Configurar e gerenciar funções do Microsoft Entra
O Microsoft Entra ID é o serviço de gerenciamento de identidade e acesso baseado em nuvem da Microsoft, que ajuda os recursos de entrada e acesso do seu funcionário em:
- Recursos externos, como o Microsoft 365, o portal do Azure e milhares de outros aplicativos SaaS.
- Recursos internos, como aplicativos em sua rede corporativa e intranet, juntamente com quaisquer aplicativos de nuvem desenvolvidos por sua própria organização.
Quem usa o Microsoft Entra ID?
O Microsoft Entra ID destina-se a:
- Administradores de TI - Como administrador de TI, você pode usar o Microsoft Entra ID para controlar o acesso aos seus aplicativos e aos recursos do aplicativo, com base em seus requisitos de negócios. Por exemplo, você pode usar o Microsoft Entra ID para exigir autenticação multifator ao acessar recursos organizacionais importantes. Além disso, você pode usar o Microsoft Entra ID para automatizar o provisionamento de usuários entre o Windows Server AD existente e seus aplicativos na nuvem, incluindo o Microsoft 365. Finalmente, o Microsoft Entra ID oferece ferramentas poderosas para ajudar automaticamente a proteger as identidades e credenciais dos usuários e atender aos seus requisitos de governança de acesso.
- Desenvolvedores de aplicativos - Como desenvolvedor de aplicativos, você pode usar o Microsoft Entra ID como uma abordagem baseada em padrões para adicionar logon único (SSO) ao seu aplicativo, permitindo que ele funcione com as credenciais pré-existentes de um usuário. O Microsoft Entra ID também fornece APIs que podem ajudá-lo a criar experiências personalizadas de aplicativos usando dados organizacionais existentes.
- Assinantes do Microsoft 365, Office 365, Azure ou Dynamics CRM Online - Como assinante, você já está usando o Microsoft Entra ID. Cada locatário do Microsoft 365, Office 365, Azure e Dynamics CRM Online é automaticamente um locatário do Microsoft Entra. Pode começar imediatamente a gerir o acesso às suas aplicações na nuvem integradas.
No Microsoft Entra ID, se um dos seus usuários precisar de permissão para gerenciar recursos do Microsoft Entra, você deverá atribuí-lo a uma função que forneça as permissões necessárias.
Se você é novo no Azure, pode achar um pouco difícil entender todas as diferentes funções no Azure. A seção a seguir ajuda a explicar as seguintes funções e fornece informações adicionais sobre funções do Azure e funções do Microsoft Entra:
- Funções de administrador de subscrição clássica
- Funções do Azure
- Funções do Microsoft Entra
Funções do Microsoft Entra
As funções do Microsoft Entra são usadas para gerenciar recursos do Microsoft Entra em um diretório. Ações como criar ou editar usuários são as mais comuns. No entanto, a necessidade de atribuir funções administrativas a outras pessoas, redefinir senhas de usuário, gerenciar licenças de usuário e gerenciar domínios é comum. A tabela a seguir descreve algumas das funções mais importantes do Microsoft Entra.
| Função Microsoft Entra | Permissões | Notas |
|---|---|---|
| Administrador Global | Gerencie o acesso a todos os recursos administrativos na ID do Microsoft Entra e aos serviços que se federam à ID do Microsoft Entra | A pessoa que se inscreve no locatário do Microsoft Entra se torna o primeiro Administrador Global. |
| Atribuir funções de administrador a outras pessoas | ||
| Repor a palavra-passe para qualquer utilizador e todos os outros administradores | ||
| Administrador de Utilizadores | Criar e gerir todos os aspetos de utilizadores e grupos | |
| Gerir pedidos de suporte | ||
| Monitorizar o estado de funcionamento do serviço | ||
| Alterar palavras-passe para utilizadores, administradores de suporte técnico e outros Administradores de Utilizadores | ||
| Administrador de Faturação | Efetuar compras | |
| Gerir subscrições | ||
| Gerir pedidos de suporte | ||
| Monitoriza o estado de funcionamento do serviço |
No portal do Azure, você pode ver a lista de funções do Microsoft Entra na tela Funções e administradores .
Diferenças entre funções do Azure e funções do Microsoft Entra
Em um alto nível, as funções do Azure controlam permissões para gerenciar recursos do Azure, enquanto as funções do Microsoft Entra controlam permissões para gerenciar recursos do Microsoft Entra. A tabela seguinte compara algumas das diferenças.
| Funções do Azure | Funções do Microsoft Entra |
|---|---|
| Gerir o acesso aos recursos do Azure | Gerenciar o acesso aos recursos do Microsoft Entra |
| Suporta funções personalizadas | Suporta funções personalizadas |
| O âmbito pode ser especificado em vários níveis (grupo de gestão, subscrição, grupo de recursos, recurso) | O escopo está no nível do locatário ou pode ser aplicado a uma Unidade Administrativa |
| As informações das funções podem ser acedidas no portal do Azure, CLI do Azure, Azure PowerShell, modelos do Azure Resource Manager, API REST | As informações de função podem ser acessadas no portal de administração do Azure, no centro de administração do Microsoft 365, no Microsoft Graph e no PowerShell |
As funções do Azure e do Microsoft Entra sobrepõem-se?
