Plan a Microsoft Entra access reviews deployment
As revisões de acesso do Microsoft Entra ajudam sua organização a manter a empresa mais segura gerenciando seu ciclo de vida de acesso a recursos. Com as avaliações de acesso, você pode:
Agende revisões regulares ou faça revisões ad hoc para descobrir quem tem acesso a recursos específicos, como aplicativos e grupos.
Acompanhe as avaliações em busca de insights, conformidade ou motivos de política.
Delegue avaliações a administradores, proprietários de empresas ou usuários específicos que possam atestar a necessidade de acesso contínuo.
Use as informações para determinar com eficiência se os usuários devem continuar a ter acesso.
Automatize os resultados das avaliações, como a remoção do acesso dos usuários aos recursos.
As revisões de acesso são um recurso de Governança de ID do Microsoft Entra. Os outros recursos são gerenciamento de direitos, gerenciamento privilegiado de identidades (PIM), fluxos de trabalho de ciclo de vida, provisionamento e termos de uso. Em conjunto, ajudam-no a responder a estas quatro questões:
- Que utilizadores devem ter acesso a que recursos?
- O que esses usuários estão fazendo com esse acesso?
- Existe um controlo organizacional eficaz para gerir o acesso?
- Os auditores podem verificar se os controlos estão a funcionar?
Planejar a implantação de revisões de acesso é essencial para garantir que você alcance a estratégia de governança desejada para os usuários em sua organização.
Principais benefícios
Os principais benefícios de permitir as revisões de acesso são:
- Controle a colaboração: as revisões de acesso permitem que você gerencie o acesso a todos os recursos de que seus usuários precisam. Quando os usuários compartilham e colaboram, você pode ter certeza de que as informações estão apenas entre usuários autorizados.
- Gerenciar riscos: as revisões de acesso oferecem uma maneira de revisar o acesso a dados e aplicativos, o que reduz o risco de vazamento e vazamento de dados. Você ganha a capacidade de revisar regularmente o acesso de parceiros externos aos recursos corporativos.
- Aborde a conformidade e a governança: com as revisões de acesso, você pode controlar e recertificar o ciclo de vida do acesso a grupos, aplicativos e sites. Você pode controlar e acompanhar revisões de conformidade ou aplicativos sensíveis a riscos específicos da sua organização.
- Reduza os custos: as revisões de acesso são criadas na nuvem e funcionam nativamente com recursos da nuvem, como grupos, aplicativos e pacotes de acesso. Usar as revisões de acesso é menos dispendioso do que criar suas próprias ferramentas ou atualizar seu conjunto de ferramentas locais.
Recursos de formação
Os vídeos a seguir ajudam você a saber mais sobre as avaliações de acesso:
- O que são revisões de acesso no Microsoft Entra ID?
- Como criar revisões de acesso no Microsoft Entra ID
- Como criar revisões de acesso automático para todos os usuários convidados com acesso a grupos do Microsoft 365 no Microsoft Entra ID
- Como habilitar revisões de acesso no Microsoft Entra ID
- Como rever o acesso utilizando O Meu Acesso
Licenças
O uso desse recurso requer assinaturas do Microsoft Entra ID Governance para os usuários da sua organização. Alguns recursos dentro desse recurso podem operar com uma assinatura do Microsoft Entra ID P2, consulte os artigos de cada recurso para obter mais detalhes. Para encontrar a licença certa para seus requisitos, consulte Fundamentos de licenciamento do Microsoft Entra ID Governance.
Nota
Para criar uma revisão de usuários inativos e com recomendações de afiliação de usuário para grupo, é necessária uma licença de Governança de ID do Microsoft Entra.
Planejar o projeto de implantação de revisões de acesso
Considere suas necessidades organizacionais para determinar a estratégia de implantação de revisões de acesso em seu ambiente.
Envolva as partes interessadas certas
Quando os projetos de tecnologia falham, normalmente o fazem devido a expectativas incompatíveis sobre impacto, resultados e responsabilidades. Para evitar essas armadilhas, certifique-se de envolver as partes interessadas certas e que as funções do projeto sejam claras.
