Tags: PIM · Entra ID · Privileged Access · RBAC · Zero Trust · Just-in-Time

Por Duarte Spínola · 2 de Julho de 2026

Privileged Identity Management: Administrar Acesso Privilegiado no Entra ID em 2026

O Privileged Identity Management (PIM) do Microsoft Entra ID permite gerir, controlar e monitorizar o acesso privilegiado na organização. Em vez de atribuir permanentemente roles de administrador, o PIM ativa roles just-in-time, com tempo limite, aprovação e auditoria. Este guia cobre configuração completa, baseada na documentação oficial Microsoft.

Para complementar a segurança de identidade, consulta os artigos sobre Microsoft Entra MFA, Zero Trust para PMEs, Segurança Active Directory e Defender para Endpoint.

Conteúdos

1. O Que é o PIM e Porquê Usar

O problema: muitos administradores têm permissões permanentes (Global Admin, Exchange Admin, etc.) mesmo quando não as usam no dia-a-dia. Uma conta comprometida com Global Admin permanente dá ao atacante acesso total e imediato ao tenant.

O PIM resolve este problema com o conceito Just-In-Time (JIT): as roles só são activadas quando necessárias, por um período limitado, com justificacao e auditoria.

Aspecto Sem PIM Com PIM
Atribuicao da role Permanente Eligível (activada quando necessária)
Duracao Indefinida Limitada (ex: 4 horas)
Aprovacao Não Opcional (aprovador designado)
MFA Depende da policy Obrigatório na activação
Justificacao Não Obrigatória (ticket, razao)
Auditoria Limitada Completa (quem, quando, porque)
Risco de conta comprometida Alto (acesso imediato) Baixo (acesso só durante activação)

💡 Dica: O PIM é uma das controlo-mitigações mais eficazes contra ataques de phishing e credential stuffing. Mesmo que um atacante roube a password de um admin, não pode ativar a role sem MFA adicional e justificacao.

2. Requisitos e Licenciamento

O PIM requer uma das seguintes licencas:

  • Microsoft Entra ID P2 — inclui PIM para roles Entra ID e roles Azure
  • Microsoft Entra ID Governance — add-on para P1
  • Microsoft 365 E5 — inclui Entra ID P2
  • Microsoft 365 E3 + Security add-on — inclui Entra ID P2

Para PMEs sem E5, o Microsoft Entra ID P2 standalone custa ~9€/utilizador/mês. Mas só precisas de licenca para os utilizadores que gerem o PIM e os que são eligíveis para roles privilegiadas — não para todos os utilizadores do tenant.

3. Configurar PIM no Entra ID

ativar PIM

# Passo 1: No Entra ID admin center
# 1. Aceder a https://entra.microsoft.com
# 2. Identity > Governance > Privileged Identity Management
# 3. Concordar com os termos (primeira vez)

# Passo 2: Verificar permissões
# Precisas de ser Global Admin ou Privileged Role Administrator

# Passo 3: Converter administradores permanentes em elegíveis
# Identity > Governance > PIM > Entra ID roles > Roles
# 1. Seleccionar "Quick start" > "Discover privileged roles"
# 2. Ver lista de admins permanentes
# 3. Para cada admin: "Make eligible" (em vez de permanente)

Configurar uma Role como Eligível

# No portal Entra ID:
# Identity > Governance > PIM > Entra ID roles > Roles

# 1. Seleccionar a role (ex: Exchange Administrator)
# 2. Clicar "Add assignment"
# 3. Seleccionar:
#    - Member: utilizador ou grupo
#    - Assignment type: Eligible
#    - Duration: Permanent (fica elegível indefinidamente,
#      mas só ativa quando solicitado)
# 4. Clicar "Assign"

# Para configurar duracao máxima de activação:
# Role settings > Exchange Administrator > Edit
#   - Activation maximum duration: 4 hours
#   - Require MFA on activation: Yes
#   - Require justification: Yes
#   - Require ticket information: Yes (opcional)
#   - Require approval to activate: Yes (opcional)
#   - Approver: IT Manager

4. Roles Entra ID vs Roles Azure

O PIM gere dois tipos de roles:

Tipo Exemplos Scope
Entra ID roles Global Admin, User Admin, Exchange Admin, Intune Admin Tenant Entra ID
Azure roles Owner, Contributor, Reader, Virtual Machine Contributor Subscricoes / Resource Groups Azure

As roles Entra ID controlam acesso aos servicos Microsoft 365 (Exchange, SharePoint, Teams, Intune). As roles Azure controlam acesso aos recursos cloud (VMs, redes, storage). O PIM gere ambos.

