Compartilhar via


Estender ou renovar atribuições de função do Microsoft Entra no Privileged Identity Management

O PIM (Privileged Identity Management) do Microsoft Entra fornece controles para gerenciar o ciclo de vida de acesso e atribuição para funções no Microsoft Entra ID. Os administradores podem atribuir funções usando propriedades de data e hora de início e término. Quando a atribuição termina, o Privileged Identity Management envia notificações por e-mail aos usuários ou grupos afetados. Ele também envia notificações por e-mail aos administradores do Microsoft Entra para garantir que o acesso apropriado seja mantido. As atribuições podem ser renovadas e permanecer visíveis, em estado expirado, por até 30 dias, mesmo que o acesso não tenha sido estendido.

Quem pode estender e renovar?

Somente Administradores Globais ou de Função com Privilégios podem estender ou renovar as atribuições de função do Microsoft Entra. O usuário ou grupo afetado pode pedir a extensão de funções que estão prestes a expirar e solicitar a renovação de funções que já expiraram.

Quando as notificações são enviadas?

O Privileged Identity Management envia notificações por email para administradores e usuários ou grupos afetados de funções que estão expirando dentro de 14 dias e um dia antes da expiração. Ele envia um outro e-mail quando uma atribuição expira oficialmente.

Os administradores recebem notificações quando um usuário ou grupo de uma função expirada ou expirando solicita a extensão ou renovação. Quando um administrador resolve uma solicitação como aprovada ou negada, todos os outros administradores são notificados sobre a decisão. Em seguida, o usuário ou grupo solicitante é notificado da decisão.

Estender atribuições de função

As etapas a seguir descrevem o processo de solicitação, resolução ou administração de uma extensão ou renovação de uma atribuição de função.

Estender automaticamente as atribuições de expiração

Os usuários atribuídos a uma função podem estender as atribuições de função de expiração diretamente na guia Qualificada ou Ativa na página Minhas funções em Funções do Microsoft Entra ou na página Minhas funções de nível superior do portal do Privileged Identity Management. No portal, os usuários podem solicitar a extensão de funções qualificadas ou ativas (atribuídas) que expiram nos próximos 14 dias.

Funções do Microsoft Entra – Minha página de funções listando funções qualificadas com uma coluna Ação.

Quando a data e a hora de término da atribuição estiverem dentro de 14 dias, o botão para Estender se tornará um link ativo na interface do usuário. No exemplo a seguir, suponha que a data atual seja 27 de março.

Observação

Para um grupo atribuído a uma função, o link Estender nunca fica disponível, de modo que um usuário com uma atribuição herdada não possa estender a atribuição de grupo.

Captura de tela mostrando a coluna ação com links para Ativar ou Estender.

Para solicitar uma extensão dessa atribuição de função, selecione Estender para abrir o formulário de solicitação.

Captura de tela mostrando o painel estender a atribuição de função com uma caixa Motivo.

Digite uma razão para a solicitação de extensão e, em seguida, selecione Estender .

Observação

Recomendamos incluir os detalhes de por que a extensão é necessária e por quanto tempo a extensão deve ser concedida (se você tiver essa informação).

Os administradores recebem uma notificação por email para examinar a solicitação de extensão. Se uma solicitação de extensão já tiver sido enviada, uma notificação do Azure será exibida no portal.

Captura de tela mostrando a notificação explicando que já existe uma extensão de atribuição de função pendente existente.

Acesse a página Solicitações pendentes para ver o status da sua solicitação ou para cancelá-la.

Captura de tela mostrando as funções do Microsoft Entra – página Solicitações pendentes listando qualquer solicitação pendente e um link para Cancelar.

Extensão aprovada pelo administrador

Quando um usuário ou grupo envia uma solicitação para estender uma atribuição de função, os administradores recebem uma notificação por e-mail que contém os detalhes da atribuição original e o motivo da solicitação. A notificação inclui um link direto com a solicitação para o administrador aprovar ou negar.

Além de usar o link a seguir do email, os administradores podem aprovar ou negar solicitações acessando o portal de administração do Privileged Identity Management e selecionando Aprovar solicitações no painel esquerdo.

Captura de tela mostrando as funções do Microsoft Entra – página Aprovar solicitações listando solicitações e links para aprovar ou negar.

Quando um administrador seleciona Aprovar ou Negar, os detalhes da solicitação são mostrados junto com um campo para fornecer uma justificativa comercial para os logs de auditoria.

Captura de tela mostrando a solicitação de atribuição de função aprovada com motivo do solicitante, tipo de atribuição, hora de início, hora de término e motivo.

