Funções e Permissões do Azure AD: Atribuir e Gerenciar Funções para Usuários e Grupos. Você é um administrador de TI que deseja aprender sobre as funções do Azure AD e sua importância na atribuição e gerenciamento de permissões para usuários e grupos?
É crucial aprender cada conceito para entender a relação entre funções do Azure AD, usuários, grupos e permissões.
Em seguida, explicamos as funções do Azure AD, representando o próximo nível na relação “função usuário grupo permissão”.
Para reunir todos os conceitos, o artigo discute como usuários e grupos herdam permissões quando as funções são atribuídas a eles.
Por fim, fornece instruções detalhadas sobre como atribuir funções do Azure AD a usuários ou grupos usando diferentes métodos.
Usuários do Azure AD, Grupos e Associações de Grupo
O nível básico de permissão no Azure AD é chamado de “Identidade”, que inclui qualquer coisa que seja autenticada. Exemplos de identidades são: usuários com nomes de usuário, senhas e aplicativos ou servidores que exigem autenticação.
Este artigo se concentra na Identidade como um usuário que é autenticado.
Depois que um usuário se autentica, ele recebe acesso a recursos por meio de autorização. Portanto, os usuários precisam de permissão para ser autorizado a acessar recursos.
Ao criar um usuário, o Azure AD automaticamente concede permissões padrão a eles.
No entanto, um administrador atribui permissões adicionais ao usuário utilizando uma função do Azure AD. Alternativamente, permissões são atribuídas aos usuários ao adicioná-los a um grupo.
É considerada uma boa prática atribuir permissões aos usuários por meio de um grupo, em vez de diretamente ao usuário.
Aqui é onde os grupos no Azure Active Directory entram em jogo. No Azure AD, grupos gerenciam usuários que requerem acesso aos mesmos recursos.
Uma vez que você cria um grupo, todos os usuários adicionados a ele herdam as permissões atribuídas a ele através das funções do Azure AD.
É essencial observar que existem 2 tipos de grupos para gerenciar permissões no Azure AD: grupos de segurança e grupos Microsoft 365.
Você usa um grupo de segurança para atribuir permissões e funções aos seus membros. No entanto, durante o processo de criação do grupo, você precisa definir o grupo de segurança como atribuível a funções para atribuir funções a ele.
Depois de criar um grupo, você não pode modificar essa configuração.
Por outro lado, os grupos do Microsoft 365 são projetados para fins de colaboração. Membros de um grupo 365 do Microsoft acessam caixas de correio compartilhadas, equipes, arquivos e outros recursos habilitados para colaboração.
Funções e Permissões no Azure Active Directory
O Controle de Acesso Baseado em Função (RBAC) constitui a base da segurança do Azure AD. Aprox. 60 funções integradas são usadas para atribuir e gerenciar permissões
Para encontrar uma lista abrangente dessas funções e suas respectivas permissões, consulte a seção “Todas as funções” na página de funções integradas do Azure AD.
Além disso, cada função tem um conjunto predefinido de permissões. Para atribuir permissões associadas a uma função do Azure AD a um objeto, como um usuário ou um grupo, você deve atribuir a função ao objeto.
Realize essa atribuição na página “Funções e administradores” dentro do portal do Azure Active Directory ou através do nó “Funções atribuídas” de um objeto do Azure AD.
As funções podem ser atribuídas diretamente a usuários ou grupos. No entanto, os grupos dinâmicos permitem a atribuição automática de funções com base em condições definidas.
Relacionamentos Entre Funções do Azure AD e Permissões de Grupo
Grupos gerenciam vários usuários que precisam de acesso aos mesmos recursos do Azure AD. No entanto, os grupos têm funcionalidades que se estendem além disso.
Por exemplo, os grupos são usados para atribuir licenças e implantar aplicativos para seus membros. Além disso, esses grupos delegam funções de administrador, exceto para o Azure AD Global Administrator.
Encontre uma lista de funções de administrador que você delega usando grupos.
Além disso, use grupos para atribuir permissões aos sites do SharePoint ou aplicativos SaaS externos.
Lembre-se de que atribuir funções a grupos requer uma licença Azure AD Premium P1. Além disso, realizar a tarefa também requer a função “Administrador de Função Privilegiada“.
Além disso, o Azure fornece grupos dinâmicos que são usados para atribuições de função.
Os grupos dinâmicos atribuem automaticamente as filiações a grupos aos usuários que atendem aos critérios de consulta dinâmica definidos para o grupo. Esse processo automatizado economiza significativamente o tempo administrativo para organizações grandes em comparação com atribuições manuais de grupos.
Como Atribuir Funções do Azure AD a Usuários e Grupos
Siga um dos métodos abaixo para atribuir funções do Azure AD a usuários ou grupos.
Primeiramente, faça login no portal do Azure via portal.azure.com. Procure e abra “Azure Active Directory.”
Método 1 de 3: Atribuir Funções a Usuários ou Grupos da Interface “Funções e administradores”
A maneira mais conveniente de atribuir funções do Azure AD é por meio da interface “Funções e administradores” no portal do Azure Active Directory.
Siga estes passos:
1. No menu do Azure Active Directory, clique em “Funções e administradores.”
2. Em seguida, uma vez que a página “Funções e administradores” abrir, clique na função do Azure AD que deseja atribuir e conceda permissões ao Active Directory e grupos. Para encontrar uma função mais rapidamente, faça uma busca por ela.
3. Clique em “Adicionar atribuições” na página de atribuições da função. Esta página também lista todos os usuários e grupos atualmente atribuídos a essa função.
4. Uma vez que a página “Adicionar atribuições” abrir, clique no link “Nenhum membro selecionado”. Por fim, na “Selecionar um membro”, escolha todos os usuários e grupos que deseja atribuir a função e clique em Selecionar.
