Descrever as funções do Microsoft Entra e o RBAC (controle de acesso baseado em função)

  • 7 minutos

As funções do Microsoft Entra controlam permissões para gerenciar recursos do Microsoft Entra. Por exemplo, permitir que contas de usuário sejam criadas ou que as informações de faturamento sejam visualizadas. O Microsoft Entra ID suporta funções internas e personalizadas.

O gerenciamento de acesso usando funções é conhecido como RBAC (controle de acesso baseado em função). As funções internas e personalizadas do Microsoft Entra são uma forma de RBAC em que as funções do Microsoft Entra controlam o acesso aos recursos do Microsoft Entra. Isso é conhecido como Microsoft Entra RBAC.

Funções incorporadas

O Microsoft Entra ID inclui muitas funções internas, que são funções com um conjunto fixo de permissões. Algumas das funções internas mais comuns são:

  • Administrador global: os utilizadores com esta função têm acesso a todas as funcionalidades administrativas do Microsoft Entra. A pessoa que se inscreve no locatário do Microsoft Entra se torna automaticamente um administrador global.
  • Administrador de usuários: os usuários com essa função podem criar e gerenciar todos os aspetos de usuários e grupos. Essa função também inclui a capacidade de gerenciar tíquetes de suporte e monitorar a integridade do serviço.
  • Administrador de cobrança: os usuários com essa função fazem compras, gerenciam assinaturas e tíquetes de suporte e monitoram a integridade do serviço.

Todas as funções internas são pacotes pré-configurados de permissões projetados para tarefas específicas. O conjunto fixo de permissões incluído nas funções internas não pode ser modificado.

Funções personalizadas

Embora existam muitas funções de administrador internas no Microsoft Entra, as funções personalizadas oferecem flexibilidade ao conceder acesso. Uma definição de função personalizada é uma coleção de permissões que você escolhe em uma lista predefinida. A lista de permissões para escolher são as mesmas permissões usadas pelas funções internas. A diferença é que você pode escolher quais permissões deseja incluir em uma função personalizada.

Conceder permissão usando funções personalizadas do Microsoft Entra é um processo de duas etapas. A primeira etapa envolve a criação de uma definição de função personalizada, que consiste em uma coleção de permissões que você adiciona de uma lista predefinida. Depois de criar sua definição de função personalizada, a segunda etapa é atribuir essa função a usuários ou grupos criando uma atribuição de função.

Uma atribuição de função concede ao usuário as permissões em uma definição de função, em um escopo especificado. Um âmbito define o conjunto de recursos do Microsoft Entra a que o membro da função tem acesso. Uma função personalizada pode ser atribuída em todo o escopo da organização, o que significa que o membro da função tem as permissões de função sobre todos os recursos. Uma função personalizada também pode ser atribuída num âmbito de objeto. Uma aplicação única é um exemplo de um âmbito de objeto. A mesma função pode ser atribuída a um utilizador em todas as aplicações da organização e depois a outro utilizador com um âmbito apenas da aplicação Contoso Expense Reports.

As funções personalizadas requerem uma licença do Microsoft Entra ID P1 ou P2.

Conceda apenas o acesso de que os usuários precisam

É uma prática recomendada e mais segura conceder aos usuários o menor privilégio para realizar seu trabalho. Isso significa que, se alguém gerencia principalmente usuários, você deve atribuir a função de administrador de usuário, e não de administrador global. Ao atribuir privilégios mínimos, você limita os danos que podem ser causados com uma conta comprometida.

Categorias de funções do Microsoft Entra

O Microsoft Entra ID é um serviço disponível se você assinar qualquer oferta comercial do Microsoft Online, como o Microsoft 365 e o Azure.

Os serviços disponíveis do Microsoft 365 incluem Microsoft Entra ID, Exchange, SharePoint, Microsoft Defender, Teams, Intune e muitos mais.

Com o tempo, alguns serviços do Microsoft 365, como o Exchange e o Intune, desenvolveram seus próprios sistemas de controle de acesso baseados em função (RBAC), assim como o serviço Microsoft Entra tem funções do Microsoft Entra para controlar o acesso aos recursos do Microsoft Entra. Outros serviços, como o Teams e o SharePoint, não têm sistemas de controle de acesso baseados em função separados, eles usam funções do Microsoft Entra para seu acesso administrativo.

Para tornar conveniente gerenciar a identidade nos serviços do Microsoft 365, o Microsoft Entra ID adicionou algumas funções internas específicas do serviço, cada uma das quais concede acesso administrativo a um serviço do Microsoft 365. Isso significa que as funções internas do Microsoft Entra diferem em onde podem ser usadas. Existem três grandes categorias.

  • Funções específicas do Microsoft Entra: essas funções concedem permissões para gerenciar recursos somente no Microsoft Entra. Por exemplo, Administrador de Usuário, Administrador de Aplicativos, Administrador de Grupos concedem permissões para gerenciar recursos que vivem no Microsoft Entra ID.

  • Funções específicas do serviço: para os principais serviços do Microsoft 365, o Microsoft Entra ID inclui funções internas específicas do serviço que concedem permissões para gerenciar recursos dentro do serviço. Por exemplo, o Microsoft Entra ID inclui funções internas para funções de Administrador do Exchange, Administrador do Intune, Administrador do SharePoint e Administrador de Equipes que podem gerenciar recursos com seus respetivos serviços.

  • Funções entre serviços: há algumas funções no ID do Microsoft Entra que abrangem serviços. Por exemplo, o Microsoft Entra ID tem funções relacionadas à segurança, como Administrador de Segurança, que concedem acesso em vários serviços de segurança no Microsoft 365. Da mesma forma, a função de Administrador de Conformidade concede acesso para gerenciar configurações relacionadas à Conformidade no Centro de Conformidade do Microsoft 365, no Exchange e assim por diante.

Diagrama de categorias de funções do Microsoft Entra.

Diferença entre o Microsoft Entra RBAC e o Azure RBAC

Conforme descrito acima, as funções internas e personalizadas do Microsoft Entra são uma forma de RBAC na medida em que controlam o acesso aos recursos do Microsoft Entra. Isso é conhecido como Microsoft Entra RBAC. Da mesma forma que as funções do Microsoft Entra podem controlar o acesso aos recursos do Microsoft Entra, as funções do Azure também podem controlar o acesso aos recursos do Azure. Isso é conhecido como Azure RBAC. Embora o conceito de RBAC se aplique ao Microsoft Entra RBAC e ao Azure RBAC, o que eles controlam são diferentes.

  • Microsoft Entra RBAC - As funções do Microsoft Entra controlam o acesso aos recursos do Microsoft Entra, como usuários, grupos e aplicativos.
  • Azure RBAC - As funções do Azure controlam o acesso aos recursos do Azure, como máquinas virtuais ou armazenamento, usando o Gerenciamento de Recursos do Azure.

Há diferentes armazenamentos de dados onde as definições de função e as atribuições de função são armazenadas. Da mesma forma, existem diferentes pontos de decisão política onde as verificações de acesso acontecem.