Compartilhar via

Ativar sua associação ou propriedade de grupo no Privileged Identity Management

Você pode usar o PIM (Privileged Identity Management) no Microsoft Entra ID para ter associação just-in-time no grupo ou propriedade just-in-time do grupo.

Este artigo destina-se a membros qualificados ou proprietários que desejam ativar sua associação ou propriedade de grupo no PIM.

Importante

Quando uma associação ou propriedade de grupo é ativada, o PIM do Microsoft Entra adiciona temporariamente uma atribuição ativa. O PIM do Microsoft Entra cria uma atribuição ativa (adiciona o usuário como membro ou proprietário do grupo) em segundos. Quando a desativação (manual ou por meio da expiração do tempo de ativação) acontece, o PIM do Microsoft Entra também remove a associação ou a propriedade do grupo do usuário em segundos.

O aplicativo pode fornecer acesso aos usuários com base na sua associação ao grupo. Em algumas situações, o acesso ao aplicativo pode não refletir imediatamente o fato de que o usuário foi adicionado ao grupo ou removido dele. Se o aplicativo tiver armazenado em cache anteriormente o fato de que o usuário não é membro do grupo – quando o usuário tenta acessar o aplicativo novamente, o acesso pode não ser fornecido. Da mesma forma, se o aplicativo anteriormente armazenou em cache o fato de que o usuário é membro do grupo, quando a associação ao grupo for desativada, o usuário ainda poderá ter acesso. A situação específica depende da arquitetura do aplicativo. Para alguns aplicativos, sair e entrar novamente pode ajudar a adicionar ou remover o acesso.

PIM para Grupos e desativação de propriedade

A ID do Microsoft Entra não permite que você remova o último proprietário (ativo) de um grupo. Por exemplo, considere um grupo que tenha o proprietário ativo A e o proprietário qualificado B. Se o usuário B ativar sua propriedade via PIM e, em seguida, mais tarde, o usuário A for removido do grupo ou do inquilino, a desativação da propriedade do usuário B não terá êxito.

O PIM tentará desativar a propriedade do usuário B por até 30 dias. Se outro proprietário ativo C for adicionado ao grupo, a desativação terá êxito. Se a desativação não for bem-sucedida após 30 dias, o PIM deixará de tentar desativar a propriedade do usuário B e o usuário B continuará sendo um proprietário ativo.

Ativar uma função

Quando você precisar assumir uma associação de grupo ou propriedade, poderá solicitar a ativação usando a opção de navegação Minhas funções no PIM.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Funções Com Privilégios.

  2. Navegue até Governança de ID>Gerenciamento de Identidades com Privilégios>Minhas funções>Grupos.

    Observação

    Você também pode usar esse link curto para abrir a página Minhas funções diretamente.

  3. Usando a folha Atribuições Qualificadas , examine a lista de grupos para os quais você tem associação ou propriedade qualificada.

    Captura de tela da lista de grupos para os quais você tem associação ou propriedade qualificada.

  4. Selecione Ativar para a atribuição qualificada que você deseja ativar.

  5. Dependendo da configuração do grupo, você pode ser solicitado a fornecer autenticação multifator ou outra forma de credencial.

  6. Se necessário, especifique uma hora de início de ativação personalizada. A associação ou propriedade deve ser ativada somente após a hora selecionada.

  7. Dependendo da configuração do grupo, uma justificativa para a ativação pode ser necessária. Se necessário, forneça a justificativa na caixa Razão .

    Captura de tela de onde fornecer uma justificativa na caixa Motivo.

  8. Selecione Ativar.

Se a função exigir aprovação para ativar, uma notificação do Azure aparecerá no canto superior direito do navegador informando que a solicitação está pendente de aprovação.

Exibir o status de suas solicitações

Você pode exibir o status das suas solicitações pendentes a serem ativadas. n É importante quando suas solicitações passam pela aprovação de outra pessoa.

  1. Entre no Centro de administração do Microsoft Entra.

  2. Navegue até Governança de Identidade>Gerenciamento de Identidade Com Privilégios>Minhas SolicitaçõesGrupos.

  3. Examine a lista de solicitações.

    Captura de tela de onde examinar a lista de solicitações.

Cancelar uma solicitação pendente

  1. Entre no Centro de administração do Microsoft Entra.

  2. Navegue até Governança de Identidade>Gerenciamento de Identidade Com Privilégios>Minhas SolicitaçõesGrupos.

    Captura de tela de onde selecionar a solicitação que você deseja cancelar.

  3. Para a solicitação que você deseja cancelar, selecione Cancelar.

Quando você seleciona Cancelar, a solicitação é cancelada. Para ativar a função novamente, você precisa enviar uma nova solicitação de ativação.

Próximas etapas