Governar a associação e a propriedade dos grupos através do PIM para Grupos

2025-08-30

Com Privileged Identity Management para grupos (PIM para Grupos), pode governar a forma como os principais são atribuídos à associação ou propriedade dos grupos. A segurança e Grupos do Microsoft 365 são recursos críticos que pode utilizar para fornecer acesso a recursos da cloud da Microsoft, como funções de Microsoft Entra, funções do Azure, SQL do Azure, Key Vault do Azure, Intune e aplicações de terceiros. O PIM para Grupos dá-lhe mais controlo sobre como e quando os principais são membros ou proprietários de grupos e, por conseguinte, têm privilégios concedidos através da associação ou propriedade do grupo.

O PIM para APIs de Grupos no Microsoft Graph fornece-lhe mais governação sobre segurança e Grupos do Microsoft 365, tais como as seguintes capacidades:

Fornecer aos principais a associação just-in-time ou a propriedade dos grupos
Atribuir associação temporária a principais ou propriedade de grupos

Este artigo apresenta as capacidades de governação das APIs para PIM para Grupos no Microsoft Graph.

PIM para APIs de Grupos para gerir atribuições ativas de proprietários e membros de grupos

O PIM para APIs de Grupos no Microsoft Graph permite-lhe atribuir associações ou propriedades permanentes ou temporárias e com limite de tempo aos grupos.

A tabela seguinte lista cenários para utilizar o PIM para APIs de Grupos para gerir atribuições ativas para principais e as APIs correspondentes a chamar.

Cenários	API
Um administrador: Atribui uma associação ou propriedade ativa principal a um grupo Renova, atualiza, expande ou remove um principal da respetiva associação ou propriedade ativa a um grupo Um principal: Efetua a ativação just-in-time e com limite de tempo da respetiva associação elegível ou atribuição de propriedade para um grupo Desativa a associação elegível e a atribuição de propriedade quando já não precisam de acesso Desativa, expande ou renova a sua própria atribuição de associação e propriedade	Criar atribuiçãoScheduleRequest
Um administrador lista todos os pedidos de associação ativa e atribuições de propriedade para um grupo	Listar atribuiçõesScheduleRequests
Um administrador lista todas as atribuições ativas e pedidos de criação de atribuições no futuro, para associação e propriedade de um grupo	List assignmentSchedules
Um administrador lista todas as atribuições de propriedade e associação ativas de um grupo	Listar atribuiçõesScheduleInstances
Um administrador consulta um membro e a atribuição de propriedade de um grupo e os respetivos detalhes	Obter privilegedAccessGroupAssignmentScheduleRequest
Um principal consulta os pedidos de associação ou atribuição de propriedade e os detalhes Um aprovador consulta os pedidos de associação ou propriedade a aguardar a aprovação e os detalhes destes pedidos	privilegedAccessGroupAssignmentScheduleRequest: filterByCurrentUser
Um principal cancela um pedido de atribuição de propriedade ou associação que criou	privilegedAccessGroupAssignmentScheduleRequest: cancelar
Um aprovador obtém detalhes para o pedido de aprovação, incluindo informações sobre os passos de aprovação	Obter aprovação
Um aprovador aprova ou nega o pedido de aprovação ao aprovar ou negar o passo de aprovação	Atualizar aprovaçãoPasso

PIM para APIs de Grupos para gerir atribuições elegíveis de proprietários e membros do grupo

Os seus principais podem não exigir a associação permanente ou a propriedade dos grupos porque não precisam dos privilégios concedidos através da associação ou propriedade a toda a hora. Neste caso, o PIM para Grupos permite-lhe tornar os principais elegíveis para a associação ou propriedade dos grupos.

Quando um principal tem uma atribuição elegível, ativa a respetiva atribuição quando precisa dos privilégios concedidos através dos grupos para realizar tarefas privilegiadas. Uma atribuição elegível pode ser permanente ou temporária. A ativação tem sempre um limite de tempo máximo de oito horas. O principal também pode expandir ou renovar a respetiva associação ou propriedade do grupo.

A tabela seguinte lista cenários para utilizar o PIM para APIs de Grupos para gerir atribuições elegíveis para principais e as APIs correspondentes a chamar.

Cenários	API
Um administrador: Cria uma atribuição de propriedade ou associação elegível para o grupo Renova, atualiza, expande ou remove uma atribuição de associação/propriedade elegível para o grupo Desativa, expande ou renova a sua própria elegibilidade de associação/propriedade	Criar elegibilidadeScheduleRequest
Um administrador consulta todos os pedidos de propriedade ou associação elegíveis e os respetivos detalhes	Elegibilidade da listaScheduleRequests
Um administrador consulta um pedido de associação ou propriedade elegível e os respetivos detalhes	Obter elegibilidadeScheduleRequest
Um administrador cancela um pedido de associação ou propriedade elegível que criou	privilegedAccessGroupEligibilityScheduleRequest:cancel
Um principal consulta os respetivos dados de associação ou propriedade elegíveis	privilegedAccessGroupEligibilityScheduleRequest: filterByCurrentUser

Definições de política no PIM para Grupos

O PIM para Grupos define definições ou regras que regem a forma como os principais podem ser atribuídos à associação ou propriedade de segurança e Grupos do Microsoft 365. Essas regras incluem se a autenticação multifator (MFA), justificação ou aprovação é necessária para ativar uma associação ou propriedade elegível para um grupo ou se pode criar atribuições permanentes ou elegibilidades para principais para os grupos. Pode definir as regras nas políticas e aplicar uma política a um grupo.

No Microsoft Graph, pode gerir estas regras através dos tipos de recursos unifiedRoleManagementPolicy e unifiedRoleManagementPolicyAssignment e dos respetivos métodos relacionados.

