Ativar uma função do Microsoft Entra no PIM

O Microsoft Entra Privileged Identity Management (PIM) simplifica a forma como as empresas gerem o acesso privilegiado a recursos no Microsoft Entra ID e noutros serviços online da Microsoft, como o Microsoft 365 ou o Microsoft Intune.

Se você se tornou elegível para uma função administrativa, deve ativar a atribuição de função quando precisar executar ações privilegiadas. Por exemplo, se você ocasionalmente gerencia recursos do Microsoft 365, os Administradores de Função Privilegiada da sua organização podem não torná-lo um Administrador Global permanente, pois essa função também afeta outros serviços. Em vez disso, eles o tornariam elegível para funções do Microsoft Entra, como Administrador do Exchange Online. Você pode solicitar a ativação dessa função quando precisar de seus privilégios e, em seguida, ter controle de administrador por um período de tempo predeterminado.

Este artigo destina-se a administradores que precisam de ativar a função do Microsoft Entra no Privileged Identity Management. Embora qualquer usuário possa enviar uma solicitação para a função de que precisa por meio do PIM sem ter a função de Administrador de Função Privilegiada (PRA), essa função é necessária para gerenciar e atribuir funções a outras pessoas dentro da organização.

Importante

Quando uma função é ativada, o Microsoft Entra PIM adiciona temporariamente uma atribuição ativa para a função. O Microsoft Entra PIM cria uma atribuição ativa (atribui o usuário a uma função) em segundos. Quando a desativação (manual ou através da expiração do tempo de ativação) acontece, o Microsoft Entra PIM remove a atribuição ativa em segundos também.

O aplicativo pode fornecer acesso com base na função que o usuário tem. Em algumas situações, o acesso ao aplicativo pode não refletir imediatamente o fato de que o usuário recebeu a função atribuída ou removida. Se o aplicativo armazenou anteriormente em cache o fato de que o usuário não tem uma função – quando o usuário tenta acessar o aplicativo novamente, o acesso pode não ser fornecido. Da mesma forma, se o aplicativo armazenou anteriormente em cache o fato de que o usuário tem uma função – quando a função é desativada, o usuário ainda pode obter acesso. A situação específica depende da arquitetura do aplicativo. Para alguns aplicativos, sair e entrar novamente pode ajudar a adicionar ou remover o acesso.

Importante

Se um usuário que está ativando uma função administrativa estiver conectado ao Microsoft Teams em um dispositivo móvel, ele receberá uma notificação do aplicativo Teams dizendo "Abra o Teams para continuar recebendo notificações para <endereço> de email" ou "<O endereço> de email precisa entrar para ver notificações". O utilizador terá de abrir a aplicação Teams para continuar a receber notificações. Este comportamento é intencional.

Pré-requisitos

Nenhuma

Ativar uma função

Quando precisar assumir uma função do Microsoft Entra, você poderá solicitar a ativação abrindo Minhas funções no Privileged Identity Management.

Nota

O PIM já está disponível no aplicativo móvel do Azure (iOS | Android) para funções de recursos do Microsoft Entra ID e do Azure. Ative facilmente atribuições elegíveis, solicite renovações para aquelas que estão expirando ou verifique o status de solicitações pendentes. Ler mais

1. Entre no centro de administração do Microsoft Entra como um usuário que tem uma atribuição de função qualificada.

2. Navegue até ID Governance>Privileged Identity Management>Minhas funções. Para obter informações sobre como adicionar o bloco Privileged Identity Management ao seu painel, consulte Começar a usar o Privileged Identity Management.

3. Selecione Funções do Microsoft Entra para ver uma lista das suas funções elegíveis do Microsoft Entra.

   

4. Na lista de funções do Microsoft Entra , localize a função que deseja ativar.

   

5. Selecione Ativar para abrir o painel Ativar.

   

6. Selecione Verificação adicional necessária e siga as instruções para fornecer a verificação de segurança. É necessário autenticar apenas uma vez por sessão.

   

7. Após a autenticação multifator, selecione Ativar antes de continuar.

   

8. Se desejar especificar um escopo reduzido, selecione Escopo para abrir o painel de filtros. No painel de filtro, você pode especificar os recursos do Microsoft Entra aos quais precisa acessar. É uma prática recomendada solicitar acesso ao menor número de recursos de que você precisa.

