Tags: PIM · Entra ID · Privileged Access · RBAC · Zero Trust · Just-in-Time
Por Duarte Spínola · 2 de Julho de 2026
Privileged Identity Management: Administrar Acesso Privilegiado no Entra ID em 2026
O Privileged Identity Management (PIM) do Microsoft Entra ID permite gerir, controlar e monitorizar o acesso privilegiado na organização. Em vez de atribuir permanentemente roles de administrador, o PIM activa roles just-in-time, com tempo limite, aprovação e auditoria. Este guia cobre configuração completa, baseada na documentação oficial Microsoft.
Para complementar a segurança de identidade, consulta os artigos sobre Microsoft Entra MFA, Zero Trust para PMEs, Segurança Active Directory e Defender para Endpoint.
Conteúdos
- 1. O Que é o PIM e Porquê Usar
- 2. Requisitos e Licenciamento
- 3. Configurar PIM no Entra ID
- 4. Roles Entra ID vs Roles Azure
- 5. Activar uma Role Just-in-Time
- 6. Configurar Aprovacoes
- 7. Alertas e Notificacoes
- 8. Auditoria e Relatorios
- 9. Access Reviews Periódicas
- 10. Gerir PIM com PowerShell
- 11. Cenário Prático PME
- 12. Boas Práticas
- 13. Checklist de Implementação
1. O Que é o PIM e Porquê Usar
O problema: muitos administradores têm permissões permanentes (Global Admin, Exchange Admin, etc.) mesmo quando não as usam no dia-a-dia. Uma conta comprometida com Global Admin permanente dá ao atacante acesso total e imediato ao tenant.
O PIM resolve este problema com o conceito Just-In-Time (JIT): as roles só são activadas quando necessárias, por um período limitado, com justificacao e auditoria.
| Aspecto | Sem PIM | Com PIM |
|---|---|---|
| Atribuicao da role | Permanente | Eligível (activada quando necessária) |
| Duracao | Indefinida | Limitada (ex: 4 horas) |
| Aprovacao | Nao | Opcional (aprovador designado) |
| MFA | Depende da policy | Obrigatório na activação |
| Justificacao | Nao | Obrigatória (ticket, razao) |
| Auditoria | Limitada | Completa (quem, quando, porque) |
| Risco de conta comprometida | Alto (acesso imediato) | Baixo (acesso só durante activação) |
💡 Dica: O PIM é uma das controlo-mitigações mais eficazes contra ataques de phishing e credential stuffing. Mesmo que um atacante roube a password de um admin, não pode activar a role sem MFA adicional e justificacao.
2. Requisitos e Licenciamento
O PIM requer uma das seguintes licencas:
- Microsoft Entra ID P2 — inclui PIM para roles Entra ID e roles Azure
- Microsoft Entra ID Governance — add-on para P1
- Microsoft 365 E5 — inclui Entra ID P2
- Microsoft 365 E3 + Security add-on — inclui Entra ID P2
Para PMEs sem E5, o Microsoft Entra ID P2 standalone custa ~9€/utilizador/mês. Mas só precisas de licenca para os utilizadores que gerem o PIM e os que são eligíveis para roles privilegiadas — não para todos os utilizadores do tenant.
3. Configurar PIM no Entra ID
Activar PIM
# Passo 1: No Entra ID admin center
# 1. Aceder a https://entra.microsoft.com
# 2. Identity > Governance > Privileged Identity Management
# 3. Concordar com os termos (primeira vez)
# Passo 2: Verificar permissões
# Precisas de ser Global Admin ou Privileged Role Administrator
# Passo 3: Converter administradores permanentes em elegíveis
# Identity > Governance > PIM > Entra ID roles > Roles
# 1. Seleccionar "Quick start" > "Discover privileged roles"
# 2. Ver lista de admins permanentes
# 3. Para cada admin: "Make eligible" (em vez de permanente)
Configurar uma Role como Eligível
# No portal Entra ID:
# Identity > Governance > PIM > Entra ID roles > Roles
# 1. Seleccionar a role (ex: Exchange Administrator)
# 2. Clicar "Add assignment"
# 3. Seleccionar:
# - Member: utilizador ou grupo
# - Assignment type: Eligible
# - Duration: Permanent (fica elegível indefinidamente,
# mas só activa quando solicitado)
# 4. Clicar "Assign"
# Para configurar duracao máxima de activação:
# Role settings > Exchange Administrator > Edit
# - Activation maximum duration: 4 hours
# - Require MFA on activation: Yes
# - Require justification: Yes
# - Require ticket information: Yes (opcional)
# - Require approval to activate: Yes (opcional)
# - Approver: IT Manager
4. Roles Entra ID vs Roles Azure
O PIM gere dois tipos de roles:
| Tipo | Exemplos | Scope |
|---|---|---|
| Entra ID roles | Global Admin, User Admin, Exchange Admin, Intune Admin | Tenant Entra ID |
| Azure roles | Owner, Contributor, Reader, Virtual Machine Contributor | Subscricoes / Resource Groups Azure |
As roles Entra ID controlam acesso aos servicos Microsoft 365 (Exchange, SharePoint, Teams, Intune). As roles Azure controlam acesso aos recursos cloud (VMs, redes, storage). O PIM gere ambos.
