Definir configurações de função do Microsoft Entra no Gerenciamento de Identidades Privilegiadas
No Gerenciamento de Identidade Privilegiada (PIM) no Microsoft Entra ID, que faz parte do Microsoft Entra, as configurações de função definem as propriedades de atribuição de função. Essas propriedades incluem autenticação multifator e requisitos de aprovação para ativação, duração máxima da atribuição e configurações de notificação. Este artigo mostra como definir as configurações de função e configurar o fluxo de trabalho de aprovação para especificar quem pode aprovar ou negar solicitações para elevar o privilégio.
Você deve ter a função de Administrador Global ou Administrador de Função Privilegiada para gerenciar as configurações da função PIM para uma função do Microsoft Entra. As configurações de função são definidas por função. Todas as atribuições para a mesma função seguem as mesmas configurações de função. As configurações de função de uma função são independentes das configurações de função de outra função.
As configurações de função PIM também são conhecidas como políticas PIM.
Abrir configurações de função
Para abrir as configurações de uma função do Microsoft Entra:
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.
Navegue até Governança de>identidade, Gerenciamento privilegiado de identidades, Funções>>do Microsoft Entra, Funções.
Nesta página, você verá uma lista de funções do Microsoft Entra disponíveis no locatário, incluindo funções internas e personalizadas.
Selecione a função cujas configurações você deseja definir.
Selecione Configurações de função. Na página Configurações de função , você pode exibir as configurações atuais da função PIM para a função selecionada.
Selecione Editar para atualizar as configurações de função.
Selecione Atualizar.
Configurações de função
Esta seção discute as opções de configurações de função.
Duração máxima da ativação
Use o controle deslizante Duração máxima de ativação para definir o tempo máximo, em horas, que uma solicitação de ativação para uma atribuição de função permanece ativa antes de expirar. Este valor pode ser de uma a 24 horas.
Na ativação, exija autenticação multifator
Você pode exigir que os usuários qualificados para uma função provem quem são usando o recurso de autenticação multifator no Microsoft Entra ID antes de poderem ativar. A autenticação multifator ajuda a proteger o acesso a dados e aplicativos. Ele fornece outra camada de segurança usando uma segunda forma de autenticação.
Os usuários podem não ser solicitados para autenticação multifator se tiverem autenticado com credenciais fortes ou fornecido autenticação multifator no início da sessão.
Se o seu objetivo é garantir que os usuários forneçam autenticação durante a ativação, você pode usar Na ativação, exigir o contexto de autenticação do Acesso Condicional do Microsoft Entra juntamente com os Pontos Fortes da Autenticação. Essas opções exigem que os usuários se autentiquem durante a ativação usando métodos diferentes daquele que eles usaram para entrar na máquina.
Por exemplo, se os usuários entrarem na máquina usando o Windows Hello for Business, você poderá usar Na ativação, exigir o contexto de autenticação do Acesso Condicional do Microsoft Entra e os Pontos Fortes da Autenticação. Essa opção exige que os usuários façam login sem senha com o Microsoft Authenticator quando ativarem a função.
Depois que o usuário fornece entrada sem senha com o Microsoft Authenticator uma vez neste exemplo, ele pode fazer sua próxima ativação nesta sessão sem outra autenticação. O início de sessão sem palavra-passe com o Microsoft Authenticator já faz parte do respetivo token.
Recomendamos que você habilite o recurso de autenticação multifator do Microsoft Entra ID para todos os usuários. Para obter mais informações, consulte Planejar uma implantação de autenticação multifator do Microsoft Entra.
Na ativação, exija o contexto de autenticação do Acesso Condicional do Microsoft Entra
Você pode exigir que os usuários qualificados para uma função satisfaçam os requisitos da política de Acesso Condicional. Por exemplo, você pode exigir que os usuários usem um método de autenticação específico imposto por meio dos Pontos Fortes da Autenticação, elevem a função de um dispositivo compatível com o Intune e cumpram os termos de uso.
Para impor esse requisito, crie o contexto de autenticação de Acesso Condicional.
Configure uma política de Acesso Condicional que imponha requisitos para este contexto de autenticação.
O âmbito da política de Acesso Condicional deve incluir todos os utilizadores ou utilizadores elegíveis para uma função. Não crie uma política de Acesso Condicional com escopo para contexto de autenticação e uma função de diretório ao mesmo tempo. Durante a ativação, o usuário ainda não tem uma função, portanto, a política de Acesso Condicional não se aplica.
