Editar

Partilhar via

Ativar uma função do Microsoft Entra no PIM

  • Procedimentos

O Microsoft Entra Privileged Identity Management (PIM) simplifica a forma como as empresas gerem o acesso privilegiado a recursos no Microsoft Entra ID e noutros serviços online da Microsoft, como o Microsoft 365 ou o Microsoft Intune.

Se você se tornou elegível para uma função administrativa, deve ativar a atribuição de função quando precisar executar ações privilegiadas. Por exemplo, se você ocasionalmente gerencia recursos do Microsoft 365, os Administradores de Função Privilegiada da sua organização podem não torná-lo um Administrador Global permanente, pois essa função também afeta outros serviços. Em vez disso, eles o tornariam elegível para funções do Microsoft Entra, como Administrador do Exchange Online. Você pode solicitar a ativação dessa função quando precisar de seus privilégios e, em seguida, ter controle de administrador por um período de tempo predeterminado.

Este artigo destina-se a administradores que precisam de ativar a função do Microsoft Entra no Privileged Identity Management. Embora qualquer usuário possa enviar uma solicitação para a função de que precisa por meio do PIM sem ter a função de Administrador de Função Privilegiada (PRA), essa função é necessária para gerenciar e atribuir funções a outras pessoas dentro da organização.

Importante

Quando uma função é ativada, o Microsoft Entra PIM adiciona temporariamente uma atribuição ativa para a função. O Microsoft Entra PIM cria uma atribuição ativa (atribui o usuário a uma função) em segundos. Quando a desativação (manual ou através da expiração do tempo de ativação) acontece, o Microsoft Entra PIM remove a atribuição ativa em segundos também.

O aplicativo pode fornecer acesso com base na função que o usuário tem. Em algumas situações, o acesso ao aplicativo pode não refletir imediatamente o fato de que o usuário recebeu a função atribuída ou removida. Se o aplicativo armazenou anteriormente em cache o fato de que o usuário não tem uma função – quando o usuário tenta acessar o aplicativo novamente, o acesso pode não ser fornecido. Da mesma forma, se o aplicativo armazenou anteriormente em cache o fato de que o usuário tem uma função – quando a função é desativada, o usuário ainda pode obter acesso. A situação específica depende da arquitetura do aplicativo. Para alguns aplicativos, sair e entrar novamente pode ajudar a adicionar ou remover o acesso.

Pré-requisitos

Nenhuma

Ativar uma função

Quando precisar assumir uma função do Microsoft Entra, você poderá solicitar a ativação abrindo Minhas funções no Privileged Identity Management.

Nota

O PIM já está disponível no aplicativo móvel do Azure (iOS | Android) para funções de recursos do Microsoft Entra ID e do Azure. Ative facilmente atribuições elegíveis, solicite renovações para aquelas que estão expirando ou verifique o status de solicitações pendentes. Leia mais abaixo

  1. Entre no centro de administração do Microsoft Entra como um usuário que tem uma atribuição de função qualificada.

  2. Navegue até >>identidades Minhas funções. Para obter informações sobre como adicionar o bloco Privileged Identity Management ao seu painel, consulte Começar a usar o Privileged Identity Management.

  3. Selecione Funções do Microsoft Entra para ver uma lista das suas funções elegíveis do Microsoft Entra.

    Página Minhas funções mostrando funções que você pode ativar

  4. Na lista de funções do Microsoft Entra, localize a função que deseja ativar.

    Funções do Microsoft Entra - Minha lista de funções qualificadas

  5. Selecione Ativar para abrir o painel Ativar.

    Funções do Microsoft Entra - a página de ativação contém duração e escopo

  6. Selecione Verificação adicional necessária e siga as instruções para fornecer a verificação de segurança. É necessário autenticar apenas uma vez por sessão.

    Tela para fornecer verificação de segurança, como um código PIN

  7. Após a autenticação multifator, selecione Ativar antes de continuar.

    Verificar minha identidade com MFA antes que a função seja ativada

  8. Se desejar especificar um escopo reduzido, selecione Escopo para abrir o painel de filtros. No painel de filtro, você pode especificar os recursos do Microsoft Entra aos quais precisa acessar. É uma prática recomendada solicitar acesso ao menor número de recursos de que você precisa.

  9. Se necessário, especifique uma hora de início de ativação personalizada. A função Microsoft Entra seria ativada após o tempo selecionado.

  10. Na caixa Motivo, insira o motivo da solicitação de ativação.

  11. Selecione Ativar.

    Se a função exigir aprovação para ser ativada, uma notificação aparecerá no canto superior direito do navegador informando que a solicitação está pendente de aprovação.

    A solicitação de ativação está pendente de notificação de aprovação

    Ativar uma função usando a API do Microsoft Graph

    Para obter mais informações sobre APIs do Microsoft Graph para PIM, consulte Visão geral do gerenciamento de funções por meio da API de gerenciamento de identidade privilegiada (PIM).

    Obtenha todas as funções qualificadas que você pode ativar

    Quando um usuário obtém sua elegibilidade de função por meio da associação ao grupo, essa solicitação do Microsoft Graph não retorna sua elegibilidade.

