Compartilhar via

Visão geral do controle de acesso baseado em função na ID do Microsoft Entra

  • Artigo

Este artigo descreve como entender o controle de acesso baseado em função do Microsoft Entra. As funções do Microsoft Entra permitem que você conceda permissões granulares aos administradores, cumprindo o princípio de privilégios mínimos. As funções internas e personalizadas do Microsoft Entra operam segundo conceitos semelhantes aos que você encontra no sistema de controle de acesso baseado em função para recursos do Azure (funções do Azure). A diferença entre esses dois sistemas de controle de acesso baseados em funções é:

  • As funções do Microsoft Entra controlam o acesso aos recursos do Microsoft Entra, como usuários, grupos e aplicativos usando a API do Microsoft Graph
  • As funções do Azure controlam o acesso aos recursos do Azure, como máquinas virtuais ou armazenamento usando o Gerenciamento de Recursos do Azure

Ambos os sistemas contêm definições de função usadas da mesma forma e atribuições de função. No entanto, as permissões de função do Microsoft Entra não podem ser usadas em funções personalizadas do Azure e vice-versa.

Compreender o controle de acesso baseado em função no Microsoft Entra

A ID do Microsoft Entra dá suporte a dois tipos de definições de funções:

Funções internas são funções prontas para uso que têm um conjunto fixo de permissões. Essas definições de função não podem ser modificadas. Há muitas funções internas às quais o Microsoft Entra ID dá suporte, e a lista está crescendo. Para ajustar-se às necessidades e atender aos seus requisitos sofisticados, o Microsoft Entra ID também dá suporte a funções personalizadas. Conceder permissão usando funções personalizadas do Microsoft Entra é um processo de duas etapas que envolve a criação de uma definição de função personalizada e, em seguida, a atribuição dela usando uma atribuição de função. Uma definição de função personalizada é uma coleção de permissões que você adiciona de uma lista predefinida. Essas permissões são as mesmas permissões usadas nas funções internas.

Depois de criar sua definição de função personalizada (ou usar uma função interna), você poderá atribuí-la a um usuário criando uma atribuição de função. Uma atribuição de função concede ao usuário as permissões em uma definição de função em um escopo especificado. Esse processo de duas etapas permite que você crie uma única definição de função e atribua-a muitas vezes em escopos diferentes. Um escopo define o conjunto de recursos do Microsoft Entra aos quais o membro da função tem acesso. O escopo mais comum é o escopo em toda a organização. Uma função personalizada pode ser atribuída no escopo de toda a organização, o que significa que o membro da função tem as permissões associadas à função em todos os recursos da organização. Uma função personalizada também pode ser atribuída em um escopo de objeto. Um exemplo de um escopo de objeto seria um único aplicativo. A mesma função pode ser atribuída a um usuário em todos os aplicativos da organização e, em seguida, a outro usuário com um escopo apenas do aplicativo Contoso Expense Reports.

Como a ID do Microsoft Entra determina se um usuário tem acesso a um recurso

Veja a seguir as etapas de alto nível que a ID do Microsoft Entra usa para determinar se você tem acesso a um recurso de gerenciamento. Use essas informações para solucionar problemas de acesso.

  1. Um usuário (ou entidade de serviço) adquire um token para o ponto de extremidade do Microsoft Graph.
  2. O usuário faz uma chamada à API para a ID do Microsoft Entra por meio do Microsoft Graph usando o token emitido.
  3. Dependendo da circunstância, a ID do Microsoft Entra executa uma das seguintes ações:
    • Avalia as associações de função do usuário com base na declaração wids no token de acesso do usuário.
    • Recupera todas as atribuições de função que se aplicam ao usuário, seja diretamente ou por meio de associação a grupos, para o recurso no qual a ação está sendo executada.
  4. A ID do Microsoft Entra determina se a ação na chamada à API está incluída nas funções que o usuário tem para esse recurso.
  5. Se o usuário não possuir uma função associada à ação no escopo solicitado, o acesso não será concedido. Caso contrário, o acesso será permitido.

Atribuição de função

Uma atribuição de função é um recurso do Microsoft Entra que anexa uma definição de função a uma entidade de segurança em um escopo específico para conceder acesso a recursos do Microsoft Entra. O acesso é concedido criando uma atribuição de função e o acesso é revogado removendo uma atribuição de função. Em seu núcleo, uma atribuição de função consiste em três elementos:

  • Entidade de segurança – uma identidade que obtém as permissões. Pode ser um usuário, um grupo ou uma entidade de serviço.
  • Definição de função – uma coleção de permissões.
  • Escopo – Uma maneira de restringir onde essas permissões são aplicáveis.

