Atribuir elegibilidade para um grupo no Privileged Identity Management

No Microsoft Entra ID, anteriormente conhecido como Azure Ative Directory, você pode usar o Privileged Identity Management (PIM) para gerenciar a associação just-in-time no grupo ou a propriedade just-in-time do grupo.

Quando uma associação ou propriedade é atribuída, a atribuição:

• Não pode ser atribuído por uma duração inferior a cinco minutos
• Não pode ser removido dentro de cinco minutos após ser atribuído

Nota

Todos os usuários qualificados para associação ou propriedade de um PIM for Groups devem ter uma licença de Governança de ID P2 ou ID do Microsoft Entra. Para obter mais informações, consulte Requisitos de licença para usar o Privileged Identity Management.

Atribuir um proprietário ou membro de um grupo

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Siga estas etapas para tornar um usuário elegível como membro ou proprietário de um grupo. Você precisa de permissões para gerenciar grupos. Para grupos atribuíveis por função, você precisa ser pelo menos uma função de Administrador de Função Privilegiada ou ser um Proprietário do grupo. Para grupos não atribuíveis por função, você precisa ser pelo menos um Escritor de Diretório, Administrador de Grupos ou Administrador de Governança de Identidade, função de Administrador de Usuário ou ser um Proprietário do grupo. As atribuições de função para administradores devem ter escopo no nível de diretório (não no nível da unidade administrativa).

Nota

Outras funções com permissões para gerenciar grupos (como Administradores do Exchange para grupos M365 não atribuíveis por função) e administradores com atribuições com escopo no nível da unidade administrativa podem gerenciar grupos por meio da API/UX de Grupos e substituir as alterações feitas no Microsoft Entra PIM.

1. Inicie sessão no Centro de administração do Microsoft Entra.

2. Navegue até Governança de>identidade: Grupos privilegiados de gerenciamento de>identidade.

3. Aqui você pode visualizar grupos que já estão habilitados para o PIM for Groups.

   

4. Selecione o grupo que você precisa gerenciar.

5. Selecione Tarefas.

6. Use as folhas Atribuições qualificadas e Atribuições ativas para revisar as atribuições de associação ou propriedade existentes para o grupo selecionado.

   

7. Selecione Adicionar atribuições.

8. Em Selecionar função, escolha entre Membro e Proprietário para atribuir associação ou propriedade.

9. Selecione os membros ou proprietários que deseja tornar elegíveis para o grupo.

   

10. Selecione Seguinte.

11. Na lista Tipo de atribuição, selecione Elegível ou Ativo. O Privileged Identity Management fornece dois tipos de atribuição distintos:

    • A atribuição elegível requer que o membro ou proprietário execute uma ativação para usar a função. As ativações também podem exigir o fornecimento de uma autenticação multifator (MFA), o fornecimento de uma justificativa comercial ou a solicitação de aprovação de aprovadores designados.

    Importante

    Para grupos usados para elevar a funções do Microsoft Entra, a Microsoft recomenda que você exija um processo de aprovação para atribuições de membros qualificados. As atribuições que podem ser ativadas sem aprovação podem deixá-lo vulnerável a um risco de segurança de outro administrador com permissão para redefinir as senhas de um usuário qualificado.

    • As atribuições ativas não exigem que o membro execute ativações para usar a função. Membros ou proprietários atribuídos como ativos têm os privilégios atribuídos à função em todos os momentos.

12. Se a atribuição for permanente (permanentemente elegível ou permanentemente atribuída), marque a caixa de seleção Permanentemente . Dependendo das configurações do grupo, a caixa de seleção pode não aparecer ou não ser editável. Para obter mais informações, consulte o artigo Configurar configurações do PIM para grupos no Privileged Identity Management .

    

13. Selecione Atribuir.

Atualizar ou remover uma atribuição de função existente

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Siga estas etapas para atualizar ou remover uma atribuição de função existente. Você precisa de permissões para gerenciar grupos. Para grupos atribuíveis por função, você precisa ser pelo menos uma função de Administrador de Função Privilegiada ou ser um Proprietário do grupo. Para grupos não atribuíveis por função, você precisa ter pelo menos a função Gravador de Diretório, Administrador de Grupos, Administrador de Governança de Identidade, Administrador de Usuário ou ser um Proprietário do grupo. As atribuições de função para administradores devem ter escopo no nível de diretório (não no nível da unidade administrativa).

Nota

Outras funções com permissões para gerenciar grupos (como Administradores do Exchange para grupos M365 não atribuíveis por função) e administradores com atribuições com escopo no nível da unidade administrativa podem gerenciar grupos por meio da API/UX de Grupos e substituir as alterações feitas no Microsoft Entra PIM.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.

2. Navegue até Governança de>identidade: Grupos privilegiados de gerenciamento de>identidade.

3. Aqui você pode visualizar grupos que já estão habilitados para o PIM for Groups.

   

4. Selecione o grupo que você precisa gerenciar.

5. Selecione Tarefas.

6. Use as folhas Atribuições qualificadas e Atribuições ativas para revisar as atribuições de associação ou propriedade existentes para o grupo selecionado.

   

7. Selecione Atualizar ou Remover para atualizar ou remover a associação ou a atribuição de propriedade.

Próximos passos

• Ative sua associação ou propriedade de grupo no Privileged Identity Management
• Aprovar solicitações de ativação para membros e proprietários do grupo