    Pedido HTTP

    GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests/filterByCurrentUser(on='principal')

    HTTP response

    Para economizar espaço, mostramos apenas a resposta para uma função, mas todas as atribuições de função qualificadas que você pode ativar serão listadas.

    {
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleEligibilityScheduleRequest)",
    "value": [
        {
            "@odata.type": "#microsoft.graph.unifiedRoleEligibilityScheduleRequest",
            "id": "50d34326-f243-4540-8bb5-2af6692aafd0",
            "status": "Provisioned",
            "createdDateTime": "2022-04-12T18:26:08.843Z",
            "completedDateTime": "2022-04-12T18:26:08.89Z",
            "approvalId": null,
            "customData": null,
            "action": "adminAssign",
            "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
            "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
            "directoryScopeId": "/",
            "appScopeId": null,
            "isValidationOnly": false,
            "targetScheduleId": "50d34326-f243-4540-8bb5-2af6692aafd0",
            "justification": "Assign Attribute Assignment Admin eligibility to myself",
            "createdBy": {
                "application": null,
                "device": null,
                "user": {
                    "displayName": null,
                    "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
                }
            },
            "scheduleInfo": {
                "startDateTime": "2022-04-12T18:26:08.8911834Z",
                "recurrence": null,
                "expiration": {
                    "type": "afterDateTime",
                    "endDateTime": "2024-04-10T00:00:00Z",
                    "duration": null
                }
            },
            "ticketInfo": {
                "ticketNumber": null,
                "ticketSystem": null
            }
        }
    ]
}

    Autoativar a elegibilidade de uma função com justificação

    Pedido HTTP

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 

{
    "action": "selfActivate",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
    "scheduleInfo": {
        "startDateTime": "2022-04-14T00:00:00.000Z",
        "expiration": {
            "type": "AfterDuration",
            "duration": "PT5H"
        }
    },
    "ticketInfo": {
        "ticketNumber": "CONTOSO:Normal-67890",
        "ticketSystem": "MS Project"
    }
}

    HTTP response

    HTTP/1.1 201 Created
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
    "id": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
    "status": "Granted",
    "createdDateTime": "2022-04-13T08:52:32.6485851Z",
    "completedDateTime": "2022-04-14T00:00:00Z",
    "approvalId": null,
    "customData": null,
    "action": "selfActivate",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
    "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "071cc716-8147-4397-a5ba-b2105951cc0b"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-04-14T00:00:00Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDuration",
            "endDateTime": null,
            "duration": "PT5H"
        }
    },
    "ticketInfo": {
        "ticketNumber": "CONTOSO:Normal-67890",
        "ticketSystem": "MS Project"
    }
}

Ver o estado dos pedidos de ativação

Você pode visualizar o status de suas solicitações pendentes para ativar.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.

  2. Navegue até Governança de identidades>>solicitações.

  3. Ao selecionar Minhas solicitações , você verá uma lista de suas solicitações de função de recurso do Microsoft Entra e do Azure.

    Captura de ecrã da página Os meus pedidos - ID do Microsoft Entra a mostrar os seus pedidos pendentes

  4. Desloque-se para a direita para ver a coluna Estado do Pedido.

Cancelar um pedido pendente de nova versão

Se você não precisar ativar uma função que exija aprovação, poderá cancelar uma solicitação pendente a qualquer momento.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.

  2. Navegue até Governança de identidades>>solicitações.

  3. Para a função que você deseja cancelar, selecione o link Cancelar .

    Quando você seleciona Cancelar, a solicitação é cancelada. Para ativar a função novamente, você precisa enviar uma nova solicitação de ativação.

    A minha lista de pedidos com a ação Cancelar realçada

Desativar uma atribuição de função

Quando uma atribuição de função é ativada, você vê uma opção Desativar no portal PIM para a atribuição de função. Além disso, não é possível desativar uma atribuição de função dentro de cinco minutos após a ativação.

Ativar funções PIM usando o aplicativo móvel do Azure

O PIM agora está disponível nos aplicativos móveis Microsoft Entra ID e Azure resource roles em iOS e Android.

  1. Para ativar uma atribuição de função qualificada do Microsoft Entra, comece baixando o aplicativo móvel do Azure (iOS | Android). Você também pode baixar o aplicativo selecionando 'Abrir em dispositivos móveis' em Privileged Identity Management > My roles > Microsoft Entra roles.

    A captura de tela mostra como baixar o aplicativo móvel.

  2. Abra a aplicação móvel do Azure e inicie sessão. Selecione o cartão Privileged Identity Management e selecione My Microsoft Entra roles para exibir suas atribuições de função qualificadas e ativas.

    Capturas de tela do aplicativo móvel mostrando como um usuário visualizaria as funções disponíveis.

  3. Selecione a atribuição de função e clique em Ativar > ação abaixo dos detalhes da atribuição de função. Conclua os passos para ativar e preencha todos os detalhes necessários antes de clicar em 'Ativar' na parte inferior.

    Captura de ecrã da aplicação móvel que mostra a um utilizador como preencher as informações necessárias

  4. Exiba o status de suas solicitações de ativação e suas atribuições de função em Minhas funções do Microsoft Entra.

    Captura de ecrã da aplicação móvel que mostra o estado da função do utilizador.

Conteúdos relacionados