O que são as revisões de acesso do Azure AD?

As análises de acesso do Azure Ative Directory (Azure AD) permitem às organizações gerir eficientemente os membros do grupo, aceder a aplicações empresariais e atribuições de funções. O acesso do utilizador pode ser revisto regularmente para garantir que apenas as pessoas certas têm acesso continuado.

Aqui está um vídeo que fornece uma visão geral rápida das avaliações de acesso:

Por que as avaliações de acesso são importantes?

Azure AD permite-lhe colaborar com utilizadores de dentro da sua organização e com utilizadores externos. Os utilizadores podem juntar-se a grupos, convidar os hóspedes, conectar-se a aplicações na nuvem e trabalhar remotamente a partir do seu trabalho ou dispositivos pessoais. A conveniência de utilizar o self-service levou à necessidade de melhores capacidades de gestão de acesso.

  • À medida que os novos colaboradores se juntam, como garante que têm o acesso de que precisam para serem produtivos?
  • À medida que as pessoas movem as equipas ou saem da empresa, como é que se certifica de que o seu antigo acesso é removido?
  • Direitos de acesso excessivos podem conduzir a compromissos.
  • O direito de acesso excessivo também pode levar a conclusões da auditoria, uma vez que indicam uma falta de controlo sobre o acesso.
  • É preciso envolver-se proativamente com os proprietários de recursos para garantir que revejam regularmente quem tem acesso aos seus recursos.

Quando deve utilizar comentários de acesso?

  • Demasiados utilizadores em funções privilegiadas: É uma boa ideia verificar quantos utilizadores têm acesso administrativo, quantos deles são Administradores Globais, e se há algum convidado ou parceiro que não tenha sido removido após ter sido designado para fazer uma tarefa administrativa. Pode retificar os utilizadores de atribuição de funções em funções Azure AD, tais como Administradores Globais, ou funções de recursos Azure, como o Administrador de Acesso ao Utilizador na experiência Azure AD Privileged Identity Management (PIM).
  • Quando a automatização não é possível: Pode criar regras para a adesão dinâmica a grupos de segurança ou Grupos do Microsoft 365, mas e se os dados de RH não estiverem em Azure AD ou se os utilizadores ainda precisarem de acesso após deixarem o grupo para treinar a sua substituição? Em seguida, pode criar uma revisão sobre esse grupo para garantir que aqueles que ainda precisam de acesso devem ter acesso continuado.
  • Quando um grupo é usado para um novo propósito: Se tiver um grupo que será sincronizado com Azure AD, ou se planeia ativar a aplicação Salesforce para todos no grupo de equipas de Vendas, seria útil pedir ao proprietário do grupo que revisse a filiação do grupo antes de o grupo ser utilizado num conteúdo de risco diferente.
  • Acesso crítico de dados ao negócio: para certos recursos, como aplicações críticas de negócios, pode ser necessário como parte de processos de conformidade pedir às pessoas para reconfirmarem regularmente e dar uma justificação sobre o porquê de precisarem de acesso continuado.
  • Para manter a lista de exceções de uma apólice: Num mundo ideal, todos os utilizadores seguiriam as políticas de acesso para garantir o acesso aos recursos da sua organização. No entanto, às vezes há casos de negócios que exigem que você abriu exceções. Como administrador de TI, pode gerir esta tarefa, evitar a supervisão de exceções políticas e fornecer aos auditores a prova de que estas exceções são revistas regularmente.
  • Peça aos proprietários do grupo que confirmem que ainda precisam de hóspedes nos seus grupos: O acesso dos colaboradores pode ser automatizado com alguns nas instalações Gestão de Identidade e Acesso (IAM), mas não convidados. Se um grupo dá aos hóspedes acesso a conteúdos sensíveis ao negócio, então é da responsabilidade do proprietário do grupo confirmar que os hóspedes ainda têm uma necessidade legítima de acesso ao negócio.
  • Ter comentários recur periodicamente: Pode configurar avaliações de acesso recorrentes dos utilizadores em frequências definidas, como semanal, mensal, trimestral ou anual, e os revisores serão notificados no início de cada revisão. Os revisores podem aprovar ou negar o acesso com uma interface amigável e com a ajuda de recomendações inteligentes.

Nota

Se estiver pronto para experimentar comentários de Acesso, dê uma olhada na Criar uma revisão de acesso de grupos ou aplicações

Onde cria críticas?

Dependendo do que pretende rever, criará a sua revisão de acesso em Azure AD avaliações de acesso, Azure AD aplicações empresariais (em pré-visualização), Azure AD PIM ou Azure AD gestão de direitos.

