Editar

Compartilhar via


Atribuir funções do Microsoft Entra aos usuários

Para conceder acesso aos usuários no Microsoft Entra ID, você atribui funções no Microsoft Entra. Uma função é uma coleção de permissões. Este artigo descreve como atribuir funções do Microsoft Entra usando o centro de administração do Microsoft Entra e o PowerShell.

Pré-requisitos

  • Administrador de Função com Privilégios. Para saber quem é seu administrador de função privilegiada, veja Listar atribuições de função Microsoft Entra
  • Licença do Microsoft Entra ID P2 ao usar o Privileged Identity Management (PIM)
  • Módulo Microsoft Graph PowerShell ao usar o PowerShell
  • Consentimento do administrador ao usar o Explorador do Graph para a API do Microsoft Graph

Para obter mais informações, confira Pré-requisitos para usar o PowerShell ou o Explorador do Graph.

Centro de administração Microsoft Entra

Siga estas etapas para atribuir funções do Microsoft Entra usando o centro de administração do Microsoft Entra. Sua experiência será diferente se você já tiver o PIM (Privileged Identity Management) do Microsoft Entra habilitado.

Atribuir uma função

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.

  2. Navegue até Identidade>Funções e administradores>Funções e administradores.

    Captura de tela da página Funções e administradores na ID do Microsoft Entra.

  3. Localize a função necessária. Você pode usar a caixa de pesquisa ou use Adicionar filtros para filtrar as funções.

  4. Selecione o nome da função para abri-la. Não adicione uma marca de seleção ao lado da função.

    Captura de tela que mostra a seleção de um função.

  5. Selecione Adicionar atribuições e, em seguida, selecione os usuários que você deseja atribuir a essa função.

    Caso você veja algo diferente da imagem a seguir, é possível que o PIM esteja habilitado. Veja a próxima seção.

    Captura de tela do painel Adicionar atribuições da função selecionada.

    Observação

    Se você atribuir uma função interna do Microsoft Entra a um usuário convidado, o usuário convidado será elevado para ter as mesmas permissões que um usuário membro. Para obter informações sobre permissões padrão de usuários membros e convidados, consulte Quais são as permissões de usuário padrão no Microsoft Entra ID?

  6. Selecione Adicionar para atribuir a função.

Atribuir uma função usando o PIM

Se você tiver o Microsoft Entra Privileged Identity Management (PIM) ativado, terá recursos adicionais de atribuição de função. Por exemplo, é possível tornar um usuário qualificado para uma função ou definir uma duração. Quando o PIM estiver habilitado, há duas maneiras de atribuir funções usando o Centro de administração do Microsoft Entra. É possível usar a página Funções e administradores ou a experiência do PIM. De qualquer maneira, ele usa o mesmo serviço PIM.

Siga estas etapas para atribuir funções usando a página Funções e administradores. Para atribuir funções usando o Privileged Identity Management, consulte Atribuir funções do Microsoft Entra no Privileged Identity Management.

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.

  2. Navegue até Identidade>Funções e administradores>Funções e administradores.

    Captura de tela da página Funções e administradores no Microsoft Entra ID quando o PIM está ativado.

  3. Localize a função necessária. Você pode usar a caixa de pesquisa ou use Adicionar filtros para filtrar as funções.

  4. Selecione o nome da função e veja as atribuições de função qualificadas, ativas e expiradas relacionadas a ela. Não adicione uma marca de seleção ao lado da função.

    Captura de tela que mostra a seleção de um função.

  5. Selecione Adicionar atribuições.

  6. Selecione Nenhum membro selecionado e escolha os usuários que receberão essa função.

    Captura de tela da página Adicionar atribuições e painel Selecionar um membro com o PIM habilitado.

  7. Selecione Avançar.

  8. Na guia Configuração, selecione se você quer deixar essa atribuição de função Qualificada ou Ativa.

    Uma atribuição de função qualificada significa que o usuário deve executar uma ou mais ações para usar a função. Uma atribuição de função ativa significa que o usuário não precisa realizar nenhuma ação para usar a função. Para saber mais sobre o que essas configurações significam, veja Terminologia do PIM.

    Captura de tela da página Adicionar atribuições e da guia Configuração com o PIM habilitado.

  9. Use as opções restantes para definir a duração da atribuição.

  10. Selecione Atribuir para atribuir a função.

PowerShell

Siga estas etapas para atribuir funções do Microsoft Entra usando o PowerShell.

Instalação

  1. Abra uma janela do PowerShell e use Import-Module para importar o módulo Microsoft Graph PowerShell. Para obter mais informações, confira Pré-requisitos para usar o PowerShell ou o Explorador do Graph.

