Alterar funções de recurso para um pacote de acesso no gerenciamento de direitos
Como um gerenciador de pacotes de acesso, você pode alterar os recursos em um pacote de acesso a qualquer momento sem se preocupar em provisionar o acesso do usuário aos novos recursos ou remover seu acesso dos recursos anteriores. Este artigo descreve como alterar as funções de recurso para um pacote de acesso existente.
Este vídeo fornece uma visão geral de como alterar um pacote de acesso.
Verifique se há recursos no catálogo
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
Se precisar adicionar recursos a um pacote de acesso, verifique se os recursos necessários estão disponíveis no catálogo do pacote de acesso. Se você for um gerenciador de pacotes de acesso, não poderá adicionar recursos a um catálogo, mesmo que seja o proprietário deles. Você está restrito a usar os recursos disponíveis no catálogo.
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.
Gorjeta
Outras funções de menor privilégio que podem concluir essa tarefa incluem o proprietário do catálogo e o gerenciador de pacotes do Access.
Navegue até Governança de>identidade, Gerenciamento de direitos>, Pacote de acesso.
Na página Pacotes do Access, abra o pacote de acesso que você deseja verificar para garantir que seu catálogo tenha os recursos necessários.
No menu à esquerda, selecione Catálogo e abra o catálogo.
No menu à esquerda, selecione Recursos para ver a lista de recursos neste catálogo.
Se os recursos ainda não estiverem no catálogo e você for um administrador ou proprietário do catálogo, poderá adicionar recursos a um catálogo. Os tipos de recursos que você pode adicionar são grupos, aplicativos que você integrou ao seu diretório e sites do SharePoint Online. Por exemplo:
- Os grupos podem ser Grupos do Microsoft 365 criados na nuvem ou grupos de segurança do Microsoft Entra criados na nuvem. Os grupos originários de um Ative Directory local não podem ser atribuídos como recursos porque seus atributos de proprietário ou membro não podem ser alterados na ID do Microsoft Entra. Para dar aos usuários acesso a um aplicativo que usa associações de grupo de segurança do AD, crie um novo grupo no ID do Microsoft Entra, configure o write-back do grupo para o AD e habilite esse grupo para ser gravado no AD. Os grupos originários do Exchange Online como grupos de distribuição também não podem ser modificados na ID do Microsoft Entra.
- Os aplicativos podem ser aplicativos corporativos Microsoft Entra, que incluem aplicativos SaaS (software como serviço), aplicativos locais que usam um diretório ou banco de dados diferente e seus próprios aplicativos integrados ao Microsoft Entra ID. Se o seu aplicativo ainda não foi integrado ao diretório do Microsoft Entra, consulte Controlar o acesso para aplicativos em seu ambiente e integrar um aplicativo com o Microsoft Entra ID.
- Os sites podem ser sites do SharePoint Online ou conjuntos de sites do SharePoint Online.
Se você for um gerenciador de pacotes de acesso e precisar adicionar recursos ao catálogo, poderá solicitar ao proprietário do catálogo para adicioná-los.
Determinar quais funções de recurso devem ser incluídas em um pacote de acesso
Uma função de recurso é uma coleção de permissões associadas e definidas por um recurso. Os recursos podem ser disponibilizados para que os usuários sejam atribuídos se você adicionar funções de recursos de cada um dos recursos do catálogo ao seu pacote de acesso. Você pode adicionar funções de recurso fornecidas por grupos, equipes, aplicativos e sites do SharePoint. Quando um usuário recebe uma atribuição a um pacote de acesso, ele é adicionado a todas as funções de recurso no pacote de acesso.
Quando eles perdem uma atribuição de pacote de acesso, eles são removidos de todas as funções de recurso no pacote de acesso.
Nota
Se os usuários foram adicionados aos recursos fora do gerenciamento de direitos e precisam manter o acesso mesmo se receberem posteriormente atribuições de pacote de acesso e suas atribuições de pacote de acesso expirarem, não adicione as funções de recurso a um pacote de acesso.
