Usar a Governança de ID do Microsoft Entra para revisar e remover usuários externos que não têm mais acesso a recursos

  • Artigo

Este artigo descreve recursos e métodos que permitem identificar e selecionar identidades externas para que você possa revisá-las e removê-las da ID do Microsoft Entra se não forem mais necessárias. A nuvem torna mais fácil do que nunca colaborar com utilizadores internos ou externos. Ao adotar o Office 365, as organizações começam a ver a proliferação de identidades externas (incluindo convidados), à medida que os usuários trabalham juntos em dados, documentos ou espaços de trabalho digitais, como o Teams. As organizações precisam equilibrar, permitir a colaboração e atender aos requisitos de segurança e governança. Parte desses esforços deve incluir avaliar e limpar usuários externos, que foram convidados para colaboração em seu locatário, originários de organizações parceiras e removê-los da sua ID do Microsoft Entra quando não forem mais necessários.

Nota

É necessária uma licença válida do Microsoft Entra ID P2 ou Microsoft Entra ID Governance, Enterprise Mobility + Security E5 paga ou de avaliação para utilizar as análises de acesso do Microsoft Entra. Para obter mais informações, consulte Edições do Microsoft Entra.

Por que analisar usuários de organizações externas em seu locatário?

Na maioria das organizações, os usuários finais iniciam o processo de convidar parceiros de negócios e fornecedores para colaboração. A necessidade de colaborar leva as organizações a fornecer aos proprietários de recursos e usuários finais uma maneira de avaliar e atestar usuários externos regularmente. Muitas vezes, o processo de integração de novos parceiros de colaboração é planejado e contabilizado, mas com muitas colaborações não tendo uma data de término clara, nem sempre é óbvio quando um usuário não precisa mais de acesso. Além disso, o gerenciamento do ciclo de vida da identidade leva as empresas a manter o Microsoft Entra ID limpo e remover usuários que não precisam mais acessar os recursos da organização. Manter apenas as referências de identidade relevantes para parceiros e fornecedores no diretório ajuda a reduzir o risco de seus funcionários, selecionando e concedendo inadvertidamente acesso a usuários externos que deveriam ter sido removidos. Este documento orienta você por várias opções que vão desde sugestões proativas recomendadas até atividades reativas e de limpeza para governar identidades externas.

Usar o Gerenciamento de Direitos para conceder e revogar acesso

Os recursos de gerenciamento de direitos permitem o ciclo de vida automatizado de identidades externas com acesso a recursos. Ao estabelecer processos e procedimentos para gerenciar o acesso por meio do Gerenciamento de Direitos e publicar recursos por meio de Pacotes de Acesso, manter o controle do acesso de usuários externos aos recursos torna-se um problema muito menos complicado de resolver. Ao gerenciar o acesso por meio de Pacotes de Acesso de Gerenciamento de Direitos na ID do Microsoft Entra, sua organização pode definir e gerenciar centralmente o acesso para seus usuários e usuários de organizações parceiras. O Gerenciamento de Direitos usa aprovações e atribuições de Pacotes de Acesso para rastrear onde usuários externos solicitaram e receberam acesso. Se um usuário externo perder todas as suas atribuições, o Gerenciamento de Direitos poderá remover esses usuários externos automaticamente do locatário.

Encontre hóspedes não convidados através da Gestão de Direitos

Quando os funcionários estão autorizados a colaborar com usuários externos, eles podem convidar qualquer número de usuários de fora da sua organização. Procurar e agrupar parceiros externos em grupos dinâmicos alinhados com a empresa e revisá-los pode não ser viável, pois pode haver muitas empresas individuais diferentes para revisar, ou não há proprietário ou patrocinador para a organização. A Microsoft fornece um script PowerShell de exemplo que pode ajudá-lo a analisar o uso de identidades externas em um locatário. O script enumera identidades externas e as categoriza. O script pode ajudá-lo a identificar e limpar identidades externas que podem não ser mais necessárias. Como parte da saída do script, o exemplo de script oferece suporte à criação automatizada de grupos de segurança que contêm os parceiros externos sem grupo identificados – para análise e uso adicionais com revisões de acesso do Microsoft Entra. O script está disponível no GitHub. Depois que o script termina de ser executado, ele gera um arquivo de saída HTML que descreve identidades externas que:

  • Não tem mais nenhuma associação de grupo no locatário
  • Ter uma atribuição para uma função privilegiada no inquilino
  • Ter uma atribuição a um aplicativo no locatário

A saída também inclui os domínios individuais para cada uma dessas identidades externas.

Nota

O script mencionado anteriormente é um script de exemplo que verifica a associação ao grupo, atribuições de função e atribuições de aplicativo no ID do Microsoft Entra. Pode haver outras atribuições em aplicativos que os usuários externos receberam fora do Microsoft Entra ID, como SharePoint (atribuição de associação direta) ou Azure RBAC ou Azure DevOps.

Revisar recursos usados por identidades externas

Se você tiver identidades externas usando recursos como o Teams ou outros aplicativos ainda não regidos pelo Gerenciamento de direitos, convém revisar o acesso a esses recursos regularmente. As Revisões do Microsoft Entra Access oferecem a capacidade de revisar o acesso de identidades externas, permitindo que o proprietário do recurso, as próprias identidades externas ou outra pessoa delegada em quem você confia atestem se o acesso continuado é necessário. As Avaliações do Access segmentam um recurso e criam uma atividade de revisão com escopo para Todos que têm acesso ao recurso ou somente para usuários convidados. Em seguida, o revisor vê a lista resultante de usuários que precisa revisar – todos os usuários, incluindo funcionários da sua organização ou apenas identidades externas.

