Estender ou renovar atribuições de função do Microsoft Entra no Privileged Identity Management
O PIM (Privileged Identity Management) do Microsoft Entra fornece controles para gerenciar o ciclo de vida de acesso e atribuição para funções no Microsoft Entra ID. Os administradores podem atribuir funções usando propriedades de data e hora de início e término. Quando a atribuição termina, o Privileged Identity Management envia notificações por e-mail aos usuários ou grupos afetados. Ele também envia notificações por e-mail aos administradores do Microsoft Entra para garantir que o acesso apropriado seja mantido. As atribuições podem ser renovadas e permanecer visíveis, em estado expirado, por até 30 dias, mesmo que o acesso não tenha sido estendido.
Quem pode estender e renovar?
Somente Administradores Globais ou de Função com Privilégios podem estender ou renovar as atribuições de função do Microsoft Entra. O usuário ou grupo afetado pode pedir a extensão de funções que estão prestes a expirar e solicitar a renovação de funções que já expiraram.
Quando as notificações são enviadas?
O Privileged Identity Management envia notificações por email para administradores e usuários ou grupos afetados de funções que estão expirando dentro de 14 dias e um dia antes da expiração. Ele envia um outro e-mail quando uma atribuição expira oficialmente.
Os administradores recebem notificações quando um usuário ou grupo de uma função expirada ou expirando solicita a extensão ou renovação. Quando um administrador resolve uma solicitação como aprovada ou negada, todos os outros administradores são notificados sobre a decisão. Em seguida, o usuário ou grupo solicitante é notificado da decisão.
Estender atribuições de função
As etapas a seguir descrevem o processo de solicitação, resolução ou administração de uma extensão ou renovação de uma atribuição de função.
Estender automaticamente as atribuições de expiração
Os usuários atribuídos a uma função podem estender as atribuições de função de expiração diretamente na guia Qualificada ou Ativa na página Minhas funções em Funções do Microsoft Entra ou na página Minhas funções de nível superior do portal do Privileged Identity Management. No portal, os usuários podem solicitar a extensão de funções qualificadas ou ativas (atribuídas) que expiram nos próximos 14 dias.
Quando a data e a hora de término da atribuição estiverem dentro de 14 dias, o botão para Estender se tornará um link ativo na interface do usuário. No exemplo a seguir, suponha que a data atual seja 27 de março.
Observação
Para um grupo atribuído a uma função, o link Estender nunca fica disponível, de modo que um usuário com uma atribuição herdada não possa estender a atribuição de grupo.
Para solicitar uma extensão dessa atribuição de função, selecione Estender para abrir o formulário de solicitação.
Digite uma razão para a solicitação de extensão e, em seguida, selecione Estender .
Observação
Recomendamos incluir os detalhes de por que a extensão é necessária e por quanto tempo a extensão deve ser concedida (se você tiver essa informação).
Os administradores recebem uma notificação por email para examinar a solicitação de extensão. Se uma solicitação de extensão já tiver sido enviada, uma notificação do Azure será exibida no portal.
Acesse a página Solicitações pendentes para ver o status da sua solicitação ou para cancelá-la.
Extensão aprovada pelo administrador
Quando um usuário ou grupo envia uma solicitação para estender uma atribuição de função, os administradores recebem uma notificação por e-mail que contém os detalhes da atribuição original e o motivo da solicitação. A notificação inclui um link direto com a solicitação para o administrador aprovar ou negar.
Além de usar o link a seguir do email, os administradores podem aprovar ou negar solicitações acessando o portal de administração do Privileged Identity Management e selecionando Aprovar solicitações no painel esquerdo.
Quando um administrador seleciona Aprovar ou Negar, os detalhes da solicitação são mostrados junto com um campo para fornecer uma justificativa comercial para os logs de auditoria.
Ao aprovar uma solicitação para estender a atribuição de função, os administradores podem escolher uma nova data de início, uma data de término e um tipo de atribuição. Alterar o tipo de atribuição pode ser necessário se o administrador quiser fornecer acesso limitado para concluir uma tarefa específica (um dia, por exemplo). Neste exemplo, o administrador pode alterar a atribuição de Qualificado para Ativo . Isso significa que eles podem fornecer acesso ao solicitante sem precisar que eles sejam ativados.
