Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve como entender o controle de acesso baseado em função do Microsoft Entra. As funções do Microsoft Entra permitem que você conceda permissões granulares aos administradores, cumprindo o princípio de privilégios mínimos. As funções internas e personalizadas do Microsoft Entra operam segundo conceitos semelhantes aos que você encontra no sistema de controle de acesso baseado em função para recursos do Azure (funções do Azure). A diferença entre esses dois sistemas de controle de acesso baseados em funções é:
- As funções do Microsoft Entra controlam o acesso aos recursos do Microsoft Entra, como usuários, grupos e aplicativos usando a API do Microsoft Graph
- As funções do Azure controlam o acesso aos recursos do Azure, como máquinas virtuais ou armazenamento usando o Gerenciamento de Recursos do Azure
Ambos os sistemas contêm definições de função usadas da mesma forma e atribuições de função. No entanto, as permissões de função do Microsoft Entra não podem ser usadas em funções personalizadas do Azure e vice-versa.
Compreender o controle de acesso baseado em função no Microsoft Entra
A ID do Microsoft Entra dá suporte a dois tipos de definições de funções:
Funções integradas são funções prontas para uso que têm um conjunto fixo de permissões. Essas definições de função não podem ser modificadas. Há muitas funções internas às quais o Microsoft Entra ID dá suporte, e a lista está crescendo. Para arredondar as arestas e atender aos seus requisitos sofisticados, o Microsoft Entra ID também oferece suporte a funções personalizadas. Conceder permissão usando funções personalizadas do Microsoft Entra é um processo de duas etapas que envolve a criação de uma definição de função personalizada e, em seguida, a atribuição dela usando uma atribuição de função. Uma definição de função personalizada é uma coleção de permissões que você adiciona de uma lista predefinida. Essas permissões são as mesmas permissões usadas nas funções internas.
Depois de criar sua definição de função personalizada (ou usar uma função interna), você poderá atribuí-la a um usuário criando uma atribuição de função. Uma atribuição de função concede ao usuário as permissões em uma definição de função em um escopo especificado. Esse processo de duas etapas permite que você crie uma única definição de função e atribua-a muitas vezes em escopos diferentes. Um escopo define o conjunto de recursos do Microsoft Entra aos quais o membro da função tem acesso. O escopo mais comum é o escopo de toda a organização (toda a empresa). Uma função personalizada pode ser atribuída no escopo de toda a organização, o que significa que o membro da função tem as permissões associadas à função em todos os recursos da organização. Uma função personalizada também pode ser atribuída em um escopo de objeto. Um exemplo de um escopo de objeto seria um único aplicativo. A mesma função pode ser atribuída a um usuário em todos os aplicativos da organização e, em seguida, a outro usuário com um escopo apenas do aplicativo Contoso Expense Reports.
Como a ID do Microsoft Entra determina se um usuário tem acesso a um recurso
Veja a seguir as etapas de alto nível que a ID do Microsoft Entra usa para determinar se você tem acesso a um recurso de gerenciamento. Use essas informações para solucionar problemas de acesso.
- Um usuário (ou entidade de serviço) adquire um token para o ponto de extremidade do Microsoft Graph.
- O usuário faz uma chamada à API para a ID do Microsoft Entra por meio do Microsoft Graph usando o token emitido.
- Dependendo da circunstância, a ID do Microsoft Entra executa uma das seguintes ações:
- Avalia as associações de função do usuário com base na declaração de wids no token de acesso do usuário.
- Recupera todas as atribuições de função que se aplicam ao usuário, seja diretamente ou por meio de associação a grupos, para o recurso no qual a ação está sendo executada.
- A ID do Microsoft Entra determina se a ação na chamada à API está incluída nas funções que o usuário tem para esse recurso.
- Se o usuário não possuir uma função associada à ação no escopo solicitado, o acesso não será concedido. Caso contrário, o acesso será permitido.
Atribuição de função
Uma atribuição de função é um recurso do Microsoft Entra que anexa uma definição de função a uma entidade de segurança em um escopo específico para conceder acesso a recursos do Microsoft Entra. O acesso é concedido criando uma atribuição de função e o acesso é revogado removendo uma atribuição de função. Em seu núcleo, uma atribuição de função consiste em três elementos:
- Entidade de segurança – uma identidade que obtém as permissões. Pode ser um usuário, um grupo ou uma entidade de serviço.
- Definição de função – uma coleção de permissões.
- Escopo – Uma maneira de restringir onde essas permissões são aplicáveis.
Você pode criar atribuições de função e listar as atribuições de função usando o Centro de administração do Microsoft Entra, o Microsoft Graph PowerShellou a API do Microsoft Graph. Não há suporte para a CLI do Azure nas atribuições de função do Microsoft Entra.
O diagrama a seguir mostra um exemplo de uma atribuição de função. Neste exemplo, Chris recebeu a função personalizada de Administrador de Registro de Aplicativo no escopo do registro do aplicativo Construtor de Widgets Contoso. A atribuição concede a Chris as permissões da função Administrador de Registro de Aplicativo somente para este registro de aplicativo específico.
