Compartilhar via

Delegação e funções no gerenciamento de direitos

  • Artigo

No Microsoft Entra ID, você pode usar modelos de função de várias maneiras para gerenciar o acesso em escala por meio da governança de identidade.

  • Use os pacotes de acesso para representar funções organizacionais em sua organização, como "representante de vendas". Um pacote de acesso que representa essa função organizacional incluiria todos os direitos de acesso de que um representante de vendas normalmente precisa, em vários recursos.
  • Os aplicativos podem definir suas próprias funções. Por exemplo, se você tivesse um aplicativo de vendas e esse aplicativo incluísse a função de aplicativo "vendedor" no manifesto, você poderia incluir essa função do manifesto do aplicativo em um pacote de acesso. Os aplicativos também podem usar grupos de segurança nos cenários em que um usuário pode ter várias funções específicas do aplicativo simultaneamente.
  • Você pode usar funções para delegar acesso administrativo. Se você tiver um catálogo para todos os pacotes de acesso necessários para vendas, é possível atribuir alguém para ser responsável por esse catálogo, atribuindo a eles uma função específica do catálogo.

Este artigo discute como usar funções para gerenciar aspectos no gerenciamento de direitos do Microsoft Entra, para controlar o acesso aos recursos de gerenciamento de direitos.

Por padrão, os usuários na função de administrador global ou na função de administrador de governança da identidade podem criar e gerenciar todos os aspectos do gerenciamento de direitos. No entanto, os usuários nessas funções podem não conhecer todas as situações em que os pacotes de acesso são necessários. Normalmente, são os usuários dentro dos respectivos departamentos, equipes ou projetos que sabem com quem estão colaborando, quem está usando quais recursos e por quanto tempo. Em vez de conceder permissões irrestritas para não administradores, você pode conceder aos usuários as permissões mínimas necessárias para realizar o trabalho e evitar a criação de direitos de acesso inadequados ou conflitantes.

Este vídeo é uma visão geral de como delegar a governança de acesso do administrador de TI aos usuários que não são administradores.

Exemplo de delegação

Para entender como delegar a governança de acesso no gerenciamento de direitos, veja um exemplo. Imagine que sua organização tem o administrador e os gerentes a seguir.

Delegar do administrador de TI para os gerentes

Como administradora de TI, Hana tem contatos em cada departamento — Mamta no marketing, Mark no financeiro e Joe no jurídico. Essas pessoas são responsáveis pelos recursos e pelo conteúdo comercialmente crítico dos departamentos em que trabalham.

Com o gerenciamento de direitos, é possível delegar a governança de acesso a esses não administradores, porque são eles que sabem quais usuários precisam de acesso, por quanto tempo e a quais recursos. Quando você delega a não administradores, garante que as pessoas certas gerenciem o acesso nos departamentos em que trabalham.

Veja um jeito de Hana delegar a governança de acesso aos departamentos de marketing, financeiro e jurídico.

  1. Hana cria um grupo de segurança do Microsoft Entra e adiciona Mamta, Mark e Joe como membros.

  2. Hana adiciona o grupo à função de criadores de catálogos.

    Mamta, Mark e Joe agora podem criar catálogos para os departamentos em que trabalham, adicionar recursos que os departamentos precisam e fazer outras delegações no catálogo. Eles não podem ver os catálogos uns dos outros.

  3. Mamta cria o catálogo Marketing, que é um contêiner de recursos.

  4. O Mamta adiciona os recursos que pertencem ao departamento de marketing ao catálogo.

  5. O Mamta pode adicionar outras pessoas desse departamento como proprietários do catálogo. Isso ajuda a compartilhar as responsabilidades de gerenciamento do catálogo.

  6. Mamta pode delegar a criação e o gerenciamento de pacotes de acesso no catálogo de Marketing a gerentes de projetos do departamento. Eles podem fazer isso atribuindo a eles a função de gerenciador de pacotes de acesso. Um gerenciador de pacotes de acesso pode criar e gerenciar pacotes de acesso, juntamente com políticas, solicitações e atribuições nesse catálogo. Se o catálogo permitir, o gerenciador de pacotes de acesso poderá configurar políticas para trazer usuários de organizações conectadas.

O diagrama a seguir mostra catálogos com recursos para os departamentos de marketing, financeiro e jurídico. Ao usar esses catálogos, os gerentes de projetos podem criar pacotes de acesso para as equipes ou os projetos.

Exemplo de delegação de gerenciamento de direitos

Após a delegação, o departamento de marketing poderá ter funções semelhantes às da tabela a seguir.