Por exemplo, suponha que, por predefinição, o PIM para Grupos não permite atribuições de associação ativa e propriedade permanentes e define um máximo de seis meses para atribuições ativas. Tentar criar um objeto privilegedAccessGroupAssignmentScheduleRequest sem data de expiração devolve um 400 Bad Request código de resposta para violação da regra de expiração.

O PIM para Grupos permite-lhe configurar várias regras, incluindo:

Se os principais podem ser atribuídos a atribuições elegíveis permanentes
A duração máxima permitida para uma associação a um grupo ou ativação de propriedade e se a justificação ou aprovação é necessária para ativar a associação ou propriedade elegível
Os utilizadores com permissão para aprovar pedidos de ativação para uma propriedade ou associação a um grupo
Se a MFA é necessária para ativar e impor uma associação a um grupo ou atribuição de propriedade
Os principais que são notificados das ativações de associação ou propriedade do grupo

A tabela seguinte lista cenários para utilizar o PIM para Grupos para gerir regras e as APIs a chamar.

Cenários	API
Obter o PIM para políticas de Grupos e regras ou definições associadas	Listar unifiedRoleManagementPolicies
Obter um PIM para a política de Grupos e as respetivas regras ou definições associadas	Obter unifiedRoleManagementPolicy
Atualizar uma política do PIM para Grupos nas respetivas regras ou definições associadas	Atualizar unifiedRoleManagementPolicy
Obter as regras definidas para uma política PIM para Grupos	Listar regras
Obter uma regra definida para uma política PIM para Grupos	Obter unifiedRoleManagementPolicyRule
Atualizar uma regra definida para uma política PIM para Grupos	Atualizar unifiedRoleManagementPolicyRule
Obtenha os detalhes de todas as atribuições de políticas do PIM para Grupos, incluindo as políticas e regras associadas à associação e propriedade dos grupos	Listar unifiedRoleManagementPolicyAssignments
Obtenha os detalhes de uma atribuição de política do PIM para Grupos, incluindo a política e as regras associadas à associação ou propriedade dos grupos	Obter unifiedRoleManagementPolicyAssignment

Para obter mais informações sobre como utilizar o Microsoft Graph para configurar regras, veja Descrição geral das regras nas APIs PIM no Microsoft Graph. Para obter exemplos de regras de atualização, veja Utilizar APIs PIM no Microsoft Graph para atualizar regras.

Integrar grupos no PIM para Grupos

Não pode integrar explicitamente um grupo no PIM para Grupos. Quando pedir para adicionar uma atribuição a um grupo através de Criar atribuiçãoScheduleRequest ou Criar elegibilidadeScheduleRequest, ou quando atualiza a política pim (definições de função) para um grupo utilizando Update unifiedRoleManagementPolicy ou Update unifiedRoleManagementPolicyRule, o PIM integra automaticamente o grupo se não tiver sido integrado antes.

Pode chamar as seguintes APIs para ambos os grupos que estão integrados no PIM e grupos que ainda não estão integrados no PIM. Para reduzir as possibilidades de limitação, chame estas APIs apenas para grupos integrados no PIM.

Após o PIM integrar um grupo, os IDs das políticas pim e atribuições de políticas para a alteração de grupo específica. Para obter os IDs atualizados, chame a API Get unifiedRoleManagementPolicy ou Get unifiedRoleManagementPolicyAssignment .

Assim que o PIM integrar um grupo, não o pode remover, mas pode remover todas as atribuições elegíveis e com limite de tempo, conforme necessário.

PIM para Grupos e o objeto de grupo

Pode utilizar o PIM para Grupos para governar a associação e a propriedade de qualquer grupo de segurança e do Microsoft 365, exceto grupos dinâmicos e grupos sincronizados a partir do local. O grupo não precisa de ser atribuível a funções para o ativar no PIM para Grupos.

Quando atribui uma associação permanente ou temporária principal ou a propriedade de um grupo ou quando este faz uma ativação just-in-time:

Verá os detalhes do principal quando consulta as relações entre membros e proprietários através das APIs de membros do grupo Lista ou Proprietários de grupos de lista .
Pode remover o principal do grupo com as APIs Remover proprietário do grupo ou Remover membro do grupo .
Se registar alterações ao grupo com as funções Obter delta e Obter delta para objetos de diretório , um @odata.nextLink contém o novo membro ou proprietário.
Verá as alterações efetuadas aos membros e proprietários do grupo através do PIM para Grupos com sessão iniciada Microsoft Entra registos de auditoria e pode lê-las através da API de auditorias de diretórios de Lista.

Quando atribui uma associação ou propriedade permanente ou temporária elegível a um principal de um grupo, as relações de membros e proprietários do grupo não são atualizadas.

Quando a associação ativa temporária de um principal ou a propriedade de um grupo expirar:

Os detalhes do principal são removidos automaticamente das relações entre membros e proprietários .
Se registar alterações ao grupo com as funções Obter delta e Obter delta para objetos de diretório , um @odata.nextLink indica o membro ou proprietário do grupo removido.

Confiança Zero

Esta funcionalidade ajuda as organizações a alinhar os respetivos inquilinos com os três princípios de orientação de uma arquitetura Confiança Zero:

Verificar explicitamente
Utilizar menos privilégios
Assumir violação

Para saber mais sobre Confiança Zero e outras formas de alinhar a sua organização com os princípios de orientação, consulte o Centro de Orientação do Confiança Zero.

Licenciamento

O inquilino onde utiliza Privileged Identity Management tem de ter licenças de compra ou avaliação suficientes. Para obter mais informações, veja noções básicas de licenciamento do Microsoft Entra ID Governance.

Microsoft Entra operações de segurança para Privileged Identity Management no centro de arquitetura do Microsoft Entra

Comentários

Esta página foi útil?