Para avaliações de acesso, você provavelmente incluirá representantes das seguintes equipes em sua organização:
A administração de TI gerencia sua infraestrutura de TI e administra seus investimentos em nuvem e aplicativos SaaS (software como serviço). Esta equipa:
- Analisa o acesso privilegiado à infraestrutura e aos aplicativos, incluindo o Microsoft 365 e o Microsoft Entra ID.
- Programa e executa revisões de acesso em grupos que são usados para manter listas de exceções ou projetos-piloto de TI para manter listas de acesso atualizadas.
- Garante que o acesso programático (com script) aos recursos por meio de entidades de serviço seja controlado e revisado.
- Automatize processos como integração e desembarque de usuários, solicitações de acesso e certificações de acesso.
As equipes de segurança garantem que o plano atenda aos requisitos de segurança da sua organização e aplique o Zero Trust. Esta equipa:
- Reduz o risco e reforça a segurança
- Impõe acesso com privilégios mínimos a recursos e aplicativos
- Usa ferramentas para ver uma fonte autorizada centralizada, de quem tem acesso a quê e por quanto tempo.
As equipas de desenvolvimento criam e mantêm aplicações para a sua organização. Esta equipa:
- Controla quem pode acessar e gerenciar componentes em recursos de SaaS, plataforma como serviço (PaaS) e infraestrutura como serviço (IaaS) que compõem as soluções desenvolvidas.
- Gerencia grupos que podem acessar aplicativos e ferramentas para desenvolvimento interno de aplicativos.
- Requer identidades privilegiadas que tenham acesso a software de produção ou soluções hospedadas para seus clientes.
As unidades de negócio gerem projetos e aplicações próprias. Esta equipa:
- Revisa e aprova ou nega acesso a grupos e aplicativos para usuários internos e externos.
- Programa e faz revisões para atestar o acesso contínuo de funcionários e identidades externas, como parceiros de negócios.
- Precisa que os funcionários tenham acesso aos aplicativos necessários para o seu trabalho.
- Permite que os departamentos gerenciem o acesso de seus usuários.
A governança corporativa garante que a organização siga a política interna e cumpra os regulamentos. Esta equipa:
- Solicita ou agenda novas revisões de acesso.
- Avalia processos e procedimentos para revisão de acesso, o que inclui documentação e manutenção de registros para fins de conformidade.
- Analisa os resultados de avaliações anteriores para a maioria dos recursos críticos.
- Valida que os controles corretos estão em vigor para atender às políticas obrigatórias de segurança e privacidade.
- Requer processos de acesso repetíveis que são fáceis de auditar e relatar.
Nota
Para avaliações que exigem avaliações manuais, planeje revisores adequados e ciclos de revisão que atendam às suas necessidades de política e conformidade. Se os ciclos de revisão forem muito frequentes, ou se houver poucos revisores, a qualidade pode ser perdida e muitas ou poucas pessoas podem ter acesso. Recomendamos que você estabeleça responsabilidades claras para as várias partes interessadas e departamentos envolvidos nas revisões de acesso. Todas as equipas e indivíduos participantes devem compreender os seus respetivos papéis e obrigações para defender o princípio do menor privilégio.
Planejar comunicações
A comunicação é fundamental para o sucesso de qualquer novo processo de negócio. Comunique proativamente aos usuários como e quando sua experiência mudará. Diga-lhes como obter apoio se tiverem problemas.
Comunicar alterações na prestação de contas
As avaliações de acesso apoiam a transferência de responsabilidade de revisar e agir de acordo com o acesso contínuo aos proprietários de empresas. A dissociação das decisões de acesso do departamento de TI gera decisões de acesso mais precisas. Esta mudança é uma mudança cultural na prestação de contas e responsabilidade do proprietário do recurso. Comunique essa mudança de forma proativa e garanta que os proprietários de recursos sejam treinados e capazes de usar os insights para tomar boas decisões.