5. Activar uma Role Just-in-Time
Quando um administrador precisa de uma role, segue este fluxo:
# Fluxo de activação de role:
# 1. Aceder a https://entra.microsoft.com
# 2. Identity > Governance > PIM > My roles
# 3. Seleccionar "Entra ID roles"
# 4. Clicar "Activate" na role desejada
# 5. Preencher:
# - Duration: 4 hours (máximo configurado)
# - Justification: "Configurar novo utilizador no Exchange"
# - Ticket: "INC12345" (se obrigatório)
# 6. Verificar identidade com MFA (push notification ou código)
# 7. Se aprovação necessária: aguardar aprovador
# 8. Após aprovação, role está activa durante o período definido
# Durante a activação, o utilizador tem permissões completas da role.
# Após expirar, as permissões são automaticamente removidas.
# Verificar roles actualmente activas:
# PIM > My roles > Active assignments
💡 Dica: Se precisares de prolongar a activação, podes reactivar a role. Mas cada activação gera um evento de auditoria. Para tarefas longas, configura duracao máxima maior (ex: 8 horas) para a role específica.
6. Configurar Aprovacoes
# Configurar aprovador para uma role:
# No portal Entra ID:
# Identity > Governance > PIM > Entra ID roles > Role settings
# 1. Seleccionar a role (ex: Global Administrator)
# 2. Clicar "Edit" em cada secção:
# - Activation max duration: 2 hours
# - Require MFA: Yes
# - Require justification: Yes
# - Require ticket info: Yes
# - Require approval: Yes
# - Approvers: selecionar 1 ou mais utilizadores
# 3. Clicar "Save"
# O aprovador recebe notificação (email + portal) quando:
# - Alguem solicita activação da role
# - Pode aprovar ou recusar
# - Aprovacao pode ser feita via:
# - Portal Entra ID
# - Email (link directo)
# - Microsoft Teams (se configurado)
7. Alertas e Notificacoes
O PIM gera alertas automáticos para actividades suspeitas:
# Tipos de alertas PIM:
# 1. "Administradores elegíveis sem MFA" — utilizadores elegíveis sem MFA configurado
# 2. "Roles activadas fora de horario" — activacoes fora do horario normal
# 3. "Administradores permanentes" — admins ainda permanentes (devem ser elegíveis)
# 4. "Roles activadas demasiado frequentemente" — possivel abuso
# 5. "Novas atribuições de roles" — admins recentemente adicionados
# Configurar destinatários de alertas:
# PIM > Entra ID roles > Alerts > Settings
# - Email recipients: [email protected]
# - Weekly digest: Enabled
# - Alert on activation outside business hours: Enabled
8. Auditoria e Relatorios
# No portal:
# PIM > Entra ID roles > Audit history
# Relatorios disponíveis:
# 1. "Role activation history" — quem activou, quando, porque
# 2. "Eligible assignment history" — atribuições de elegibilidade
# 3. "Alerts history" — alertas gerados
# 4. "Access review history" — resultados de reviews
# Exportar relatório:
# 1. Seleccionar período (ex: últimos 30 dias)
# 2. Clicar "Export to CSV"
# 3. O CSV contém: Date, User, Role, Action, Justification, Ticket
9. Access Reviews Periódicas
O PIM permite criar Access Reviews periódicas — revisões obrigatórias onde os gestores confirmam que cada utilizador ainda precisa de acesso privilegiado:
