Delegação e funções no gerenciamento de direitos
No Microsoft Entra ID, você pode usar modelos de função de várias maneiras para gerenciar o acesso em escala por meio da governança de identidade.
- Use os pacotes de acesso para representar funções organizacionais em sua organização, como "representante de vendas". Um pacote de acesso que representa essa função organizacional incluiria todos os direitos de acesso de que um representante de vendas normalmente precisa, em vários recursos.
- Os aplicativos podem definir suas próprias funções. Por exemplo, se você tivesse um aplicativo de vendas e esse aplicativo incluísse a função de aplicativo "vendedor" no manifesto, você poderia incluir essa função do manifesto do aplicativo em um pacote de acesso. Os aplicativos também podem usar grupos de segurança nos cenários em que um usuário pode ter várias funções específicas do aplicativo simultaneamente.
- Você pode usar funções para delegar acesso administrativo. Se você tiver um catálogo para todos os pacotes de acesso necessários para vendas, é possível atribuir alguém para ser responsável por esse catálogo, atribuindo a eles uma função específica do catálogo.
Este artigo discute como usar funções para gerenciar aspectos no gerenciamento de direitos do Microsoft Entra, para controlar o acesso aos recursos de gerenciamento de direitos.
Por padrão, os usuários na função de administrador global ou na função de administrador de governança da identidade podem criar e gerenciar todos os aspectos do gerenciamento de direitos. No entanto, os usuários nessas funções podem não conhecer todas as situações em que os pacotes de acesso são necessários. Normalmente, são os usuários dentro dos respectivos departamentos, equipes ou projetos que sabem com quem estão colaborando, quem está usando quais recursos e por quanto tempo. Em vez de conceder permissões irrestritas para não administradores, você pode conceder aos usuários as permissões mínimas necessárias para realizar o trabalho e evitar a criação de direitos de acesso inadequados ou conflitantes.
Este vídeo é uma visão geral de como delegar a governança de acesso do administrador de TI aos usuários que não são administradores.
Exemplo de delegação
Para entender como delegar a governança de acesso no gerenciamento de direitos, veja um exemplo. Imagine que sua organização tem o administrador e os gerentes a seguir.
Como administradora de TI, Hana tem contatos em cada departamento — Mamta no marketing, Mark no financeiro e Joe no jurídico. Essas pessoas são responsáveis pelos recursos e pelo conteúdo comercialmente crítico dos departamentos em que trabalham.
Com o gerenciamento de direitos, é possível delegar a governança de acesso a esses não administradores, porque são eles que sabem quais usuários precisam de acesso, por quanto tempo e a quais recursos. Quando você delega a não administradores, garante que as pessoas certas gerenciem o acesso nos departamentos em que trabalham.
Veja um jeito de Hana delegar a governança de acesso aos departamentos de marketing, financeiro e jurídico.
Hana cria um grupo de segurança do Microsoft Entra e adiciona Mamta, Mark e Joe como membros.
Hana adiciona o grupo à função de criadores de catálogos.
Mamta, Mark e Joe agora podem criar catálogos para os departamentos em que trabalham, adicionar recursos que os departamentos precisam e fazer outras delegações no catálogo. Eles não podem ver os catálogos uns dos outros.
Mamta cria o catálogo Marketing, que é um contêiner de recursos.
O Mamta adiciona os recursos que pertencem ao departamento de marketing ao catálogo.
O Mamta pode adicionar outras pessoas desse departamento como proprietários do catálogo. Isso ajuda a compartilhar as responsabilidades de gerenciamento do catálogo.
Mamta pode delegar a criação e o gerenciamento de pacotes de acesso no catálogo de Marketing a gerentes de projetos do departamento. Basta atribuir a eles a função de gerenciador de pacotes de acesso. Um gerenciador de pacotes de acesso pode criar e gerenciar pacotes de acesso, juntamente com políticas, solicitações e atribuições nesse catálogo. Se o catálogo permitir, o gerenciador de pacotes de acesso poderá configurar políticas para trazer usuários de organizações conectadas.