Entidade de segurança
Um principal de segurança representa um usuário, grupo ou principal de serviço que é atribuído acesso a recursos do Microsoft Entra. Um usuário é um indivíduo que tem um perfil de usuário na ID do Microsoft Entra. Um grupo é um novo grupo do Microsoft 365 ou de segurança que foi definido como um grupo com atribuição de função. Um principal de serviço é uma identidade criada para uso com aplicativos, serviços hospedados e ferramentas automatizadas para acessar recursos do Microsoft Entra.
Definição de função
Uma definição de função, ou função, é um conjunto de permissões. Uma definição de função lista as operações que podem ser executadas nos recursos do Microsoft Entra, como criar, ler, atualizar e excluir. Há dois tipos de funções na ID do Microsoft Entra:
- Funções internas criadas pela Microsoft que não podem ser alteradas.
- Funções personalizadas criadas e gerenciadas por sua organização.
Scope
Um escopo é uma maneira de limitar as ações permitidas a um determinado conjunto de recursos como parte de uma atribuição de função. Por exemplo, se você quiser atribuir uma função personalizada a um desenvolvedor, mas apenas para gerenciar um registro de aplicativo específico, poderá incluir o registro de aplicativo específico como um escopo na atribuição de função.
Ao atribuir uma função, você especifica um dos seguintes tipos de escopo:
- Inquilino
- Unidade Administrativa
- Recurso Microsoft Entra
Se você especificar um recurso do Microsoft Entra como um escopo, ele poderá ser um dos seguintes:
- Grupos do Microsoft Entra
- Aplicativos empresariais
- Registros de aplicativo
Quando uma função é atribuída em um escopo de contêiner, como o Locatário ou uma Unidade Administrativa, ela concede permissões sobre os objetos que eles contêm, mas não no próprio contêiner. Pelo contrário, quando uma função é atribuída em um escopo de recurso, ela concede permissões sobre o recurso em si, mas não se estende além (em particular, não se estende aos membros de um grupo do Microsoft Entra).
Para obter mais informações, confira Atribuir funções do Microsoft Entra.
Opções de atribuição de função
A ID do Microsoft Entra fornece várias opções para atribuir funções:
- Você pode atribuir funções diretamente aos usuários, que é a maneira padrão de atribuir funções. As funções internas e personalizadas do Microsoft Entra podem ser atribuídas aos usuários, com base nos requisitos de acesso. Para obter mais informações, confira Atribuir funções do Microsoft Entra.
- Com o Microsoft Entra ID P1, você pode criar grupos atribuíveis a função e atribuir funções a esses grupos. Atribuir funções a um grupo em vez de indivíduos permite a fácil adição ou remoção de usuários de uma função e cria permissões consistentes para todos os membros do grupo. Para obter mais informações, confira Atribuir funções do Microsoft Entra.
- Com o Microsoft Entra ID P2, você pode usar o Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) para fornecer acesso imediato às funções. Esse recurso permite que você conceda acesso limitado a uma função aos usuários que a exigem, em vez de conceder acesso permanente. Ele também fornece relatórios detalhados e recursos de auditoria. Para saber mais, consulte Atribuir funções do Microsoft Entra no Privileged Identity Management.
Entender quem tem acesso ao que
Listar atribuições de funções faz parte da resposta à pergunta mais ampla: "quem tem acesso a quê na minha organização?" O Microsoft Entra ID fornece várias ferramentas que, quando usadas em conjunto, oferecem visibilidade sobre o acesso em todo o seu locatário.
- Atribuições de funções. Use os procedimentos em Listar atribuições de função do Microsoft Entra para listar quem possui funções do Microsoft Entra no escopo do locatário, do aplicativo ou da unidade administrativa. Você pode baixar as atribuições de função em CSV para análise offline ou consultá-las programaticamente usando a API do Microsoft Graph List unifiedRoleAssignments.
- Atribuições de função de aplicativo e concessões de consentimento. Use Atribuir usuários e grupos a um aplicativo para ver quais usuários e grupos podem acessar um determinado aplicativo empresarial. Use as permissões de revisão concedidas aos aplicativos para inspecionar as permissões delegadas e de aplicativo às quais os usuários ou administradores consentiram.
- Atributos de segurança personalizados. Use atributos de segurança personalizados para marcar usuários e entidades de serviço com atributos específicos de negócios definidos para seu locatário. Em seguida, você pode filtrar e consultar o diretório com base em atributos para criar uma visão de acesso baseada em atributos de negócio que complementa consultas baseadas em papéis.