Usuário Função organizacional Função do Microsoft Entra Função de gerenciamento de direitos
Hana Administrador de TI Administrador global ou Administrador de governança de identidade
Mamta Gerente de marketing Usuário Criador de catálogos e proprietário do catálogo
Roberto Lead de marketing Usuário Proprietário do catálogo
Jessica Gerente de projetos de marketing Usuário Gerenciador de pacotes de acesso

Funções de gerenciamento de direitos

O gerenciamento de direitos tem as seguintes funções, com permissões para administrar o próprio gerenciamento de direitos, que se aplicam em todos os catálogos.

Função de gerenciamento de direitos ID de definição de função Descrição
Criador de catálogos ba92d953-d8e0-4e39-a797-0cbedb0a89e8 Cria e gerencia catálogos. Normalmente, um administrador de TI que não é Administrador global ou proprietário de recurso de uma coleção de recursos. A pessoa que cria automaticamente um catálogo se torna o primeiro proprietário do catálogo e pode adicionar outros proprietários ao catálogo. Um criador de catálogos não pode gerenciar nem ver os catálogos que não pertencem a ele e não pode adicionar recursos que não são de sua propriedade a um catálogo. Se o criador de catálogos precisar gerenciar outro catálogo ou adicionar recursos que não pertencem a ele, poderá solicitar a função de coproprietário do catálogo ou do recurso.

O gerenciamento de direitos tem as seguintes funções definidas para cada catálogo específico, para administrar pacotes de acesso e outras configurações em um catálogo. Um administrador ou um proprietário de catálogo pode adicionar usuários, grupos de usuários ou entidades de serviço a essas funções.

Função de gerenciamento de direitos ID de definição de função Descrição
Proprietário do catálogo ae79f266-94d4-4dab-b730-feca7e132178 Edite e gerencie pacotes de acesso e outros recursos em um catálogo. Normalmente, é um administrador de TI, um proprietário de recursos ou um usuário escolhido pelo proprietário do catálogo.
Leitor de catálogo 44272f93-9762-48e8-af59-1b5351b1d6b3 Exibir os pacotes de acesso existentes em um catálogo.
Gerenciador de pacotes de acesso 7f480852-ebdc-47d4-87de-0d8498384a83 Edita e gerencia todos os pacotes de acesso existentes em um catálogo.
Gerente de atribuição de pacotes de acesso e2182095-804a-4656-ae11-64734e9b7ae5 Edita e gerencia todas as atribuições de pacotes de acesso existentes.

Além disso, o aprovador escolhido e um solicitante de um pacote de acesso têm direitos, embora não sejam funções.

Direita Descrição
Aprovador Autorizado por uma política a aprovar ou negar solicitações a pacotes de acesso, embora não possam alterar as definições de pacote de acesso.
Solicitante Autorizado por uma política de um pacote de acesso a solicitar esse pacote de acesso.

A tabela a seguir lista as tarefas que as funções de gerenciamento de direitos podem realizar no gerenciamento de direitos.

Tarefa Administrador de governança de identidade Criador de catálogo Proprietário do catálogo Gerenciador de pacotes de acesso Gerenciador de atribuição de pacote de acesso
Delegar para um criador de catálogos ✔️
Adicionar uma organização conectada ✔️
Criar um novo catálogo ✔️ ✔️
Adicionar um recurso a um catálogo ✔️ ✔️
Adicionar um proprietário de catálogo ✔️ ✔️
Editar um catálogo ✔️ ✔️
Excluir um catálogo ✔️ ✔️
Delegar a um gerenciador de pacotes de acesso ✔️ ✔️
Remover um gerenciador de pacotes de acesso ✔️ ✔️
Criar um pacote de acesso em um catálogo ✔️ ✔️ ✔️
Alterar as funções de recurso em um pacote de acesso ✔️ ✔️ ✔️
Criar e editar políticas, incluindo políticas para colaboração externa ✔️ ✔️ ✔️
Atribuir um usuário diretamente a um pacote de acesso ✔️ ✔️ ✔️ ✔️
Remover um usuário diretamente de um pacote de acesso ✔️ ✔️ ✔️ ✔️
Ver quem tem uma atribuição a um pacote de acesso ✔️ ✔️ ✔️ ✔️
Ver as solicitações do pacote de acesso ✔️ ✔️ ✔️ ✔️
Ver os erros de entrega de uma solicitação ✔️ ✔️ ✔️ ✔️
Reprocessar uma solicitação ✔️ ✔️ ✔️ ✔️
Cancelar uma solicitação pendente ✔️ ✔️ ✔️ ✔️
Ocultar um pacote de acesso ✔️ ✔️ ✔️
Excluir um pacote de acesso ✔️ ✔️ ✔️

Para identificar a função com privilégios mínimos de uma tarefa, confira Funções de administrador por tarefa de administrador no Microsoft Entra ID.