Estabelecer uma cultura de revisão orientada pelo proprietário do recurso ajuda a controlar o acesso para identidades externas. Os proprietários de recursos, responsáveis pelo acesso, disponibilidade e segurança das informações que possuem, são, na maioria dos casos, o seu melhor público para orientar as decisões em torno do acesso aos seus recursos e estão mais próximos dos usuários que os acessam do que a TI central ou um patrocinador que gerencia muitos externos.

Criar revisões de acesso para identidades externas

Os usuários que não têm mais acesso a nenhum recurso em seu locatário podem ser removidos se não trabalharem mais com sua organização. Antes de bloquear e excluir essas identidades externas, convém entrar em contato com esses usuários externos e certificar-se de que você não negligenciou um projeto ou o acesso permanente que eles ainda precisam. Ao criar um grupo que contém todas as identidades externas, pois os membros que você descobriu não terem acesso a nenhum recurso em seu locatário, você pode usar as Revisões de Acesso para que todos os externos atestem se eles ainda precisam ou têm acesso – ou ainda precisarão de acesso no futuro. Como parte da revisão, o criador da avaliação em Avaliações do Access pode usar a função Exigir motivo na aprovação para exigir que os usuários externos forneçam uma justificativa para o acesso contínuo, por meio da qual você pode saber onde e como eles ainda precisam de acesso em seu locatário. Além disso, você pode ativar a configuração Conteúdo adicional para o recurso de e-mail do revisor, para que os usuários saibam que perderão o acesso se não responderem e, se ainda precisarem de acesso, uma justificativa é necessária. Se você quiser ir em frente e permitir que as Revisões de Acesso desativem e excluam identidades externas, caso elas não respondam ou forneçam um motivo válido para o acesso contínuo, você pode usar a opção Desabilitar e excluir, conforme descrito na próxima seção.

Para criar uma Revisão de Acesso para identidades externas, siga estas etapas:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.

  2. Navegue até Grupos>de identidade>Todos os grupos.

  3. Procure o grupo que contém membros que são identidades externas que não têm acesso a recursos em seu locatário e anote esse grupo. Para automatizar a criação de um grupo com membros que se encaixam nesses critérios, consulte: Coleta de informações sobre proliferação de identidade externa.

  4. Navegue até Revisões de acesso à governança>de identidade.

  5. Selecione + Nova revisão de acesso.

  6. Selecione Equipas + Grupos e, em seguida, selecione o grupo que anotou anteriormente que contém as identidades externas para definir o âmbito da Revisão.

  7. Defina o Escopo como somente usuários convidados. Captura de ecrã a mostrar a limitação do âmbito da avaliação apenas a utilizadores convidados.

  8. Na seção Configurações após a conclusão, você pode selecionar Bloquear usuários de entrar por 30 dias e, em seguida, remover usuário do locatário na opção Ação para aplicar em usuários negados. Para obter mais informações, consulte: Desabilitar e excluir identidades externas com revisões de acesso do Microsoft Entra.

  9. Depois que a revisão de acesso é criada, o usuário convidado deve certificar seu acesso antes que a revisão seja concluída. Isso é feito pelo convidado aprovando ou não seu acesso no portal Meu Acesso. Para obter um guia passo a passo completo, consulte: Revisar o acesso a grupos e aplicativos em revisões de acesso.

Quando a revisão terminar, a página Resultados mostrará uma visão geral da resposta dada por cada identidade externa. Você pode optar por aplicar os resultados automaticamente e permitir que as Avaliações do Access os desativem e excluam. Como alternativa, você pode examinar as respostas dadas e decidir se deseja remover o acesso de um usuário ou acompanhá-lo e obter informações adicionais antes de tomar uma decisão. Se alguns usuários ainda tiverem acesso a recursos que você ainda não analisou, você poderá usá-los como parte de sua descoberta e enriquecer seu próximo ciclo de revisão e atestado.

Para obter um guia passo a passo detalhado, consulte: Criar uma revisão de acesso de grupos e aplicativos no Microsoft Entra ID.

Desabilitar e excluir identidades externas com revisões de acesso do Microsoft Entra

Além da opção de remover identidades externas indesejadas de recursos como grupos ou aplicativos, as revisões de acesso do Microsoft Entra podem bloquear identidades externas de entrar em seu locatário e excluir as identidades externas de seu locatário após 30 dias. Depois de selecionar Bloquear o login do usuário por 30 dias e, em seguida, remover o usuário do locatário, a avaliação permanecerá no estado "aplicando" por 30 dias. Durante esse período, as configurações, os resultados, os revisores ou os logs de auditoria na revisão atual não são visíveis ou configuráveis.

após a conclusão das configurações

Essa configuração permite identificar, bloquear e excluir identidades externas do locatário do Microsoft Entra. As identidades externas que são revisadas e cujo acesso contínuo é negado pelo revisor serão bloqueadas e excluídas, independentemente do acesso ao recurso ou da associação ao grupo que possuam. Essa configuração é melhor usada como uma última etapa depois de validar que os usuários externos em revisão não têm mais acesso a recursos e podem ser removidos com segurança do seu locatário ou se você quiser garantir que eles sejam removidos, independentemente do acesso permanente. A funcionalidade "Desativar e eliminar" bloqueia primeiro o utilizador externo, retirando-lhe a capacidade de iniciar sessão no seu inquilino e aceder a recursos. O acesso aos recursos não é revogado nesta etapa e, caso você queira reinstanciar o usuário externo, sua capacidade de entrar pode ser reconfigurada. Após nenhuma ação adicional, uma identidade externa bloqueada será excluída do diretório após 30 dias, removendo a conta e seu acesso.

Próximos passos