Se quiser que alguns usuários recebam funções de recurso diferentes de outros, será necessário criar vários pacotes de acesso no catálogo, com pacotes de acesso separados para cada uma das funções de recurso. Você também pode marcar os pacotes de acesso como incompatíveis entre si para que os usuários não possam solicitar acesso a pacotes de acesso que lhes dariam acesso excessivo.
Em particular, os aplicativos podem ter várias funções de aplicativo. Quando você adiciona a função de aplicativo de um aplicativo como uma função de recurso a um pacote de acesso, se esse aplicativo tiver mais de uma função de aplicativo, você precisará especificar a função apropriada para esses usuários no pacote de acesso.
Nota
Se um aplicativo tiver várias funções de aplicativo e mais de uma função desse aplicativo estiver em um pacote de acesso, o usuário receberá todas as funções incluídas do aplicativo. Se, em vez disso, você quiser que os usuários tenham apenas algumas das funções do aplicativo, será necessário criar vários pacotes de acesso no catálogo, com pacotes de acesso separados para cada uma das funções do aplicativo.
Além disso, os aplicativos também podem contar com grupos de segurança para expressar permissões. Por exemplo, um aplicativo pode ter uma única função User
de aplicativo e também verificar a associação de dois grupos - um Ordinary Users
grupo e um Administrative Access
grupo. Um usuário do aplicativo deve ser membro exatamente de um desses dois grupos. Se você desejasse configurar que os usuários poderiam solicitar qualquer permissão, então você colocaria em um catálogo três recursos: o aplicativo, o grupo Ordinary Users
e o grupo Administrative Access
. Em seguida, você criaria nesse catálogo dois pacotes de acesso e indicaria que cada pacote de acesso é incompatível com o outro:
- Um pacote de primeiro acesso que tem duas funções de recurso, a função
User
de aplicativo do aplicativo e a associação ao grupoOrdinary Users
- Um segundo pacote do Access que tem duas funções de recurso, a função
User
de aplicativo do aplicativo e a associação ao grupoAdministrative Access
Verificar se os usuários já estão atribuídos à função de recurso
Quando uma função de recurso é adicionada a um pacote de acesso por um administrador, os usuários que já estão nessa função de recurso, mas não têm atribuições para o pacote de acesso, permanecerão na função de recurso, mas não serão atribuídos ao pacote de acesso. Por exemplo, se um usuário for membro de um grupo e, em seguida, um pacote de acesso for criado e a função de membro desse grupo for adicionada a um pacote de acesso, o usuário não receberá automaticamente uma atribuição ao pacote de acesso.
Se quiser que os usuários que tinham uma associação de função de recurso também sejam atribuídos ao pacote de acesso, você pode atribuir diretamente os usuários a um pacote de acesso usando o centro de administração do Microsoft Entra ou em massa via Graph ou PowerShell. Os usuários atribuídos ao pacote de acesso também receberão acesso às outras funções de recurso no pacote de acesso. No entanto, como os usuários que estavam na função de recurso já têm acesso antes de serem adicionados ao pacote de acesso, quando sua atribuição de pacote de acesso é removida, eles são removidos dessa função de recurso.
Adicionar funções de recursos
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.
Gorjeta
Outras funções de menor privilégio que podem concluir essa tarefa incluem o proprietário do catálogo e o gerenciador de pacotes do Access.
Navegue até Governança de>identidade, Gerenciamento de direitos>, Pacote de acesso.
Na página Pacotes do Access, abra o pacote de acesso ao qual você deseja adicionar funções de recurso.
No menu à esquerda, selecione Funções de recurso.
Selecione Adicionar funções de recurso para abrir a página Adicionar funções de recurso para acessar o pacote.
Dependendo se você deseja adicionar uma associação a um grupo ou equipe, o acesso a um aplicativo, site do SharePoint ou função do Microsoft Entra (Visualização) execute as etapas em uma das seguintes seções de função de recurso.
Adicionar uma função de recurso de grupo ou equipe
Pode fazer com que a gestão de direitos adicione automaticamente utilizadores a um grupo ou a uma equipa no Microsoft Teams quando lhes for atribuído um pacote de acesso.
