O que é a gestão de direitos do Azure AD?

A gestão de direitos do Azure Ative Directory (Azure AD) é uma funcionalidade de governação de identidade que permite às organizações gerir o ciclo de vida de identidade e acesso à escala, automatizando fluxos de trabalho de pedidos de acesso, atribuições de acesso, revisões e expiração.

Os colaboradores das organizações precisam de acesso a vários grupos, aplicações e sites SharePoint Online para realizar o seu trabalho. Gerir este acesso é um desafio, à medida que os requisitos mudam. Novas aplicações são adicionadas ou os utilizadores precisam de mais direitos de acesso. Este cenário torna-se mais complicado quando colabora com organizações externas. Pode não saber quem na outra organização precisa de acesso aos recursos da sua organização, e eles não saberão que aplicações, grupos ou sites a sua organização está a usar.

Azure AD gestão de direitos pode ajudá-lo a gerir de forma mais eficiente o acesso a grupos, aplicações e sites SharePoint Online para utilizadores internos, bem como para utilizadores fora da sua organização que precisam de acesso a esses recursos.

Porquê usar a gestão de direitos?

As organizações empresariais enfrentam frequentemente desafios na gestão do acesso dos colaboradores a recursos como:

  • Os utilizadores podem não saber que acesso devem ter, e mesmo que tenham, podem ter dificuldade em localizar os indivíduos certos para aprovarem o seu acesso.
  • Uma vez que os utilizadores encontram e recebem acesso a um recurso, podem manter o acesso a um prazo mais longo do que o necessário para fins comerciais

Estes problemas são agravados para utilizadores que precisam de acesso de outra organização, como utilizadores externos que são de organizações da cadeia de fornecimento ou outros parceiros de negócio. Por exemplo:

  • Ninguém pode conhecer todos os indivíduos específicos nos diretórios de outra organização para poder convidá-los
  • Mesmo que pudessem convidar estes utilizadores, ninguém naquela organização se lembraria de gerir o acesso de todos os utilizadores de forma consistente.

Azure AD gestão de direitos pode ajudar a resolver estes desafios. Para saber mais sobre como os clientes têm usado Azure AD gestão de direitos, você pode ler o estudo de caso Avanade e o estudo de caso Centrica. Este vídeo fornece uma visão geral da gestão de direitos e do seu valor:

O que posso fazer com a gestão de direitos?

Aqui estão algumas das capacidades de gestão de direitos:

  • Controle quem pode ter acesso a aplicações, grupos, equipas e sites SharePoint, com aprovação em várias fases, e garantir que os utilizadores não retêm o acesso indefinidamente através de atribuições limitadas no tempo e revisões de acesso recorrentes.
  • Dê aos utilizadores acesso automaticamente a esses recursos, com base nas propriedades do utilizador, como departamento ou centro de custos, e remova o acesso de um utilizador quando essas propriedades mudarem (pré-visualização).
  • Delegar em não administradores a capacidade de criar pacotes de acesso. Estes pacotes de acesso contêm recursos que os utilizadores podem solicitar, e os gestores de pacotes de acesso delegado podem definir políticas com regras para as quais os utilizadores podem solicitar, quem deve aprovar o seu acesso e quando o acesso expirar.
  • Selecione organizações conectadas cujos utilizadores podem solicitar acesso. Quando um utilizador que ainda não está no seu diretório solicita acesso, e é aprovado, é automaticamente convidado para o seu diretório e acesso atribuído. Quando o seu acesso expirar, se não tiverem outras atribuições de pacotes de acesso, a sua conta B2B no seu diretório pode ser automaticamente removida.

Nota

Se estiver pronto para experimentar a gestão de Direito, pode começar com o nosso tutorial para criar o seu primeiro pacote de acesso.

Também pode ler os cenários comuns, ou ver vídeos, incluindo

Quais são os pacotes de acesso e que recursos posso gerir com eles?

A gestão de direitos introduz a Azure AD o conceito de pacote de acesso. Um pacote de acesso é um pacote de todos os recursos com o acesso que um utilizador precisa para trabalhar num projeto ou executar a sua tarefa. Os pacotes de acesso são usados para reger o acesso aos seus funcionários internos e também utilizadores fora da sua organização.

Aqui estão os tipos de recursos a que pode gerir o acesso do utilizador, com gestão de direitos:

  • Adesão a grupos de segurança Azure AD
  • Membros de Grupos do Microsoft 365 e Equipas
  • A cessão para Azure AD aplicações empresariais, incluindo aplicações SaaS e aplicações personalizadas que suportem a federação/único sign-on e/ou provisioning
  • Adesão a sites online do SharePoint

Também pode controlar o acesso a outros recursos que dependem de Azure AD grupos de segurança ou Grupos do Microsoft 365. Por exemplo:

  • Pode dar licenças aos utilizadores para o Microsoft 365, utilizando um grupo de segurança Azure AD num pacote de acesso e configurando o licenciamento baseado em grupo para esse grupo.
  • Pode dar aos utilizadores acesso para gerir os recursos do Azure, utilizando um grupo de segurança Azure AD num pacote de acesso e criando uma atribuição de papel Azure para esse grupo.
  • Pode dar aos utilizadores acesso para gerir Azure AD funções, utilizando grupos atribuíveis a Azure AD funções num pacote de acesso e atribuindo um papel Azure AD a esse grupo.

