Estender ou renovar atribuições de função de recurso do Azure no Privileged Identity Management

Descrição geral

O Microsoft Entra Privileged Identity Management (PIM) fornece controlos para gerir o ciclo de acesso e atribuição dos recursos Azure. Os administradores podem atribuir funções usando propriedades de data-hora de início e fim. Quando o fim da atribuição se aproxima, o Privileged Identity Management envia notificações por e-mail para os usuários ou grupos afetados. Ele também envia notificações por e-mail aos administradores do recurso para garantir que o acesso apropriado seja mantido. As atribuições podem ser renovadas e permanecer visíveis num estado expirado por até 30 dias, mesmo que o acesso não seja estendido.

Quem pode prorrogar e renovar?

Somente os administradores do recurso podem estender ou renovar atribuições de função. O usuário ou grupo afetado pode solicitar a extensão de funções que estão prestes a expirar e solicitar a renovação de funções que já expiraram.

Quando são enviadas as notificações?

O Privileged Identity Management envia notificações por e-mail para administradores e usuários afetados ou grupos de funções que estão expirando dentro de 14 dias e um dia antes da expiração. Ele envia um e-mail adicional quando uma tarefa expira oficialmente.

Os administradores recebem notificações quando um usuário ou grupo atribuído a uma função expirada ou expirada solicita a extensão ou renovação. Quando um administrador específico resolve a solicitação, todos os outros administradores são notificados da decisão de resolução (aprovada ou negada). Em seguida, o usuário ou grupo solicitante é notificado da decisão.

Estender atribuições de função

As etapas a seguir descrevem o processo para solicitar, resolver ou administrar uma extensão ou renovação de uma atribuição de função.

Auto-estender atribuições que estão a expirar

Os usuários atribuídos a uma função podem estender atribuições de função expirando diretamente da guia Qualificada ou Ativo na página Minhas funções de um recurso e da página de nível superior Minhas funções do portal de Gerenciamento de Identidades Privilegiadas. No portal, os usuários podem solicitar a extensão de funções qualificadas ou ativas (atribuídas) que expiram nos próximos 14 dias.

Quando a data e hora de término da atribuição são nos próximos 14 dias, o link para Extend torna-se ativo no Centro de Administração do Microsoft Entra. No exemplo a seguir, suponha que a data atual seja 27 de março.

Observação

Para um grupo atribuído a uma função, o link Estender nunca está disponível, impedindo que um utilizador com uma atribuição herdada consiga estender a atribuição do grupo.

Para solicitar uma extensão dessa atribuição de função, selecione Estender para abrir o formulário de solicitação.

Para ver informações sobre a tarefa original, expanda Detalhes da tarefa. Insira um motivo para a solicitação de extensão e selecione Estender.

Observação

Inclua os detalhes do motivo pela qual a extensão é necessária e por quanto tempo deve ser concedida (se tiver esta informação).

Em questão de momentos, os administradores de recursos recebem uma notificação por e-mail solicitando que analisem a solicitação de extensão. Se uma solicitação de extensão já tiver sido enviada, uma notificação do Azure aparecerá no portal.

Aceda à página pedidos pendentes para ver o estado do seu pedido ou cancelá-lo.

Extensão aprovada pelo administrador

Quando um usuário ou grupo envia uma solicitação para estender uma atribuição de função, os administradores de recursos recebem uma notificação por email que contém os detalhes da atribuição original e o motivo da solicitação. A notificação inclui um link direto para a solicitação para que o administrador aprove ou negue.

Para além de seguirem o link do email, os administradores podem aprovar ou negar pedidos indo ao portal de administração de Gestão de Identidade Privilegiada e selecionando Aprovar pedidos no painel esquerdo.

Quando um administrador seleciona Aprovar ou Negar, os detalhes do pedido são mostrados, juntamente com um campo para fornecer uma justificação empresarial para os registos de auditoria.

Ao aprovar uma solicitação para estender a atribuição de função, os administradores de recursos podem escolher uma nova data de início, data de término e tipo de atribuição. Alterar o tipo de atribuição pode ser necessário se o administrador quiser fornecer acesso limitado para concluir uma tarefa específica (um dia, por exemplo). Neste exemplo, o administrador pode alterar a atribuição de Elegível para Ativo. Isso significa que eles podem fornecer acesso ao solicitante sem exigir que ele seja ativado.

Extensão iniciada pelo administrador

Se um usuário atribuído a uma função não solicitar uma extensão para a atribuição de função, um administrador poderá estender uma atribuição em nome do usuário. As extensões administrativas da atribuição de função não exigem aprovação, mas as notificações são enviadas a todos os outros administradores após a extensão da função.

Para estender uma atribuição de função, navegue até a função de recurso ou modo de exibição de atribuição no Gerenciamento Privilegiado de Identidades. Encontre a atribuição que requer uma extensão. Em seguida, selecione Estender na coluna de ações.

Renovar atribuições de função

Embora conceitualmente semelhante ao processo para solicitar uma extensão, o processo para renovar uma atribuição de função expirada é diferente. Usando as etapas a seguir, as atribuições e os administradores podem renovar o acesso a funções expiradas quando necessário.

Autorrenovação

Os usuários que não podem mais acessar recursos podem acessar até 30 dias de histórico de atribuições expirado. Para isso, navegue até Meus Papéis no painel esquerdo e depois selecione o separador Papéis Expirados na secção de Papéis de Recursos do Azure.

A lista de funções mostrada assume como padrão Funções qualificadas. Use o menu suspenso para alternar entre as funções atribuídas Elegível e Ativa.

Para solicitar a renovação de qualquer uma das atribuições de função na lista, selecione a ação Renovar. Em seguida, forneça um motivo para o pedido. É útil fornecer uma duração, além de qualquer outro contexto ou uma justificativa comercial que possa ajudar o administrador de recursos a decidir aprovar ou negar.

Depois que a solicitação é enviada, os administradores de recursos são notificados de uma solicitação pendente para renovar uma atribuição de função.

Administrador aprova

Os administradores de recursos podem aceder ao pedido de renovação a partir do link da notificação por email ou acedendo à Gestão de Identidade Privilegiada a partir do centro de administração do Microsoft Entra e selecionando Aprovar pedidos no painel esquerdo.

Quando um administrador seleciona Aprovar ou Negar, os detalhes da solicitação são mostrados juntamente com um campo para fornecer uma justificativa comercial para os logs de auditoria.

Ao aprovar uma solicitação para renovar a atribuição de função, os administradores de recursos devem inserir uma nova data de início, data de término e tipo de atribuição.

Renovação de administrador

Os administradores de recursos podem renovar atribuições de função expiradas na guia Membros no menu de navegação esquerdo de um recurso. Os administradores de recursos também podem renovar atribuições de funções expiradas a partir do separador Funções Expiradas de uma função de recurso.

Para exibir uma lista de todas as atribuições de função expiradas, na tela Membros, selecione Funções expiradas.

Próximos passos

• Aprovar ou negar solicitações para funções de recurso do Azure no Privileged Identity Management
• Configurar as configurações de função de recurso do Azure no Privileged Identity Management