Você pode criar atribuições de função e listar as atribuições de função usando o Centro de administração do Microsoft Entra, o Microsoft Graph PowerShellou a API do Microsoft Graph. Não há suporte para a CLI do Azure nas atribuições de função do Microsoft Entra.

O diagrama a seguir mostra um exemplo de uma atribuição de função. Neste exemplo, Chris recebeu a função personalizada de Administrador de Registro de Aplicativo no escopo do registro do aplicativo Construtor de Widgets Contoso. A atribuição concede a Chris as permissões da função Administrador de Registro de Aplicativo somente para este registro de aplicativo específico.

Atribuição de função é como as permissões são impostas e tem três partes.

Entidade de segurança

Um principal de segurança representa um usuário, grupo ou principal de serviço que é atribuído acesso a recursos do Microsoft Entra. Um usuário é um indivíduo que tem um perfil de usuário na ID do Microsoft Entra. Um grupo é um novo grupo de segurança ou do Microsoft 365 que foi definido como um grupo atribuível por função. Um principal de serviço é uma identidade criada para uso com aplicativos, serviços hospedados e ferramentas automatizadas para acessar recursos do Microsoft Entra.

Definição de função

Uma definição de função, ou função, é um conjunto de permissões. Uma definição de função lista as operações que podem ser executadas nos recursos do Microsoft Entra, como criar, ler, atualizar e excluir. Há dois tipos de funções na ID do Microsoft Entra:

  • Funções internas criadas pela Microsoft que não podem ser alteradas.
  • Funções personalizadas criadas e gerenciadas por sua organização.

Escopo

Um escopo é uma maneira de limitar as ações permitidas a um determinado conjunto de recursos como parte de uma atribuição de função. Por exemplo, se você quiser atribuir uma função personalizada a um desenvolvedor, mas apenas para gerenciar um registro de aplicativo específico, poderá incluir o registro de aplicativo específico como um escopo na atribuição de função.

Ao atribuir uma função, você especifica um dos seguintes tipos de escopo:

Se você especificar um recurso do Microsoft Entra como um escopo, ele poderá ser um dos seguintes:

  • Grupos do Microsoft Entra
  • Aplicativos empresariais
  • Registros de aplicativo

Quando uma função é atribuída em um escopo de contêiner, como o locatário ou uma unidade administrativa, ela concede permissões sobre os objetos que eles contêm, mas não sobre o próprio contêiner. Pelo contrário, quando uma função é atribuída em um escopo de recurso, ela concede permissões sobre o recurso em si, mas não se estende além (em particular, não se estende aos membros de um grupo do Microsoft Entra).

Para obter mais informações, confira Atribuir funções do Microsoft Entra.

Opções de atribuição de função

A ID do Microsoft Entra fornece várias opções para atribuir funções:

  • Você pode atribuir funções diretamente aos usuários, que é a maneira padrão de atribuir funções. As funções internas e personalizadas do Microsoft Entra podem ser atribuídas aos usuários, com base nos requisitos de acesso. Para obter mais informações, confira Atribuir funções do Microsoft Entra.
  • Com o Microsoft Entra ID P1, você pode criar grupos atribuíveis a função e atribuir funções a esses grupos. Atribuir funções a um grupo em vez de indivíduos permite a fácil adição ou remoção de usuários de uma função e cria permissões consistentes para todos os membros do grupo. Para obter mais informações, confira Atribuir funções do Microsoft Entra.
  • Com o Microsoft Entra ID P2, você pode usar o Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) para fornecer acesso just-in-time às funções. Esse recurso permite que você conceda acesso limitado a uma função aos usuários que a exigem, em vez de conceder acesso permanente. Ele também fornece relatórios detalhados e recursos de auditoria. Para saber mais, confira Atribuir funções do Microsoft Entra no Privileged Identity Management.

Requisitos de licença

O uso de funções integradas no Microsoft Entra ID é gratuito. O uso de funções personalizadas exige uma licença do Microsoft Entra ID P1 para cada usuário com uma atribuição de função personalizada. Para localizar a licença correta para os seus requisitos, confira Comparar recursos em disponibilidade geral nos planos Gratuito e Premium.

Próximas etapas