Consulte as etapas no final desta seção sobre uma situação em que você pode precisar de duas políticas de Acesso Condicional. Um deve ter o escopo para o contexto de autenticação e outro deve ser definido para a função.
Configure o contexto de autenticação nas configurações do PIM para a função.
Se as configurações do PIM tiverem ativação, exigir que o contexto de autenticação do Acesso Condicional do Microsoft Entra esteja configurado, as políticas de Acesso Condicional definirão as condições que um usuário deve atender para atender aos requisitos de acesso.
Isso significa que as entidades de segurança com permissões para gerenciar políticas de Acesso Condicional, como administradores de Acesso Condicional ou administradores de segurança, podem alterar requisitos, removê-los ou impedir que usuários qualificados ativem a função. As entidades de segurança que podem gerenciar as políticas de Acesso Condicional devem ser consideradas altamente privilegiadas e protegidas de acordo.
Recomendamos que você crie e habilite uma política de Acesso Condicional para o contexto de autenticação antes que o contexto de autenticação seja configurado nas configurações do PIM. Como mecanismo de proteção de backup, se não houver políticas de Acesso Condicional no locatário que direcionem o contexto de autenticação configurado nas configurações do PIM, durante a ativação da função PIM, o recurso de autenticação multifator no Microsoft Entra ID será necessário, pois a configuração Ativar, exigir autenticação multifator será definida.
Esse mecanismo de proteção de backup foi projetado para proteger exclusivamente contra um cenário em que as configurações do PIM foram atualizadas antes da criação da política de Acesso Condicional devido a um erro de configuração. Esse mecanismo de proteção de backup não será acionado se a política de Acesso Condicional estiver desativada, estiver no modo somente relatório ou tiver um usuário qualificado excluído da política.
A configuração de contexto de autenticação Ao ativar, exigir o Acesso Condicional do Microsoft Entra define os requisitos de contexto de autenticação que os usuários devem satisfazer quando ativam a função. Depois que a função é ativada, os usuários não são impedidos de usar outra sessão de navegação, dispositivo ou local para usar permissões.
Por exemplo, os usuários podem usar um dispositivo compatível com o Intune para ativar a função. Em seguida, depois que a função for ativada, eles poderão entrar na mesma conta de usuário de outro dispositivo que não seja compatível com o Intune e usar a função ativada anteriormente a partir daí.
Para evitar essa situação, crie duas políticas de acesso condicional:
- A primeira política de Acesso Condicional destina-se ao contexto de autenticação. Deve ter todos os utilizadores ou utilizadores elegíveis no seu âmbito. Esta política especifica os requisitos que os usuários devem atender para ativar a função.
- A segunda política de Acesso Condicional destina-se a funções de diretório. Esta política especifica os requisitos que os usuários devem atender para entrar com a função de diretório ativada.
Ambas as políticas podem impor os mesmos requisitos ou requisitos diferentes, dependendo das suas necessidades.
Outra opção é definir o escopo de políticas de Acesso Condicional que impõem determinados requisitos diretamente aos usuários qualificados. Por exemplo, pode exigir que os utilizadores elegíveis para determinadas funções utilizem sempre dispositivos compatíveis com o Intune.
Para saber mais sobre o contexto de autenticação do Acesso Condicional, consulte Acesso condicional: aplicativos, ações e contexto de autenticação na nuvem.
Exigir justificação na ativação
Você pode exigir que os usuários insiram uma justificativa comercial quando ativarem a atribuição qualificada.
Exigir informações de ticket na ativação
Você pode exigir que os usuários insiram um número de tíquete de suporte quando ativarem a atribuição qualificada. Esta opção é um campo apenas de informação. A correlação com as informações em qualquer sistema de emissão de bilhetes não é imposta.
Requer aprovação para ativar
Você pode exigir aprovação para a ativação de uma atribuição qualificada. O aprovador não precisa ter nenhum papel. Ao usar essa opção, você deve selecionar pelo menos um aprovador. Recomendamos que você selecione pelo menos dois aprovadores. Se nenhum aprovador específico for selecionado, o administrador de função privilegiada/administrador global se tornará o aprovador padrão.
Para saber mais sobre aprovações, consulte Aprovar ou negar solicitações para funções do Microsoft Entra no Privileged Identity Management.
Duração do trabalho
Ao definir as configurações de uma função, você pode escolher entre duas opções de duração da atribuição para cada tipo de atribuição: elegível e ativa. Essas opções se tornam a duração máxima padrão quando um usuário é atribuído à função no Privileged Identity Management.