O diagrama a seguir mostra catálogos com recursos para os departamentos de marketing, financeiro e jurídico. Com esses catálogos, os gerentes de projetos podem criar pacotes de acesso para as equipes ou os projetos.
Após a delegação, o departamento de marketing poderá ter funções semelhantes às da tabela a seguir.
| Usuário | Função organizacional | Função do Microsoft Entra | Função de gerenciamento de direitos |
|---|---|---|---|
| Hana | Administrador de TI | Administrador global ou administrador de governança de identidade | |
| Mamta | Gerente de marketing | Usuário | Criador de catálogos e proprietário do catálogo |
| Roberto | Lead de marketing | Usuário | Proprietário do catálogo |
| Jessica | Gerente de projetos de marketing | Usuário | Gerenciador de pacotes de acesso |
Funções de gerenciamento de direitos
O gerenciamento de direitos tem as seguintes funções, com permissões para administrar o próprio gerenciamento de direitos, que se aplicam em todos os catálogos.
| Função de gerenciamento de direitos | ID de definição de função | Descrição |
|---|---|---|
| Criador de catálogos | ba92d953-d8e0-4e39-a797-0cbedb0a89e8 |
Cria e gerencia catálogos. Normalmente, um administrador de TI que não é Administrador global ou proprietário de recurso de uma coleção de recursos. A pessoa que cria automaticamente um catálogo se torna o primeiro proprietário do catálogo e pode adicionar outros proprietários ao catálogo. Um criador de catálogos não pode gerenciar nem ver os catálogos que não pertencem a ele e não pode adicionar recursos que não são de sua propriedade a um catálogo. Se o criador de catálogos precisar gerenciar outro catálogo ou adicionar recursos que não pertencem a ele, poderá solicitar a função de coproprietário do catálogo ou do recurso. |
O gerenciamento de direitos tem as seguintes funções definidas para cada catálogo específico, para administrar pacotes de acesso e outras configurações em um catálogo. Um administrador ou um proprietário de catálogo pode adicionar usuários, grupos de usuários ou entidades de serviço a essas funções.
| Função de gerenciamento de direitos | ID de definição de função | Descrição |
|---|---|---|
| Proprietário do catálogo | ae79f266-94d4-4dab-b730-feca7e132178 |
Edite e gerencie pacotes de acesso e outros recursos em um catálogo. Normalmente, é um administrador de TI, um proprietário de recursos ou um usuário escolhido pelo proprietário do catálogo. |
| Leitor de catálogo | 44272f93-9762-48e8-af59-1b5351b1d6b3 |
Exibir os pacotes de acesso existentes em um catálogo. |
| Gerenciador de pacotes de acesso | 7f480852-ebdc-47d4-87de-0d8498384a83 |
Edita e gerencia todos os pacotes de acesso existentes em um catálogo. |
| Gerente de atribuição de pacotes de acesso | e2182095-804a-4656-ae11-64734e9b7ae5 |
Edita e gerencia todas as atribuições de pacotes de acesso existentes. |
Além disso, o aprovador escolhido e um solicitante de um pacote de acesso têm direitos, embora não sejam funções.
| Direita | Descrição |
|---|---|
| Aprovador | Autorizado por uma política a aprovar ou negar solicitações a pacotes de acesso, embora não possam alterar as definições de pacote de acesso. |
| Solicitante | Autorizado por uma política de um pacote de acesso a solicitar esse pacote de acesso. |
A tabela a seguir lista as tarefas que as funções de gerenciamento de direitos podem realizar no gerenciamento de direitos.
Para identificar a função com privilégios mínimos de uma tarefa, confira Funções de administrador por tarefa de administrador no Microsoft Entra ID.
Funções necessárias para adicionar recursos a um catálogo
Um Administrador global pode adicionar ou remover qualquer grupo (grupos de segurança criados na nuvem ou grupos do Microsoft 365 criados na nuvem), aplicativo ou site do SharePoint Online em um catálogo.