O departamento de TI quer manter o controle de todas as decisões de acesso relacionadas à infraestrutura e atribuições de funções privilegiadas.
Personalizar a comunicação por e-mail
Ao agendar uma revisão, você nomeia os usuários que fazem essa revisão. Em seguida, esses revisores recebem uma notificação por e-mail de novas avaliações atribuídas a eles e lembretes antes que uma avaliação atribuída a eles expire.
O e-mail enviado aos revisores pode ser personalizado para incluir uma mensagem curta que os incentive a agir de acordo com a avaliação. Use o texto extra para:
Inclua uma mensagem pessoal aos revisores para que eles entendam que ela é enviada pelo seu departamento de conformidade ou de TI.
Inclua uma referência a informações internas sobre quais são as expectativas da avaliação e material de referência ou de formação adicional.
Depois de selecionar Iniciar revisão, os revisores serão direcionados para o portal Meu Acesso para revisões de acesso a grupos e aplicativos. O portal dá-lhes uma visão geral de todos os utilizadores que têm acesso ao recurso que estão a rever e recomendações do sistema com base no último início de sessão e informações de acesso.
Planeie um piloto
Incentivamos os clientes a inicialmente testar avaliações de acesso com um pequeno grupo e direcionar recursos não críticos. O piloto pode ajudá-lo a ajustar processos e comunicações conforme necessário. Ele pode ajudá-lo a aumentar a capacidade dos usuários e revisores de atender aos requisitos de segurança e conformidade.
No seu piloto, recomendamos que você:
- Comece com avaliações em que os resultados não são aplicados automaticamente e você pode controlar as implicações.
- Verifique se todos os usuários têm endereços de email válidos listados na ID do Microsoft Entra. Confirme que eles recebem comunicação por e-mail para tomar as medidas apropriadas.
- Documente qualquer acesso removido como parte do piloto, caso precise restaurá-lo rapidamente.
- Monitore os logs de auditoria para garantir que todos os eventos sejam auditados corretamente.
Para obter mais informações, consulte Práticas recomendadas para um piloto.
Introdução às avaliações de acesso
Esta seção apresenta os conceitos de revisão de acesso que você deve conhecer antes de planejar suas avaliações.
Que tipos de recursos podem ser revistos?
Depois de integrar os recursos da sua organização com o Microsoft Entra ID, como usuários, aplicativos e grupos, eles podem ser gerenciados e revisados.
Os alvos típicos para revisão incluem:
- Aplicativos integrados com o Microsoft Entra ID para logon único, como SaaS e linha de negócios.
- Associação de grupo sincronizada com o Microsoft Entra ID ou criada no Microsoft Entra ID ou Microsoft 365, incluindo o Microsoft Teams.
- Pacote de acesso que agrupa recursos como grupos, aplicativos e sites em um único pacote para gerenciar o acesso.
- Funções do Microsoft Entra e funções de recursos do Azure, conforme definido no PIM.
Quem criará e gerenciará as avaliações de acesso?
A função administrativa necessária para criar, gerenciar ou ler uma revisão de acesso depende do tipo de recurso cuja associação está sendo revisada. A tabela a seguir indica as funções necessárias para cada tipo de recurso.
| Tipo de recurso | Criar e gerenciar avaliações de acesso (criadores) | Leia os resultados da revisão de acesso |
|---|---|---|
| Grupo ou aplicação | Administrador global Administrador de usuários Administrador de Governança de Identidade Administrador de função privilegiada (só faz análises para grupos atribuíveis de função do Microsoft Entra) Proprietário do grupo (se ativado por um administrador) |
Administrador global Leitor global Administrador de usuários Administrador de Governança de Identidade Administrador de função privilegiada Leitor de segurança Proprietário do grupo (se ativado por um administrador) |
| Funções do Microsoft Entra | Administrador global Administrador de função privilegiada |
Administrador global Leitor global Administrador de usuários Administrador de função privilegiada
Leitor de segurança |
| Funções de recursos do Azure | Administrador de Acesso de Usuário (para o recurso) Proprietário do recurso Funções personalizadas com permissão Microsoft.Authorization/*. |
Administrador de Acesso de Usuário (para o recurso) Proprietário do recurso Leitor (para o recurso) Funções personalizadas com permissões Microsoft.Authorization/*/read. |
| Pacote de acesso | Administrador global Administrador de Governança de Identidade Proprietário do catálogo (para o pacote de acesso) Gerenciador de pacotes do Access (para o pacote de acesso) |
Administrador global Leitor global Administrador de usuários Administrador de Governança de Identidade Proprietário do catálogo (para o pacote de acesso) Gerenciador de pacotes do Access (para o pacote de acesso) Leitor de segurança |
Para obter mais informações, consulte Permissões de função de administrador no Microsoft Entra ID.