Você pode escolher uma dessas opções de duração de atribuição qualificadas.
| Definição | Descrição |
|---|---|
| Permitir atribuição permanente elegível | Os administradores de recursos podem atribuir atribuições permanentes elegíveis. |
| Expirar a atribuição elegível após | Os administradores de recursos podem exigir que todas as atribuições qualificadas tenham uma data de início e de término especificada. |
Você também pode escolher uma dessas opções de duração da atribuição ativa.
| Definição | Descrição |
|---|---|
| Permitir atribuição ativa permanente | Os administradores de recursos podem atribuir atribuições ativas permanentes. |
| Expirar atribuição ativa após | Os administradores de recursos podem exigir que todas as atribuições ativas tenham uma data de início e de término especificada. |
Todas as atribuições que têm uma data de término especificada podem ser renovadas por administradores globais e administradores de função privilegiada. Além disso, os usuários podem iniciar solicitações de autoatendimento para estender ou renovar atribuições de função.
Exigir autenticação multifator na atribuição ativa
Você pode exigir que os administradores forneçam autenticação multifator quando criarem uma atribuição ativa (em vez de qualificada). O Privileged Identity Management não pode impor a autenticação multifator quando o usuário usa sua atribuição de função porque já está ativo na função desde o momento em que ela é atribuída.
Um administrador pode não ser solicitado para autenticação multifator se ele autenticou com credenciais fortes ou forneceu autenticação multifator no início desta sessão.
Exigir justificação na atribuição ativa
Você pode exigir que os usuários insiram uma justificativa comercial quando criarem uma atribuição ativa (em vez de qualificada).
Na guia Notificações, na página Configurações de função, o Privileged Identity Management permite um controle granular sobre quem recebe notificações e quais notificações recebe. Tem as seguintes opções:
- Desativar um e-mail: você pode desativar e-mails específicos desmarcando a caixa de seleção de destinatário padrão e excluindo quaisquer outros destinatários.
- Limitar e-mails a endereços de e-mail especificados: você pode desativar os e-mails enviados aos destinatários padrão desmarcando a caixa de seleção do destinatário padrão. Em seguida, você pode adicionar outros endereços de e-mail como destinatários. Se você quiser adicionar mais de um endereço de e-mail, separe-os usando um ponto-e-vírgula (;).
- Enviar e-mails para destinatários padrão e mais destinatários: você pode enviar e-mails para o destinatário padrão e para outro destinatário. Marque a caixa de seleção de destinatário padrão e adicione endereços de e-mail para outros destinatários.
- Somente e-mails críticos: para cada tipo de e-mail, você pode marcar a caixa de seleção para receber apenas e-mails críticos. Com essa opção, o Privileged Identity Management continua a enviar e-mails para os destinatários especificados somente quando o e-mail requer ação imediata. Por exemplo, os e-mails que pedem aos usuários que estendam sua atribuição de função não são acionados. Os e-mails que exigem que os administradores aprovem uma solicitação de extensão são acionados.
Nota
Um evento no Privileged Identity Management pode gerar notificações por e-mail para vários destinatários – cessionários, aprovadores ou administradores. O número máximo de notificações enviadas por um evento é de 1000. Se o número de destinatários exceder 1000 – apenas os primeiros 1000 destinatários receberão uma notificação por e-mail. Isso não impede que outros cessionários, administradores ou aprovadores usem suas permissões no Microsoft Entra ID e no Privileged Identity Management.
Gerenciar configurações de função usando o Microsoft Graph
Para gerenciar configurações para funções do Microsoft Entra usando APIs PIM no Microsoft Graph, use o tipo de recurso unifiedRoleManagementPolicy e métodos relacionados.
No Microsoft Graph, as configurações de função são chamadas de regras. Eles são atribuídos a funções do Microsoft Entra por meio de políticas de contêiner. A cada função do Microsoft Entra é atribuído um objeto de política específico. Você pode recuperar todas as políticas que têm escopo para funções do Microsoft Entra. Para cada política, você pode recuperar a coleção de regras associada usando um $expand parâmetro de consulta. A sintaxe da solicitação é a seguinte:
GET https://graph.microsoft.com/v1.0/policies/roleManagementPolicies?$filter=scopeId eq '/' and scopeType eq 'DirectoryRole'&$expand=rules
Para obter mais informações sobre como gerenciar configurações de função por meio de APIs PIM no Microsoft Graph, consulte Configurações de função e PIM. Para obter exemplos de como atualizar regras, consulte Atualizar regras no PIM usando o Microsoft Graph.