Extensão iniciada pelo administrador
Se um usuário atribuído a uma função não solicitar uma extensão para a atribuição de função, um administrador poderá estender uma atribuição em nome do usuário. As extensões administrativas da atribuição de função não exigem aprovação, mas as notificações são enviadas a todos os outros administradores após a extensão da função.
Para estender uma atribuição de função, navegue até a função ou exibição de atribuição no Privileged Identity Management. Localize a atribuição que requer uma extensão. Em seguida, selecione estender na coluna ação.
Estender atribuições de função usando a API do Microsoft Graph
Na solicitação a seguir, um administrador estende uma atribuição ativa usando o API do Microsoft Graph.
Solicitação HTTP
POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests
{
"action": "adminExtend",
"justification": "TEST",
"roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
"directoryScopeId": "/",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"scheduleInfo": {
"startDateTime": "2022-04-10T00:00:00Z",
"expiration": {
"type": "afterDuration",
"duration": "PT3H"
}
}
}
Resposta HTTP
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
"id": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
"status": "Provisioned",
"createdDateTime": "2022-05-13T16:18:36.3647674Z",
"completedDateTime": "2022-05-13T16:18:40.0835993Z",
"approvalId": null,
"customData": null,
"action": "adminExtend",
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
"directoryScopeId": "/",
"appScopeId": null,
"isValidationOnly": false,
"targetScheduleId": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
"justification": "TEST",
"createdBy": {
"application": null,
"device": null,
"user": {
"displayName": null,
"id": "aaaaaaaa-bbbb-cccc-1111-222222222222"
}
},
"scheduleInfo": {
"startDateTime": "2022-05-13T16:18:40.0835993Z",
"recurrence": null,
"expiration": {
"type": "afterDuration",
"endDateTime": null,
"duration": "PT3H"
}
},
"ticketInfo": {
"ticketNumber": null,
"ticketSystem": null
}
}
Renovar atribuições de função
Embora seja conceitualmente semelhante ao processo para solicitar uma extensão, o processo para renovar uma atribuição de função expirada é diferente. Usando as etapas a seguir, atribuições e administradores podem renovar o acesso a funções expiradas quando necessário.
Renovação automática
Usuários que não podem mais acessar recursos podem acessar até 30 dias do histórico de atribuições expiradas. Para fazer isso, navegue até funções Meus no painel esquerdo e, em seguida, selecione o expirado funções guia na seção de funções do Microsoft Entra.
A lista de papéis mostrada é padronizada para Funções elegíveis . Selecione as funções atribuídas Qualificadas ou Ativas.
Para solicitar a renovação de qualquer uma das atribuições de função na lista, selecione a ação Renovar . Em seguida, forneça um motivo para a solicitação. É útil fornecer uma duração além de qualquer outro contexto ou uma justificativa empresarial que possa ajudar o administrador a decidir se deve aprovar ou negar.
Depois que a solicitação é enviada, os administradores são notificados sobre uma solicitação pendente para renovar uma atribuição de função.
Aprovação pelo administrador
Os administradores do Microsoft Entra podem acessar a solicitação de renovação a partir do link na notificação por email ou acessando o Privileged Identity Management no Centro de administração do Microsoft Entra e selecionando Aprovar solicitações no PIM.
Quando um administrador seleciona Aprovar ou Negar, os detalhes da solicitação são mostrados junto com um campo para fornecer uma justificativa comercial para os logs de auditoria.
Ao aprovar uma solicitação para renovar a atribuição de função, os administradores devem inserir uma nova data de início, uma data de término e um tipo de atribuição.
Renovação pelo administrador
Eles também podem renovar atribuições de função expiradas de dentro do expirado guia funções de uma função do Microsoft Entra. Para visualizar uma lista de todas as atribuições de funções expiradas, na tela Atribuições, selecione Funções expiradas.