5. ativar uma Role Just-in-Time

Quando um administrador precisa de uma role, segue este fluxo:

# Fluxo de activação de role:

# 1. Aceder a https://entra.microsoft.com
# 2. Identity > Governance > PIM > My roles
# 3. Seleccionar "Entra ID roles"
# 4. Clicar "Activate" na role desejada
# 5. Preencher:
#    - Duration: 4 hours (máximo configurado)
#    - Justification: "Configurar novo utilizador no Exchange"
#    - Ticket: "INC12345" (se obrigatório)
# 6. Verificar identidade com MFA (push notification ou código)
# 7. Se aprovação necessária: aguardar aprovador
# 8. Após aprovação, role está ativa durante o período definido

# Durante a activação, o utilizador tem permissões completas da role.
# Após expirar, as permissões são automaticamente removidas.

# Verificar roles actualmente ativas:
# PIM > My roles > Active assignments

💡 Dica: Se precisares de prolongar a activação, podes reactivar a role. Mas cada activação gera um evento de auditoria. Para tarefas longas, configura duracao máxima maior (ex: 8 horas) para a role específica.

6. Configurar Aprovacoes

# Configurar aprovador para uma role:

# No portal Entra ID:
# Identity > Governance > PIM > Entra ID roles > Role settings

# 1. Seleccionar a role (ex: Global Administrator)
# 2. Clicar "Edit" em cada secção:
#    - Activation max duration: 2 hours
#    - Require MFA: Yes
#    - Require justification: Yes
#    - Require ticket info: Yes
#    - Require approval: Yes
#    - Approvers: selecionar 1 ou mais utilizadores
# 3. Clicar "Save"

# O aprovador recebe notificação (email + portal) quando:
# - Alguem solicita activação da role
# - Pode aprovar ou recusar
# - Aprovacao pode ser feita via:
#    - Portal Entra ID
#    - Email (link directo)
#    - Microsoft Teams (se configurado)

7. Alertas e notificações

O PIM gera alertas automáticos para actividades suspeitas:

# Tipos de alertas PIM:
# 1. "Administradores elegíveis sem MFA" — utilizadores elegíveis sem MFA configurado
# 2. "Roles activadas fora de horario" — ativações fora do horario normal
# 3. "Administradores permanentes" — admins ainda permanentes (devem ser elegíveis)
# 4. "Roles activadas demasiado frequentemente" — possivel abuso
# 5. "Novas atribuições de roles" — admins recentemente adicionados

# Configurar destinatários de alertas:
# PIM > Entra ID roles > Alerts > Settings
# - Email recipients: [email protected]
# - Weekly digest: Enabled
# - Alert on activation outside business hours: Enabled

8. Auditoria e Relatorios

# No portal:
# PIM > Entra ID roles > Audit history

# Relatorios disponíveis:
# 1. "Role activation history" — quem activou, quando, porque
# 2. "Eligible assignment history" — atribuições de elegibilidade
# 3. "Alerts history" — alertas gerados
# 4. "Access review history" — resultados de reviews

# Exportar relatório:
# 1. Seleccionar período (ex: últimos 30 dias)
# 2. Clicar "Export to CSV"
# 3. O CSV contém: Date, User, Role, Action, Justification, Ticket

9. Access Reviews Periódicas

O PIM permite criar Access Reviews periódicas — revisões obrigatórias onde os gestores confirmam que cada utilizador ainda precisa de acesso privilegiado:

# Criar Access Review:
# Identity > Governance > PIM > Entra ID roles > Access reviews

# 1. Clicar "New"
# 2. Configurar:
#    - Review name: "Revisao Trimestral Admins Q3 2026"
#    - Frequency: Quarterly
#    - Start date: 1 Out 2026
#    - Duration: 7 days
#    - Reviewers: IT Manager
#    - Scope: All eligible assignments
# 3. Em "Upon completion":
#    - Auto-apply: Remove access for denied users
#    - Notify: [email protected]
# 4. Clicar "Create"

# O revisor recebe email com lista de utilizadores elegíveis.
# Para cada um, pode: Approve, Deny, ou Don't know.
# Users denied são automaticamente removidos da elegibilidade.