9. Se necessário, especifique uma hora de início de ativação personalizada. A função Microsoft Entra seria ativada após o tempo selecionado.

10. Na caixa Motivo, insira o motivo da solicitação de ativação.

11. Selecione Ativar.

    Se a função exigir aprovação para ser ativada, uma notificação aparecerá no canto superior direito do navegador informando que a solicitação está pendente de aprovação.

    

    Ativar uma função usando a API do Microsoft Graph

    Para obter mais informações sobre APIs do Microsoft Graph para PIM, consulte Visão geral do gerenciamento de funções por meio da API de gerenciamento de identidade privilegiada (PIM).

    Obtenha todas as funções qualificadas que você pode ativar

    Quando um usuário obtém sua elegibilidade de função por meio da associação ao grupo, essa solicitação do Microsoft Graph não retorna sua elegibilidade.

    Pedido HTTP

    GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests/filterByCurrentUser(on='principal')  
    

    Resposta HTTP

    Para economizar espaço, mostramos apenas a resposta para uma função, mas todas as atribuições de função qualificadas que você pode ativar serão listadas.

    {
        "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleEligibilityScheduleRequest)",
        "value": [
            {
                "@odata.type": "#microsoft.graph.unifiedRoleEligibilityScheduleRequest",
                "id": "50d34326-f243-4540-8bb5-2af6692aafd0",
                "status": "Provisioned",
                "createdDateTime": "2022-04-12T18:26:08.843Z",
                "completedDateTime": "2022-04-12T18:26:08.89Z",
                "approvalId": null,
                "customData": null,
                "action": "adminAssign",
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
                "directoryScopeId": "/",
                "appScopeId": null,
                "isValidationOnly": false,
                "targetScheduleId": "50d34326-f243-4540-8bb5-2af6692aafd0",
                "justification": "Assign Attribute Assignment Admin eligibility to myself",
                "createdBy": {
                    "application": null,
                    "device": null,
                    "user": {
                        "displayName": null,
                        "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
                    }
                },
                "scheduleInfo": {
                    "startDateTime": "2022-04-12T18:26:08.8911834Z",
                    "recurrence": null,
                    "expiration": {
                        "type": "afterDateTime",
                        "endDateTime": "2024-04-10T00:00:00Z",
                        "duration": null
                    }
                },
                "ticketInfo": {
                    "ticketNumber": null,
                    "ticketSystem": null
                }
            }
        ]
    }
    

    Autoativar a elegibilidade de uma função com justificação

    Pedido HTTP

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 
    
    {
        "action": "selfActivate",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
        "directoryScopeId": "/",
        "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
        "scheduleInfo": {
            "startDateTime": "2022-04-14T00:00:00.000Z",
            "expiration": {
                "type": "AfterDuration",
                "duration": "PT5H"
            }
        },
        "ticketInfo": {
            "ticketNumber": "CONTOSO:Normal-67890",
            "ticketSystem": "MS Project"
        }
    }
    

    Resposta HTTP

    HTTP/1.1 201 Created
    Content-Type: application/json
    
    {
        "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
        "id": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
        "status": "Granted",
        "createdDateTime": "2022-04-13T08:52:32.6485851Z",
        "completedDateTime": "2022-04-14T00:00:00Z",
        "approvalId": null,
        "customData": null,
        "action": "selfActivate",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
        "directoryScopeId": "/",
        "appScopeId": null,
        "isValidationOnly": false,
        "targetScheduleId": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
        "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
        "createdBy": {
            "application": null,
            "device": null,
            "user": {
                "displayName": null,
                "id": "071cc716-8147-4397-a5ba-b2105951cc0b"
            }
        },
        "scheduleInfo": {
            "startDateTime": "2022-04-14T00:00:00Z",
            "recurrence": null,
            "expiration": {
                "type": "afterDuration",
                "endDateTime": null,
                "duration": "PT5H"
            }
        },
        "ticketInfo": {
            "ticketNumber": "CONTOSO:Normal-67890",
            "ticketSystem": "MS Project"
        }
    }
    

Ver o estado dos pedidos de ativação

Você pode visualizar o status de suas solicitações pendentes para ativar.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.