Como devo proceder para controlo de quem tem acesso?

Com um pacote de acesso, um administrador ou gestor de pacotes de acesso delegado lista os recursos (grupos, apps e sites) e as funções que os utilizadores precisam para esses recursos.

Os pacotes de acesso também incluem uma ou mais políticas. Uma política define as regras ou guarda-costas para a atribuição ao pacote de acesso. Cada política pode ser utilizada para garantir que apenas os utilizadores apropriados possam ter atribuições de acesso, e o acesso é limitado no tempo e expirará se não for renovado.

Diagrama de pacote de acesso e políticas.

Pode ter políticas para os utilizadores solicitarem acesso. Neste tipo de políticas, um administrador ou gestor de pacotes de acesso define

  • Ou os utilizadores já existentes (normalmente empregados ou hóspedes já convidados), ou as organizações parceiras de utilizadores externos que são elegíveis para solicitar acesso
  • O processo de aprovação e os utilizadores que podem aprovar ou negar o acesso
  • A duração da atribuição de acesso de um utilizador, uma vez aprovada, antes de expirar a atribuição

Também pode ter políticas para que os utilizadores tenham acesso, seja por um administrador ou automaticamente.

O diagrama que se segue mostra um exemplo dos diferentes elementos na gestão dos direitos. Mostra um catálogo com pacotes de acesso de dois exemplos.

  • O pacote de acesso 1 inclui um único grupo como recurso. O acesso é definido com uma política que permite a um conjunto de utilizadores no diretório solicitar acesso.
  • O pacote de acesso 2 inclui um grupo, uma aplicação e um site SharePoint Online como recursos. O acesso é definido com duas políticas diferentes. A primeira política permite que um conjunto de utilizadores no diretório solicitem acesso. A segunda política permite que os utilizadores de um diretório externo solicitem acesso.

Diagrama de visão geral da gestão de direitos

Quando devo usar pacotes de acesso?

Os pacotes de acesso não substituem outros mecanismos de acesso. São mais apropriados em situações como:

  • Os colaboradores precisam de acesso limitado a tempo para uma determinada tarefa. Por exemplo, você pode usar o licenciamento baseado em grupo e um grupo dinâmico para garantir que todos os funcionários têm uma caixa de correio Exchange Online, e depois usar pacotes de acesso para situações em que os funcionários precisam de mais direitos de acesso. Por exemplo, direitos de leitura de recursos departames de outro departamento.
  • Acesso que requer a aprovação do gerente de um empregado ou de outros indivíduos designados.
  • Os departamentos desejam gerir as suas próprias políticas de acesso aos seus recursos sem o envolvimento das TI.
  • Duas ou mais organizações estão a colaborar num projeto e, como resultado, vários utilizadores de uma organização terão de ser trazidos através de Azure AD B2B para aceder aos recursos de outra organização.

Como devo proceder para delegado de acesso?

Os pacotes de acesso são definidos em contentores chamados catálogos. Você pode ter um único catálogo para todos os seus pacotes de acesso, ou você pode designar indivíduos para criar e possuir seus próprios catálogos. Um administrador pode adicionar recursos a qualquer catálogo, mas um não administrador só pode adicionar a um catálogo os recursos que possuem. Um proprietário de catálogo pode adicionar outros utilizadores como coproprietários de catálogos, ou como gestores de pacotes de acesso. Estes cenários são descritos ainda na delegação do artigo e nas funções na gestão dos direitos Azure AD.

Resumo da terminologia

Para melhor compreender a gestão de direitos e a sua documentação, pode remeter para a seguinte lista de termos.