Observação
Os usuários que foram atribuídos à função Administrador de usuários não poderão mais criar catálogos ou gerenciar pacotes de acesso em um catálogo que não são de sua propriedade. Um administrador de usuários que seja um proprietário de catálogos pode adicionar ou remover qualquer grupo ou aplicativo do catálogo de sua propriedade, exceto no caso de um grupo configurado como atribuível a uma função do diretório. Para saber mais sobre os grupos que podem receber atribuições de função, confira Criar um grupo de funções atribuídas no Microsoft Entra ID. Se os usuários em sua organização tiverem sido atribuídos à função Administrador de usuários para configurar catálogos, acessar pacotes ou políticas no gerenciamento de direitos, você deverá atribuir a esses usuários a função Administrador de governança de identidade.
Caso o usuário não seja um administrador global, para adicionar grupos, aplicativos ou sites do SharePoint Online a um catálogo, é preciso ter os dois pré-requisitos: a capacidade de executar ações no recurso e ser uma função de proprietário do catálogo no gerenciamento de direitos do catálogo. A maneira mais comum de um usuário ter a capacidade de executar ações para um recurso é estar em uma função do diretório do Microsoft Entra que permita administrar o recurso. Como alternativa, para recursos que tenham proprietários, o usuário pode ter a capacidade de executar ações por ter sido designado como proprietário do recurso.
As ações que o gerenciamento de direitos verifica quando um usuário adiciona um recurso a um catálogo são:
- Para adicionar um grupo de segurança ou grupo do Microsoft 365: o usuário deve ter permissão para executar as ações
microsoft.directory/groups/members/updateemicrosoft.directory/groups/owners/update. - Para adicionar um aplicativo: o usuário deve ter permissão para executar a ação
microsoft.directory/servicePrincipals/appRoleAssignedTo/update. - Para adicionar um site do SharePoint Online: o usuário deve ser um Administrador do SharePoint ou estar em uma função de site do SharePoint Online que lhe permita gerenciar permissões no site.
A tabela a seguir lista algumas das combinações de função que incluem as ações que permitem aos usuários nessas combinações de função adicionar recursos a um catálogo. Para remover recursos de um catálogo, você também deve ter uma função ou propriedade com essas mesmas ações.
| função do diretório do Microsoft Entra | Função de gerenciamento de direitos | Pode adicionar grupos de segurança | Pode adicionar grupos do Microsoft 365 | Pode adicionar aplicativo | Pode adicionar sites do SharePoint Online |
|---|---|---|---|---|---|
| Administrador global | N/D | ✔️ | ✔️ | ✔️ | ✔️ |
| Administrador de governança de identidade | N/D | ✔️ | |||
| Administrador de Grupos | Proprietário do catálogo | ✔️ | ✔️ | ||
| Administrador do Intune | Proprietário do catálogo | ✔️ | ✔️ | ||
| Administrador do Exchange | Proprietário do catálogo | ✔️ | |||
| Administrador do SharePoint | Proprietário do catálogo | ✔️ | ✔️ | ||
| Administrador de Aplicativos | Proprietário do catálogo | ✔️ | |||
| Administrador de Aplicativos de Nuvem | Proprietário do catálogo | ✔️ | |||
| Usuário | Proprietário do catálogo | Somente se for proprietário do grupo | Somente se for proprietário do grupo | Somente se for proprietário do aplicativo |
Gerenciamento delegado do ciclo de vida do usuário convidado
Normalmente, um usuário em uma função com privilégios de Convidado pode convidar usuários externos individuais para uma organização, e essa configuração pode ser alterada usando as configurações de colaboração externa .
Para gerenciar a colaboração externa, na qual os usuários externos individuais de um projeto de colaboração podem não ser conhecidos antecipadamente, atribuir aos usuários que estão trabalhando com organizações externas funções de gerenciamento de direitos pode permitir que eles configurem catálogos, pacotes de acesso e políticas para sua colaboração externa. Essas configurações permitem que os usuários externos com os quais eles estão colaborando solicitem e sejam adicionados ao diretório e aos pacotes de acesso da sua organização.