Quem analisará o acesso ao recurso?
O criador da revisão de acesso decide no momento da criação quem fará a revisão. Essa configuração não pode ser alterada após o início da avaliação. Os revisores são representados por:
- Proprietários de recursos que são os proprietários comerciais do recurso.
- Delegados selecionados individualmente conforme escolhido pelo administrador de revisões de acesso.
- Usuários que atestam a necessidade de acesso contínuo.
- Os gerentes analisam o acesso de seus subordinados diretos ao recurso.
Nota
Quando você seleciona Proprietários ou gerentes de recursos, os administradores designam revisores de fallback, que são contatados se o contato principal não estiver disponível.
Quando você cria uma revisão de acesso, os administradores podem escolher um ou mais revisores. Todos os revisores podem iniciar e realizar uma revisão escolhendo usuários para acesso contínuo a um recurso ou removendo-os.
Componentes de uma revisão de acesso
Antes de implementar as avaliações de acesso, planeje os tipos de avaliações relevantes para sua organização. Para isso, você precisa tomar decisões comerciais sobre o que deseja revisar e as ações a serem tomadas com base nessas avaliações.
Para criar uma política de revisão de acesso, tem de ter as seguintes informações:
Quais são os recursos a rever?
De quem é o acesso que está a ser revisto?
Com que frequência deve ocorrer a revisão?
Quem fará a revisão?
- Como será notificado para fazer a revisão?
- Quais são os prazos a aplicar para revisão?
Que ações automáticas devem ser aplicadas com base na revisão?
- O que acontece se o revisor não responder a tempo?
Que ações manuais são tomadas como resultado da revisão?
Que comunicações devem ser enviadas com base nas ações tomadas?
Exemplo de plano de revisão de acesso
| Componente | Value |
|---|---|
| Recursos a rever | Acesso ao Microsoft Dynamics. |
| Frequência de revisão | Mensalmente. |
| Quem faz a avaliação | Gerentes de Programa do Grupo de Negócios Dynamics. |
| Notificação | O e-mail é enviado no início de uma revisão para o alias Dynamics-Pms. Inclua uma mensagem personalizada de incentivo aos revisores para garantir o buy-in. |
| Linha Cronológica | 48 horas a partir da notificação. |
| Ações automáticas | Remova o acesso de qualquer conta que não tenha login interativo dentro de 90 dias, removendo o usuário do acesso dinâmico do grupo de segurança. Execute ações se não for revisado dentro do cronograma. |
| Ações manuais | Os revisores podem fazer a aprovação de remoções antes da ação automatizada, se desejarem. |
Automatize ações com base em revisões de acesso
Você pode optar por ter a remoção de acesso automatizada definindo a opção Aplicar resultados automaticamente ao recurso como Ativar.
Depois que a revisão for concluída e concluída, os usuários que não foram aprovados pelo revisor serão automaticamente removidos do recurso ou mantidos com acesso contínuo. As opções podem significar remover a sua participação no grupo ou a sua atribuição de candidatura ou revogar o seu direito de ascender a um papel privilegiado.
Tome recomendações
As recomendações são exibidas aos revisores como parte da experiência do revisor e indicam o último login de uma pessoa no locatário ou o último acesso a um aplicativo. Essas informações ajudam os revisores a tomar a decisão correta de acesso. Selecionar Tomar recomendações segue as recomendações da revisão de acesso. No final de uma revisão de acesso, o sistema aplica essas recomendações automaticamente aos usuários para os quais os revisores não responderam.
