Para conceder acesso aos usuários no Microsoft Entra ID, você atribui funções no Microsoft Entra. Uma função é uma coleção de permissões. Este artigo descreve como atribuir funções do Microsoft Entra usando o centro de administração do Microsoft Entra e o PowerShell.
Atribuir funções do Microsoft Entra aos usuários
Pré-requisitos
- Administrador de Função com Privilégios. Para saber quem é seu administrador de função privilegiada, veja Listar atribuições de função Microsoft Entra
- Licença do Microsoft Entra ID P2 ao usar o Privileged Identity Management (PIM)
- Módulo Microsoft Graph PowerShell ao usar o PowerShell
- Consentimento do administrador ao usar o Explorador do Graph para a API do Microsoft Graph
Para obter mais informações, confira Pré-requisitos para usar o PowerShell ou o Explorador do Graph.
Centro de administração Microsoft Entra
Siga estas etapas para atribuir funções do Microsoft Entra usando o centro de administração do Microsoft Entra. Sua experiência será diferente se você já tiver o PIM (Privileged Identity Management) do Microsoft Entra habilitado.
Atribuir uma função
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.
Navegue até Identidade>Funções e administradores>Funções e administradores.
Localize a função necessária. Você pode usar a caixa de pesquisa ou use Adicionar filtros para filtrar as funções.
Selecione o nome da função para abri-la. Não adicione uma marca de seleção ao lado da função.
Selecione Adicionar atribuições e, em seguida, selecione os usuários que você deseja atribuir a essa função.
Caso você veja algo diferente da imagem a seguir, é possível que o PIM esteja habilitado. Veja a próxima seção.
Observação
Se você atribuir uma função interna do Microsoft Entra a um usuário convidado, o usuário convidado será elevado para ter as mesmas permissões que um usuário membro. Para obter informações sobre permissões padrão de usuários membros e convidados, consulte Quais são as permissões de usuário padrão no Microsoft Entra ID?
Selecione Adicionar para atribuir a função.
Atribuir uma função usando o PIM
Se você tiver o Microsoft Entra Privileged Identity Management (PIM) ativado, terá recursos adicionais de atribuição de função. Por exemplo, é possível tornar um usuário qualificado para uma função ou definir uma duração. Quando o PIM estiver habilitado, há duas maneiras de atribuir funções usando o Centro de administração do Microsoft Entra. É possível usar a página Funções e administradores ou a experiência do PIM. De qualquer maneira, ele usa o mesmo serviço PIM.
Siga estas etapas para atribuir funções usando a página Funções e administradores. Para atribuir funções usando o Privileged Identity Management, consulte Atribuir funções do Microsoft Entra no Privileged Identity Management.
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.
Navegue até Identidade>Funções e administradores>Funções e administradores.
Localize a função necessária. Você pode usar a caixa de pesquisa ou use Adicionar filtros para filtrar as funções.
Selecione o nome da função e veja as atribuições de função qualificadas, ativas e expiradas relacionadas a ela. Não adicione uma marca de seleção ao lado da função.
Selecione Adicionar atribuições.
Selecione Nenhum membro selecionado e escolha os usuários que receberão essa função.
Selecione Avançar.
Na guia Configuração, selecione se você quer deixar essa atribuição de função Qualificada ou Ativa.
Uma atribuição de função qualificada significa que o usuário deve executar uma ou mais ações para usar a função. Uma atribuição de função ativa significa que o usuário não precisa realizar nenhuma ação para usar a função. Para saber mais sobre o que essas configurações significam, veja Terminologia do PIM.
Use as opções restantes para definir a duração da atribuição.
Selecione Atribuir para atribuir a função.
PowerShell
Siga estas etapas para atribuir funções do Microsoft Entra usando o PowerShell.
Instalação
Abra uma janela do PowerShell e use Import-Module para importar o módulo Microsoft Graph PowerShell. Para obter mais informações, confira Pré-requisitos para usar o PowerShell ou o Explorador do Graph.
Import-Module -Name Microsoft.Graph.Identity.Governance -Force
Em uma janela do PowerShell, use Connect-MgGraph para entrar no seu locatário.
Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"
Use Get-MgUser para obter o usuário ao qual você quer atribuir uma função.
$user = Get-MgUser -Filter "userPrincipalName eq 'johndoe@contoso.com'"
Atribuir uma função
Use Get-MgRoleManagementDirectoryRoleDefinition para obter a função que você quer atribuir.
$roledefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Billing Administrator'"
Use New-MgRoleManagementDirectoryRoleAssignment para atribuir a função.