- Para permitir que os usuários em diretórios externos de organizações conectadas possam solicitar pacotes de acesso em um catálogo, a configuração do catálogo Habilitado para usuários externos precisa estar definida como Sim. A alteração dessa configuração pode ser feita por um administrador ou proprietário do catálogo.
- O pacote de acesso também deve ter uma política definida para usuários que não estejam no seu diretório. Essa política pode ser criada por um administrador, proprietário do catálogo ou gerente de pacotes de acesso do catálogo.
- Um pacote de acesso com essa política permitirá que os usuários no escopo possam solicitar acesso, incluindo usuários que ainda não estejam no seu diretório. Se a solicitação for aprovada ou não exigir aprovação, o usuário será automaticamente adicionado ao seu diretório.
- Se a configuração de política for para Todos os usuários e o usuário não fizer parte de uma organização conectada existente, uma nova organização conectada proposta será criada automaticamente. Você pode exibir a lista de organizações conectadas e remover as organizações que não sejam mais necessárias.
Também é possível configurar o que acontece quando um usuário externo trazido pelo gerenciamento de direitos perde sua última atribuição a qualquer pacote de acesso. É possível impedir que eles entrem nesse diretório ou remover a conta de convidado nas configurações da conta para gerenciar o ciclo de vida dos usuários externos.
Restrição para que administradores delegados configurem políticas para usuários que não estejam no diretório
É possível impedir que os usuários que não exercem funções administrativas convidem convidados individuais, nas configurações de colaboração externa, alterando a configuração das configurações de convite do Convidado para funções administrativas específicas e definindo Habilitar entrada de convidado por autoatendimento como Não.
Para evitar que os usuários delegados configurem o gerenciamento de direitos para permitir que usuários externos solicitem colaboração externa, certifique-se de comunicar essa restrição a todos os administradores globais, administradores de governança de identidade, criadores de catálogos e proprietários de catálogos, pois eles podem alterar os catálogos, para que não permitam inadvertidamente uma nova colaboração em catálogos novos ou atualizados. Eles devem certificar-se de que os catálogos estejam definidos com Habilitado para usuários externos para Não e não tenham nenhum pacote de acesso com políticas para permitir que um usuário que não esteja no diretório faça solicitações.
É possível exibir a lista de catálogos atualmente habilitados para usuários externos no Centro de administração do Microsoft Entra.
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Governança de Identidade.
Navegue até Governança de identidade>Gerenciamento de direitos>Catálogos.
Altere a configuração do filtro de Habilitado para usuários externos para Sim.
Se algum desses catálogos tiver um número diferente de zero de pacotes de acesso, esses pacotes de acesso poderão ter uma política para usuários que não estejam no diretório.
Gerenciar atribuições de função para funções de gerenciamento de direitos programaticamente
Você também pode exibir e atualizar criadores de catálogo e atribuições de função específicas do catálogo de gerenciamento de direitos usando o Microsoft Graph. Um usuário em uma função apropriada com um aplicativo que tem a permissão delegada EntitlementManagement.ReadWrite.All pode chamar o API do Graph para listar as definições de função do gerenciamento de direitos e listar as atribuições de função para essas definições de função.
Por exemplo, para exibir as funções específicas de gerenciamento de direitos que foram atribuídas a um determinado usuário ou grupo, use a consulta do Graph para listar as atribuições de função e forneça a ID do usuário ou do grupo como o valor do filtro de consulta principalId, como em
GET https://graph.microsoft.com/v1.0/roleManagement/entitlementManagement/roleAssignments?$filter=principalId eq '10850a21-5283-41a6-9df3-3d90051dd111'&$expand=roleDefinition&$select=id,appScopeId,roleDefinition
Para uma função específica a um catálogo, o appScopeId na resposta indica o catálogo no qual o usuário recebe uma função. Essa resposta recupera apenas atribuições explícitas da entidade para a função no gerenciamento de direitos, ela não retorna resultados para um usuário que tem direitos de acesso por meio de uma função de diretório ou por meio da associação em um grupo atribuído a uma função.