Gerenciar o acesso administrativo ao Copilot exige controle rigoroso para evitar violações de segurança. O Microsoft Entra Privileged Identity Management (PIM) oferece ativação de função com limite de tempo e aprovação para funções de administrador do Copilot. Sem o PIM, os administradores mantêm acesso permanente de alto privilégio, aumentando o risco se as credenciais forem comprometidas. Este artigo explica como configurar o PIM para governar funções de administrador do Copilot e impor acesso just-in-time.
Principais Conclusões: Governando Funções de Administrador do Copilot com PIM
- Centro de administração do Microsoft Entra > Identity Governance > Privileged Identity Management: Console central para configurar políticas de ativação de função para administradores do Copilot.
- Função Copilot Administrator no Microsoft Entra ID: Função alvo que requer aprovação de ativação e duração limitada quando gerenciada pelo PIM.
- Integração com contexto de autenticação do Conditional Access: Reforça a autenticação mais forte, como MFA resistente a phishing, durante a ativação da função de administrador do Copilot.
O que o Privileged Identity Management Faz para Funções de Administrador do Copilot
O Privileged Identity Management é um recurso do Microsoft Entra ID que permite acesso privilegiado just-in-time. Em vez de conceder funções permanentes de administrador do Copilot, você configura o PIM para que os usuários ativem a função por um tempo limitado. A ativação pode exigir aprovação de revisores designados e uma justificativa de negócio.
O PIM oferece dois tipos de atribuição para funções de administrador do Copilot: elegível e ativa. Uma atribuição elegível significa que o usuário não tem a função até ativá-la. Uma atribuição ativa concede a função permanentemente e ignora os controles do PIM. Para funções de administrador do Copilot, você deve usar atribuições elegíveis para impor segurança de privilégio mínimo.
A função Copilot Administrator no Microsoft Entra ID fornece permissões para gerenciar configurações do Copilot, fontes de dados e acesso de usuários no Microsoft 365. Quando você gerencia essa função pelo PIM, cada ativação é registrada no log de auditoria do Microsoft Entra. Isso fornece um registro completo de quem acessou os recursos de administrador do Copilot e quando.
Pré-requisitos para Usar o PIM com Funções de Administrador do Copilot
Antes de configurar o PIM, verifique se os seguintes requisitos são atendidos. Seu locatário deve ter licenças do Microsoft Entra ID P2 atribuídas a todos os usuários que gerenciarão ou ativarão funções de administrador do Copilot. Você precisa de pelo menos um usuário com a função Privileged Role Administrator para configurar as configurações do PIM. A função Copilot Administrator deve estar visível no diretório do Microsoft Entra ID. Se a função não estiver listada, verifique se as licenças do Copilot para Microsoft 365 estão atribuídas em seu locatário.
Passos para Configurar o PIM para a Função Copilot Administrator
Os passos a seguir orientam você na configuração do PIM para a função Copilot Administrator. Execute estas etapas no centro de administração do Microsoft Entra com uma conta que tenha a função Privileged Role Administrator.
- Abra o console do PIM
Entre no centro de administração do Microsoft Entra em entramicrosoft.com. Navegue até Identity Governance e selecione Privileged Identity Management. No menu do PIM, selecione Microsoft Entra roles. - Selecione a função Copilot Administrator
Na lista de funções, pesquise por Copilot Administrator. Clique no nome da função para abrir a página de configurações. - Configure as configurações de ativação da função
Clique em Settings. Em Activation, defina a duração máxima da ativação em horas. Um valor comum é 8 horas para um dia de trabalho padrão. Em Require justification on activation, selecione Yes. Em Require approval to activate, selecione Yes e adicione um ou mais aprovadores. Os aprovadores devem ser usuários com a função Privileged Role Administrator ou um grupo separado da equipe de segurança. - Configure as configurações de atribuição
Em Assignment, defina o tipo de atribuição como Eligible. Opcionalmente, defina uma atribuição elegível permanente ou especifique uma data de início e término para o período de elegibilidade. Para um controle mais rigoroso, use uma atribuição elegível com prazo determinado e data de expiração. - Adicione membros elegíveis
Clique em Add assignments. Pesquise o usuário ou grupo que precisa da função Copilot Administrator. Selecione Eligible no menu suspenso Assignment type. Clique em Add. - Revise e aplique as configurações
Clique em Update para salvar as configurações da função. Os membros elegíveis agora podem ativar a função Copilot Administrator através do portal de ativação do PIM.