$roleassignment = New-MgRoleManagementDirectoryRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roledefinition.Id -PrincipalId $user.Id
Atribuir uma função como qualificada usando o PIM
Se o PIM estiver habilitado, você terá recursos adicionais, como tornar um usuário qualificado para uma atribuição de função ou definir a hora de início e término de uma atribuição de função. Esses recursos usam um conjunto diferente de comandos do PowerShell. Para obter mais informações sobre o uso do PowerShell e do PIM, consulte Funções do PowerShell para Microsoft Entra em Privileged Identity Management.
Use Get-MgRoleManagementDirectoryRoleDefinition para obter a função que você quer atribuir.
$roledefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Billing Administrator'"
Use o comando a seguir para criar uma tabela de hash para armazenar todos os atributos necessários para atribuir a função ao usuário. A ID da Entidade de Segurança será a ID de usuário à qual você deseja atribuir a função. Nesse exemplo, a atribuição será válida apenas por 10 horas.
$params = @{ "PrincipalId" = "aaaaaaaa-bbbb-cccc-1111-222222222222" "RoleDefinitionId" = "b0f54661-2d74-4c50-afa3-1ec803f12efe" "Justification" = "Add eligible assignment" "DirectoryScopeId" = "/" "Action" = "AdminAssign" "ScheduleInfo" = @{ "StartDateTime" = Get-Date "Expiration" = @{ "Type" = "AfterDuration" "Duration" = "PT10H" } } }
Use New-MgRoleManagementDirectoryRoleEligibilityScheduleRequest para atribuir a função como qualificada. Depois que a função tiver sido atribuída, ela refletirá no centro de administração Microsoft Entra na seção Governança de Identidade>Privileged Identity Management>Funções do Microsoft Entra>Atribuições>Atribuições qualificadas.
New-MgRoleManagementDirectoryRoleEligibilityScheduleRequest -BodyParameter $params | Format-List Id, Status, Action, AppScopeId, DirectoryScopeId, RoleDefinitionId, IsValidationOnly, Justification, PrincipalId, CompletedDateTime, CreatedDateTime
API do Microsoft Graph
Siga as instruções abaixo para atribuir uma função usando a API do Microsoft Graph.
Atribuir uma função
Neste exemplo, uma entidade de segurança com objectID
aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
recebe a função Administrador de Faturamento (ID de definição de funçãob0f54661-2d74-4c50-afa3-1ec803f12efe
) no escopo do locatário. Para ver a lista de IDs de modelo de função imutáveis de todas as funções internas, confira Funções internas do Microsoft Entra.POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments Content-type: application/json { "@odata.type": "#microsoft.graph.unifiedRoleAssignment", "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe", "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", "directoryScopeId": "/" }
Atribuir uma função usando o PIM
Atribuir uma atribuição de função qualificada com limite de tempo
Neste exemplo, uma entidade de segurança com objectID
aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
recebe uma atribuição de função de Administrador de Faturamento qualificada com limite de tempo (ID de definição de funçãob0f54661-2d74-4c50-afa3-1ec803f12efe
) por 180 dias.POST https://graph.microsoft.com/v1.0/rolemanagement/directory/roleEligibilityScheduleRequests Content-type: application/json { "action": "adminAssign", "justification": "for managing admin tasks", "directoryScopeId": "/", "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe", "scheduleInfo": { "startDateTime": "2021-07-15T19:15:08.941Z", "expiration": { "type": "afterDuration", "duration": "PT180D" } } }
Atribuir uma atribuição de função qualificada permanente
No exemplo a seguir, uma entidade de segurança recebe uma atribuição de função de Administrador de Faturamento qualificada e permanente.
POST https://graph.microsoft.com/v1.0/rolemanagement/directory/roleEligibilityScheduleRequests Content-type: application/json { "action": "adminAssign", "justification": "for managing admin tasks", "directoryScopeId": "/", "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222", "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe", "scheduleInfo": { "startDateTime": "2021-07-15T19:15:08.941Z", "expiration": { "type": "noExpiration" } } }
Ativar uma atribuição de função
Para ativar a atribuição de função, use a API Create roleAssignmentScheduleRequests.
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests Content-type: application/json { "action": "selfActivate", "justification": "activating role assignment for admin privileges", "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe", "directoryScopeId": "/", "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222" }
Para saber mais sobre como gerenciar funções do Microsoft Entra por meio da API PIM no Microsoft Graph, confira a Visão geral do gerenciamento de funções por meio da API PIM .