Funções e Permissões do Azure AD: Atribuir e Gerenciar Funções para Usuários e Grupos. Você é um administrador de TI que deseja aprender sobre as funções do Azure AD e sua importância na atribuição e gerenciamento de permissões para usuários e grupos?
É crucial aprender cada conceito para entender a relação entre as funções do Azure AD, usuários, grupos e permissões.
Em seguida, explicamos as funções do Azure AD, representando o próximo nível na relação “função usuário grupo permissão”.
Para reunir todos os conceitos, o artigo discute como usuários e grupos herdam permissões quando funções são atribuídas a eles.
Finalmente, fornece instruções detalhadas sobre como atribuir funções do Azure AD a usuários ou grupos usando diferentes métodos.
Usuários, Grupos e Associações de Grupo do Azure AD
O nível básico de permissão no Azure AD é chamado de “Identidade”, que inclui tudo o que é autenticado. Exemplos de identidades são: usuários com nomes de usuário, senhas e aplicativos ou servidores que requerem autenticação.
Este artigo se concentra na Identidade como um usuário que está autenticado.
Uma vez que um usuário se autentica, ele recebe acesso a recursos por meio de autorização. Portanto, os usuários precisam de permissão para serem autorizados a acessar recursos.
Ao criar um usuário, o Azure AD concede automaticamente permissões padrão a eles.
No entanto, um administrador atribui permissões adicionais ao usuário utilizando uma função do Azure AD. Alternativamente, as permissões são atribuídas aos usuários ao adicioná-los a um grupo.
Considera-se uma boa prática atribuir permissões aos usuários por meio de um grupo em vez de diretamente ao usuário.
Aqui é onde os grupos no Azure Active Directory entram em jogo. No Azure AD, os grupos gerenciam usuários que requerem acesso aos mesmos recursos.
Uma vez que você cria um grupo, todos os usuários adicionados a ele herdam as permissões atribuídas a ele através das funções do Azure AD.
É essencial observar que existem 2 tipos de grupos para gerenciar permissões no Azure AD: grupos de segurança e grupos do Microsoft 365.
Você usa um grupo de segurança para atribuir permissões e funções a seus membros. No entanto, durante o processo de criação do grupo, você precisa definir o grupo de segurança como atribuível a funções para atribuir funções a ele.
Uma vez criado um grupo, você não pode modificar essa configuração.
Em contraste, os grupos do Microsoft 365 são projetados para colaboração propósitos. Membros de um grupo do Microsoft 365 acessam caixas de correio compartilhadas, equipes, arquivos e outros recursos habilitados para colaboração.
Funções e Permissões no Azure Active Directory
Controle de Acesso Baseado em Função (RBAC) constitui a base da segurança do Azure AD segurança. Aproximadamente 60 funções internas são usadas para atribuir e gerenciar permissões.
Para encontrar uma lista abrangente dessas funções e suas respectivas permissões, consulte a seção “Todas as funções” na página de funções internas do Azure AD.
Além disso, cada função possui um conjunto predefinido de permissões. Para atribuir permissões associadas a uma função do Azure AD a um objeto, como um usuário ou um grupo, você deve atribuir a função ao objeto.
Realize essa atribuição na página “Função e administradores” dentro do portal do Azure Active Directory ou através do nó “Funções atribuídas” de um objeto do Azure AD.
As funções podem ser atribuídas diretamente a usuários ou grupos. No entanto, os grupos dinâmicos permitem a atribuição automática de funções com base em condições definidas.
Relacionamentos Entre Funções do Azure AD e Permissões de Grupo
Grupos gerenciam vários usuários que requerem acesso aos mesmos recursos do Azure AD. No entanto, os grupos possuem funcionalidades que vão além disso.
Por exemplo, os grupos são usados para atribuir licenças e distribuir aplicativos para seus membros. Além disso, esses grupos delegam funções de administrador, exceto para o Administrador Global do Azure AD.
Encontre uma lista de funções de administrador que você delega usando grupos.
Além disso, use grupos para atribuir permissões a sites do SharePoint ou aplicativos SaaS externos.
Lembre-se de que atribuir funções a grupos requer uma licença Azure AD Premium P1. Além disso, realizar a tarefa também requer a função de “Administrador de Função Privilegiada“.
Além disso, Azure fornece grupos dinâmicos que são usados para atribuições de função.
Os grupos dinâmicos atribuem automaticamente pertencimentos a usuários que atendem aos critérios de consulta dinâmica definidos para o grupo. Esse processo automatizado economiza tempo significativo de administração para organizações grandes em comparação com atribuições manuais de grupos.
Como Atribuir Funções do Azure AD a Usuários e Grupos
Siga um dos métodos abaixo para atribuir funções do Azure AD a usuários ou grupos.
Primeiramente, faça login no portal do Azure através de portal.azure.com. Procure e abra “Azure Active Directory.”
Método 1 de 3: Atribuir Funções a Usuários ou Grupos a partir da Interface “Funções e administradores”
A forma mais conveniente de atribuir funções do Azure AD é através da interface “Funções e administradores” no portal do Azure Active Directory.
Siga estes passos:
1. No menu do Azure Active Directory, clique em “Funções e administradores”.
2. Em seguida, uma vez que a página “Funções e administradores” abrir, clique na função do Azure AD que deseja atribuir e conceder permissões ao Active Directory e grupos. Para encontrar uma função mais rapidamente, faça uma busca por ela.
3. Clique em “Adicionar atribuições” na página de atribuições da função. Esta página também lista todos os usuários e grupos atualmente atribuídos a essa função.
4. Quando a página “Adicionar atribuições” abrir, clique no link “Nenhum membro selecionado”. Finalmente, na opção “Selecionar um membro”, escolha todos os usuários e grupos que deseja atribuir a função e clique em Selecionar.
