Usar grupos do Azure AD para gerenciar atribuições de função

  • Artigo
  • 5 minutos para o fim da leitura

O Azure AD (Active Directory) permite direcionar grupos do Azure AD para atribuições de funções. A atribuição de funções a grupos pode simplificar o gerenciamento de atribuições de função no Azure AD com o mínimo de esforço de seus Administradores Globais e Administradores de Função com Privilégios.

Por que atribuir funções a grupos?

Considere o exemplo em que a empresa Contoso contratou pessoas em diferentes regiões para gerenciar e redefinir senhas de funcionários na organização do Azure AD. Em vez de pedir a um Administrador de Função com Privilégios ou a um Administrador Global para atribuir a função de Administrador de Helpdesk a cada pessoa individualmente, a empresa pode criar um grupo Contoso_Helpdesk_Administrators e atribuir a função ao grupo. Quando as pessoas ingressam no grupo, elas recebem a função indiretamente. O fluxo de trabalho de governança existente pode, então, assistir o processo de aprovação e auditoria da associação ao grupo para garantir que somente os usuários legítimos sejam membros do grupo e, portanto, tenham a função de Administrador de Helpdesk.

Como funcionam as atribuições de funções a grupos

Para atribuir uma função a um grupo, você deve criar um novo grupo do Microsoft 365 ou de segurança com a propriedade isAssignableToRole configurada como true. No portal do Azure, você define a opção Funções do Azure AD podem ser atribuídas a um grupo como Sim. De qualquer maneira, é possível atribuir uma ou mais funções do Azure AD ao grupo da mesma forma que você atribui funções aos usuários.

Screenshot of the Roles and administrators page

Restrições de grupos que podem receber funções

Os grupos que podem receber funções têm as seguintes restrições:

  • Somente é possível definir a propriedade isAssignableToRole ou a opção isAssignableToRole para novos grupos.
  • A propriedade isAssignableToRole é isAssignableToRole. Depois que um grupo é criado com esta propriedade definida, ela não pode ser alterada.
  • Não é possível transformar um grupo existente em um grupo que pode receber funções.
  • Um máximo de 500 grupos atribuíveis de função podem ser criados em uma única organização do Azure AD (locatário).

Como os grupos que podem receber funções são protegidos?

Se uma função for atribuída a um grupo, qualquer administrador de TI que possa gerenciar a associação ao grupo também pode gerenciar indiretamente a associação dessa função. Por exemplo, suponha que um grupo denominado Contoso_User_Administrators tenha a função de Administrador de Usuários. Um administrador do Exchange que pode modificar a associação ao grupo pode incluir a si mesmo no grupo Contoso_User_Administrators e, dessa forma, tornar-se um Administrador de Usuários. Como é possível ver, um administrador pode elevar seus privilégios de uma forma não pretendida.

Somente os grupos que têm a propriedade isAssignableToRole configurada como true no momento da criação podem receber uma função. Essa propriedade é imutável. Depois que um grupo é criado com esta propriedade definida, ela não pode ser alterada. Não é possível definir a propriedade em um grupo existente.

Os grupos que podem receber funções são projetados para ajudar a prevenir possíveis violações com as seguintes restrições:

  • Somente Administradores Globais e Administradores de Função com Privilégios podem criar um grupo que pode receber funções.
  • O tipo de associação dos grupos que podem receber funções deve ser Atribuído e eles não podem ser grupos dinâmicos do Azure AD. A população automatizada de grupos dinâmicos pode levar a uma conta indesejada adicionada ao grupo e, portanto, atribuída à função.
  • Por padrão, apenas Administradores Globais e Administradores de Função com Privilégios gerenciam a associação de um grupo de função atribuível. Mas você pode delegar o gerenciamento de grupos de função atribuível adicionando proprietários de grupo.
  • A permissão RoleManagement.ReadWrite.Directory do Microsoft Graph é necessária para gerenciar a associação desses grupos. A permissão Group.ReadWrite.All não funciona.
  • Para evitar a elevação de privilégio, somente um Administrador de Autenticação com Privilégios ou um Administrador Global podem alterar as credenciais ou redefinir a MFA para membros e proprietários de um grupo atribuível por função.
  • O aninhamento de grupo não tem suporte. Um grupo não pode ser adicionado como membro de um grupo de função atribuível.

Usar o PIM para tornar um grupo qualificado para uma atribuição de função

Para que os membros do grupo não tenham acesso permanente a uma função, use o PIM (Privileged Identity Management) do Azure AD para tornar um grupo qualificado para uma atribuição de função. Assim, cada membro do grupo é qualificado para ativar a atribuição de função por um período de tempo fixo.

Observação

No caso de grupos de acesso privilegiado usados para elevar as funções do Azure AD, é recomendável exigir um processo de aprovação para atribuições de membros qualificados. As atribuições que podem ser ativadas sem aprovação podem criar um risco de segurança dos administradores com um nível inferior de permissões. Por exemplo, o administrador da assistência técnica tem permissões para redefinir a senha de um usuário qualificado.

Cenários sem suporte

Os cenários a seguir não têm suporte:

  • Atribua funções do Azure AD (internas ou personalizadas) a grupos locais.

Problemas conhecidos

Veja a seguir os problemas conhecidos com grupos que podem receber funções:

  • Somente clientes do Azure AD com licença P2: mesmo após a exclusão do grupo, ele ainda mostra um membro qualificado da função na IU do PIM. Não há problema no funcionamento. É apenas um problema de cache no portal do Azure.
  • Use o novo Centro de Administração do Exchange para atribuir funções por meio da associação ao grupo. O centro de administração do Exchange antigo não oferece suporte a esse recurso. Se for necessário acessar o Centro de Administração do Exchange antigo, atribua a função qualificada diretamente ao usuário (não por grupos de atribuição de função). Os cmdlets do PowerShell do Exchange funcionarão conforme o esperado.
  • Se uma função de administrador for atribuída a um grupo atribuível a uma função em vez de a usuários individuais, os membros do grupo não poderão acessar Regras, Organização ou Pastas Públicas no novo centro de administração do Exchange. A solução alternativa é atribuir a função diretamente aos usuários em vez de atribuí-la ao grupo.
  • O Portal da Proteção de Informações do Azure (o portal clássico) ainda não reconhece a associação de função via grupo. É possível migrar para a plataforma de rotulagem de sensibilidade unificada e, em seguida, usar o Centro de Segurança Conformidade do Office 365 a fim de utilizar atribuições de grupo e gerenciar funções.
  • O centro de administração de aplicativos ainda não oferece suporte para esse recurso. Atribua a função de administrador de aplicativos do Office diretamente aos usuários.

Requisitos de licença

O uso desse recurso requer uma licença do Azure AD Premium P1. Para também fazer uso do Privileged Identity Management na ativação de função just-in-time, é necessário ter uma licença P2 do Azure AD Premium. Para localizar a licença correta para os seus requisitos, consulte Comparar recursos geralmente disponíveis nos planos Gratuito e Premium.

Próximas etapas