As recomendações baseiam-se nos critérios da análise do acesso. Por exemplo, se você configurar a revisão para remover o acesso sem entrada interativa por 90 dias, a recomendação é que todos os usuários que se encaixam nesses critérios sejam removidos. A Microsoft está continuamente a trabalhar na melhoria das recomendações.
Revisar o acesso do usuário convidado
Utilize as revisões de acesso para rever e limpar as identidades dos parceiros de colaboração de organizações externas. A configuração de uma revisão por parceiro pode satisfazer os requisitos de conformidade.
Identidades externas podem ter acesso aos recursos da empresa. Podem ser:
- Adicionado a um grupo.
- Convidado para Equipas.
- Atribuído a um aplicativo corporativo ou pacote de acesso.
- Atribuída uma função privilegiada na ID do Microsoft Entra ou em uma assinatura do Azure.
Para obter mais informações, consulte script de exemplo. O script mostra onde as identidades externas convidadas para o locatário são usadas. Você pode ver a associação de grupo de um usuário externo, atribuições de função e atribuições de aplicativo no ID do Microsoft Entra. O script não mostrará nenhuma atribuição fora do Microsoft Entra ID, por exemplo, atribuição direta de direitos a recursos do SharePoint, sem o uso de grupos.
Ao criar uma revisão de acesso para grupos ou aplicativos, você pode optar por permitir que o revisor se concentre apenas em Todos os usuários ou Usuários convidados. Ao selecionar somente usuários convidados, os revisores recebem uma lista focada de identidades externas do Microsoft Entra business to business (B2B) que têm acesso ao recurso.
Importante
Esta lista não incluirá membros externos que tenham um userType de membro. Esta lista também não incluirá usuários convidados fora da colaboração B2B do Microsoft Entra. Um exemplo são os usuários que têm acesso ao conteúdo compartilhado diretamente por meio do SharePoint.
Planejar revisões de acesso para pacotes de acesso
Os pacotes de acesso podem simplificar muito sua estratégia de governança e revisão de acesso. Um pacote de acesso é um pacote de todos os recursos com o acesso que um usuário precisa para trabalhar em um projeto ou fazer sua tarefa. Por exemplo, talvez você queira criar um pacote de acesso que inclua todos os aplicativos que os desenvolvedores em sua organização precisam ou todos os aplicativos aos quais os usuários externos devem ter acesso. Em seguida, um administrador ou um gestor de pacotes de acesso delegado agrupa os recursos (grupos ou aplicações) e as funções de que os utilizadores necessitam para esses recursos.
Ao criar um pacote de acesso, você pode criar uma ou mais políticas de pacote de acesso que definem condições para as quais os usuários podem solicitar um pacote de acesso, como é o processo de aprovação e com que frequência uma pessoa teria que solicitar novamente o acesso ou ter seu acesso revisado. As revisões de acesso são configuradas enquanto você cria ou edita essas políticas de pacote de acesso.
Selecione a guia Ciclo de vida e role para baixo para acessar as avaliações.
Planejar revisões de acesso para grupos
Além dos pacotes de acesso, rever a participação em grupos é a forma mais eficaz de controlar o acesso. Atribua acesso a recursos por meio de grupos de segurança ou grupos do Microsoft 365. Adicione usuários a esses grupos para obter acesso.
Um único grupo pode ter acesso a todos os recursos apropriados. Você pode atribuir o acesso de grupo a recursos individuais ou a um pacote de acesso que agrupe aplicativos e outros recursos. Com esse método, você pode revisar o acesso ao grupo em vez do acesso de um indivíduo a cada aplicativo.
A participação no grupo pode ser analisada por:
- Os administradores.
- Proprietários de grupos.
- Usuários selecionados aos quais é delegada a capacidade de revisão quando a revisão é criada.
- Membros do grupo que atestam por si mesmos.