Note que o painel exibe apenas grupos elegíveis para atribuição de função.
Use a funcionalidade de busca para encontrar usuários e grupos e evitar a rolagem.
Método 2 de 3: Atribuir Funções do Azure AD a partir da Interface de Usuários
Outro método para atribuir funções do Azure AD a usuários é abrindo a página do portal do Azure Active Directory do usuário. Aqui estão os passos:
1. Clique no menu “Usuários” no Portal do Azure Active Directory. Em seguida, selecione um usuário clicando nele.
2. Quando o usuário abrir, clique em “Funções atribuídas.” Em seguida, clique em “+ Adicionar atribuição.”
3. Em seguida, selecione a função do Azure AD da qual deseja que o usuário herde suas permissões no menu suspenso “Selecionar função”. Após selecionar a função, clique em Avançar.
4. Por fim, se você tiver a licença de Gerenciamento de Identidade Privilegiada (PIM), a página final exibirá a opção “Tipo de atribuição”. A opção “Duração máxima permitida para elegibilidade” também está disponível para PIM.
Selecione suas configurações e clique em Atribuir.
Método 2 de 3: Atribuir Funções do Azure AD a partir da Interface de Grupo
Para atribuir funções do Azure AD a grupos que podem receber funções, siga os passos abaixo:
1. Clique em “Grupos” no portal do Azure Active Directory.
2. O Azure AD lista todos os grupos. No entanto, você só atribui funções a grupos nos quais esse recurso foi habilitado.
Portanto, para ver os grupos habilitados para atribuição de funções, clique em “Gerenciar visualização” e selecione “Editar colunas”.
3. Marque a caixa “Permitir atribuições de função” no menu suspenso de colunas e clique em Salvar. Você também pode desmarcar “Id do objeto”, “Tipo de associação”, “E-mail” e “Origem” para reduzir o número de colunas.
Essas colunas estão marcadas por padrão. No entanto, a coluna “Permitir atribuições de função” está desmarcada por padrão.
4. Após habilitar a página para exibir se um grupo é atribuível a uma função, selecione o grupo correto.
Lembre-se de que se você abrir um grupo no qual esse recurso não foi habilitado durante sua criação, ele não exibirá funções do Azure AD.
5. Depois que o grupo for aberto, clique em “Funções atribuídas” no menu e, em seguida, clique em “Adicionar atribuições”.
6. Escolha uma função no menu suspenso “Selecionar função” e clique em Avançar. Por fim, selecione as opções de atribuição de função e clique em Atribuir.
Atribuir funções do Azure AD via Grupos Dinâmicos
Além disso, o Azure AD permite o uso de grupos dinâmicos para atribuir automaticamente funções do Azure AD aos usuários.
Aqui estão os passos para criar um grupo dinâmico do Azure AD que atribui automaticamente funções aos seus membros.
1. Na página de Grupos do portal do Azure Active Directory, clique em “Novo grupo”.
2. Quando a página “Novo Grupo” abrir, nomeie o grupo e selecione o tipo de atribuição dinâmica no menu suspenso “Tipo de associação”. Selecionar “Usuário Dinâmico” ou “Dispositivo Dinâmico” exibe o link “Adicionar consulta dinâmica”.
Assegure-se de ativar o interruptor “As funções do Azure AD podem ser atribuídas”.
3. Clique no link “Adicionar consulta dinâmica” para criar uma consulta dinâmica que adiciona usuários automaticamente ao grupo.
4. Quando a página “Regras de associação dinâmica” abrir, clique em “editar” e em seguida crie sua consulta. Saiba como criar consultas dinâmicas para associações de grupo.
5. Na janela “Sintaxe da regra de edição”, insira sua regra e clique em OK. Em seguida, na página de consulta de associação dinâmica, clique em Salvar.
I built a simple rule that adds users to my group by user’s department.
6. Por fim, revise as configurações na página ‘Novo Grupo’ e clique em Criar.
Para verificar se sua regra dinâmica funciona, abra o grupo e clique no menu ‘Membros’. Se sua regra estiver correta e alguns usuários atenderem aos critérios, eles devem ser adicionados dinamicamente como membros do grupo.
Após criar o grupo dinâmico, atribua funções do Azure AD ao grupo. Após essas etapas, todos os usuários adicionados dinamicamente ao grupo herdam automaticamente as permissões das funções atribuídas ao grupo.
Funções e Permissões do Azure AD: Atribuir e Gerenciar Funções para Usuários e Grupos Conclusão
Em conclusão, este artigo explorou os aspectos essenciais das funções e permissões do Azure AD. Especificamente, foca em como atribuir e gerenciar funções para usuários e grupos.
Explicamos os conceitos de usuários do Azure AD, grupos e associações de grupos, destacando sua importância nas atribuições de funções. Também examinamos o framework de funções e permissões no Azure Active Directory.
O artigo enfatiza as relações entre as funções do Azure AD e as permissões de grupo.
Além disso, foram apresentados 3 métodos para atribuir funções do Azure AD a usuários e grupos. O Método 1 envolveu a utilização da interface “Funções e administradores”, enquanto o Método 2 abordou a atribuição de funções a partir das interfaces de usuários e grupos.
Também consideramos o uso de associação de grupo dinâmico como o 3º método para atribuir funções do Azure AD aos usuários.
Ao compreender esses métodos e aproveitar o poder do Azure AD, os administradores atribuem e gerenciam eficientemente as funções para garantir acesso adequado e permissões para os usuários e grupos dentro de suas organizações.
Source:
https://infrasos.com/azure-ad-roles-and-permissions-assign-manage-roles-for-users-groups/