Exercer atribuir funções do Microsoft Entra no Privileged Identity Management

  • 10 minutos

Com o Microsoft Entra ID, um administrador global pode fazer atribuições permanentes de função de administrador do Microsoft Entra. Essas atribuições de função podem ser criadas usando o portal do Azure ou usando comandos do PowerShell.

O serviço Microsoft Entra Privileged Identity Management (PIM) também permite que os administradores de função privilegiada façam atribuições permanentes de função de administrador. Além disso, os administradores de função privilegiada podem tornar os usuários elegíveis para funções de administrador do Microsoft Entra. Um administrador qualificado pode ativar a função quando precisar dela e, em seguida, suas permissões expiram quando terminarem.

Atribuir uma função

Siga estas etapas para tornar um usuário elegível para uma função de administrador do Microsoft Entra.

  1. Entre no centro de administração do Microsoft Entra como administrador de locatário.

  2. Procure e selecione Microsoft Entra Privileged Identity Management.

  3. Na tela Privileged Identity Management, na navegação à esquerda, selecione Microsoft Entra roles.

  4. Na página Início rápido, na navegação à esquerda, selecione Funções.

  5. No menu superior, selecione + Adicionar atribuições.

    Screenshot of the Microsoft Entra roles with Add assignments menu highlighted.

  6. No painel Adicionar atribuições, na guia Associação , revise as configurações.

  7. Selecione o menu Selecionar função e, em seguida, selecione Administrador de conformidade. Você pode usar o filtro Pesquisar função por nome para ajudar a localizar uma função.

  8. Em Selecionar membro(s), selecione Nenhum membro selecionado.

  9. No painel Selecionar um membro, selecione a sua conta de administrador e, em seguida, selecione Selecionar.

    Screenshot of the select a member pane with a selected member highlighted.

  10. Na tela Adicionar atribuições, selecione Avançar.

  11. Na guia Configurações, em Tipo de atribuição, revise as opções disponíveis. Para esta tarefa, use a configuração padrão.

    • As atribuições qualificadas exigem que o membro da função execute uma ação para usar a função. As ações podem incluir a realização de uma verificação de autenticação multifator (MFA), o fornecimento de uma justificativa comercial ou a solicitação de aprovação de aprovadores designados.
    • As atribuições ativas não exigem que o membro execute nenhuma ação para usar a função. Os membros atribuídos como ativos têm os privilégios sempre atribuídos à função.

  12. Revise as configurações restantes e selecione Atribuir.

Ativar suas funções do Microsoft Entra

Quando precisar assumir uma função do Microsoft Entra, você poderá solicitar a ativação abrindo Minhas funções no Privileged Identity Management.

  1. Na tela Privileged Identity Management, no menu de navegação à esquerda, selecione Minhas funções.

  2. No painel Minhas funções, revise a lista de atribuições qualificadas.

    Screenshot of the My roles with eligible role assignments highlighted. Pick the role you need.

  3. Na linha Função Administrador de Conformidade, selecione Ativar.

  4. No painel Ativar – Administrador de Conformidade, selecione Verificação adicional necessária e siga as instruções para fornecer verificação de segurança extra. É necessário autenticar apenas uma vez por sessão.

    Screenshot of a popup to activate the compliance administrator.

  5. Depois de concluir a verificação de segurança, no painel Ativar – Administrador de Conformidade, na caixa Motivo , insira a justificativa para ativar essa função.

  6. Selecione Ativar.

Atribuir uma função com escopo restrito

Para determinadas funções, o escopo das permissões concedidas pode ser restrito a uma única unidade de administração, entidade de serviço ou aplicativo. Este procedimento é um exemplo de atribuição de uma função que tem o escopo de uma unidade administrativa.

  1. Navegue até a tela Privileged Identity Management e, no menu de navegação à esquerda, selecione Microsoft Entra roles.

  2. No painel Funções, no menu superior, selecione + Adicionar atribuições.

  3. Na tela Adicionar atribuições, selecione o menu Selecionar função e, em seguida, selecione Administrador do usuário.

  4. Selecione o menu Tipo de escopo e revise as opções disponíveis. Por enquanto, você usará o tipo de escopo Diretório .

    Gorjeta

    Vá para Gerenciar unidades administrativas no Microsoft Entra ID para encontrar mais informações sobre o tipo de escopo da unidade administrativa.

  5. Semelhante à atribuição de uma função sem um escopo restrito. Adicione membros e conclua as opções de configurações. Por enquanto, selecione Cancelar.

Atualizar ou remover uma atribuição de função existente

Siga estas etapas para atualizar ou remover uma atribuição de função existente.

  1. Na tela Open Microsoft Entra Privileged Identity Management (Abrir o Microsoft Entra Privileged Identity Management) e as funções do Microsoft Entra, na navegação à esquerda, selecione Atribuições.

  2. Na lista Atribuições, para Administrador de Conformidade, revise as opções na coluna Ação .

    Screenshot of the options listed in the action column of the Compliance Administrator.

  3. Selecione Atualizar e revise as opções disponíveis no painel Configurações de associação. Quando terminar, feche o painel.

  4. Selecione Remover.

  5. Na caixa de diálogo Remover, reveja as informações e, em seguida, selecione Sim.