Atribuir funções do Microsoft Entra (versão prévia)
O Gerenciamento de Direitos dá suporte ao ciclo de vida de acesso para vários tipos de recursos, como Aplicativos, sites do SharePoint, Grupos e Teams. Às vezes, os usuários precisam de permissões extras para utilizar esses recursos de maneiras específicas. Por exemplo, um usuário pode precisar ter acesso aos dashboards do Power BI da sua organização, mas precisaria da função de Administrador do Power BI para ver as métricas de toda a organização. Embora outras funcionalidades do Microsoft Entra ID, como grupos atribuíveis a função, possam dar suporte a essas atribuições de função do Microsoft Entra, o acesso concedido por meio desses métodos é menos explícito. Por exemplo, você estaria gerenciando a associação de um grupo em vez de gerenciar diretamente as atribuições de função dos usuários.
Ao atribuir funções do Microsoft Entra a funcionários e convidados, usando o Gerenciamento de Direitos, você pode examinar os direitos de um usuário para determinar rapidamente quais funções são atribuídas a esse usuário. Ao incluir uma função do Microsoft Entra como um recurso em um pacote de acesso, você também pode especificar se essa atribuição de função é "qualificada" ou "ativa".
Atribuir funções do Microsoft Entra por meio de pacotes de acesso ajuda a gerenciar com eficiência as atribuições de função em escala e aprimora o ciclo de vida da atribuição de função.
Cenários para atribuição de função do Microsoft Entra usando pacotes de acesso
Vamos imaginar que sua organização contratou recentemente 50 novos funcionários para a equipe de suporte e que você tem a tarefa de dar a esses novos funcionários acesso aos recursos necessários. Esses funcionários precisam de acesso ao Grupo de Suporte e a determinados aplicativos relacionados ao suporte. Eles também precisam de três funções do Microsoft Entra, incluindo a função de Administrador de Assistência Técnica, para realizar os trabalhos deles. Em vez de atribuir individualmente cada um dos 50 funcionários a todos os recursos e funções, você pode configurar um pacote de acesso contendo o site do SharePoint, o Grupo e as funções específicas do Microsoft Entra. Em seguida, você pode configurar o pacote de acesso para ter gerentes como aprovadores e compartilhar o link com a equipe de suporte.
Agora, novos membros que ingressarem na equipe de Suporte poderão solicitar acesso a esse pacote de acesso em Meu Acesso e obter acesso a tudo o que precisam assim que o gerente aprovar a solicitação. Isso economiza tempo e energia porque a equipe de Suporte está planejando expandir globalmente, contratando cerca de 1.000 novos funcionários, mas você não precisa mais atribuir manualmente cada pessoa a um pacote de acesso.
Nota de acesso ao PIM:
Observação
Recomendamos que você use o Privileged Identity Management para fornecer acesso just-in-time a um usuário para executar uma tarefa que exija permissões elevadas. Essas permissões são fornecidas por meio das Funções do Microsoft Entra, marcadas como "privilegiadas", em nossa documentação aqui: funções internas do Microsoft Entra. O Gerenciamento de Direitos é mais adequado para atribuir aos usuários um pacote de recursos, que pode incluir uma função do Microsoft Entra, necessária para uma pessoa realizar seu trabalho. Os usuários atribuídos a pacotes de acesso tendem a ter acesso mais duradouro aos recursos. Embora recomendemos que você gerencie funções com privilégios elevados por meio do Privileged Identity Management, você pode configurar a elegibilidade para essas funções por meio de pacotes de acesso no Gerenciamento de Direitos.
Pré-requisitos
O uso desse recurso exige licenças do Microsoft Entra ID Governance ou da Suíte do Microsoft Entra. Para encontrar a licença certa para seus requisitos, confira Conceitos básicos de licenciamento do Microsoft Entra ID Governance.
Adicionar uma função do Microsoft Entra como um recurso em um pacote de acesso
Siga estas etapas para mudar a lista de grupos incompatíveis ou outros pacotes de acesso para um pacote de acesso existente:
Entre no centro de administração do Microsoft Entra como Administrador global.
Navegue até Governança de identidade>Gerenciamento de direitos>Pacotes de acesso.