Direitos de acesso dos utilizadores Os revisores podem ser Revisão criada em Experiência de revisor
Membros do grupo de segurança
Membros do grupo
Revisores especificados
Proprietários do Grupo
Auto-revisão
Azure AD avaliações
de acesso Azure AD grupos
Painel de acesso
Atribuído a uma aplicação conectada Revisores especificados
Auto-revisão
Azure AD avaliações
de acesso Azure AD aplicações empresariais (em pré-visualização)
Painel de acesso
Azure AD papel Revisores especificados
Auto-revisão
PIM Azure AD Portal do Azure
Papel de recurso azul Revisores especificados
Auto-revisão
PIM Azure AD Portal do Azure
Atribuição de pacotes de acesso Revisores especificados Membros

do Grupo Auto-revisão
Gestão de direitos do Azure AD Painel de acesso

Requisitos de licença

A utilização desta funcionalidade requer licenças Azure AD Premium P2. Para encontrar a licença certa para os requisitos, veja Comparar as funcionalidades geralmente disponíveis do Azure Active Directory.

Quantas licenças tem?

O seu diretório necessita de pelo menos tantas licenças Azure AD Premium P2 como o número de funcionários que irão desempenhar as seguintes tarefas:

  • Utilizadores membros que são designados como revisores
  • Utilizadores membros que realizam uma auto-revisão
  • Utilizadores membros como proprietários de grupo que realizam uma revisão de acesso
  • Utilizadores membros como proprietários de aplicações que realizam uma revisão de acesso

Para os utilizadores convidados, as necessidades de licenciamento dependerão do modelo de licenciamento que está a usar. No entanto, as atividades dos utilizadores abaixo são consideradas Azure AD Premium P2 utilização:

  • Utilizadores convidados que são designados como revisores
  • Utilizadores convidados que realizam uma auto-revisão
  • Utilizadores convidados como proprietários de grupo que realizam uma revisão de acesso
  • Utilizadores convidados como proprietários de aplicações que realizam uma revisão de acesso

Azure AD Premium P2 licenças não são necessárias para utilizadores com as funções de Administrador Global ou Administrador de Utilizador que configuram revisões de acesso, configuram definições ou aplicam as decisões das avaliações.

Azure AD acesso ao utilizador convidado baseia-se num modelo de faturação mensal de utilizadores ativos (MAU), que substitui o modelo de faturação de rácio de 1:5. Para mais informações, consulte Azure AD preços de identidades externas.

Para obter mais informações sobre licenças, consulte Atribuir ou remover licenças utilizando o portal Azure Ative Directory.

Exemplo de cenários de licença

Aqui estão alguns cenários de licença de exemplo para ajudá-lo a determinar o número de licenças que deve ter.

Scenario Cálculo Número de licenças
Um administrador cria uma revisão de acesso do Grupo A com 75 utilizadores e 1 proprietário do grupo, e atribui o proprietário do grupo como revisor. 1 licença para o proprietário do grupo como revisor 1
Um administrador cria uma revisão de acesso do Grupo B com 500 utilizadores e 3 proprietários do grupo, e atribui os 3 proprietários do grupo como revisores. 3 licenças para cada dono do grupo como revisores 3
Um administrador cria uma revisão de acesso do Grupo B com 500 utilizadores. Torna-se uma auto-revisão. 500 licenças para cada utilizador como auto-revisores 500
Um administrador cria uma revisão de acesso do Grupo C com 50 utilizadores membros e 25 utilizadores convidados. Torna-se uma auto-revisão. 50 licenças para cada utilizador como auto-revisores.* 50
Um administrador cria uma revisão de acesso do Grupo D com 6 utilizadores membros e 108 utilizadores convidados. Torna-se uma auto-revisão. 6 licenças para cada utilizador como auto-revisores. Os utilizadores convidados são cobrados mensalmente por utilizador ativo (MAU). Não são necessárias licenças adicionais. * 6

* Azure AD O preço das Identidades Externas (utilizador convidado) baseia-se em utilizadores ativos mensais (MAU), que é a contagem de utilizadores únicos com atividade de autenticação dentro de um mês civil. Este modelo substitui o modelo de faturação de rácio de 1:5, que permitiu que até cinco utilizadores convidados por cada Azure AD licença Premium no seu inquilino. Quando o seu inquilino estiver ligado a uma subscrição e utilizar funcionalidades de Identidades Externas para colaborar com os utilizadores convidados, será automaticamente faturado utilizando o modelo de faturação baseado na MAU. Para mais informações, consulte o modelo de Faturação para Azure AD Identidades Externas.

Passos seguintes