    Import-Module -Name Microsoft.Graph.Identity.Governance -Force
    
  2. Em uma janela do PowerShell, use Connect-MgGraph para entrar no seu locatário.

    Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"
    
  3. Use Get-MgUser para obter o usuário ao qual você quer atribuir uma função.

    $user = Get-MgUser -Filter "userPrincipalName eq 'johndoe@contoso.com'"
    

Atribuir uma função

  1. Use Get-MgRoleManagementDirectoryRoleDefinition para obter a função que você quer atribuir.

    $roledefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Billing Administrator'"
    
  2. Use New-MgRoleManagementDirectoryRoleAssignment para atribuir a função.

    $roleassignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roledefinition.Id -PrincipalId $user.Id
    

Atribuir uma função como qualificada usando o PIM

Se o PIM estiver habilitado, você terá recursos adicionais, como tornar um usuário qualificado para uma atribuição de função ou definir a hora de início e término de uma atribuição de função. Esses recursos usam um conjunto diferente de comandos do PowerShell. Para obter mais informações sobre o uso do PowerShell e do PIM, consulte Funções do PowerShell para Microsoft Entra em Privileged Identity Management.

  1. Use Get-MgRoleManagementDirectoryRoleDefinition para obter a função que você quer atribuir.

    $roledefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Billing Administrator'"
    
  2. Use o comando a seguir para criar uma tabela de hash para armazenar todos os atributos necessários para atribuir a função ao usuário. A ID da Entidade de Segurança será a ID de usuário à qual você deseja atribuir a função. Nesse exemplo, a atribuição será válida apenas por 10 horas.

    $params = @{
      "PrincipalId" = "aaaaaaaa-bbbb-cccc-1111-222222222222"
      "RoleDefinitionId" = "b0f54661-2d74-4c50-afa3-1ec803f12efe"
      "Justification" = "Add eligible assignment"
      "DirectoryScopeId" = "/"
      "Action" = "AdminAssign"
      "ScheduleInfo" = @{
        "StartDateTime" = Get-Date
        "Expiration" = @{
          "Type" = "AfterDuration"
          "Duration" = "PT10H"
          }
        }
      }
    
  3. Use New-MgRoleManagementDirectoryRoleEligibilityScheduleRequest para atribuir a função como qualificada. Depois que a função tiver sido atribuída, ela refletirá no centro de administração Microsoft Entra na seção Governança de Identidade>Privileged Identity Management>Funções do Microsoft Entra>Atribuições>Atribuições qualificadas.

    New-MgRoleManagementDirectoryRoleEligibilityScheduleRequest -BodyParameter $params | Format-List Id, Status, Action, AppScopeId, DirectoryScopeId, RoleDefinitionId, IsValidationOnly, Justification, PrincipalId, CompletedDateTime, CreatedDateTime
    

    API do Microsoft Graph

    Siga as instruções abaixo para atribuir uma função usando a API do Microsoft Graph.

    Atribuir uma função

    Neste exemplo, uma entidade de segurança com objectID aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb recebe a função Administrador de Faturamento (ID de definição de função b0f54661-2d74-4c50-afa3-1ec803f12efe) no escopo do locatário. Para ver a lista de IDs de modelo de função imutáveis ​​de todas as funções internas, confira Funções internas do Microsoft Entra.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
    Content-type: application/json
    
    { 
        "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
        "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "directoryScopeId": "/"
    }
    

    Atribuir uma função usando o PIM

    Atribuir uma atribuição de função qualificada com limite de tempo

    Neste exemplo, uma entidade de segurança com objectID aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb recebe uma atribuição de função de Administrador de Faturamento qualificada com limite de tempo (ID de definição de função b0f54661-2d74-4c50-afa3-1ec803f12efe) por 180 dias.

    POST https://graph.microsoft.com/v1.0/rolemanagement/directory/roleEligibilityScheduleRequests
    Content-type: application/json
    
    {
        "action": "adminAssign",
        "justification": "for managing admin tasks",
        "directoryScopeId": "/",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
        "scheduleInfo": {
            "startDateTime": "2021-07-15T19:15:08.941Z",
            "expiration": {
                "type": "afterDuration",
                "duration": "PT180D"
            }
        }
    }
    

    Atribuir uma atribuição de função qualificada permanente

    No exemplo a seguir, uma entidade de segurança recebe uma atribuição de função de Administrador de Faturamento qualificada e permanente.

    POST https://graph.microsoft.com/v1.0/rolemanagement/directory/roleEligibilityScheduleRequests
    Content-type: application/json
    
    {
        "action": "adminAssign",
        "justification": "for managing admin tasks",
        "directoryScopeId": "/",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
        "scheduleInfo": {
            "startDateTime": "2021-07-15T19:15:08.941Z",
            "expiration": {
                "type": "noExpiration"
            }
        }
    }
    

    Ativar uma atribuição de função

    Para ativar a atribuição de função, use a API Create roleAssignmentScheduleRequests.

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests
    Content-type: application/json
    
    {
        "action": "selfActivate",
        "justification": "activating role assignment for admin privileges",
        "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
        "directoryScopeId": "/",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222"
    }
    

    Para saber mais sobre como gerenciar funções do Microsoft Entra por meio da API PIM no Microsoft Graph, confira a Visão geral do gerenciamento de funções por meio da API PIM .