- Revisões de permissões de acesso. Use revisões de acesso para verificar periodicamente se os usuários ainda precisam de suas participações atuais em grupos e atribuições a aplicativos empresariais. Use Privileged Identity Management (PIM) revisões de acesso para examinar usuários e entidades de serviço atribuídas a funções de recurso Microsoft Entra ou Azure. Os revisores aprovam ou negam o acesso contínuo para cada usuário. As revisões de acesso exigem Microsoft Entra ID Governance ou Suíte do Microsoft Entra; alguns recursos operam com Microsoft Entra ID P2. Para obter detalhes, consulte os requisitos de licença. A revisão das entidades de serviço via PIM também requer o ID de carga de trabalho do Microsoft Entra Premium.
- Gerenciamento de direitos. Use o gerenciamento de direitos para ver quais usuários receberam acesso por meio de pacotes de acesso. Os pacotes de acesso são organizados em catálogos, que são contêineres de recursos relacionados e pacotes de acesso que você pode usar para delegar e controlar o acesso. O gerenciamento de direitos requer Microsoft Entra ID Governance ou Suíte do Microsoft Entra; alguns recursos operam com Microsoft Entra ID P2. Para obter detalhes, consulte os requisitos de licença.
- Logs de entrada e de auditoria. Use logs de entrada para ver quem tem acessado ativamente os recursos e em quais condições. Use logs de auditoria para controlar alterações em atribuições de função, associações de grupo e outros objetos de diretório ao longo do tempo. Os logs de auditoria registram alterações de configuração, enquanto os logs de entrada registram eventos de entrada — juntos, eles ajudam você a distinguir entre acesso concedido e acesso utilizado. Para obter um rastreamento mais detalhado das chamadas da API do Microsoft Graph, consulte logs de atividade do Microsoft Graph.
Dica
Para locatários grandes, transmita logs para um Log Analytics workspace para que você possa consultar e analisar padrões de acesso em milhares de usuários e funções.
Controlar o acesso para identidades de carga de trabalho
Uma estratégia completa de autorização em escala deve abranger identidades de carga de trabalho — aplicativos, entidades de serviço e identidades gerenciadas — não apenas usuários. Microsoft Entra dá suporte a vários métodos para estabelecer identidades de máquina, cada uma adequada para um cenário diferente:
- Registro de aplicativo. Registre um objeto de aplicativo para criar uma entidade de serviço que se autentica usando um segredo do cliente, um certificado ou uma credencial federada. Use em aplicativos tradicionais e integrações com a plataforma.
- Identidades gerenciadas. Use identidades gerenciadas atribuídas pelo sistema ou atribuídas pelo usuário para cargas de trabalho em execução no Azure. Azure gerencia as credenciais para você, portanto, nenhum segredo é armazenado em código ou configuração.
- Federação de identidade de carga de trabalho. Configure a confiança entre Microsoft Entra e um provedor de identidade externo para que cargas de trabalho fora de Azure — ou cargas de trabalho em Azure que se autentiquem como registros de aplicativo — possam acessar Microsoft Entra recursos protegidos sem armazenar segredos.
- Credenciais de identidade federadas flexíveis (versão prévia). Estenda o padrão sem segredo para registros de aplicativo para cenários que exigem correspondência baseada em curinga ou declarações em relação a tokens emitidos por GitHub, GitLab ou Terraform Cloud.
Governe essas identidades em escala com os mesmos controles em camadas que você aplica aos usuários:
- Aplique Acesso Condicional para identidades de carga de trabalho para restringir em que local e quando uma entidade de serviço pode autenticar-se. Essa funcionalidade requer licenças Premium de Identidades de Carga de Trabalho e se aplica somente a entidades de serviço de locatário único registradas em seu locatário – identidades gerenciadas e aplicativos SaaS multilocatários ou de terceiros não estão no escopo.
- Realize revisões de acesso de grupos e aplicativos para confirmar que os usuários atribuídos a esses recursos ainda precisam desse acesso e use revisões de acesso do PIM para revisar as entidades de serviço atribuídas ao Microsoft Entra e às funções de recurso do Azure. Revisões de grupos e aplicativos exigem Microsoft Entra ID Governance ou Suíte do Microsoft Entra (alguns recursos estão disponíveis com Microsoft Entra ID P2); para obter detalhes, consulte License requirements. As revisões de entidades de serviço exigem adicionalmente o ID de carga de trabalho do Microsoft Entra Premium.
- Marque as entidades de serviço dos seus aplicativos registrados com atributos de segurança personalizados para que você possa criar um inventário filtrável e orientar decisões do Azure ABAC com base em atributos de negócios.
- Habilite o bloqueio de propriedades da instância do aplicativo em aplicativos multilocatário para impedir a modificação não autorizada de propriedades confidenciais no serviço principal após o aplicativo ser provisionado em outro locatário.
Requisitos de licença
O uso de funções integradas no Microsoft Entra ID é gratuito. O uso de funções personalizadas exige uma licença do Microsoft Entra ID P1 para cada usuário com uma atribuição de função personalizada. Para localizar a licença correta para os seus requisitos, consulte Comparar recursos geralmente disponíveis nos planos Gratuito e Premium.