- Gerentes que analisam o acesso de seus subordinados diretos.
Propriedade do grupo
Os proprietários do grupo analisam a associação porque estão mais qualificados para saber quem precisa de acesso. A propriedade dos grupos difere com o tipo de grupo:
Os grupos criados no Microsoft 365 e no Microsoft Entra ID têm um ou mais proprietários bem definidos. Na maioria dos casos, esses proprietários fazem revisores perfeitos para seus próprios grupos, pois sabem quem deve ter acesso.
Por exemplo, o Microsoft Teams usa o Microsoft 365 Groups como o modelo de autorização subjacente para conceder aos usuários acesso a recursos que estão no SharePoint, Exchange, OneNote ou outros serviços do Microsoft 365. O criador da equipe torna-se automaticamente um proprietário e deve ser responsável por atestar a pertença a esse grupo.
Os grupos criados manualmente no centro de administração do Microsoft Entra ou através de scripts através do Microsoft Graph podem não ter necessariamente os proprietários definidos. Defina-os através do centro de administração do Microsoft Entra na secção Proprietários do grupo ou através do Microsoft Graph.
Os grupos sincronizados a partir do Ative Directory local não podem ter um proprietário no Microsoft Entra ID. Ao criar uma revisão de acesso para eles, selecione os indivíduos mais adequados para decidir sobre a associação a eles.
Nota
Defina políticas de negócios que definam como os grupos são criados para garantir a propriedade clara do grupo e a responsabilidade pela revisão regular da associação.
Rever a adesão a grupos de exclusão nas políticas de Acesso Condicional
Para saber como revisar a associação a grupos de exclusão, consulte Usar revisões de acesso do Microsoft Entra para gerenciar usuários excluídos das políticas de Acesso Condicional.
Rever as associações de grupos de utilizadores convidados
Para saber como analisar o acesso de usuários convidados a associações de grupo, consulte Gerenciar o acesso de convidados com avaliações de acesso do Microsoft Entra.
Rever o acesso a grupos no local
As revisões do Access não podem alterar a associação de grupos sincronizados do AD local com o Microsoft Entra Connect. Essa restrição ocorre porque a fonte de autoridade para um grupo originado no AD é o AD local. Para controlar o acesso a aplicativos baseados em grupo do AD, use o write-back de grupo do Microsoft Entra Cloud Sync.
Até ter migrado para grupos do Microsoft Entra com write-back de grupo, você ainda pode usar revisões de acesso para agendar e manter revisões regulares de grupos locais existentes. Nesse caso, os administradores tomarão medidas no grupo local após a conclusão de cada revisão. Essa estratégia mantém as avaliações de acesso como a ferramenta para todas as avaliações.
Você pode usar os resultados de uma revisão de acesso em grupos locais e processá-los ainda mais:
- Baixar o relatório CSV da revisão de acesso e executar manualmente as ações.
- Usando o Microsoft Graph para recuperar programaticamente os resultados de decisões de revisões de acesso concluídas.
Por exemplo, para recuperar resultados de um grupo gerenciado pelo Windows Server AD, use este script de exemplo do PowerShell. O script descreve as chamadas necessárias do Microsoft Graph e exporta os comandos do Windows Server AD PowerShell para executar as alterações.
Planejar revisões de acesso para aplicativos
Ao analisar todas as pessoas atribuídas ao aplicativo, você está revisando os usuários, incluindo funcionários e identidades externas, que podem se autenticar nesse aplicativo usando sua identidade do Microsoft Entra. Opte por rever uma aplicação quando precisar de saber quem tem acesso a uma aplicação específica, em vez de um pacote de acesso ou de um grupo.
Planeje revisões para aplicativos nos seguintes cenários quando:
- Os usuários recebem acesso direto ao aplicativo (fora de um grupo ou pacote de acesso).
- O aplicativo expõe informações críticas ou confidenciais.
- O aplicativo tem requisitos de conformidade específicos aos quais você deve atestar.
- Você suspeita de acesso inadequado.