10. Gerir PIM com PowerShell

# Instalar módulo Microsoft Graph
Install-Module Microsoft.Graph -Scope CurrentUser

# Ligar com permissões necessárias
Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory","PrivilegedAccess.ReadWrite.AzureAD"

# Listar todas as atribuições elegíveis
Get-MgRoleManagementDirectoryRoleEligibleScheduleInstance -All |
  Select-Object PrincipalId, RoleId, StartDateTime, EndDateTime

# Converter admin permanente em elegível
$userId = (Get-MgUser -Filter "displayName eq 'Joao Silva'").Id
$roleId = (Get-MgDirectoryRole -Filter "displayName eq 'Exchange Administrator'").Id

$params = @{
    PrincipalId = $userId
    RoleDefinitionId = $roleId
    Justification = "Conversao de permanente para elegível"
    ScheduleInfo = @{
        StartDateTime = (Get-Date).ToString("o")
        Expiration = @{
            Type = "NoExpiration"
        }
    }
}

New-MgRoleManagementDirectoryRoleEligibilityScheduleRequest -BodyParameter $params

# Listar ativações recentes
Get-MgRoleManagementDirectoryRoleAssignmentScheduleInstance -All |
  Where-Object { $_.AssignmentType -eq "Activated" } |
  Select-Object PrincipalId, RoleId, StartDateTime, EndDateTime |
  Sort-Object StartDateTime -Descending |
  Select-Object -First 20

11. Cenário Prático PME

Para uma PME com 50 utilizadores, 3 sysadmins e Entra ID P2:

Role Permanente Elegível PIM Duração máx
Global Admin 1 (Break Glass) 2 sysadmins 2 horas, aprovação
Intune Admin 0 3 sysadmins 8 horas
Exchange Admin 0 2 sysadmins 4 horas
User Admin 0 3 sysadmins 4 horas
Security Reader 3 (todos) Permanente (read-only)

O único Global Admin permanente é a conta Break Glass — guardada em cofre, usada apenas em emergências.

12. Boas Práticas

  • Zero admins permanentes — excepto conta Break Glass de emergência
  • MFA obrigatório em todas as ativações de roles privilegiadas
  • Aprovacao para Global Admin — pelo menos 1 aprovador
  • Access Reviews trimestrais — confirmar que elegíveis ainda precisam
  • Justificacao obrigatória — ticket do sistema de helpdesk
  • Duracao curta — 2-4 horas para roles críticas, 8 horas para operacionais
  • Monitorizar alertas — ativações fora de horario, frequência anormal
  • Contas Break Glass — 2 contas, passwords complexas, guardadas em cofre, monitorizadas
  • Princípio do menor privilégio — usar roles específicas (Exchange Admin) em vez de Global Admin
  • Conditional Access — combinar com PIM para restringir ativações a dispositivos conformes

13. Checklist de Implementação

  • ☐ Verificar licenciamento Entra ID P2
  • ☐ ativar PIM no portal Entra ID
  • ☐ Converter admins permanentes em elegíveis
  • ☐ Criar 2 contas Break Glass (permanentemente Global Admin)
  • ☐ Guardar credenciais Break Glass em cofre seguro
  • ☐ Configurar duracao máxima por role
  • ☐ ativar MFA obrigatório na activação
  • ☐ ativar justificacao obrigatória
  • ☐ Configurar aprovadores para Global Admin
  • ☐ Configurar alertas por email
  • ☐ Criar Access Review trimestral
  • ☐ Formar sysadmins no fluxo de activação
  • ☐ Documentar procedimento Break Glass
  • ☐ Monitorizar auditoria semanalmente
  • ☐ Rever elegíveis trimestralmente

Artigos Relacionados

Baseado na documentação oficial Microsoft sobre Privileged Identity Management. Licenca: CC BY-SA 4.0.

← Voltar ao Índice

Este artigo foi útil?

Duarte Spínola

Deixe um Comentário