Na página Pacotes de acesso, abra o pacote de acesso ao qual você quer adicionar funções de recursos e selecione Funções de recurso.
Na página Adicionar funções de recurso ao pacote de acesso, selecione as Funções do Microsoft Entra (versão prévia) para abrir o painel Selecionar funções do Microsoft Entra.
Selecione as funções do Microsoft Entra que você deseja incluir no pacote de acesso.
Na lista Função, selecione Membro Qualificado ou Membro Ativo.
Selecione Adicionar.
Observação
Se você selecionar Qualificado, os usuários se tornarão qualificados para essa função e poderão ativar sua atribuição usando o Privileged Identity Management no centro de administração do Microsoft Entra. Se você selecionar Ativo, os usuários terão uma atribuição de função ativa até que não tenham mais acesso ao pacote de acesso. Para funções do Entra marcadas como "privilegiadas", você só poderá selecionar Qualificado. Você pode encontrar uma lista de funções privilegiadas aqui: funções internas do Microsoft Entra.
Adicionar uma função do Microsoft Entra como um recurso em um pacote de acesso programaticamente
Para adicionar uma função do Microsoft Entra programaticamente, você usaria o seguinte código:
"role": {
"originId": "Eligible",
"displayName": "Eligible Member",
"originSystem": "DirectoryRole",
"resource": {
"id": "ea036095-57a6-4c90-a640-013edf151eb1"
}
},
"scope": {
"description": "Root Scope",
"displayName": "Root",
"isRootScope": true,
"originSystem": "DirectoryRole",
"originId": "c4e39bd9-1100-46d3-8c65-fb160da0071f"
}
}
Adicionar uma função do Microsoft Entra como um recurso em um pacote de acesso usando o Graph
Você pode adicionar funções do Microsoft Entra como recursos em um pacote de acesso usando o Microsoft Graph. Um usuário em uma função apropriada com um aplicativo que tem o delegado EntitlementManagement.ReadWrite.All permission
ou um aplicativo com a permissão do aplicativo EntitlementManagement.ReadWrite.All
pode chamar a API para criar um pacote de acesso contendo funções do Microsoft Entra e atribuir usuários a esse pacote de acesso.
Adicionar uma função do Microsoft Entra como um recurso em um pacote de acesso usando o PowerShell
Você também pode criar um pacote de acesso no PowerShell com os cmdlets do módulo Cmdlets do PowerShell do Microsoft Graph para Governança de Identidade versão 1.16.0 ou posterior.
O seguinte script ilustra a adição de uma função do Microsoft Entra como um recurso em um pacote de acesso:
Primeiro, recupere a ID do catálogo e do recurso nesse catálogo e seu escopo e funções que você quer incluir no pacote de acesso. Use um script semelhante ao exemplo a seguir. Isso pressupõe que haja um recurso de função do Microsoft Entra no catálogo.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Entra Admins'" -All
if ($catalog -eq $null) { throw "catalog not found" }
$rsc = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter "originSystem eq 'DirectoryRole'" -ExpandProperty scopes
if ($rsc -eq $null) { throw "resource not found" }
$filt = "(id eq '" + $rsc.Id + "')"
$rrs = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter $filt -ExpandProperty roles,scopes
Em seguida, atribua a função do Microsoft Entra desse recurso ao pacote de acesso. Por exemplo, se você quisesse incluir a função do primeiro recurso do recurso retornado anteriormente como uma função de recurso de um pacote de acesso, usaria um script semelhante ao seguinte.
$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"
$rparams = @{
role = @{
id = $rrs.Roles[0].Id
displayName = $rrs.Roles[0].DisplayName
description = $rrs.Roles[0].Description
originSystem = $rrs.Roles[0].OriginSystem
originId = $rrs.Roles[0].OriginId
resource = @{
id = $rrs.Id
originId = $rrs.OriginId
originSystem = $rrs.OriginSystem
}
}
scope = @{
id = $rsc.Scopes[0].Id
originId = $rsc.Scopes[0].OriginId
originSystem = $rsc.Scopes[0].OriginSystem
}
}
New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $apid -BodyParameter $rparams