Antes de criar revisões de acesso para um aplicativo, o aplicativo precisa ser integrado ao Microsoft Entra ID como um aplicativo em seu locatário, com usuários atribuídos às funções do aplicativo e a opção Atribuição de usuário necessária? no aplicativo definida como Sim. Se estiver definido como Não, todos os usuários em seu diretório, incluindo identidades externas, poderão acessar o aplicativo e você não poderá revisar o acesso ao aplicativo.
Em seguida, atribua os usuários e grupos cujo acesso você deseja que seja revisado.
Leia mais sobre como se preparar para uma revisão de acesso dos usuários a um aplicativo.
Revisores de uma candidatura
As revisões de acesso podem ser para os membros de um grupo ou para usuários que foram atribuídos a um aplicativo. Os aplicativos no Microsoft Entra ID não têm necessariamente um proprietário, e é por isso que a opção para selecionar o proprietário do aplicativo como revisor não é possível. Você pode definir ainda mais o escopo de uma revisão para revisar apenas os usuários convidados atribuídos ao aplicativo, em vez de revisar todo o acesso.
Planejar a revisão das funções de recursos do Microsoft Entra ID e do Azure
O Privileged Identity Management simplifica a forma como as empresas gerem o acesso privilegiado aos recursos no Microsoft Entra ID. O uso do PIM mantém a lista de funções privilegiadas no Microsoft Entra ID e nos recursos do Azure menor. Também aumenta a segurança geral do diretório.
As revisões de acesso permitem que os revisores atestem se os usuários ainda precisam estar em uma função. Assim como as revisões de acesso para pacotes de acesso, as análises para funções do Microsoft Entra e recursos do Azure são integradas à experiência do usuário administrador do PIM.
Analise as seguintes atribuições de função regularmente:
- Administrador global
- Administrador de usuários
- Administrador de autenticação privilegiada
- Administrador de acesso condicional
- Administrador de segurança
- Todas as funções de administração do Microsoft 365 e do Dynamics Service
As funções que são analisadas incluem atribuições permanentes e elegíveis.
Na seção Revisores, selecione uma ou mais pessoas para revisar todos os usuários. Ou você pode selecionar Gerente, para que um gerente analise o acesso das pessoas que gerenciam, ou Membros (auto) para que os membros revisem seu próprio acesso.
Implantar revisões de acesso
Depois de preparar uma estratégia e um plano para revisar o acesso aos recursos integrados ao Microsoft Entra ID, implante e gerencie as revisões usando os recursos a seguir.
Rever pacotes de acesso
Para reduzir o risco de acesso obsoleto, os administradores podem habilitar revisões periódicas de usuários que têm atribuições ativas para um pacote de acesso. Siga as instruções nos artigos listados na tabela.
| Artigos de procedimentos | Description |
|---|---|
| Criar revisões de acesso | Habilite revisões de um pacote de acesso. |
| Fazer avaliações de acesso | Faça revisões de acesso para outros usuários atribuídos a um pacote de acesso. |
| Auto-revisão do(s) pacote(s) de acesso atribuído | Faça uma auto-revisão dos pacotes de acesso atribuídos. |
Nota
Os usuários que se auto-revisam e dizem que não precisam mais de acesso não são removidos do pacote de acesso imediatamente. Eles são removidos do pacote de acesso quando a avaliação termina ou se um administrador interrompe a avaliação.
Rever grupos e aplicações
As necessidades de acesso a grupos e aplicativos para funcionários e hóspedes provavelmente mudam com o tempo. Para reduzir o risco associado a atribuições de acesso obsoletas, os administradores podem criar revisões de acesso para membros do grupo ou acesso a aplicativos. Siga as instruções nos artigos listados na tabela.
| Artigos de procedimentos | Description |
|---|---|
| Criar revisões de acesso | Crie uma ou mais revisões de acesso para membros do grupo ou acesso ao aplicativo. |
| Fazer avaliações de acesso | Faça uma revisão de acesso para membros de um grupo ou usuários com acesso a um aplicativo. |
| Autorreveja o seu acesso | Permitir que os membros analisem seu próprio acesso a um grupo ou aplicativo. |
| Concluir revisão de acesso | Visualize uma revisão de acesso e aplique os resultados. |
| Tomar medidas para grupos locais | Use um script PowerShell de exemplo para agir em revisões de acesso para grupos locais. |
Rever as funções do Microsoft Entra
Para reduzir o risco associado a atribuições de funções obsoletas, revise regularmente o acesso de funções privilegiadas do Microsoft Entra.
