Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Com o Microsoft Entra ID P1 ou P2, você pode criar grupos atribuíveis por função e atribuir funções do Microsoft Entra a esses grupos. Esse recurso simplifica o gerenciamento de funções, garante o acesso consistente e torna as permissões de auditoria mais simples. A atribuição de funções a um grupo em vez de indivíduos permite adicionar ou remover facilmente usuários de uma função e criar permissões consistentes para todos os membros do grupo. Você também pode criar funções personalizadas com permissões específicas e atribuí-las a grupos.
Por que atribuir funções a grupos?
Considere o exemplo em que a empresa Contoso contratou pessoas em diferentes regiões para gerenciar e redefinir senhas de funcionários na organização do Microsoft Entra. Em vez de pedir a um Administrador de Função com Privilégios para atribuir a função de Administrador de Helpdesk a cada pessoa individualmente, a empresa pode criar um grupo Contoso_Helpdesk_Administrators e atribuir a função ao grupo. Quando as pessoas ingressam no grupo, elas recebem a função indiretamente. O fluxo de trabalho de governança existente pode, então, assistir o processo de aprovação e auditoria da associação ao grupo para garantir que somente os usuários legítimos sejam membros do grupo e, portanto, tenham a função de Administrador de Helpdesk.
Como funcionam as atribuições de funções a grupos
Para atribuir uma função a um grupo, você deve criar um novo grupo do Microsoft 365 ou de segurança com a propriedade isAssignableToRole configurada como true. No centro de administração do Microsoft Entra, você define a opção Funções do Microsoft Entra podem ser atribuídas a um grupo como Sim. De qualquer maneira, é possível atribuir uma ou mais funções do Microsoft Entra ao grupo da mesma forma que você atribui funções aos usuários.
Restrições de grupos que podem receber funções
Os grupos que podem receber funções têm as seguintes restrições:
- Somente é possível definir a propriedade
isAssignableToRoleou a opção Funções do Microsoft Entra podem ser atribuídas a um grupo para novos grupos. - A propriedade
isAssignableToRoleé imutável. Depois que um grupo é criado com esta propriedade definida, ela não pode ser alterada. - Não é possível transformar um grupo existente em um grupo que pode receber funções.
- Um máximo de 500 grupos atribuíveis a funções pode ser criado em uma única organização (locatário) do Microsoft Entra.
Como os grupos que podem receber funções são protegidos?
Se um grupo for atribuído a uma função, qualquer administrador de TI que possa gerenciar grupos de associação dinâmica também poderá gerenciar indiretamente a associação dessa função. Por exemplo, suponha que um grupo denominado Contoso_User_Administrators tenha a função de Administrador de Usuários. Um administrador do Exchange que pode modificar os grupos de associação dinâmica pode incluir a si mesmo no grupo Contoso_User_Administrators e, dessa forma, tornar-se um Administrador de Usuários. Como é possível ver, um administrador pode elevar os privilégios dele de uma forma que você não pretendia.
Somente os grupos que têm a propriedade isAssignableToRole configurada como true no momento da criação podem receber uma função. Essa propriedade é imutável. Depois que um grupo é criado com esta propriedade definida, ela não pode ser alterada. Não é possível definir a propriedade em um grupo existente.
Os grupos que podem receber funções são projetados para ajudar a prevenir possíveis violações com as seguintes restrições:
- Você precisa receber pelo menos a função de administrador de funções com privilégios para criar um grupo ao qual funções podem ser atribuídas.
- O tipo de associação para grupos atribuíveis a funções deve ser Atribuído e não pode ser um grupo dinâmico do Microsoft Entra. A população automatizada de grupos de associação dinâmica pode levar a uma conta indesejada adicionada ao grupo e, portanto, atribuída à função.
- Por padrão, os administradores de funções com privilégios podem gerenciar a associação de um grupo atribuível a funções, mas você pode delegar o gerenciamento desses grupos adicionando proprietários de grupo.
- No Microsoft Graph, a permissão RoleManagement.ReadWrite.Directory é necessária para poder gerenciar a associação de grupos atribuíveis a função. A permissão Group.ReadWrite.All não funcionará.
- Para evitar a elevação de privilégios, você deve ser atribuído pelo menos à função de Administrador de Autenticação com Privilégios para alterar as credenciais, redefinir a autenticação multifator ou modificar atributos confidenciais de membros e proprietários de um grupo com atribuição de funções.
- Não há suporte para o aninhamento de grupo. Um grupo não pode ser adicionado como membro de um grupo de função atribuível.
Usar o PIM para tornar um grupo qualificado para uma atribuição de função
Para que os membros do grupo não tenham acesso permanente a uma função, use o PIM (Privileged Identity Management) do Microsoft Entra para tornar um grupo qualificado para uma atribuição de função. Assim, cada membro do grupo é qualificado para ativar a atribuição de função por um período de tempo fixo.
Observação
Para grupos usados para elevar a funções do Microsoft Entra, recomendamos exigir um processo de aprovação para atribuições de membros qualificados. As atribuições que podem ser ativadas sem aprovação podem deixar você vulnerável a um risco de segurança de administradores menos privilegiados. Por exemplo, o administrador da assistência técnica tem permissão para redefinir as senhas de um usuário qualificado.
Cenários sem suporte
Ainda não há suporte para os cenários a seguir:
- Atribua funções do Microsoft Entra (internas ou personalizadas) a grupos locais.
Problemas conhecidos
Veja a seguir os problemas conhecidos com grupos que podem receber funções:
- Clientes licenciados do Microsoft Entra ID P2: Mesmo depois de excluir o grupo, ainda são mostrados como membros qualificados da função na interface do usuário do PIM. Funcionalmente, não há problema; é apenas um problema de cache no centro de administração do Microsoft Entra.
- Use o novo Centro de Administração do Exchange para atribuir funções por meio de grupos de associação dinâmica. O centro de administração do Exchange antigo não oferece suporte a esse recurso. Se for necessário acessar o Centro de Administração do Exchange antigo, atribua a função qualificada diretamente ao usuário (não por grupos de atribuição de função). Os cmdlets do PowerShell do Exchange funcionam conforme o esperado.
- Se uma função de administrador for atribuída a um grupo atribuível a função em vez de usuários individuais, os membros do grupo não poderão acessar Regras, Organização ou Pastas Públicas no novo centro de administração do Exchange . A solução alternativa é atribuir a função diretamente aos usuários em vez de atribuí-la ao grupo.
- O Portal da Proteção de Informações do Azure (o portal clássico) ainda não reconhece a associação de função via grupo. Você pode migrar para a plataforma de rotulagem de confidencialidade unificada e usar o portal de conformidade do Microsoft Purview para usar atribuições de grupo a fim de gerenciar as funções.
Requisitos de licença
O uso desse recurso requer uma licença P1 do Microsoft Entra ID. O Privileged Identity Management para a ativação de função just-in-time exige uma licença P2 do Microsoft Entra ID. Para localizar a licença correta para os seus requisitos, consulte Comparar recursos geralmente disponíveis nos planos Gratuito e Premium.