Observação

Os usuários que receberam a função de gerenciador de atribuição de pacotes de acesso não poderão mais ignorar as configurações de aprovação ao atribuir diretamente um usuário se a política de pacote de acesso exigir aprovação. Se você tiver um cenário no qual precisa ignorar a aprovação, recomendamos a criação de uma segunda política no pacote de acesso que não exija aprovação e tenha como escopo apenas os usuários que precisam de acesso.

Funções necessárias para adicionar recursos a um catálogo

Um Administrador global pode adicionar ou remover qualquer grupo (grupos de segurança criados na nuvem ou grupos do Microsoft 365 criados na nuvem), aplicativo ou site do SharePoint Online em um catálogo.

Observação

Os usuários a quem foi atribuída a função de Administrador de usuários não poderão mais criar catálogos ou gerenciar pacotes de acesso em um catálogo que não seja de sua propriedade. Um Administrador de usuários que é um proprietário de catálogo pode adicionar ou remover qualquer grupo ou aplicativo no catálogo que ele possui, exceto para um grupo configurado como atribuível a uma função de diretório. Para saber mais sobre os grupos que podem receber atribuições de função, confira Criar um grupo de funções atribuídas no Microsoft Entra ID. Se os usuários em sua organização tiverem recebido a atribuição da função de Administrador de usuários para configurar catálogos, pacotes de acesso ou políticas no gerenciamento de direitos, você deverá atribuir a esses usuários a função de Administrador de governança de identidade.

Para que um usuário que não é um Administrador global adicione grupos, aplicativos ou sites do SharePoint Online a um catálogo, ele deve ter tanto a capacidade de executar ações nesse recurso quanto a função de proprietário do catálogo no gerenciamento de direitos do catálogo. A maneira mais comum de um usuário ter a capacidade de executar ações para um recurso é estar em uma função do diretório do Microsoft Entra que permita administrar o recurso. Como alternativa, para recursos que tenham proprietários, o usuário pode ter a capacidade de executar ações por ter sido designado como proprietário do recurso.

As ações que o gerenciamento de direitos verifica quando um usuário adiciona um recurso a um catálogo são:

  • Para adicionar um grupo de segurança ou grupo do Microsoft 365: o usuário deve ter permissão para executar as ações microsoft.directory/groups/members/update e microsoft.directory/groups/owners/update.
  • Para adicionar um aplicativo: o usuário deve ter permissão para executar a ação microsoft.directory/servicePrincipals/appRoleAssignedTo/update.
  • Para adicionar um site do SharePoint Online: o usuário deve ser um Administrador do SharePoint ou estar em uma função de site do SharePoint Online que lhe permita gerenciar permissões no site.

A tabela a seguir lista algumas das combinações de função que incluem as ações que permitem aos usuários nessas combinações de função adicionar recursos a um catálogo. Para remover recursos de um catálogo, você também deve ter uma função ou propriedade com essas mesmas ações.

Função de diretório do Microsoft Entra Função de gerenciamento de direitos Pode adicionar grupo de segurança Pode adicionar Grupo do Microsoft 365 Pode adicionar aplicativo Pode adicionar site do SharePoint Online
Administrador global N/D ✔️ ✔️ ✔️ ✔️
Administrador de governança de identidade N/D ✔️
Administrador de Grupos Proprietário do catálogo ✔️ ✔️
Administrador do Intune Proprietário do catálogo ✔️ ✔️
Administrador do Exchange Proprietário do catálogo ✔️
Administrador do SharePoint Proprietário do catálogo ✔️ ✔️
Administrador de Aplicativos Proprietário do catálogo ✔️
Administrador de Aplicativos de Nuvem Proprietário do catálogo ✔️
Usuário Proprietário do catálogo Somente se for proprietário do grupo Somente se for proprietário do grupo Somente se for proprietário do aplicativo

Gerenciamento delegado do ciclo de vida do usuário convidado

Normalmente, um usuário em uma função com privilégios de Convidado pode convidar usuários externos individuais para uma organização, e essa configuração pode ser alterada usando as configurações de colaboração externa .

