Controlar o acesso para aplicativos no seu ambiente

O Microsoft Entra ID Governance permite que você equilibre a necessidade de segurança e produtividade dos funcionários da sua organização com os processos e a visibilidade certas. Seus recursos asseguram o acesso certo das pessoas certas na hora certa aos recursos certos na sua organização.

Organizações com requisitos de conformidade ou planos de gerenciamento de riscos têm aplicativos confidenciais ou comercialmente críticos. A confidencialidade do aplicativo pode ser baseada na finalidade ou nos dados que ele contém, como informações financeiras ou pessoais dos clientes da organização. Para esses aplicativos, apenas um subconjunto de todos os usuários da organização terá o acesso autorizado, e o acesso só será permitido com base nos requisitos de negócios documentados. Como parte dos controles da sua organização para gerenciar o acesso, você pode usar os recursos do Microsoft Entra para:

• configurar o acesso apropriado
• provisionar usuários a aplicativos
• impor verificações de acesso
• produzir relatórios para demonstrar como esses controles estão sendo usados para cumprir seus objetivos de conformidade e gerenciamento de riscos.

Além do cenário de governança de acesso ao aplicativo, você também pode usar o Microsoft Entra ID Governance e outros recursos do Microsoft Entra para diferentes cenários, como verificar e remover usuários de outras organizações ou gerenciar usuários excluídos das políticas de Acesso Condicional. Se sua organização tiver vários administradores no ID do Microsoft Entra ou no Azure, usar gerenciamento B2B ou de grupo de autoatendimento, você deverá planejar uma implantação de revisões de acesso para esses cenários.

Requisitos de licença

O uso desse recurso requer licenças do Microsoft Entra ID Governance. Para encontrar a licença certa para seus requisitos, confira Conceitos básicos de licenciamento do Microsoft Entra ID Governance.

Introdução ao controle do acesso a aplicativos

O Microsoft Entra ID Governance pode ser integrado a muitos aplicativos, usando padrões como OpenID Connect, SAML, SCIM, SQL e LDAP. Por meio desses padrões, você pode usar o ID do Microsoft Entra com muitos aplicativos SaaS populares, aplicativos locais e aplicativos que sua organização desenvolveu. Depois de preparar seu ambiente do Microsoft Entra, conforme descrito na seção abaixo, o plano de três etapas aborda como conectar um aplicativo à ID do Microsoft Entra e habilitar recursos de governança de identidade a serem usados para esse aplicativo.

1. Definir as políticas da sua organização para controlar o acesso ao aplicativo
2. Integre o aplicativo com o Microsoft Entra ID para garantir que apenas usuários autorizados possam acessar o aplicativo e revise o acesso existente do usuário ao aplicativo para definir uma linha de base de todos os usuários que foram revisados. Isso permite autenticação e provisionamento de usuário
3. Implante essas políticas para controlar o SSO (logon único) e automatizar atribuições de acesso para esse aplicativo

Pré-requisitos antes de configurar o Microsoft Entra ID e o Microsoft Entra ID Governance para governança de identidade

Antes de iniciar o processo de controle do acesso ao aplicativo com o Microsoft Entra ID Governance, você deve verificar se o ambiente do Microsoft Entra está configurado adequadamente.

• Verifique se o ambiente do ID do Microsoft Entra e do Microsoft Online Services está pronto para os requisitos de conformidade para que os aplicativos sejam integrados e licenciados corretamente. A conformidade é uma responsabilidade compartilhada entre a Microsoft, os CSPs (provedores de serviços de nuvem) e as organizações. Para usar o ID do Microsoft Entra para controlar o acesso a aplicativos, você deve ter uma das seguintes combinações de licença em seu locatário:

  • ID do Microsoft Entra Governance e seu pré-requisito, P1 do ID do Microsoft Entra
  • Upgrade do ID do Microsoft Entra Governance para o P2 do ID do Microsoft Entra e seu pré-requisito, P2 do ID do Microsoft Entra ou Enterprise Mobility + Security (EMS) E5

  Seu locatário precisa ter pelo menos o número de licenças correspondente ao de usuários membros (não convidados) que são governados, incluindo aqueles que têm ou podem solicitar acesso, aprovar ou examinar o acesso aos aplicativos. Com uma licença apropriada para esses usuários, você pode controlar o acesso a até 1.500 aplicativos por usuário.

• Se você estiver controlando o acesso do convidado ao aplicativo, vincule seu locatário do Microsoft Entra a uma assinatura para cobrança de MAU. Essa etapa é necessária para obter uma solicitação de convidado ou examinar seu acesso. Para obter mais informações, consulte modelo de cobrança para ID externa do Microsoft Entra.

• Verifique se o ID do Microsoft Entra já está enviando seu log de auditoria e, opcionalmente, outros logs para o Azure Monitor. O Azure Monitor é opcional, mas é útil para controlar o acesso a aplicativos, pois o Microsoft Entra armazena eventos de auditoria por até 30 dias em seu log de auditoria. Você pode manter os dados de auditoria por mais tempo do que o período de retenção padrão, descrito em Por quanto tempo o ID do Microsoft Entra armazena dados de relatório? e usar pastas de trabalho do Azure Monitor e consultas e relatórios personalizados sobre dados de auditoria histórica. Você pode verificar a configuração do Microsoft Entra para ver se ele está usando o Azure Monitor, em ID do Microsoft Entra no centro de administração do Microsoft Entra, clicando em Pastas de trabalho. Se essa integração não estiver configurada e você tiver uma assinatura do Azure e estiver nas funções Global Administrator ou Security Administrator, poderá configurar o ID do Microsoft Entra para usar o Azure Monitor.

• Verifique se apenas os usuários autorizados estão nas funções administrativas altamente privilegiadas em seu locatário do Microsoft Entra. Os administradores nas funções de Administrador Global, Administrador de Governança de Identidade, Administrador de Usuários, Administrador de Aplicativos, Administrador de Aplicativos de Nuvem e Administrador de Funções com Privilégios podem alterar usuários e atribuições de função do aplicativo. Se as associações dessas funções não tiverem sido verificadas recentemente, você precisará de um usuário que esteja na função de Administrador Global ou Administrador de Funções com Privilégios para garantir que a verificação de acesso dessas funções de diretório seja iniciada. Você também deve garantir que os usuários em funções do Azure em assinaturas que contêm o Azure Monitor, Aplicativos Lógicos e outros recursos necessários para a operação de sua configuração do Microsoft Entra tenham sido revisados.

• Verifique se o locatário tem o isolamento apropriado. Se sua organização estiver usando o Active Directory local e esses domínios do AD estiverem conectados à ID do Microsoft Entra, você precisará garantir que as operações administrativas altamente privilegiadas para serviços hospedados na nuvem sejam isoladas das contas locais. Verifique se você configurou seus sistemas para proteger seu ambiente de nuvem do Microsoft 365 contra comprometimentos locais.

Depois de verificar se o ambiente do Microsoft Entra está pronto, prossiga para definir as políticas de governança para seus aplicativos.

Próximas etapas

• Definir políticas de governança
• Integrar um aplicativo com o ID do Microsoft Entra
• Implantar políticas de governança