Criar uma revisão de acesso de um pacote de acesso no gerenciamento de direitos

  • Artigo

Para reduzir o risco de acesso obsoleto, você deve habilitar revisões periódicas de usuários que têm atribuições ativas para um pacote de acesso no gerenciamento de direitos. Você pode habilitar revisões ao criar um novo pacote de acesso ou editar uma política de atribuição de pacote de acesso existente. Este artigo descreve como ativar as revisões de acesso de pacotes de acesso.

Pré-requisitos

Para habilitar revisões de pacotes de acesso, você deve atender aos pré-requisitos para criar um pacote de acesso:

  • Governança do Microsoft Entra ID P2 ou Microsoft Entra ID
  • Administrador global, administrador de Governança de Identidade, proprietário do catálogo ou gerenciador de pacotes do Access

Para obter mais informações, consulte Requisitos de licença.

Criar uma revisão de acesso de um pacote de acesso

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Você pode habilitar revisões de acesso ao criar um novo pacote de acesso ou editar uma política de política de atribuição de pacote de acesso existente. Se você tiver várias políticas, para diferentes comunidades de usuários solicitarem acesso, poderá ter agendas de revisão de acesso independentes para cada política. Siga estas etapas para habilitar as revisões de acesso das atribuições de um pacote de acesso:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.

  2. Navegue até Governança de>identidade Revisões>de acesso Pacote de acesso.

  3. Para criar uma nova política de acesso, selecione Novo pacote de acesso .

  4. Para editar uma política de acesso existente, no menu à esquerda, selecione Pacotes de acesso e abra o pacote de acesso que deseja editar. Em seguida, no menu à esquerda, selecione Políticas e selecione a política que tem as configurações de ciclo de vida que você deseja editar.

  5. Abra a guia Ciclo de vida de uma política de atribuição de pacote de acesso para especificar quando a atribuição de um usuário ao pacote de acesso expira. Você também pode especificar se os usuários podem estender suas atribuições.

  6. Na seção Expiração, defina Atribuições de pacote do Access expiram como Em data, Número de dias, Número de horas ou Nunca.

    Em data, selecione uma data de expiração no futuro.

    Para Número de dias, especifique um número entre 0 e 3660 dias.

    Em Número de horas, especifique o número de horas.

    Com base na sua seleção, a atribuição de um usuário ao pacote de acesso expira em uma determinada data, um número específico de dias após sua aprovação ou nunca.

    Pacote de acesso - Configurações de expiração do ciclo de vida

  7. Selecione Mostrar configurações avançadas de expiração para mostrar outras configurações.

  8. Para permitir que o usuário estenda suas atribuições, defina Permitir que os usuários estendam o acesso a Sim.

    Se as extensões forem permitidas na política, o usuário receberá um e-mail 14 dias e também um dia antes de sua atribuição de pacote de acesso expirar, solicitando que ele estenda a atribuição. O usuário ainda deve estar no escopo da política no momento em que solicita uma extensão. Além disso, se a política tiver uma data de término explícita para atribuições e um usuário enviar uma solicitação para estender o acesso, a data de extensão na solicitação deverá ser igual ou anterior ao vencimento das atribuições, conforme definido na política usada para conceder ao usuário acesso ao pacote de acesso. Por exemplo, se a política indicar que as atribuições estão definidas para expirar em 30 de junho, a extensão máxima que um usuário pode solicitar é 30 de junho.

    Se o acesso de um usuário for estendido, ele não poderá solicitar o pacote de acesso após a data de extensão especificada (data definida no fuso horário do usuário que criou a política).

  9. Para exigir aprovação para conceder uma extensão, defina Exigir aprovação para conceder extensão como Sim.

    As mesmas configurações de aprovação especificadas na guia Solicitações serão usadas.

  10. Em seguida, mova o botão Exigir revisões de acesso para Sim.

    Adicionar a revisão de acesso

  11. Especifique a data de início das avaliações ao lado de Iniciando em.

  12. Em seguida, defina a frequência de revisão como Anual, Semestral, Trimestral ou Mensal. Essa configuração determina a frequência com que as revisões de acesso ocorrem.

  13. Defina a Duração para definir quantos dias cada revisão da série recorrente estará aberta para entrada dos revisores. Por exemplo, você pode agendar uma revisão anual que começa em 1º de janeiro e fica aberta para revisão por 30 dias para que os revisores tenham até o final do mês para responder.