Ao aprovar uma solicitação para estender a atribuição de função, os administradores podem escolher uma nova data de início, uma data de término e um tipo de atribuição. Alterar o tipo de atribuição pode ser necessário se o administrador quiser fornecer acesso limitado para concluir uma tarefa específica (um dia, por exemplo). Neste exemplo, o administrador pode alterar a atribuição de Qualificado para Ativo . Isso significa que eles podem fornecer acesso ao solicitante sem precisar que eles sejam ativados.

Extensão iniciada pelo administrador

Se um usuário atribuído a uma função não solicitar uma extensão para a atribuição de função, um administrador poderá estender uma atribuição em nome do usuário. As extensões administrativas da atribuição de função não exigem aprovação, mas as notificações são enviadas a todos os outros administradores após a extensão da função.

Para estender uma atribuição de função, navegue até a função ou exibição de atribuição no Privileged Identity Management. Localize a atribuição que requer uma extensão. Em seguida, selecione estender na coluna ação.

Captura de tela mostrando as funções do Microsoft Entra – página Atribuições listando funções qualificadas com links a serem estendidos.

Estender atribuições de função usando a API do Microsoft Graph

Na solicitação a seguir, um administrador estende uma atribuição ativa usando o API do Microsoft Graph.

Solicitação HTTP

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 
 
{
    "action": "adminExtend",
    "justification": "TEST",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "scheduleInfo": {
        "startDateTime": "2022-04-10T00:00:00Z",
        "expiration": {
            "type": "afterDuration",
            "duration": "PT3H"
        }
    }
}

Resposta HTTP

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
    "id": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
    "status": "Provisioned",
    "createdDateTime": "2022-05-13T16:18:36.3647674Z",
    "completedDateTime": "2022-05-13T16:18:40.0835993Z",
    "approvalId": null,
    "customData": null,
    "action": "adminExtend",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
    "justification": "TEST",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "aaaaaaaa-bbbb-cccc-1111-222222222222"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-05-13T16:18:40.0835993Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDuration",
            "endDateTime": null,
            "duration": "PT3H"
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}

Renovar atribuições de função

Embora seja conceitualmente semelhante ao processo para solicitar uma extensão, o processo para renovar uma atribuição de função expirada é diferente. Usando as etapas a seguir, atribuições e administradores podem renovar o acesso a funções expiradas quando necessário.

Renovação automática

Usuários que não podem mais acessar recursos podem acessar até 30 dias do histórico de atribuições expiradas. Para fazer isso, navegue até funções Meus no painel esquerdo e, em seguida, selecione o expirado funções guia na seção de funções do Microsoft Entra.

Captura de tela mostrando a página Minhas funções – guia Funções expiradas.

A lista de papéis mostrada é padronizada para Funções elegíveis . Selecione as funções atribuídas Qualificadas ou Ativas.

Para solicitar a renovação de qualquer uma das atribuições de função na lista, selecione a ação Renovar . Em seguida, forneça um motivo para a solicitação. É útil fornecer uma duração além de qualquer outro contexto ou uma justificativa empresarial que possa ajudar o administrador a decidir se deve aprovar ou negar.

Captura de tela mostrando o painel Renovar atribuição de função mostrando a caixa Motivo.

Depois que a solicitação é enviada, os administradores são notificados sobre uma solicitação pendente para renovar uma atribuição de função.

Aprovação pelo administrador

Os administradores do Microsoft Entra podem acessar a solicitação de renovação a partir do link na notificação por email ou acessando o Privileged Identity Management no Centro de administração do Microsoft Entra e selecionando Aprovar solicitações no PIM.

Captura de tela mostrando as funções do Microsoft Entra – página Aprovar solicitações listando solicitações e links para aprovar ou negar.

Quando um administrador seleciona Aprovar ou Negar, os detalhes da solicitação são mostrados junto com um campo para fornecer uma justificativa comercial para os logs de auditoria.

Captura de tela mostrando a página Aprovar solicitação de atribuição de função.

Ao aprovar uma solicitação para renovar a atribuição de função, os administradores devem inserir uma nova data de início, uma data de término e um tipo de atribuição.

Renovação pelo administrador

Eles também podem renovar atribuições de função expiradas de dentro do expirado guia funções de uma função do Microsoft Entra. Para visualizar uma lista de todas as atribuições de funções expiradas, na tela Atribuições, selecione Funções expiradas.

Captura de tela das funções do Microsoft Entra – página Atribuições listando funções expiradas com links para renovação.

Próximas etapas