Por padrão, as funções do Azure e do Microsoft Entra não abrangem o Azure e o Microsoft Entra ID. No entanto, se um Administrador Global elevar seu acesso escolhendo a opção Gerenciamento de acesso para recursos do Azure no portal do Azure, o Administrador Global receberá a função de Administrador de Acesso de Usuário (uma função do Azure) em todas as assinaturas de um locatário específico. A função Administrador de Acesso de Utilizador permite ao utilizador conceder a outros utilizadores o acesso aos recursos do Azure. Esta opção pode ser útil para recuperar o acesso a uma subscrição.
Várias funções do Microsoft Entra abrangem o Microsoft Entra ID e o Microsoft 365, como as funções de Administrador Global e Administrador de Usuário. Por exemplo, se você for membro da função de Administrador Global, terá recursos de administrador global no Microsoft Entra ID e no Microsoft 365, como fazer alterações no Microsoft Exchange e no Microsoft SharePoint. No entanto, por predefinição, o Administrador Global não tem acesso aos recursos do Azure.
Atribuir funções
Há várias maneiras de atribuir funções no Microsoft Entra ID. Você precisa escolher o que melhor atende às suas necessidades. A interface do usuário pode ser ligeiramente diferente para cada método, no entanto, as opções de configuração são semelhantes. Os métodos para atribuir funções incluem:
Atribuir uma função a um utilizador ou grupo
- ID do Microsoft Entra - Funções e administração - Selecione uma função - + Adicionar atribuição
Atribuir um usuário ou grupo a uma função
- Microsoft Entra ID - Abrir Utilizadores (ou Grupos) - Selecionar um Utilizador (ou grupo) - Funções - atribuídas+ Adicionar Atribuição
Atribuir uma função a um escopo amplo, como uma Assinatura, Grupo de Recursos ou Grupo de Gerenciamento
- Feito através do controle de acesso (IAM) dentro de cada tela de configurações
Atribuir uma função usando o PowerShell ou a API do Microsoft Graph
Atribuir uma função usando o PIM, Gerenciamento Privilegiado de Identidades (PIM)
O melhor método para suas necessidades de configuração pode ser usado, mas é preciso ter cuidado, pois não há restrições incorporadas. Você pode atribuir acidentalmente uma função administrativa a um grupo com usuários que não precisam de acesso administrativo. Permissões extras podem levar a uma solução modificada por um usuário sem o conhecimento adequado do que estão fazendo, ou até mesmo uma via potencial para invasores. A chave é uma governança de identidade adequada.
Exemplo - usando o PIM para atribuir uma função
Uma maneira comum de atribuir funções do Microsoft Entra a um usuário é na página Funções atribuídas para um usuário. Você também pode configurar a elegibilidade do usuário para ser elevada just-in-time em uma função usando o Privileged Identity Management (PIM).
Nota
Se você tiver um plano de licença do Microsoft Entra ID Premium P2 e já usar o PIM, todas as tarefas de gerenciamento de função serão executadas na experiência do Privileged Identity Management. Atualmente, esse recurso está limitado a atribuir apenas uma função de cada vez. No momento, não é possível selecionar várias funções e atribuí-las a um usuário de uma só vez.
Criar e atribuir uma função personalizada no Microsoft Entra ID
Esta seção descreve como criar novas funções personalizadas no Microsoft Entra ID. Para obter as noções básicas de funções personalizadas, consulte a visão geral das funções personalizadas. A função pode ser atribuída apenas no escopo no nível do diretório ou em um escopo de recurso de registro de aplicativo.
As funções personalizadas podem ser criadas na guia Funções e administradores na página de visão geral do Microsoft Entra ID.
Selecione Microsoft Entra ID - Funções e administradores - Nova função personalizada.
Na guia Noções básicas, forneça um nome e uma descrição para a função e selecione Avançar.
Na guia Permissões, selecione as permissões necessárias para gerenciar propriedades básicas e propriedades de credenciais de registros de aplicativos.
Primeiro, digite "credenciais" na barra de pesquisa e selecione a
microsoft.directory/applications/credentials/updatepermissão.
Em seguida, digite "básico" na barra de pesquisa, selecione a
microsoft.directory/applications/basic/updatepermissão e, em seguida, selecione Avançar.Na guia Revisar + criar, revise as permissões e selecione Criar.
Sua função personalizada aparecerá na lista de funções disponíveis para atribuir.