Como os Usuários Ativam a Função Copilot Administrator
Após configurar o PIM, os usuários com atribuições elegíveis devem ativar a função antes de gerenciar as configurações do Copilot. O processo de ativação exige que o usuário forneça um motivo e, dependendo da configuração, aguarde aprovação.
- Abra o portal de ativação do PIM
O usuário entra no centro de administração do Microsoft Entra e navega até Identity Governance > Privileged Identity Management > My roles. Ele seleciona Microsoft Entra roles e vê a função Copilot Administrator listada em Eligible assignments. - Ative a função
O usuário clica em Activate ao lado da função Copilot Administrator. Ele insere a duração da ativação em horas e fornece uma justificativa no campo de texto. Se a aprovação for necessária, a solicitação é enviada aos aprovadores designados. - Aguarde a aprovação, se configurada
Os aprovadores recebem uma notificação por e-mail e podem aprovar ou negar a solicitação no console do PIM em Approve requests. Após a aprovação, o usuário é notificado e a função se torna ativa pelo período especificado. - Acesse as configurações de administrador do Copilot
Com a função ativa, o usuário pode navegar até o centro de administração do Microsoft 365 e gerenciar as configurações do Copilot, incluindo fontes de dados, plug-ins e permissões de usuário. A função é desativada automaticamente após o término da duração.
Problemas Comuns e Limitações do PIM para Funções de Administrador do Copilot
A Função Copilot Administrator Não Aparece no PIM
Se a função Copilot Administrator estiver ausente na lista de funções do PIM, verifique se seu locatário tem licenças do Copilot para Microsoft 365 atribuídas. A função só está disponível em locatários com assinaturas ativas do Copilot. Se as licenças estiverem presentes, aguarde até 24 horas para a função aparecer. Se ainda assim não aparecer, entre em contato com o suporte da Microsoft.
Solicitações de Aprovação de Ativação Não São Enviadas aos Aprovadores
Quando as solicitações de aprovação não são entregues, verifique se os aprovadores têm licenças do Microsoft Entra ID P2. Aprovadores sem licenças P2 não podem receber ou processar solicitações de aprovação. Verifique também se os aprovadores não estão excluídos por alguma política de Conditional Access que bloqueie notificações relacionadas ao PIM.
Usuários Não Conseguem Ativar a Função Após a Aprovação
Se um usuário receber aprovação, mas não conseguir ativar a função, a causa mais comum é uma política de Conditional Access que exige autenticação multifator. O usuário deve concluir o MFA durante o processo de ativação. Certifique-se de que o usuário esteja registrado para MFA no perfil do Microsoft Entra ID.
O PIM Não Registra Atividades de Administrador do Copilot
O PIM registra eventos de ativação de função, não as ações realizadas após a ativação. Para auditar o que um administrador faz com a função Copilot Administrator, você deve habilitar o log de auditoria do Microsoft 365. Vá para o portal de conformidade do Microsoft Purview e ative a pesquisa de log de auditoria. Em seguida, use o log de auditoria para pesquisar atividades de administrador relacionadas ao Copilot.
PIM para Funções de Administrador do Copilot vs Atribuição de Função Permanente
| Item | PIM com Atribuição Elegível | Atribuição Ativa Permanente |
|---|---|---|
| Duração do acesso | Limitada ao período de ativação configurado | Sempre ativo, sem expiração |
| Exigência de aprovação | Pode exigir um ou mais aprovadores | Nenhuma aprovação necessária |
| Justificativa | Usuário deve fornecer motivo para ativação | Nenhuma justificativa necessária |
| Trilha de auditoria | Histórico completo de ativação nos logs do PIM | Nenhum evento de ativação para auditar |
| Risco de segurança | Menor devido ao acesso com limite de tempo | Maior devido ao acesso privilegiado permanente |
| Experiência do usuário | Usuário deve ativar a função antes de tarefas administrativas | Usuário tem acesso imediato |
Atribuições ativas permanentes ignoram todos os controles do PIM. Use atribuições permanentes apenas para contas de emergência que precisam de acesso imediato em situações críticas. Para todos os outros administradores do Copilot, use o PIM com atribuições elegíveis.
Agora você pode configurar o PIM para impor acesso just-in-time para a função Copilot Administrator em seu locatário. Comece atribuindo membros elegíveis e definindo requisitos de aprovação de ativação. Para maior segurança, integre a ativação do PIM com uma política de Conditional Access que exija MFA resistente a phishing.