Exercício de atribuição de funções do Microsoft Entra no Privileged Identity Management

  • 10 minutos

Com o Microsoft Entra ID, um Administrador global pode tornar permanentes as atribuições de função de administrador do Microsoft Entra. Essas atribuições de função podem ser criadas usando o portal do Azure ou usando comandos do PowerShell.

O serviço Privileged Identity Management (PIM) do Microsoft Entra também permite que os Administradores de função com privilégios façam atribuições de funções de administrador permanente. Além disso, os Administradores de funções com privilégios podem tornar os usuários qualificados para funções de administrador do Microsoft Entra. Um administrador qualificado pode ativar a função quando necessário e suas permissões expirarão assim que forem feitas.

Atribuir uma função

Siga estas etapas para tornar um usuário elegível para uma função de administrador do Microsoft Entra.

  1. Entre no Centro de administração do Microsoft Entra como administrador de locatários.

  2. Pesquise e selecione o Microsoft Entra Privileged Identity Management.

  3. Na tela do Azure AD Privileged Identity Management, na navegação à esquerda, selecione Funções do Microsoft Entra.

  4. Na página Início rápido, no painel de navegação esquerdo, selecione Funções.

  5. No menu superior, selecione + Adicionar atribuições.

    Screenshot of the Microsoft Entra roles with Add assignments menu highlighted.

  6. No painel Adicionar atribuições, na guia Associação, examine as configurações.

  7. Selecione o menu Selecionar função e depois Administrador de conformidade. Você pode usar o filtro Pesquisar função por nome para obter ajuda para localizar uma função.

  8. Em Selecionar membro(s), escolha Nenhum membro selecionado.

  9. No painel Selecionar um membro, escolha sua conta de administrador e clique em Selecionar.

    Screenshot of the select a member pane with a selected member highlighted.

  10. Na tela Adicionar atribuições, selecione Avançar.

  11. Na guia Configurações, em Tipo de atribuição, analise as opções disponíveis. Para essa tarefa, use a configuração padrão.

    • Atribuições Qualificadas exigem que o membro da função execute uma ação para usar a função. As ações podem incluir a execução de uma verificação de autenticação multifator (MFA), o fornecimento de uma justificativa comercial ou a solicitação de aprovação de aprovadores designados.
    • As atribuições Ativas não exigem que o membro execute nenhuma ação para usar a função. Membros atribuídos como ativos sempre têm os privilégios atribuídos à função.

  12. Revise as configurações restantes, depois selecione Atribuir.

Ativar as funções do seu Microsoft Entra

Quando você precisar assumir uma função do Microsoft Entra, poderá solicitar a ativação abrindo Minhas funções no Privileged Identity Management.

  1. Na tela do Privileged Identity Management, no menu de navegação à esquerda, selecione Minhas funções.

  2. No painel Minhas funções, examine a lista de atribuições elegíveis.

    Screenshot of the My roles with eligible role assignments highlighted. Pick the role you need.

  3. Na linha função de Administrador de conformidade, selecione Ativar.

  4. No painel Ativar – Administrador de conformidade, selecione Verificação adicional necessária e siga as instruções para fornecer uma verificação de segurança extra. É necessário realizar a autenticação apenas uma vez por sessão.

    Screenshot of a popup to activate the compliance administrator.

  5. Depois de concluir a verificação de segurança, no painel Ativar – Administrador de Conformidade, na caixa Motivo, insira a justificativa para ativar essa função.

  6. Selecione Ativar.

Atribuir uma função com escopo restrito

Para determinadas funções, o escopo das permissões concedidas pode ser restrito a uma única unidade de administração, uma única entidade de serviço ou um único aplicativo. Esse procedimento é um exemplo de como atribuir uma função que tenha o escopo de uma unidade administrativa.

  1. Navegue até a tela de Privileged Identity Management e, no menu de navegação à esquerda, selecione funções do Microsoft Entra.

  2. No painel de Funções, no menu superior, selecione + Adicionar atribuições.

  3. Na tela Adicionar atribuições, selecione o menu Selecionar função e escolha Administrador do usuário.

  4. Selecione o menu Tipo de escopo e analise as opções disponíveis. Por enquanto, você usará o tipo de escopo Diretório.

    Dica

    Vá para Gerenciar unidades administrativas no Microsoft Entra ID para encontrar mais informações sobre o tipo de escopo da unidade administrativa.

  5. Semelhante à atribuição de uma função sem um escopo restrito. Adicione membros e conclua as opções de configurações. Por enquanto, selecione Cancelar.

Atualizar ou remover uma atribuição de função existente

Siga estas etapas para atualizar ou remover uma atribuição de função existente.

  1. Na tela Abrir o Azure AD Privileged Identity Management e depois as funções do Microsoft Entra, na navegação à esquerda, selecione Atribuições.

  2. Na lista Atribuições, em Administrador de conformidade, analise as opções na coluna Ação.

    Screenshot of the options listed in the action column of the Compliance Administrator.

  3. Selecione Atualizar e analise as opções disponíveis no painel Configurações de associação. Ao concluir, feche o painel.

  4. Selecione Remover.

  5. Na caixa de diálogo Remover, analise as informações e selecione Sim.