uma função Azure AD. Para ver uma lista de todas as atribuições de funções expiradas, no ecrã Atribuições , selecione Funções expiradas.

Azure AD funções - Página de atribuições que lista funções expiradas com ligações para renovar

Passos seguintes