Descrever funções do Microsoft Entra funções e controle de acesso baseado em função (RBAC)

Concluído

As funções do Microsoft Entra controlam as permissões para gerenciar recursos do Microsoft Entra. Por exemplo, permitir que contas de usuário sejam criadas ou informações de cobrança sejam exibidas. O Microsoft Entra ID dá suporte a funções internas e personalizadas.

O gerenciamento de acesso usando funções é conhecido como RBAC (controle de acesso baseado em função). As funções internas e personalizadas do Microsoft Entra são uma forma de RBAC no qual as funções do Microsoft Entra controlam o acesso a recursos do Microsoft Entra. Isso é chamado de RBAC do Microsoft Entra.

Funções internas

O Microsoft Entra ID inclui muitas funções internas, que são funções com um conjunto fixo de permissões. Algumas das funções internas mais comuns são:

  • Administrador global: usuários com esta função têm acesso a todos os recursos administrativos no Microsoft Entra. A pessoa que se inscreve no locatário do Microsoft Entra se torna automaticamente um administrador global.
  • Administrador do usuário: usuários com esta função podem criar e gerenciar todos os aspectos de usuários e grupos. Além disso, ela também inclui a capacidade de gerenciar tíquetes de suporte e monitorar a integridade do serviço.
  • Administrador de cobrança: usuários com esta função podem fazer compras, gerenciar assinaturas e tíquetes de suporte e monitorar a integridade do serviço.

Todas as funções internas são pacotes pré-configurados de permissões elaboradas para tarefas específicas. O conjunto fixo de permissões incluídas nas funções internas não pode ser modificado.

Funções personalizadas

Embora haja muitas funções de administrador internas no Microsoft Entra, as funções personalizadas oferecerão flexibilidade ao conceder acesso. Uma definição de função personalizada é uma coleção de permissões que podem ser escolhidas de uma lista predefinida. A lista de permissões para escolher são as mesmas permissões usadas pelas funções internas. A diferença é que você pode escolher quais permissões deseja incluir em uma função personalizada.

Conceder permissão usando funções personalizadas do Microsoft Entra é um processo de duas etapas. A primeira etapa envolve a criação de uma definição de função personalizada, que consiste em uma coleção de permissões que você adiciona de uma lista predefinida. Depois de criar sua definição de função personalizada, a segunda etapa é atribuir essa função a usuários ou grupos criando uma atribuição de função.

Uma atribuição de função concede ao usuário as permissões em uma definição de função, em um escopo especificado. Um escopo define o conjunto de recursos do Microsoft Entra ao qual o membro da função tem acesso. Uma função personalizada pode ser atribuída no escopo de toda a organização, o que significa que o membro da função tem as permissões de função sobre todos os recursos. Uma função personalizada também pode ser atribuída em um escopo de objeto. Um exemplo de escopo de objeto seria um único aplicativo. A mesma função pode ser atribuída a um usuário em todos os aplicativos da organização e, em seguida, a outro usuário com um escopo apenas do aplicativo de Relatórios de Despesas da Contoso.

As funções personalizadas exigem uma licença P1 ou P2 do Microsoft Entra ID.

Conceder acesso apenas para os usuários que precisam

A melhor prática, considerada mais segura, é conceder aos usuários o privilégio mínimo para realizar seu trabalho. Isso significa que, se alguém gerencia principalmente usuários, você deve atribuir a função de administrador de usuários, e não de administrador global. Ao atribuir privilégios mínimos, você limita o dano que pode ocorrer com uma conta comprometida.

Categorias das funções do Microsoft Entra

O Microsoft Entra ID é um serviço disponível se você assina qualquer oferta comercial do Microsoft Online, como o Microsoft 365 e o Azure.

Os serviços de Microsoft 365 disponíveis incluem o Microsoft Entra ID, o Exchange, o SharePoint, o Microsoft Defender, o Teams, o Intune e muitos outros.

Ao longo do tempo, alguns serviços do Microsoft 365, como o Exchange e o Intune, desenvolveram seus próprios sistemas de controle de acesso baseados em função (RBAC), assim como o serviço do Microsoft Entra tem funções do Microsoft Entra para controlar o acesso aos recursos do Microsoft Entra. Outros serviços, como o Teams e o SharePoint, não têm sistemas de controle de acesso baseados em função separados, eles usam funções do Microsoft Entra ID para acesso administrativo.

Para tornar conveniente gerenciar a identidade em serviços do Microsoft 365, o Microsoft Entra ID adicionou algumas funções internas específicas ao serviço; cada uma delas concede acesso administrativo a um serviço do Microsoft 365. Isso significa que as funções internas do Microsoft Entra ID podem ser usadas para fins diferentes. Há três categorias amplas.

  • Funções específicas do Microsoft Entra: Essas funções concedem permissões para gerenciar recursos somente no Microsoft Entra. Por exemplo, Administrador de Usuários, Administrador de Aplicativos, Administrador de Grupos concedem permissões para gerenciar recursos que residem no Microsoft Entra ID.

  • Funções específicas do serviço: Para os principais serviços do Microsoft 365, o Microsoft Entra ID inclui funções internas específicas do serviço que concedem permissões para gerenciar recursos dentro do serviço. Por exemplo, o Microsoft Entra ID inclui funções internas para funções de Administrador do Exchange, Administrador do Intune, Administrador do SharePoint e Administrador do Teams que podem gerenciar recursos com seus respectivos serviços.

  • Funções entre serviços: Há algumas funções dentro do Microsoft Entra ID que abrangem serviços. Por exemplo, o Microsoft Entra ID tem funções relacionadas à segurança, como o Administrador de Segurança, que concedem acesso a vários serviços de segurança no Microsoft 365. Da mesma forma, na função Administrador de Conformidade, você pode gerenciar configurações relacionadas à Conformidade no Centro de Conformidade do Microsoft 365, no Exchange e assim por diante.

Diagrama das categorias de função do Microsoft Entra.

Diferença entre o RBAC do Microsoft Entra e o RBAC do Azure

Conforme descrito acima, as funções internas e personalizadas do Microsoft Entra são uma forma de RBAC na medida em que controlam o acesso a recursos do Microsoft Entra. Isso é chamado de RBAC do Microsoft Entra. Da mesma forma que as funções do Microsoft Entra podem controlar o acesso aos recursos do Microsoft Entra, as funções do Azure também podem controlar o acesso aos recursos do Azure. Isso é conhecido como RBAC do Azure. Embora o conceito de RBAC se aplique ao RBAC do Microsoft Entra e ao RBAC do Azure, o que eles controlam é diferente.

  • RBAC do Microsoft Entra: as funções do Microsoft Entra controlam o acesso a recursos do Microsoft Entra, como usuários, grupos e aplicativos.
  • RBAC do Azure: as funções do Azure controlam o acesso a recursos do Azure como máquinas virtuais ou armazenamento usando o Gerenciamento de Recursos do Azure.

Há armazenamentos de dados diferentes em que as definições de função e as atribuições de função são armazenadas. Da mesma forma, há diferentes pontos de decisão de política em que as verificações de acesso acontecem.