# Criar Access Review:
# Identity > Governance > PIM > Entra ID roles > Access reviews
# 1. Clicar "New"
# 2. Configurar:
# - Review name: "Revisao Trimestral Admins Q3 2026"
# - Frequency: Quarterly
# - Start date: 1 Out 2026
# - Duration: 7 days
# - Reviewers: IT Manager
# - Scope: All eligible assignments
# 3. Em "Upon completion":
# - Auto-apply: Remove access for denied users
# - Notify: [email protected]
# 4. Clicar "Create"
# O revisor recebe email com lista de utilizadores elegíveis.
# Para cada um, pode: Approve, Deny, ou Don't know.
# Users denied são automaticamente removidos da elegibilidade.
10. Gerir PIM com PowerShell
# Instalar módulo Microsoft Graph
Install-Module Microsoft.Graph -Scope CurrentUser
# Ligar com permissões necessárias
Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory","PrivilegedAccess.ReadWrite.AzureAD"
# Listar todas as atribuições elegíveis
Get-MgRoleManagementDirectoryRoleEligibleScheduleInstance -All |
Select-Object PrincipalId, RoleId, StartDateTime, EndDateTime
# Converter admin permanente em elegível
$userId = (Get-MgUser -Filter "displayName eq 'Joao Silva'").Id
$roleId = (Get-MgDirectoryRole -Filter "displayName eq 'Exchange Administrator'").Id
$params = @{
PrincipalId = $userId
RoleDefinitionId = $roleId
Justification = "Conversao de permanente para elegível"
ScheduleInfo = @{
StartDateTime = (Get-Date).ToString("o")
Expiration = @{
Type = "NoExpiration"
}
}
}
New-MgRoleManagementDirectoryRoleEligibilityScheduleRequest -BodyParameter $params
# Listar activacoes recentes
Get-MgRoleManagementDirectoryRoleAssignmentScheduleInstance -All |
Where-Object { $_.AssignmentType -eq "Activated" } |
Select-Object PrincipalId, RoleId, StartDateTime, EndDateTime |
Sort-Object StartDateTime -Descending |
Select-Object -First 20
11. Cenário Prático PME
Para uma PME com 50 utilizadores, 3 sysadmins e Entra ID P2:
| Role | Permanente | Elegível PIM | Duração máx |
|---|---|---|---|
| Global Admin | 1 (Break Glass) | 2 sysadmins | 2 horas, aprovação |
| Intune Admin | 0 | 3 sysadmins | 8 horas |
| Exchange Admin | 0 | 2 sysadmins | 4 horas |
| User Admin | 0 | 3 sysadmins | 4 horas |
| Security Reader | 3 (todos) | — | Permanente (read-only) |
O único Global Admin permanente é a conta Break Glass — guardada em cofre, usada apenas em emergências.
12. Boas Práticas
- Zero admins permanentes — excepto conta Break Glass de emergência
- MFA obrigatório em todas as activacoes de roles privilegiadas
- Aprovacao para Global Admin — pelo menos 1 aprovador
- Access Reviews trimestrais — confirmar que elegíveis ainda precisam
- Justificacao obrigatória — ticket do sistema de helpdesk
- Duracao curta — 2-4 horas para roles críticas, 8 horas para operacionais
- Monitorizar alertas — activacoes fora de horario, frequência anormal
- Contas Break Glass — 2 contas, passwords complexas, guardadas em cofre, monitorizadas
- Princípio do menor privilégio — usar roles específicas (Exchange Admin) em vez de Global Admin
- Conditional Access — combinar com PIM para restringir activacoes a dispositivos conformes
13. Checklist de Implementação
- ☐ Verificar licenciamento Entra ID P2
- ☐ Activar PIM no portal Entra ID
- ☐ Converter admins permanentes em elegíveis
- ☐ Criar 2 contas Break Glass (permanentemente Global Admin)
- ☐ Guardar credenciais Break Glass em cofre seguro
- ☐ Configurar duracao máxima por role
- ☐ Activar MFA obrigatório na activação
- ☐ Activar justificacao obrigatória
- ☐ Configurar aprovadores para Global Admin
- ☐ Configurar alertas por email
- ☐ Criar Access Review trimestral
- ☐ Formar sysadmins no fluxo de activação
- ☐ Documentar procedimento Break Glass
- ☐ Monitorizar auditoria semanalmente
- ☐ Rever elegíveis trimestralmente
Artigos Relacionados
- Microsoft Entra MFA: Autenticacao Multifactor
- Zero Trust para PMEs: Os 5 Pilares NIST
- Segurança Active Directory: Escalação de Privilégios
- Microsoft Defender para Endpoint em PMEs
- BitLocker com Entra ID Join
Baseado na documentação oficial Microsoft sobre Privileged Identity Management. Licenca: CC BY-SA 4.0.