- Quando uma associação a um grupo ou equipe é uma função de recurso que faz parte de um pacote de acesso e um usuário é atribuído a esse pacote de acesso, o usuário é adicionado como membro a esse grupo ou equipe, se ainda não estiver presente.
- Quando a atribuição de pacote de acesso de um usuário expira, ele é removido do grupo ou da equipe, a menos que tenha atualmente uma atribuição a outro pacote de acesso que inclua esse mesmo grupo ou equipe.
Você pode selecionar qualquer grupo de segurança do Microsoft Entra ou do Microsoft 365 Group. Os usuários em uma função de administrador que pode gerenciar grupos podem adicionar qualquer grupo a um catálogo; Os proprietários do catálogo podem adicionar qualquer grupo ao catálogo se forem proprietários do grupo. Tenha em mente as seguintes restrições do Microsoft Entra ao selecionar um grupo:
- Quando um usuário, incluindo um convidado, é adicionado como membro a um grupo ou equipe, ele pode ver todos os outros membros desse grupo ou equipe.
- O Microsoft Entra ID não pode alterar a associação de um grupo que foi sincronizado do Ative Directory do Windows Server usando o Microsoft Entra Connect ou que foi criado no Exchange Online como um grupo de distribuição. Se você planeja gerenciar o acesso a aplicativos que usam grupos de segurança do AD, veja como configurar o write-back de grupo com gerenciamento de direitos.
- Os grupos dinâmicos de associação não podem ser atualizados adicionando ou removendo um membro, portanto, não são adequados para uso com o gerenciamento de direitos.
- Os grupos do Microsoft 365 têm restrições adicionais, descritas na visão geral do Microsoft 365 Groups para administradores, incluindo um limite de 100 proprietários por grupo, limites de quantos membros podem acessar conversas de grupo simultaneamente e 7.000 grupos por membro.
Para obter mais informações, consulte Comparar grupos e Grupos do Microsoft 365 e Microsoft Teams.
Na página Adicionar funções de recurso para acessar o pacote, selecione Grupos e Equipes para abrir o painel Selecionar grupos.
Selecione os grupos e equipas que pretende incluir no pacote de acesso.
Selecione Selecionar.
Depois de selecionar o grupo ou equipe, a coluna Subtipo lista um dos seguintes subtipos:
Subtipo Description Segurança Usado para conceder acesso a recursos. Distribuição Usado para enviar notificações para um grupo de pessoas. Microsoft 365 Grupo do Microsoft 365 que não está habilitado para o Teams. Utilizado para colaboração entre utilizadores, tanto dentro como fora da sua empresa. Equipa Grupo do Microsoft 365 habilitado para Teams. Utilizado para colaboração entre utilizadores, tanto dentro como fora da sua empresa. Na lista Função, selecione Proprietário ou Membro.
Normalmente, você seleciona a função Membro. Se você selecionar a função Proprietário, os usuários se tornarão proprietários do grupo, o que permite que esses usuários adicionem ou removam outros membros ou proprietários.
Selecione Adicionar.
Todos os usuários com atribuições existentes para o pacote de acesso se tornarão automaticamente membros (ou proprietários) desse grupo ou equipe depois que ele for adicionado. Para obter mais informações, consulte quando as alterações são aplicadas.
Adicionar uma função de recurso de aplicativo
Você pode fazer com que o Microsoft Entra ID atribua automaticamente aos usuários acesso a um aplicativo empresarial do Microsoft Entra, incluindo aplicativos SaaS, aplicativos locais e aplicativos da sua organização integrados ao Microsoft Entra ID, quando um usuário recebe um pacote de acesso. Para aplicativos que se integram ao Microsoft Entra ID por meio do logon único federado, o Microsoft Entra ID emite tokens de federação para usuários atribuídos ao aplicativo.
Se o seu aplicativo ainda não foi integrado ao diretório do Microsoft Entra, consulte Controlar o acesso para aplicativos em seu ambiente e integrar um aplicativo com o Microsoft Entra ID.
