Começar a utilizar o Privileged Identity Management
Use o Privileged Identity Management (PIM) para gerenciar, controlar e monitorar o acesso em sua organização do Microsoft Entra. Com o PIM, você pode fornecer acesso conforme necessário e just-in-time aos recursos do Azure, recursos do Microsoft Entra e outros serviços online da Microsoft, como o Microsoft 365 ou o Microsoft Intune.
Este artigo descreve como habilitar o Privileged Identity Management (PIM) e começar a usá-lo.
Pré-requisitos
Para usar o Privileged Identity Management, você deve ter uma licença do Microsoft Entra ID P2 ou do Microsoft Entra ID Governance. Para obter mais informações sobre licenciamento, consulte Fundamentos de licenciamento do Microsoft Entra ID Governance.
Ativação de atribuições de função
Quando um locatário do Microsoft Entra tem uma licença do Microsoft Entra ID P2 ou do Microsoft Entra ID Governance, os usuários com atribuições de função ativas podem fazer o seguinte:
- Abra a página Funções e administradores no ID do Microsoft Entra e selecione uma função;
- Abra a página Privileged Identity Management ;
- Faça chamadas para o PIM usando a API de funções do Microsoft Entra.
O Microsoft Entra habilita o PIM para o locatário das seguintes maneiras:
- A partir de agora, você pode criar atribuições qualificadas ou com limite de tempo para funções do Microsoft Entra;
- Administradores Globais ou Administradores de Funções Privilegiadas podem começar a receber e-mails adicionais, como o resumo semanal do PIM;
- O nome da entidade de serviço PIM (MS–PIM) pode ser mencionado em eventos de log de auditoria relacionados ao gerenciamento de atribuição de função.
Esses comportamentos são esperados e não devem ter impacto em seus fluxos de trabalho.
Preparar o PIM para funções do Microsoft Entra
Aqui estão as tarefas que recomendamos para você preparar o Privileged Identity Management para gerenciar funções do Microsoft Entra:
- Definir configurações de função do Microsoft Entra
- Atribuir tarefas elegíveis
- Permitir que usuários qualificados ativem sua função do Microsoft Entra just-in-time
Preparar o PIM para funções do Azure
Aqui estão as tarefas que recomendamos para você preparar o Privileged Identity Management para gerenciar funções do Azure para uma assinatura:
- Descubra os recursos do Azure
- Definir configurações de função do Azure
- Atribuir tarefas elegíveis
- Permitir que usuários qualificados ativem suas funções do Azure just-in-time
Navegue para as suas tarefas
Depois que o Privileged Identity Management estiver configurado, você poderá aprender a se orientar.
Tarefa + Gerir | Description |
---|---|
As minhas funções | Exibe uma lista de funções qualificadas e ativas atribuídas a você. Este é o local onde pode ativar quaisquer funções elegíveis atribuídas. |
Os meus pedidos | Exibe suas solicitações pendentes para ativar atribuições de função qualificadas. |
Aprovar pedidos | Exibe uma lista de solicitações para ativar funções qualificadas por usuários em seu diretório que você foi designado para aprovar. |
Acesso à revisão | Lista as avaliações de acesso ativo que você está atribuído para concluir, independentemente de você estar revisando o acesso para si mesmo ou para outra pessoa. |
Funções do Microsoft Entra | Exibe um painel e configurações para administradores de função Privileged gerenciarem atribuições de função do Microsoft Entra. Este dashboard está desativado para todos aqueles que não são um administrador de funções com privilégios. Estes utilizadores têm acesso a um dashboard especial intitulado A minha vista. O painel Minha exibição exibe apenas informações sobre o usuário que acessa o painel, não toda a organização. |
Grupos | Gerencie a associação just-in-time no grupo ou a propriedade just-in-time do grupo. Os grupos podem ser usados para fornecer acesso a funções do Microsoft Entra, funções do Azure e vários outros cenários. Para gerenciar um grupo do Microsoft Entra no PIM, você deve colocá-lo sob gerenciamento no PIM. |
Recursos do Azure | Exibe um painel e configurações para administradores de função Privileged gerenciarem atribuições de função de recurso do Azure. Este dashboard está desativado para todos aqueles que não são um administrador de funções com privilégios. Estes utilizadores têm acesso a um dashboard especial intitulado A minha vista. O painel Minha exibição exibe apenas informações sobre o usuário que acessa o painel, não toda a organização. |
Configurações gerais | Selecione aplicativos que têm permissão para fazer chamadas somente de aplicativo para a API do Microsoft Graph para PIM. |