Partilhar via


Estender ou renovar o PIM para atribuições de grupos

O Privileged Identity Management (PIM) no Microsoft Entra ID fornece controles para gerenciar o ciclo de vida de acesso e atribuição para associação e propriedade de grupo. Os administradores podem atribuir propriedades de data e hora de início e término para associação e propriedade do grupo. Quando o fim da atribuição se aproxima, o Privileged Identity Management envia notificações por e-mail para os usuários ou grupos afetados. Ele também envia notificações por e-mail aos administradores do recurso para garantir que o acesso apropriado seja mantido. As atribuições podem ser renovadas e permanecer visíveis em um estado expirado por até 30 dias, mesmo que o acesso não seja estendido.

Quem pode prorrogar e renovar

Somente os usuários com permissões para gerenciar grupos podem estender ou renovar a associação ao grupo ou atribuições de propriedade com limite de tempo. O usuário ou grupo afetado pode solicitar a extensão de atribuições que estão prestes a expirar e solicitar a renovação de atribuições que já expiraram.

Os grupos atribuíveis por função podem ser gerenciados pelo menos pelo Administrador de Função Privilegiada ou Proprietário do grupo. Os grupos não atribuíveis por função podem ser gerenciados pelo menos pelo Gravador de Diretório, Administrador de Grupos, Administrador de Governança de Identidade, Administrador de Usuário ou Proprietário do grupo. As atribuições de função para administradores devem ter escopo no nível de diretório (não no nível da Unidade Administrativa).

Nota

Outras funções com permissões para gerenciar grupos (como Administradores do Exchange para grupos M365 não atribuíveis por função) e administradores com atribuições com escopo no nível da unidade administrativa podem gerenciar grupos por meio da API/UX de Grupos e substituir as alterações feitas no Microsoft Entra PIM.

Quando as notificações são enviadas

O Privileged Identity Management envia notificações por e-mail para administradores e usuários afetados de atribuições do PIM for Groups que estão expirando:

  • No prazo de 14 dias antes da expiração
  • Um dia antes da expiração
  • Quando uma atribuição expira

Os administradores recebem notificações quando um usuário ou grupo solicita a extensão ou renovação de uma atribuição expirada ou expirada. Quando um administrador resolve a solicitação, todos os administradores e o usuário solicitante são notificados da aprovação ou recusa.

Estender atribuições de grupo

As etapas a seguir descrevem o processo para solicitar, resolver ou administrar uma extensão ou renovação de uma associação de grupo ou atribuição de propriedade.

Auto-estender atribuições expirando

Os usuários atribuídos à associação ou propriedade do grupo podem estender as atribuições de grupo que expiram diretamente na guia Elegível ou Ativo na página Atribuições do grupo. Os usuários ou grupos podem solicitar a extensão de atribuições qualificadas e ativas que expiram nos próximos 14 dias.

Captura de tela de onde estender automaticamente as atribuições que expiram.

Quando a data-hora de término da atribuição estiver dentro de 14 dias, o comando Estender estará disponível. Para solicitar uma extensão de uma atribuição de grupo, selecione Estender para abrir o formulário de solicitação.

Captura de tela de onde estender o painel de atribuição de grupo com uma caixa Razão e detalhes.

Nota

Recomendamos incluir os detalhes do motivo pelo qual a extensão é necessária e por quanto tempo a extensão deve ser concedida (se você tiver essas informações).

Os administradores recebem uma notificação por e-mail solicitando que analisem a solicitação de extensão. Se uma solicitação de extensão já tiver sido enviada, uma notificação do Azure aparecerá no portal.

Para ver o estado ou cancelar o seu pedido, abra a página Pedidos pendentes para a atribuição de grupo.

Captura de tela da página de solicitações pendentes mostrando o link para Cancelar.

Extensão aprovada pelo administrador

Quando um usuário ou grupo envia uma solicitação para estender uma atribuição de grupo, os administradores recebem uma notificação por e-mail que contém os detalhes da atribuição original e o motivo da solicitação. A notificação inclui um link direto para a solicitação para que o administrador aprove ou negue.

Além de usar seguir o link do email, os administradores podem aprovar ou negar solicitações acessando o portal de administração do Privileged Identity Management e selecionando Aprovar solicitações no painel esquerdo.

Captura de tela da página de solicitações de aprovação listando solicitações e links para aprovar ou negar.

Quando um administrador seleciona Aprovar ou Negar, os detalhes da solicitação são mostrados, juntamente com um campo para fornecer uma justificativa comercial para os logs de auditoria.

Captura de tela de onde aprovar a solicitação de atribuição de grupo com o motivo do solicitante, o tipo de atribuição, a hora de início, a hora de término e o motivo.

Ao aprovar uma solicitação para estender uma atribuição de grupo, os administradores de recursos podem escolher uma nova data de início, data de término e tipo de atribuição. Alterar o tipo de atribuição pode ser necessário se o administrador quiser fornecer acesso limitado para concluir uma tarefa específica (um dia, por exemplo). Neste exemplo, o administrador pode alterar a atribuição de Elegível para Ativo. Isso significa que eles podem fornecer acesso ao solicitante sem exigir que ele seja ativado.

Extensão iniciada pelo administrador

Se um usuário atribuído a um grupo não solicitar uma extensão para a atribuição de grupo, um administrador poderá estender uma atribuição em nome do usuário. As extensões administrativas da atribuição de grupo não exigem aprovação, mas as notificações são enviadas a todos os outros administradores após a atribuição ter sido estendida.

Para estender uma atribuição de grupo, navegue até o modo de exibição de atribuição no Privileged Identity Management. Encontre a atribuição que requer uma extensão. Em seguida, selecione Estender na coluna de ação.

Captura de tela da página de atribuições listando atribuições de grupo qualificadas com links para estender.

Renovar trabalhos de grupo

Embora conceitualmente semelhante ao processo para solicitar uma extensão, o processo para renovar uma atribuição de grupo expirada é diferente. Usando as etapas a seguir, as atribuições e os administradores podem renovar o acesso a atribuições expiradas quando necessário.

Autorrenovação

Os usuários que não podem mais acessar recursos podem acessar até 30 dias de histórico de atribuições expirado. Para fazer isso, eles navegam até Minhas Funções no painel esquerdo e selecionam a guia Atribuições expiradas .

A lista de atribuições mostrada assume como padrão Atribuições elegíveis. Use o menu suspenso para alternar entre atribuições Qualificadas e Ativas.

Para solicitar a renovação de qualquer uma das atribuições de grupo na lista, selecione a ação Renovar . Em seguida, forneça um motivo para o pedido. É útil fornecer uma duração, além de qualquer contexto adicional ou uma justificativa comercial que possa ajudar o administrador de recursos a decidir aprovar ou negar.

Depois que a solicitação for enviada, os administradores de recursos serão notificados de uma solicitação pendente para renovar uma atribuição de grupo.

Administrador aprova

Os administradores de recursos podem acessar a solicitação de renovação a partir do link na notificação por email ou acessando o Privileged Identity Management no centro de administração do Microsoft Entra e selecionando Aprovar solicitações no painel esquerdo.

Quando um administrador seleciona Aprovar ou Negar, os detalhes da solicitação são mostrados junto com um campo para fornecer uma justificativa comercial para os logs de auditoria.

Ao aprovar uma solicitação para renovar uma atribuição de grupo, os administradores de recursos devem inserir uma nova data de início, data de término e tipo de atribuição.

Próximos passos