2. Navegue até ID Governance>Privileged Identity Management Minhas>solicitações.

3. Ao selecionar Minhas solicitações , você verá uma lista de suas solicitações de função de recurso do Microsoft Entra e do Azure.

   

4. Desloque-se para a direita para ver a coluna Estado do Pedido de .

Cancelar um pedido pendente de nova versão

Se você não precisar ativar uma função que exija aprovação, poderá cancelar uma solicitação pendente a qualquer momento.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.

2. Navegue até ID Governance>Privileged Identity Management Minhas>solicitações.

3. Para a função que você deseja cancelar, selecione o link Cancelar .

   Quando você seleciona Cancelar, a solicitação é cancelada. Para ativar a função novamente, você precisa enviar uma nova solicitação de ativação.

   

Desativar uma atribuição de função

Quando uma atribuição de função é ativada, você vê uma opção Desativar no portal PIM para a atribuição de função. Além disso, não é possível desativar uma atribuição de função dentro de cinco minutos após a ativação.

Ativar funções PIM usando o aplicativo móvel do Azure

O PIM agora está disponível nos aplicativos móveis Microsoft Entra ID e Azure resource roles em iOS e Android.

Nota

Uma licença Premium P2 ou EMS E5 ativa é necessária para que o usuário conectado possa usá-la dentro do aplicativo.

1. Para ativar uma atribuição de função qualificada do Microsoft Entra, comece baixando o aplicativo móvel do Azure (iOS | Android). Você também pode baixar o aplicativo selecionando 'Abrir em dispositivos móveis' em Privileged Identity Management > My roles > Microsoft Entra roles.

   

2. Abra a aplicação móvel do Azure e inicie sessão. Selecione o cartão Privileged Identity Management e selecione My Microsoft Entra roles para exibir suas atribuições de função qualificadas e ativas.

   

3. Selecione a atribuição de função e clique em Ativar > ação abaixo dos detalhes da atribuição de função. Conclua os passos para ativar e preencha todos os detalhes necessários antes de clicar em 'Ativar' na parte inferior.

   

4. Exiba o status de suas solicitações de ativação e suas atribuições de função em Minhas funções do Microsoft Entra.

   

Conteúdos relacionados

• Exibir histórico de auditoria para funções do Microsoft Entra

O Microsoft Entra Privileged Identity Management (PIM) simplifica a forma como as empresas gerem o acesso privilegiado a recursos no Microsoft Entra ID e noutros serviços online da Microsoft, como o Microsoft 365 ou o Microsoft Intune.

Se você se tornou elegível para uma função administrativa, deve ativar a atribuição de função quando precisar executar ações privilegiadas. Por exemplo, se você ocasionalmente gerencia recursos do Microsoft 365, os Administradores de Função Privilegiada da sua organização podem não torná-lo um Administrador Global permanente, pois essa função também afeta outros serviços. Em vez disso, eles o tornariam elegível para funções do Microsoft Entra, como Administrador do Exchange Online. Você pode solicitar a ativação dessa função quando precisar de seus privilégios e, em seguida, ter controle de administrador por um período de tempo predeterminado.

Este artigo destina-se a administradores que precisam de ativar a função do Microsoft Entra no Privileged Identity Management. Embora qualquer usuário possa enviar uma solicitação para a função de que precisa por meio do PIM sem ter a função de Administrador de Função Privilegiada (PRA), essa função é necessária para gerenciar e atribuir funções a outras pessoas dentro da organização.

Importante

Quando uma função é ativada, o Microsoft Entra PIM adiciona temporariamente uma atribuição ativa para a função. O Microsoft Entra PIM cria uma atribuição ativa (atribui o usuário a uma função) em segundos. Quando a desativação (manual ou através da expiração do tempo de ativação) acontece, o Microsoft Entra PIM remove a atribuição ativa em segundos também.

O aplicativo pode fornecer acesso com base na função que o usuário tem. Em algumas situações, o acesso ao aplicativo pode não refletir imediatamente o fato de que o usuário recebeu a função atribuída ou removida. Se o aplicativo armazenou anteriormente em cache o fato de que o usuário não tem uma função – quando o usuário tenta acessar o aplicativo novamente, o acesso pode não ser fornecido. Da mesma forma, se o aplicativo armazenou anteriormente em cache o fato de que o usuário tem uma função – quando a função é desativada, o usuário ainda pode obter acesso. A situação específica depende da arquitetura do aplicativo. Para alguns aplicativos, sair e entrar novamente pode ajudar a adicionar ou remover o acesso.