Os aplicativos podem ter várias funções de aplicativo definidas em seu manifesto e gerenciadas por meio da interface do usuário de funções de aplicativo. Quando você adiciona a função de aplicativo de um aplicativo como uma função de recurso a um pacote de acesso, se esse aplicativo tiver mais de uma função de aplicativo, você precisará especificar a função apropriada para esses usuários nesse pacote de acesso. Se você estiver desenvolvendo aplicativos, poderá ler mais sobre como essas funções são adicionadas aos seus aplicativos em Como: Configurar a declaração de função emitida no token SAML para aplicativos corporativos. Se você estiver usando as Bibliotecas de Autenticação da Microsoft, também há um exemplo de código sobre como usar funções de aplicativo para controle de acesso.
Nota
Se um aplicativo tiver várias funções de aplicativo e mais de uma função desse aplicativo estiver em um pacote de acesso, o usuário receberá todas as funções incluídas do aplicativo. Se, em vez disso, você quiser que os usuários tenham apenas algumas das funções do aplicativo, será necessário criar vários pacotes de acesso no catálogo, com pacotes de acesso separados para cada uma das funções do aplicativo.
Quando uma função de aplicativo é um recurso de um pacote de acesso:
- Quando um usuário recebe esse pacote de acesso, ele é adicionado a essa função de aplicativo, se ainda não estiver presente. Se o aplicativo exigir atributos, os valores dos atributos coletados da solicitação serão gravados no usuário.
- Quando a atribuição de pacote de acesso de um usuário expira, seu acesso é removido do aplicativo, a menos que ele tenha uma atribuição a outro pacote de acesso que inclua essa função de aplicativo. Se o aplicativo exigiu atributos, esses atributos serão removidos do usuário.
Aqui estão algumas considerações ao selecionar um aplicativo:
- Os aplicativos também podem ter grupos atribuídos às suas funções de aplicativo. Você pode optar por adicionar um grupo no lugar de um aplicativo e sua função em um pacote de acesso, no entanto, o aplicativo não ficará visível para o usuário como parte do pacote de acesso no portal Meu Access.
- O centro de administração do Microsoft Entra também pode mostrar entidades de serviço para serviços que não podem ser selecionados como aplicativos. Em particular, o Exchange Online e o SharePoint Online são serviços, não aplicativos que têm funções de recurso no diretório, portanto, não podem ser incluídos em um pacote de acesso. Em vez disso, utilize um licenciamento baseado em grupos para estabelecer uma licença adequada para um utilizador que necessite de acesso a esses serviços.
- Os aplicativos que oferecem suporte apenas a usuários da Conta Pessoal da Microsoft para autenticação e não oferecem suporte a contas organizacionais em seu diretório, não têm funções de aplicativo e não podem ser adicionados aos catálogos de pacotes de acesso.
Na página Adicionar funções de recurso para acessar o pacote , selecione Aplicativos para abrir o painel Selecionar aplicativos.
Selecione as aplicações que pretende incluir no pacote de acesso.
Selecione Selecionar.
Na lista Função, selecione uma função de aplicativo.
Selecione Adicionar.
Todos os usuários com atribuições existentes para o pacote de acesso terão acesso automaticamente a este aplicativo quando ele for adicionado. Para obter mais informações, consulte quando as alterações são aplicadas.
Adicionar uma função de recurso de site do SharePoint
A ID do Microsoft Entra pode atribuir automaticamente aos usuários acesso a um site do SharePoint Online ou conjunto de sites do SharePoint Online quando lhes é atribuído um pacote de acesso.
Na página Adicionar funções de recurso para acessar o pacote , selecione Sites do SharePoint para abrir o painel Selecionar sites do SharePoint Online.
Selecione os sites do SharePoint Online que você deseja incluir no pacote de acesso.
Selecione Selecionar.
Na lista Função, selecione uma função de site do SharePoint Online.
Selecione Adicionar.
Todos os usuários com atribuições existentes para o pacote de acesso terão acesso automaticamente a este site do SharePoint Online quando ele for adicionado. Para obter mais informações, consulte quando as alterações são aplicadas.
