# Implementação do Privileged Identity Management (PIM) com o Portal RealmJoin ### Overview Este guia orienta você na implementação do Microsoft Entra ID Privileged Identity Management (PIM) para Groups com acesso administrativo ao RealmJoin Portal. O PIM fornece acesso administrativo just-in-time, reduzindo os riscos de segurança ao exigir que os usuários ativem suas funções privilegiadas quando necessário. Ao implementar o PIM com o RealmJoin, os administradores devem ativar explicitamente seus privilégios de administrador por um período de tempo definido, criando um trilho de auditoria e reduzindo a superfície de ataque do acesso administrativo persistente. ### Pré-requisitos * Licenciamento Microsoft Entra ID P2 para usuários que exigem acesso PIM * Permissões de Global Administrator ou Privileged Role Administrator * Acesso à configuração do RealmJoin Portal * Compreensão de Microsoft Entra ID Groups e atribuições de funções ### Etapas de implementação #### Etapa 1: Criar Groups atribuíveis a funções Crie dois grupos de segurança em Microsoft Entra ID. Embora o atributo "role-assignable" não seja mais um pré-requisito rígido, ele continua sendo recomendado para a funcionalidade ideal do PIM. **Grupo 1: Grupo de elegibilidade** * **Nome**: `sec - PIM-Eligibility - RealmJoin Portal - Admins` * **Finalidade**: Contém usuários elegíveis para acesso administrativo do RealmJoin * **Tipo**: Security Group * **Role-assignable**: Recomendado (Sim) **Grupo 2: Grupo de administradores ativos** * **Nome**: `sec - PIM-Enabled - RealmJoin Portal - Admins` * **Finalidade**: O grupo de destino que fornece as permissões administrativas reais do RealmJoin * **Tipo**: Security Group * **Role-assignable**: Recomendado (Sim) #### Etapa 2: Configurar o PIM para Groups **Ativar o PIM para Groups** 1. Navegue para **Microsoft Entra ID** > **Privileged Identity Management** 2. Selecione **Grupos** no painel de navegação à esquerda 3. Escolha **Discover groups** para identificar grupos elegíveis para gerenciamento do PIM 4. Selecione os grupos recém-criados para colocá-los sob o controle do PIM Para obter etapas detalhadas de configuração, consulte a documentação oficial da Microsoft: * [Visão geral do Privileged Identity Management (PIM) para Groups](https://learn.microsoft.com/en-us/entra/id-governance/privileged-identity-management/concept-pim-for-groups) * [Traga grupos para o Privileged Identity Management](https://learn.microsoft.com/en-us/entra/id-governance/privileged-identity-management/groups-discover-groups) **Configurar definições de grupo** 1. Definir duração de ativação (recomendado: 1 a 8 horas) 2. Configurar requisitos de aprovação, se necessário 3. Definir requisitos de ativação (MFA, justificativa de negócio) 4. Definir políticas de duração máxima de ativação #### Etapa 3: Atribuir elegibilidade Configure a elegibilidade do usuário para o grupo habilitado para PIM: 1. No PIM, navegue até **Grupos** > **Atribuições** 2. Selecione o `sec - PIM-Enabled - RealmJoin Portal - Admins` grupo 3. Escolha **Adicionar atribuições** 4. Selecione **Elegível** tipo de atribuição 5. Escolha usuários ou o grupo de elegibilidade (`sec - PIM-Eligibility - RealmJoin Portal - Admins`) 6. Defina a duração e o agendamento da atribuição conforme necessário Para obter orientação completa sobre atribuições, consulte: [Atribuir elegibilidade a um grupo no Privileged Identity Management](https://learn.microsoft.com/en-us/entra/id-governance/privileged-identity-management/groups-assign-member-owner) ### Lógica de configuração #### Fluxo de trabalho de gerenciamento de usuários 1. **Adicionar usuários ao grupo de elegibilidade**: Adicione contas de usuário a `sec - PIM-Eligibility - RealmJoin Portal - Admins` * Este grupo serve como a fonte de usuários que podem solicitar acesso administrativo * Os usuários neste grupo podem ativar a associação no grupo habilitado para PIM 2. **Configurar o RealmJoin Portal**: Defina `sec - PIM-Enabled - RealmJoin Portal - Admins` como o grupo administrativo nas definições do RealmJoin Portal * Somente os membros ativos deste grupo terão permissões de administrador * Os usuários devem ativar sua associação por meio do PIM para obter acesso #### Processo de ativação de acesso Quando os usuários precisarem de acesso administrativo ao RealmJoin: 1. O usuário navega até **My Access** portal ou interface PIM 2. Solicita a ativação da associação em `sec - PIM-Enabled - RealmJoin Portal - Admins` 3. Fornece justificativa de negócio (se necessário) 4. Conclui o desafio de MFA (se configurado) 5. Recebe acesso administrativo ao RealmJoin Portal por tempo limitado 6. O acesso expira automaticamente após a duração definida ### Benefícios de segurança * **Acesso just-in-Time**: Os privilégios de administrador são concedidos somente quando necessário * **Trilho de auditoria**: Todas as solicitações e aprovações de ativação são registradas * **Superfície de ataque reduzida**: Menos contas de administrador persistentes * **Conformidade**: Oferece suporte aos requisitos regulatórios para gerenciamento de acesso privilegiado * **Duração controlada**: O acesso de administrador expira automaticamente * **Fluxos de trabalho de aprovação**: Processos de aprovação opcionais para funções sensíveis ### Melhores práticas * **Revisões regulares de acesso**: Revise periodicamente as associações de grupo e as atribuições do PIM * **Duração adequada**: Defina os períodos de ativação com base na duração típica das tarefas administrativas * **Aplicação de MFA**: Sempre exija autenticação multifator para ativação * **Justificativa de negócio**: Exija que os usuários forneçam motivos para as solicitações de acesso * **Monitoramento**: Revise regularmente os logs de auditoria do PIM em busca de padrões incomuns de ativação * **Documentação**: Mantenha procedimentos claros para cenários de acesso de emergência ### Solução de problemas #### Problemas comuns * **Os usuários não conseguem ver a opção de ativação**: Verifique o licenciamento do PIM e as atribuições de grupo * **A ativação falha**: Verifique a configuração de MFA e a configuração do fluxo de trabalho de aprovação * **Acesso ao RealmJoin negado**: Confirme se o grupo correto está configurado nas definições do RealmJoin Portal #### Etapas de verificação 1. Teste o processo de ativação com um usuário piloto 2. Verifique se o RealmJoin Portal reconhece o grupo habilitado para PIM 3. Confirme se o registro de auditoria está funcionando corretamente 4. Teste os procedimentos de acesso de emergência ### Recursos adicionais * [Documentação do Microsoft Entra ID Governance](https://learn.microsoft.com/en-us/entra/id-governance/) * [PIM Best Practices](https://learn.microsoft.com/en-us/entra/id-governance/privileged-identity-management/pim-deployment-plan) * [Documentação do RealmJoin Portal](https://docs.realmjoin.com/) --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.realmjoin.com/pt/definicoes-do-realmjoin/permission/implementing-privileged-identity-management-pim-with-realmjoin-portal.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.