Importante

Se um usuário que está ativando uma função administrativa estiver conectado ao Microsoft Teams em um dispositivo móvel, ele receberá uma notificação do aplicativo Teams dizendo "Abra o Teams para continuar recebendo notificações para <endereço> de email" ou "<O endereço> de email precisa entrar para ver notificações". O utilizador terá de abrir a aplicação Teams para continuar a receber notificações. Este comportamento é intencional.

Quando precisar assumir uma função do Microsoft Entra, você poderá solicitar a ativação abrindo Minhas funções no Privileged Identity Management.

Nota

O PIM já está disponível no aplicativo móvel do Azure (iOS | Android) para funções de recursos do Microsoft Entra ID e do Azure. Ative facilmente atribuições elegíveis, solicite renovações para aquelas que estão expirando ou verifique o status de solicitações pendentes. Ler mais

1. Entre no centro de administração do Microsoft Entra como um usuário que tem uma atribuição de função qualificada.

2. Navegue até ID Governance>Privileged Identity Management>Minhas funções. Para obter informações sobre como adicionar o bloco Privileged Identity Management ao seu painel, consulte Começar a usar o Privileged Identity Management.

3. Selecione Funções do Microsoft Entra para ver uma lista das suas funções elegíveis do Microsoft Entra.

   

4. Na lista de funções do Microsoft Entra , localize a função que deseja ativar.

   

5. Selecione Ativar para abrir o painel Ativar.

   

6. Selecione Verificação adicional necessária e siga as instruções para fornecer a verificação de segurança. É necessário autenticar apenas uma vez por sessão.

   

7. Após a autenticação multifator, selecione Ativar antes de continuar.

   

8. Se desejar especificar um escopo reduzido, selecione Escopo para abrir o painel de filtros. No painel de filtro, você pode especificar os recursos do Microsoft Entra aos quais precisa acessar. É uma prática recomendada solicitar acesso ao menor número de recursos de que você precisa.

9. Se necessário, especifique uma hora de início de ativação personalizada. A função Microsoft Entra seria ativada após o tempo selecionado.

10. Na caixa Motivo, insira o motivo da solicitação de ativação.

11. Selecione Ativar.

    Se a função exigir aprovação para ser ativada, uma notificação aparecerá no canto superior direito do navegador informando que a solicitação está pendente de aprovação.

    

    Ativar uma função usando a API do Microsoft Graph

    Para obter mais informações sobre APIs do Microsoft Graph para PIM, consulte Visão geral do gerenciamento de funções por meio da API de gerenciamento de identidade privilegiada (PIM).

    Obtenha todas as funções qualificadas que você pode ativar

    Quando um usuário obtém sua elegibilidade de função por meio da associação ao grupo, essa solicitação do Microsoft Graph não retorna sua elegibilidade.

    Pedido HTTP

    GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests/filterByCurrentUser(on='principal')  
    

    Resposta HTTP

    Para economizar espaço, mostramos apenas a resposta para uma função, mas todas as atribuições de função qualificadas que você pode ativar serão listadas.

    {
        "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleEligibilityScheduleRequest)",
        "value": [
            {
                "@odata.type": "#microsoft.graph.unifiedRoleEligibilityScheduleRequest",
                "id": "50d34326-f243-4540-8bb5-2af6692aafd0",
                "status": "Provisioned",
                "createdDateTime": "2022-04-12T18:26:08.843Z",
                "completedDateTime": "2022-04-12T18:26:08.89Z",
                "approvalId": null,
                "customData": null,
                "action": "adminAssign",
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
                "directoryScopeId": "/",
                "appScopeId": null,
                "isValidationOnly": false,
                "targetScheduleId": "50d34326-f243-4540-8bb5-2af6692aafd0",
                "justification": "Assign Attribute Assignment Admin eligibility to myself",
                "createdBy": {
                    "application": null,
                    "device": null,
                    "user": {
                        "displayName": null,
                        "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
                    }
                },
                "scheduleInfo": {
                    "startDateTime": "2022-04-12T18:26:08.8911834Z",
                    "recurrence": null,
                    "expiration": {
                        "type": "afterDateTime",
                        "endDateTime": "2024-04-10T00:00:00Z",
                        "duration": null
                    }
                },
                "ticketInfo": {
                    "ticketNumber": null,
                    "ticketSystem": null
                }
            }
        ]
    }
    