  14. Ao lado de Revisores, selecione Autorevisão se quiser que os usuários realizem sua própria revisão de acesso ou selecione Revisor específico se quiser designar um revisor. Você também pode selecionar Gerente se quiser designar o gerente do revisor para ser o avaliador. Se você selecionar essa opção, precisará adicionar um fallback para encaminhar a revisão caso o gerente não possa ser encontrado no sistema.

  15. Se você selecionou Revisor específico(s), especifique quais usuários fazem a revisão de acesso:

    Selecione Adicionar revisores

    1. Selecione Adicionar revisores.
    2. No painel Selecionar revisores, procure e selecione o(s) usuário(s) que você deseja que seja um revisor.
    3. Depois de selecionar o(s) seu(s) revisor(es), selecione o botão Selecionar .

    Especificar os revisores

  16. Se você selecionou Gerente, especifique o revisor de fallback:

    1. Selecione Adicionar revisores de fallback.
    2. No painel Selecionar revisores de fallback, procure e selecione o(s) usuário(s) que você deseja que seja(m) revisor de fallback para o gerente do revisor.
    3. Depois de selecionar o(s) revisor(es) de fallback, selecione o botão Selecionar .

    Adicionar os revisores de fallback

  17. Há outras configurações avançadas que você pode definir. Para definir outras configurações de revisão de acesso avançado, selecione Mostrar configurações de revisão de acesso avançado:

    1. Se quiser especificar o que acontece com o acesso dos usuários quando um revisor não responde, selecione Se os revisores não responderem e selecione uma das seguintes opções:

      • Nenhuma alteração se você não quiser uma decisão tomada sobre o acesso dos usuários.
      • Remova o acesso se quiser que o acesso dos usuários seja removido.
      • Tome recomendações se quiser que uma decisão seja tomada com base nas recomendações do MyAccess.

      Adicionar configurações avançadas de revisão de acesso

    2. Se quiser ver as recomendações do sistema, selecione Mostrar auxiliares de decisão do revisor. As recomendações do sistema baseiam-se na atividade dos utilizadores. Os revisores veem uma das seguintes recomendações:

      • Aprove a revisão se o usuário tiver entrado pelo menos uma vez nos últimos 30 dias.
      • Negar a revisão se o usuário não tiver entrado nos últimos 30 dias.

    3. Se quiser que o revisor compartilhe os motivos da decisão de aprovação, selecione Exigir justificativa do avaliador. A sua justificação é visível para outros revisores e para o requerente.

  18. Selecione Rever + Criar ou selecione Seguinte se estiver a criar um novo pacote de acesso. Selecione Atualizar se estiver editando um pacote de acesso, na parte inferior da página.

Ver o estado da revisão de acesso

Após a data de início, uma revisão de acesso será listada na seção Revisões de acesso. Siga estas etapas para exibir o status de uma revisão de acesso:

  1. Em Governança de identidade, selecione Pacotes de acesso e, em seguida, selecione o pacote de acesso com o status de revisão de acesso que você deseja verificar.

  2. Quando estiver na visão geral do pacote de acesso, selecione Acessar revisões no menu à esquerda.

    Selecionar avaliações de acesso

  3. É exibida uma lista que contém todas as políticas que têm revisões de acesso associadas a elas. Selecione a avaliação para ver seu relatório.

    Lista de avaliações de acesso

  4. Quando você visualiza o relatório, ele mostra o número de usuários revisados e as ações tomadas pelo revisor sobre eles.

    Ver estado da avaliação

Acessar notificações por e-mail de avaliações

Você pode designar revisores ou os usuários podem revisar seus próprios acessos. Por padrão, o Microsoft Entra ID enviará um e-mail para revisores ou auto-revisores logo após o início da revisão.

O e-mail inclui instruções sobre como rever o acesso aos pacotes de acesso. Se a revisão for para os usuários revisarem seu acesso, mostre-lhes as instruções sobre como realizar uma autorevisão de seus pacotes de acesso.

Se você tiver atribuído usuários convidados como revisores e eles não tiverem aceitado o convite de convidado do Microsoft Entra, eles não receberão e-mails de avaliações de acesso. Eles devem primeiro aceitar o convite e criar uma conta com o Microsoft Entra ID antes de poderem receber os e-mails.

Próximos passos