Adicionar uma atribuição de função do Microsoft Entra
Quando os usuários precisam de permissões adicionais para acessar os recursos da sua organização, você pode gerenciar essas permissões atribuindo-lhes funções do Microsoft Entra por meio de pacotes de acesso. Ao atribuir funções do Microsoft Entra a funcionários e convidados, usando o Gerenciamento de Direitos, você pode examinar os direitos de um usuário para determinar rapidamente quais funções são atribuídas a esse usuário. Ao incluir uma função do Microsoft Entra como um recurso em um pacote de acesso, você também pode especificar se essa atribuição de função é "elegível" ou "ativa".
A atribuição de funções do Microsoft Entra por meio de pacotes de acesso ajuda a gerenciar com eficiência as atribuições de função em escala e melhora o ciclo de vida da atribuição de função.
Nota
Recomendamos que você use o Privileged Identity Management para fornecer acesso just-in-time a um usuário para executar uma tarefa que exija permissões elevadas. Essas permissões são fornecidas por meio das Funções do Microsoft Entra, que são marcadas como "privilegiadas", em nossa documentação aqui: Funções internas do Microsoft Entra. O Gerenciamento de Direitos é mais adequado para atribuir aos usuários um pacote de recursos, que pode incluir uma função do Microsoft Entra, necessária para fazer seu trabalho. Os usuários atribuídos a pacotes de acesso tendem a ter acesso mais duradouro aos recursos. Embora recomendemos que você gerencie funções com privilégios elevados por meio do Gerenciamento de Identidades Privilegiadas, você pode configurar a elegibilidade para essas funções por meio de pacotes de acesso no Gerenciamento de Direitos.
Siga estas etapas para incluir uma função do Microsoft Entra como um recurso em um pacote de acesso:
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.
Navegue até Governança de>identidade, Gerenciamento de direitos,>Pacotes de acesso.
Na página Pacotes do Access, abra o pacote de acesso ao qual você deseja adicionar funções de recurso e selecione Funções de recurso.
Na página Adicionar funções de recurso para acessar o pacote, selecione Funções do Microsoft Entra (Visualização) para abrir o painel Selecionar funções do Microsoft Entra.
Selecione as funções do Microsoft Entra que você deseja incluir no pacote de acesso.
Na lista Função, selecione Membro Elegível ou Membro Ativo.
Selecione Adicionar.
Nota
Se você selecionar Elegível, os usuários se tornarão elegíveis para essa função e poderão ativar sua atribuição usando o Gerenciamento Privilegiado de Identidades no centro de administração do Microsoft Entra. Se você selecionar Ativo, os usuários terão uma atribuição de função ativa até que não tenham mais acesso ao pacote de acesso. Para funções do Entra marcadas como "privilegiadas", você só poderá selecionar Elegível. Você pode encontrar uma lista de funções privilegiadas aqui: Funções internas do Microsoft Entra.
Para adicionar uma função do Microsoft Entra programaticamente, consulte: Adicionar uma função do Microsoft Entra como um recurso em um pacote de acesso programaticamente.
Adicionar funções de recurso programaticamente
Há duas maneiras de adicionar uma função de recurso a um pacote de acesso programaticamente, por meio do Microsoft Graph e dos cmdlets do PowerShell para Microsoft Graph.
Adicionar funções de recurso a um pacote de acesso com o Microsoft Graph
Você pode adicionar uma função de recurso a um pacote de acesso usando o Microsoft Graph. Um usuário em uma função apropriada com um aplicativo que tenha a permissão delegada EntitlementManagement.ReadWrite.All
pode chamar a API para:
- Liste os recursos no catálogo e crie um accessPackageResourceRequest para todos os recursos que ainda não estão no catálogo.
- Recupere as funções e os escopos de cada recurso no catálogo. Essa lista de funções será usada para selecionar uma função ao criar posteriormente um resourceRoleScope.
- Crie um resourceRoleScope para cada função de recurso necessária no pacote de acesso.
Adicionar funções de recurso a um pacote de acesso com o Microsoft PowerShell
Você também pode adicionar funções de recurso a um pacote de acesso no PowerShell com os cmdlets dos cmdlets do Microsoft Graph PowerShell para o módulo de Governança de Identidade versão 2.1.x ou versão posterior do módulo.
Primeiro, recupere a ID do catálogo e do recurso nesse catálogo e seus escopos e funções, que você deseja incluir no pacote de acesso. Use um script semelhante ao exemplo a seguir. Isso pressupõe que haja um único recurso de aplicativo no catálogo.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'" -All
if ($catalog -eq $null) { throw "catalog not found" }
$rsc = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter "originSystem eq 'AadApplication'" -ExpandProperty scopes
if ($rsc -eq $null) { throw "resource not found" }
$filt = "(id eq '" + $rsc.Id + "')"
$rrs = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter $filt -ExpandProperty roles,scopes
Em seguida, atribua a função de recurso desse recurso ao pacote de acesso. Por exemplo, se você desejasse incluir a primeira função de recurso do recurso retornado anteriormente como uma função de recurso de um pacote de acesso, usaria um script semelhante ao seguinte.
$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"
$rparams = @{
role = @{
id = $rrs.Roles[0].Id
displayName = $rrs.Roles[0].DisplayName
description = $rrs.Roles[0].Description
originSystem = $rrs.Roles[0].OriginSystem
originId = $rrs.Roles[0].OriginId
resource = @{
id = $rrs.Id
originId = $rrs.OriginId
originSystem = $rrs.OriginSystem
}
}
scope = @{
id = $rsc.Scopes[0].Id
originId = $rsc.Scopes[0].OriginId
originSystem = $rsc.Scopes[0].OriginSystem
}
}
New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $apid -BodyParameter $rparams
Para obter mais informações, consulte Criar um pacote de acesso no gerenciamento de direitos para um aplicativo com uma única função usando o PowerShell.
Remover funções de recurso
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.
Gorjeta
Outras funções de menor privilégio que podem concluir essa tarefa incluem o proprietário do catálogo e o gerenciador de pacotes do Access.
Navegue até Governança de>identidade, Gerenciamento de direitos>, Pacote de acesso.
Na página Pacotes do Access, abra o pacote de acesso para o qual deseja remover funções de recurso.
No menu à esquerda, selecione Funções de recurso.
Na lista de funções de recurso, localize a função de recurso que você deseja remover.
Selecione as reticências (...) e, em seguida, selecione Remover função de recurso.
Todos os usuários com atribuições existentes para o pacote de acesso terão automaticamente seu acesso revogado para essa função de recurso quando ela for removida.
Quando as alterações são aplicadas
No gerenciamento de direitos, o Microsoft Entra ID processa alterações em massa para atribuição e recursos em seus pacotes de acesso várias vezes ao dia. Portanto, se você fizer uma atribuição ou alterar as funções de recurso do seu pacote de acesso, pode levar até 24 horas para que essa alteração seja feita na ID do Microsoft Entra, além do tempo necessário para propagar essas alterações para outros Microsoft Online Services ou aplicativos SaaS conectados. Se a alteração afetar apenas alguns objetos, a alteração provavelmente levará apenas alguns minutos para ser aplicada na ID do Microsoft Entra, após o que outros componentes do Microsoft Entra detetarão essa alteração e atualizarão os aplicativos SaaS. Se a alteração afetar milhares de objetos, a alteração demorará mais tempo. Por exemplo, se você tiver um pacote de acesso com 2 aplicativos e 100 atribuições de usuário e decidir adicionar uma função de site do SharePoint ao pacote de acesso, poderá haver um atraso até que todos os usuários façam parte dessa função de site do SharePoint. Você pode monitorar o progresso por meio do log de auditoria do Microsoft Entra, do log de provisionamento do Microsoft Entra e dos logs de auditoria do site do SharePoint.
Quando você remove um membro de uma equipe, ele também é removido do Grupo Microsoft 365. A remoção da funcionalidade de chat da equipa poderá ser atrasada. Para obter mais informações, consulte Associação de grupo.