Siga as instruções nos artigos listados na tabela.
| Artigos de procedimentos | Description |
|---|---|
| Criar revisões de acesso | Crie análises de acesso para funções privilegiadas do Microsoft Entra no PIM. |
| Autorreveja o seu acesso | Se você for atribuído a uma função administrativa, aprove ou negue acesso à sua função. |
| Concluir uma revisão de acesso | Visualize uma revisão de acesso e aplique os resultados. |
Rever as funções de recurso do Azure
Para reduzir o risco associado a atribuições de função obsoletas, revise regularmente o acesso de funções de recursos privilegiadas do Azure.
Siga as instruções nos artigos listados na tabela.
| Artigos de procedimentos | Description |
|---|---|
| Criar revisões de acesso | Crie revisões de acesso para funções de recursos privilegiadas do Azure no PIM. |
| Autorreveja o seu acesso | Se você for atribuído a uma função administrativa, aprove ou negue acesso à sua função. |
| Concluir uma revisão de acesso | Visualize uma revisão de acesso e aplique os resultados. |
Usar a API de Avaliações do Access
Para interagir e gerenciar recursos revisáveis, consulte Métodos da API do Microsoft Graph e verificações de autorização de permissão de função e aplicativo. Os métodos de revisão de acesso na API do Microsoft Graph estão disponíveis para contextos de aplicativo e usuário. Quando você executa scripts no contexto do aplicativo, a conta usada para executar a API (o princípio de serviço) deve receber a permissão AccessReview.Read.All para consultar informações de revisões de acesso.
As tarefas de revisões de acesso populares para automatizar usando a API do Microsoft Graph para revisões de acesso são:
- Crie e inicie uma revisão de acesso.
- Encerre manualmente uma revisão de acesso antes de seu término agendado.
- Liste todas as revisões de acesso em execução e seu status.
- Veja o histórico de uma série de avaliações e as decisões e ações tomadas em cada avaliação.
- Colete decisões de uma revisão de acesso.
- Colete decisões de revisões concluídas em que o revisor tomou uma decisão diferente do recomendado pelo sistema.
Ao criar novas consultas de API do Microsoft Graph para automação, use o Graph Explorer para criar e explorar suas consultas do Microsoft Graph antes de colocá-las em scripts e código. Esta etapa pode ajudá-lo a iterar rapidamente sua consulta para que você obtenha exatamente os resultados que está procurando, sem alterar o código do seu script.
Monitorar revisões de acesso
As atividades de revisões do Access são registradas e estão disponíveis nos logs de auditoria do Microsoft Entra. Você pode filtrar os dados de auditoria na categoria, tipo de atividade e intervalo de datas. Aqui está uma consulta de exemplo.
| Categoria | Política |
|---|---|
| Tipo de atividade | Criar revisão de acesso |
| Revisão de acesso de atualização | |
| Revisão de acesso terminada | |
| Eliminar revisão de acesso | |
| Aprovar decisão | |
| Negar decisão | |
| Decisão de reposição | |
| Aplicar decisão | |
| Intervalo de datas | Sete dias |
Para consultas e análises mais avançadas de revisões de acesso, e para controlar alterações e conclusão de revisões, exporte seus logs de auditoria do Microsoft Entra para o Azure Log Analytics ou Hubs de Eventos do Azure. Quando os logs de auditoria são armazenados no Log Analytics, você pode usar a poderosa linguagem de análise e criar seus próprios painéis.
Próximos passos
Saiba mais sobre as seguintes tecnologias relacionadas: