Editar

Compartilhar via


Ativar uma função do Microsoft Entra no PIM

O Privileged Identity Management (PIM) do Microsoft Entra simplifica a forma como as empresas gerenciam o acesso privilegiado a recursos no Microsoft Entra ID e em outros serviços online da Microsoft, como o Microsoft 365 ou o Microsoft Intune.

Se você tiver se tornado elegível a uma função administrativa, isso significa que você poderá ativar essa função quando precisar executar ações que demandam privilégios. Por exemplo, se você ocasionalmente gerencia recursos do Microsoft 365, os Administradores de Funções Privilegiadas da sua organização podem não torná-lo um Administrador Global permanente, já que essa função também afeta outros serviços. Em vez disso, eles o tornam qualificado para funções do Microsoft Entra, como Administrador do Exchange Online. Você pode solicitar a ativação dessa função quando precisar de seus privilégios e, em seguida, ter o controle de administrador por um período de tempo predeterminado.

Este artigo destina-se a administradores que precisam ativar sua função no Microsoft Entra no PIM (Privileged Identity Management). Embora qualquer usuário possa enviar uma solicitação para a função de que precisa por meio do PIM sem ter a função PRA (Administrador de Funções Privilegiadas), essa função é necessária para gerenciar e atribuir funções a outras pessoas dentro da organização.

Importante

Quando uma função é ativada, o PIM do Microsoft Entra adiciona temporariamente uma atribuição ativa para a função. O PIM do Microsoft Entra cria uma atribuição ativa (atribui ao usuário uma função) em segundos. Quando a desativação (manual ou através da expiração do tempo de ativação) acontece, o PIM do Microsoft Entra também remove a atribuição ativa em segundos.

O aplicativo pode fornecer acesso baseado na função que o usuário tem. Em algumas situações, o acesso ao aplicativo pode não refletir imediatamente o fato de que a função do usuário foi atribuída ou removida. Se o aplicativo anteriormente armazenou em cache o fato de que o usuário não tem uma função, quando o usuário tentar acessar o aplicativo novamente, o acesso poderá não ser fornecido. Da mesma forma, se o aplicativo anteriormente armazenou em cache o fato de que o usuário tem uma função, quando a função for desativada, o usuário ainda poderá obter acesso. A situação específica depende da arquitetura do aplicativo. Para alguns aplicativos, sair e entrar novamente pode ajudar a adicionar ou remover o acesso.

Pré-requisitos

Nenhum

Ativar uma função

Quando você precisar assumir uma função do Microsoft Entra, poderá solicitar a ativação abrindo Minhas funções no Privileged Identity Management.

Observação

O PIM agora está disponível no aplicativo móvel do Azure (iOS | Android) para funções de recurso do Microsoft Entra ID e Azure. Ative as atribuições qualificadas, solicite renovações para as que estão expirando ou verifique o status das solicitações pendentes com facilidade. Leia mais abaixo

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.

  2. Navegue até Governança de identidade>Privileged Identity Management>Minhas funções. Para saber mais sobre como adicionar o bloco Privileged Identity Management ao seu painel, confira Começar a usar o Privileged Identity Management.

  3. Selecione Funções do Microsoft Entra para ver uma lista de suas funções do Microsoft Entra qualificadas.

    Minha página de funções mostrando as funções que você pode ativar

  4. Na lista Funções do Microsoft Entra, encontre a função que você deseja ativar.

    Funções do Microsoft Entra – minha lista de funções qualificadas

  5. Clique em ativar para abrir o painel Ativar.

    Funções do Microsoft Entra – a página de ativação contém a duração e o escopo

  6. Selecione Verificação adicional necessária e siga as instruções para fornecer verificação de segurança. Você precisa se autenticar apenas uma vez por sessão.

    Tela para digitar a verificação de segurança, como um código PIN

  7. Após a autenticação multifator, selecione Ativar antes de continuar.

    Verificar minha identidade com MFA antes de ativar a função

  8. Se você quiser especificar um escopo reduzido, clique em Escopo para abrir o painel de filtro. No painel de filtro, você pode especificar os recursos no Microsoft Entra que você precisa acessar. É uma prática recomendada solicitar apenas o acesso aos recursos de que você precisa.

  9. Se necessário, especifique uma hora de início de ativação personalizada. A função do Microsoft Entra seria ativada após o horário selecionado.

  10. Na caixa Motivo, insira o motivo da solicitação de ativação.

  11. Selecione Ativar.

    Se a função exigir aprovação para ser ativada, uma notificação será exibida no canto superior direito do navegador informando que a solicitação está com a aprovação pendente.

    A solicitação de ativação está com a aprovação pendente

    Ativar uma função usando a API do Microsoft Graph

    Para obter mais informações sobre as APIs do Microsoft Graph para PIM, confira Visão geral do gerenciamento de funções por meio da API de PIM (Privileged Identity Management).

    Obter todas as funções qualificadas que você pode ativar

    Quando um usuário obtém a qualificação de função por meio da associação de grupo, essa solicitação do Microsoft Graph não retorna a qualificação.

    Solicitação HTTP

    GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests/filterByCurrentUser(on='principal')  
    

    Resposta HTTP

    Para economizar espaço, estamos mostrando a resposta apenas de uma função, mas todas as atribuições de função qualificadas que você pode ativar serão listadas.

    {
        "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleEligibilityScheduleRequest)",
        "value": [
            {
                "@odata.type": "#microsoft.graph.unifiedRoleEligibilityScheduleRequest",
                "id": "50d34326-f243-4540-8bb5-2af6692aafd0",
                "status": "Provisioned",
                "createdDateTime": "2022-04-12T18:26:08.843Z",
                "completedDateTime": "2022-04-12T18:26:08.89Z",
                "approvalId": null,
                "customData": null,
                "action": "adminAssign",
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
                "directoryScopeId": "/",
                "appScopeId": null,
                "isValidationOnly": false,
                "targetScheduleId": "50d34326-f243-4540-8bb5-2af6692aafd0",
                "justification": "Assign Attribute Assignment Admin eligibility to myself",
                "createdBy": {
                    "application": null,
                    "device": null,
                    "user": {
                        "displayName": null,
                        "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
                    }
                },
                "scheduleInfo": {
                    "startDateTime": "2022-04-12T18:26:08.8911834Z",
                    "recurrence": null,
                    "expiration": {
                        "type": "afterDateTime",
                        "endDateTime": "2024-04-10T00:00:00Z",
                        "duration": null
                    }
                },
                "ticketInfo": {
                    "ticketNumber": null,
                    "ticketSystem": null
                }
            }
        ]
    }
    

    Ativar por conta própria uma qualificação de função com justificativa

    Solicitação HTTP

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 
    
    {
        "action": "selfActivate",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
        "directoryScopeId": "/",
        "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
        "scheduleInfo": {
            "startDateTime": "2022-04-14T00:00:00.000Z",
            "expiration": {
                "type": "AfterDuration",
                "duration": "PT5H"
            }
        },
        "ticketInfo": {
            "ticketNumber": "CONTOSO:Normal-67890",
            "ticketSystem": "MS Project"
        }
    }
    

    Resposta HTTP

    HTTP/1.1 201 Created
    Content-Type: application/json
    
    {
        "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
        "id": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
        "status": "Granted",
        "createdDateTime": "2022-04-13T08:52:32.6485851Z",
        "completedDateTime": "2022-04-14T00:00:00Z",
        "approvalId": null,
        "customData": null,
        "action": "selfActivate",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
        "directoryScopeId": "/",
        "appScopeId": null,
        "isValidationOnly": false,
        "targetScheduleId": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
        "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
        "createdBy": {
            "application": null,
            "device": null,
            "user": {
                "displayName": null,
                "id": "071cc716-8147-4397-a5ba-b2105951cc0b"
            }
        },
        "scheduleInfo": {
            "startDateTime": "2022-04-14T00:00:00Z",
            "recurrence": null,
            "expiration": {
                "type": "afterDuration",
                "endDateTime": null,
                "duration": "PT5H"
            }
        },
        "ticketInfo": {
            "ticketNumber": "CONTOSO:Normal-67890",
            "ticketSystem": "MS Project"
        }
    }
    

Exibir o status das solicitações de ativação

Você pode exibir o status das suas solicitações pendentes a serem ativadas.

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.

  2. Navegue até Governança de identidade>Privileged Identity Management>Minhas solicitações.

  3. Clicar em Minhas solicitações mostra uma lista de sua função do Microsoft Entra e as solicitações de função de recurso do Azure.

    Captura de tela da página Minhas solicitações - Microsoft Entra ID mostrando suas solicitações pendentes

  4. Role para a direita para exibir o Status da solicitação coluna.

Cancelar uma solicitação pendente para a nova versão

Se você não precisar da ativação de uma função que exija aprovação, cancele a solicitação pendente a qualquer momento.

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.

  2. Navegue até Governança de identidade>Privileged Identity Management>Minhas solicitações.

  3. Na função que você deseja cancelar, clique no link Cancelar.

    Quando você seleciona Cancelar, a solicitação é cancelada. Para ativar a função novamente, você precisa enviar uma nova solicitação de ativação.

    Lista

Desativar uma atribuição de função

Quando uma atribuição de função for ativada, você vê uma opção Desativar no portal PIM para a atribuição de função. Além disso, você não pode desativar uma atribuição de função até cinco minutos após a ativação.

Ativar funções PIM usando o aplicativo móvel do Azure

O PIM agora está disponível no Microsoft Entra ID e nos aplicativos móveis de funções de recurso do Azure no iOS e no Android.

  1. Para ativar uma atribuição de função qualificada do Microsoft Entra, comece baixando o aplicativo móvel do Azure (iOS | Android). Você também pode baixar o aplicativo selecionando 'Abrir no dispositivo móvel' em Privileged Identity Management > Minhas funções > das Funções do Microsoft Entra.

    A captura de tela mostra como fazer o download do aplicativo móvel.

  2. Abra o aplicativo móvel do Azure e entre. Selecione o cartão Azure Active Directory Privileged Identity Management e selecione Minhas funções do Microsoft Entra para exibir suas atribuições de função elegíveis e ativas.

    Captura de tela do aplicativo móvel mostrando como um usuário exibiria as funções disponíveis.

  3. Selecione a atribuição de função e clique em Ação > Ativar em detalhes da atribuição de função. Execute as etapas para ativar e preencher todos os detalhes necessários antes de clicar em 'Ativar' na parte inferior.

    Captura de tela do aplicativo móvel mostrando a um usuário como preencher as informações necessárias

  4. Veja o status de suas solicitações de ativação e suas atribuições de função em Minhas funções do Microsoft Entra.

    Captura de tela do aplicativo móvel mostrando o status da função do usuário.