Observe que o painel exibe apenas grupos elegíveis para atribuição de função.
Utilize a funcionalidade de busca para encontrar usuários e grupos e evite rolar a página.
Método 2 de 3: Atribuir Funções do Azure AD a partir da Interface de Usuários
Outro método para atribuir funções do Azure AD a usuários é abrindo a página do portal do Azure Active Directory do usuário. Aqui estão os passos:
1. Clique no menu “Usuários” no Portal do Azure Active Directory. Em seguida, selecione um usuário clicando nele.
2. Uma vez que o usuário abrir, clique em “Funções atribuídas”. Depois, clique em “+ Adicionar atribuição”.
3. Em seguida, selecione a função do Azure AD da qual deseja que o usuário herde suas permissões no menu suspenso “Selecionar função”. Após selecionar a função, clique em Avançar.
4. Por fim, se você tiver a licença de Gerenciamento de Identidade Privilegiada (PIM), a página final exibirá a opção “Tipo de atribuição”. A opção “Duração máxima elegível permitida” também está disponível para PIM.
Selecione suas configurações e clique em Atribuir.
Método 2 de 3: Atribuir Funções do Azure AD a partir da Interface de Grupo
Para atribuir funções do Azure AD a grupos atribuíveis a funções , siga as etapas abaixo:
1. Clique em “Grupos” no portal do Azure Active Directory.
2. O Azure AD lista todos os grupos. No entanto, você só atribui funções a grupos nos quais esse recurso foi habilitado.
Portanto, para ver os grupos habilitados para atribuição de funções, clique em “Gerenciar visualização” e selecione “Editar colunas”.
3. Marque a caixa de seleção “Permitir atribuições de função” no menu suspenso das colunas e clique em Salvar. Você também pode desmarcar “Identificação do objeto”, “Tipo de associação”, “E-mail” e “Fonte” para reduzir o número de colunas.
Essas colunas estão marcadas por padrão. No entanto, a coluna “Permitir atribuições de função” está desmarcada por padrão.
4. Após habilitar a página para exibir se um grupo é atribuível a função, selecione o grupo correto.
Lembre-se de que se você abrir um grupo para o qual esse recurso não foi habilitado durante sua criação, ele não exibirá as funções do Azure AD.
5. Assim que o grupo for aberto, clique em “Funções atribuídas” no menu e depois clique em “Adicionar atribuições”.
6. Escolha uma função no menu suspenso “Selecionar função” e clique em Avançar. Por fim, selecione as opções de atribuição de função e clique em Atribuir.
Atribuir Funções do Azure AD via Grupos Dinâmicos
Além disso, o Azure AD permite o uso de grupos dinâmicos para atribuir automaticamente funções do Azure AD aos usuários.
Aqui estão os passos para criar um grupo dinâmico do Azure AD que atribui automaticamente funções aos seus membros.
1. Na página Grupos do portal do Azure Active Directory, clique em “Novo grupo”.
2. Quando a página “Novo Grupo” abrir, nomeie o grupo e selecione o tipo de atribuição dinâmica no menu suspenso “Tipo de associação”. A seleção de “Usuário Dinâmico” ou “Dispositivo Dinâmico” exibirá o link “Adicionar consulta dinâmica”.
Certifique-se de ativar a chave “Funções do Azure AD podem ser atribuídas”.
3. Clique no link “Adicionar consulta dinâmica” para criar uma consulta dinâmica que adiciona usuários automaticamente ao grupo.
4. Assim que a página “Regras de associação dinâmica” abrir, clique em “editar” e construa sua consulta. Saiba como criar consultas dinâmicas para associações de grupos.
5. Na janela “Editar sintaxe da regra”, insira sua regra e clique em OK. Em seguida, na página de consulta de associação dinâmica, clique em Salvar.
I built a simple rule that adds users to my group by user’s department.
6. Por fim, revise as configurações na página “Novo Grupo” e clique em Criar.
Para verificar se sua regra dinâmica funciona, abra o grupo e clique no menu “Membros”. Se sua regra estiver correta e alguns usuários atenderem aos critérios, eles devem ser adicionados dinamicamente como membros do grupo.
Após criar o grupo dinâmico, atribua funções do Azure AD ao grupo. Após essas etapas, todos os usuários adicionados dinamicamente ao grupo herdarão automaticamente as permissões das funções atribuídas ao grupo.
Funções e Permissões do Azure AD: Atribuir e Gerenciar Funções para Usuários e Grupos Conclusão
Em conclusão, este artigo explorou os aspectos essenciais das funções e permissões do Azure AD. Especificamente, foca em como atribuir e gerenciar funções para usuários e grupos.
Explicamos os conceitos de usuários, grupos e associações de grupos do Azure AD, destacando sua importância nas atribuições de funções. Também examinamos o framework de funções e permissões no Azure Active Directory.
O artigo enfatiza as relações entre as funções do Azure AD e as permissões de grupo.
Além disso, apresentou 3 métodos para atribuir funções do Azure AD a usuários e grupos. O Método 1 envolveu a utilização da interface “Funções e administradores”, enquanto o Método 2 abordou a atribuição de funções a partir das interfaces de usuários e grupos.
Também consideramos usar a associação de grupo dinâmico como o 3º método para atribuir funções do Azure AD aos usuários.
Ao entender esses métodos e aproveitar o poder do Azure AD, os administradores atribuem e gerenciam eficientemente funções para garantir acesso e permissões adequadas para usuários e grupos dentro de suas organizações.
Source:
https://infrasos.com/azure-ad-roles-and-permissions-assign-manage-roles-for-users-groups/