Para gerenciar a colaboração externa, na qual os usuários externos individuais de um projeto de colaboração podem não ser conhecidos antecipadamente, atribuir aos usuários que estão trabalhando com organizações externas funções de gerenciamento de direitos pode permitir que eles configurem catálogos, pacotes de acesso e políticas para sua colaboração externa. Essas configurações permitem que os usuários externos com os quais eles estão colaborando solicitem e sejam adicionados ao diretório e aos pacotes de acesso da sua organização.

  • Para permitir que os usuários em diretórios externos de organizações conectadas possam solicitar pacotes de acesso em um catálogo, a configuração do catálogo Habilitado para usuários externos precisa estar definida como Sim. A alteração dessa configuração pode ser feita por um administrador ou proprietário do catálogo.
  • O pacote de acesso também deve ter uma política definida para usuários que não estejam no seu diretório. Essa política pode ser criada por um administrador, proprietário do catálogo ou gerente de pacotes de acesso do catálogo.
  • Um pacote de acesso com essa política permite que os usuários no escopo possam solicitar acesso, incluindo usuários que ainda não estejam no seu diretório. Se a solicitação for aprovada ou não exigir aprovação, o usuário será automaticamente adicionado ao seu diretório.
  • Se a configuração de política se destinava a Todos os usuários e o usuário não fizer parte de uma organização conectada existente, a proposta de uma nova organização conectada será criada automaticamente. Você pode exibir a lista de organizações conectadas e remover as organizações que não sejam mais necessárias.

Também é possível configurar o que acontece quando um usuário externo trazido pelo gerenciamento de direitos perde sua última atribuição a qualquer pacote de acesso. É possível impedir que eles entrem nesse diretório ou remover a conta de convidado nas configurações da conta para gerenciar o ciclo de vida dos usuários externos.

Restrição para que administradores delegados configurem políticas para usuários que não estejam no diretório

É possível impedir que os usuários que não exercem funções administrativas convidem convidados individuais, nas configurações de colaboração externa, alterando a configuração das Configurações de convite do convidado para funções administrativas específicas e definindo Habilitar entrada de convidado por autoatendimento como Não.

Para evitar que os usuários delegados configurem o gerenciamento de direitos para permitir que usuários externos solicitem colaboração externa, certifique-se de comunicar essa restrição a todos os Administradores globais, Administradores de governança de identidade, criadores de catálogos e proprietários de catálogos, pois eles podem alterar os catálogos, para que não permitam inadvertidamente uma nova colaboração em catálogos novos ou atualizados. Eles devem certificar-se de que os catálogos estejam definidos com Habilitado para usuários externos para Não e não tenham nenhum pacote de acesso com políticas para permitir que um usuário que não esteja no diretório faça solicitações.

É possível exibir a lista de catálogos atualmente habilitados para usuários externos no Centro de administração do Microsoft Entra.

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Governança de Identidade.

  2. Navegue até Governança de identidade>Gerenciamento de direitos>Catálogos.

  3. Altere a configuração do filtro de Habilitado para usuários externos para Sim.

  4. Se algum desses catálogos tiver um número diferente de zero de pacotes de acesso, esses pacotes de acesso poderão ter uma política para usuários que não estejam no diretório.

Gerenciar atribuições de função para funções de gerenciamento de direitos programaticamente

Você também pode exibir e atualizar criadores de catálogo e atribuições de função específicas do catálogo de gerenciamento de direitos usando o Microsoft Graph. Um usuário em uma função apropriada com um aplicativo que tem a permissão delegada EntitlementManagement.ReadWrite.All pode chamar o API do Graph para listar as definições de função do gerenciamento de direitos e listar as atribuições de função para essas definições de função.

Por exemplo, para exibir as funções específicas de gerenciamento de direitos às quais um determinado usuário ou grupo está atribuído, use a consulta do Graph para listar as atribuições de função e forneça a ID do usuário ou do grupo como o valor do filtro de consulta principalId, como em

GET https://graph.microsoft.com/v1.0/roleManagement/entitlementManagement/roleAssignments?$filter=principalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'&$expand=roleDefinition&$select=id,appScopeId,roleDefinition

Para uma função específica a um catálogo, o appScopeId na resposta indica o catálogo no qual o usuário recebe uma função. Essa resposta recupera apenas atribuições explícitas da entidade para a função no gerenciamento de direitos, ela não retorna resultados para um usuário que tem direitos de acesso por meio de uma função de diretório ou por meio da associação em um grupo atribuído a uma função.

Próximas etapas