    Autoativar a elegibilidade de uma função com justificação

    Pedido HTTP

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 
    
    {
        "action": "selfActivate",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
        "directoryScopeId": "/",
        "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
        "scheduleInfo": {
            "startDateTime": "2022-04-14T00:00:00.000Z",
            "expiration": {
                "type": "AfterDuration",
                "duration": "PT5H"
            }
        },
        "ticketInfo": {
            "ticketNumber": "CONTOSO:Normal-67890",
            "ticketSystem": "MS Project"
        }
    }
    

    Resposta HTTP

    HTTP/1.1 201 Created
    Content-Type: application/json
    
    {
        "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
        "id": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
        "status": "Granted",
        "createdDateTime": "2022-04-13T08:52:32.6485851Z",
        "completedDateTime": "2022-04-14T00:00:00Z",
        "approvalId": null,
        "customData": null,
        "action": "selfActivate",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
        "directoryScopeId": "/",
        "appScopeId": null,
        "isValidationOnly": false,
        "targetScheduleId": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
        "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
        "createdBy": {
            "application": null,
            "device": null,
            "user": {
                "displayName": null,
                "id": "071cc716-8147-4397-a5ba-b2105951cc0b"
            }
        },
        "scheduleInfo": {
            "startDateTime": "2022-04-14T00:00:00Z",
            "recurrence": null,
            "expiration": {
                "type": "afterDuration",
                "endDateTime": null,
                "duration": "PT5H"
            }
        },
        "ticketInfo": {
            "ticketNumber": "CONTOSO:Normal-67890",
            "ticketSystem": "MS Project"
        }
    }
    

Você pode visualizar o status de suas solicitações pendentes para ativar.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.

2. Navegue até ID Governance>Privileged Identity Management Minhas>solicitações.

3. Ao selecionar Minhas solicitações , você verá uma lista de suas solicitações de função de recurso do Microsoft Entra e do Azure.

   

4. Desloque-se para a direita para ver a coluna Estado do Pedido de .

Se você não precisar ativar uma função que exija aprovação, poderá cancelar uma solicitação pendente a qualquer momento.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.

2. Navegue até ID Governance>Privileged Identity Management Minhas>solicitações.

3. Para a função que você deseja cancelar, selecione o link Cancelar .

   Quando você seleciona Cancelar, a solicitação é cancelada. Para ativar a função novamente, você precisa enviar uma nova solicitação de ativação.

   

Quando uma atribuição de função é ativada, você vê uma opção Desativar no portal PIM para a atribuição de função. Além disso, não é possível desativar uma atribuição de função dentro de cinco minutos após a ativação.

Ativar funções PIM usando o aplicativo móvel do Azure

O PIM agora está disponível nos aplicativos móveis Microsoft Entra ID e Azure resource roles em iOS e Android.

Nota

Uma licença Premium P2 ou EMS E5 ativa é necessária para que o usuário conectado possa usá-la dentro do aplicativo.

1. Para ativar uma atribuição de função qualificada do Microsoft Entra, comece baixando o aplicativo móvel do Azure (iOS | Android). Você também pode baixar o aplicativo selecionando 'Abrir em dispositivos móveis' em Privileged Identity Management > My roles > Microsoft Entra roles.

   

2. Abra a aplicação móvel do Azure e inicie sessão. Selecione o cartão Privileged Identity Management e selecione My Microsoft Entra roles para exibir suas atribuições de função qualificadas e ativas.

   

3. Selecione a atribuição de função e clique em Ativar > ação abaixo dos detalhes da atribuição de função. Conclua os passos para ativar e preencha todos os detalhes necessários antes de clicar em 'Ativar' na parte inferior.

   

4. Exiba o status de suas solicitações de ativação e suas atribuições de função em Minhas funções do Microsoft Entra.