Termo Descrição
pacote de acesso Um conjunto de recursos que uma equipa ou projeto precisa e é governado com políticas. Um pacote de acesso está sempre contido num catálogo. Criaria um novo pacote de acesso para um cenário em que os utilizadores precisam de pedir acesso.
pedido de acesso Um pedido de acesso aos recursos num pacote de acesso. Um pedido geralmente passa por um fluxo de trabalho de aprovação. Se aprovado, o utilizador que solicita recebe uma atribuição de pacote de acesso.
atribuição Uma atribuição de um pacote de acesso a um utilizador garante que o utilizador tem todas as funções de recurso desse pacote de acesso. As atribuições de pacotes de acesso normalmente têm um prazo limite antes de expirarem.
catálogo Um contentor de recursos relacionados e pacotes de acesso. Os catálogos são utilizados para a delegação, para que os não administradores possam criar os seus próprios pacotes de acesso. Os proprietários de catálogos podem adicionar recursos que possuem a um catálogo.
criador de catálogo Uma coleção de utilizadores autorizados a criar novos catálogos. Quando um utilizador não administrador autorizado a ser um criador de catálogos cria um novo catálogo, torna-se automaticamente o proprietário desse catálogo.
organização conectada Um diretório de Azure AD externo com o que tem uma relação. Os utilizadores de uma organização conectada podem ser especificados numa política como sendo autorizados a solicitar acesso.
política Um conjunto de regras que definem o ciclo de vida de acesso, como a forma como os utilizadores têm acesso, quem pode aprovar e quanto tempo os utilizadores têm acesso através de uma atribuição. Uma política está ligada a um pacote de acesso. Por exemplo, um pacote de acesso poderia ter duas políticas - uma para os funcionários solicitarem o acesso e uma segunda para os utilizadores externos solicitarem acesso.
recurso Um ativo, como um grupo de Escritório, um grupo de segurança, uma aplicação ou um site SharePoint Online, com uma função a que um utilizador pode ser autorizado.
diretório de recursos Um diretório que tem um ou mais recursos para partilhar.
papel de recursos Uma coleção de permissões associadas e definidas por um recurso. Um grupo tem duas funções - membro e proprietário. Os sites sharePoint normalmente têm três funções, mas podem ter outras funções personalizadas. As aplicações podem ter funções personalizadas.

Requisitos de licença

A utilização desta funcionalidade requer licenças Azure AD Premium P2. Para encontrar a licença certa para os requisitos, veja Comparar as funcionalidades geralmente disponíveis do Azure Active Directory.

Nuvens especializadas, como a Azure Germany, e a Azure China 21Vianet, não estão atualmente disponíveis para uso.

Quantas licenças tem?

Certifique-se de que o seu diretório tem pelo menos tantas licenças Azure AD Premium P2 como tem:

  • Utilizadores membros que podem solicitar um pacote de acesso.
  • Utilizadores membros que solicitam um pacote de acesso.
  • Utilizadores membros que aprovam pedidos de pacote de acesso.
  • Utilizadores membros que analisam as atribuições de um pacote de acesso.
  • Utilizadores membros que tenham uma atribuição direta ou uma atribuição automática a um pacote de acesso.

Para os utilizadores convidados, as necessidades de licenciamento dependerão do modelo de licenciamento que está a usar. No entanto, as atividades dos utilizadores abaixo são consideradas Azure AD Premium P2 utilização:

  • Utilizadores convidados que solicitam um pacote de acesso.
  • Utilizadores convidados que aprovam pedidos de um pacote de acesso.
  • Utilizadores convidados que analisam atribuições para um pacote de acesso.
  • Utilizadores convidados que tenham uma atribuição direta a um pacote de acesso.

Azure AD Premium P2 não são necessárias licenças para as seguintes tarefas:

  • Não são necessárias licenças para utilizadores com a função de Administrador Global que criem os catálogos iniciais, pacotes de acesso e políticas, e delegam tarefas administrativas a outros utilizadores.
  • Não são necessárias licenças para utilizadores que tenham sido delegadas tarefas administrativas, tais como criador de catálogos, proprietário de catálogos e gestor de pacotes de acesso.
  • Não são necessárias licenças para os hóspedes que tenham o privilégio de solicitar pacotes de acesso , mas não optam por as solicitar.

Para obter mais informações sobre licenças, consulte Atribuir ou remover licenças utilizando o portal Azure Ative Directory.

Exemplo de cenários de licença

Aqui estão alguns cenários de licença de exemplo para ajudá-lo a determinar o número de licenças que deve ter.

Scenario Cálculo Número de licenças
Um Administrador Global do Woodgrove Bank cria catálogos iniciais e delega tarefas administrativas a outros seis utilizadores. Uma das políticas especifica que todos os colaboradores (2.000 colaboradores) podem solicitar um conjunto específico de pacotes de acesso. 150 funcionários pedem os pacotes de acesso. 2.000 funcionários que podem solicitar os pacotes de acesso 2.000
Um Administrador Global do Woodgrove Bank cria catálogos iniciais e delega tarefas administrativas a outros seis utilizadores. Uma das políticas especifica que todos os colaboradores (2.000 colaboradores) podem solicitar um conjunto específico de pacotes de acesso. Outra política especifica que alguns utilizadores de Utilizadores do parceiro Contoso (convidados) podem solicitar os mesmos pacotes de acesso sujeitos a aprovação. A Contoso tem 30.000 utilizadores. 150 colaboradores solicitam o acesso aos pacotes de acesso e 10.500 utilizadores da Contoso solicitam acesso. 2.000 funcionários precisam de licenças, os utilizadores convidados são cobrados mensalmente e não são necessárias licenças adicionais para eles. * 2.000

* Azure AD O preço das Identidades Externas (utilizador convidado) baseia-se em utilizadores ativos mensais (MAU), que é a contagem de utilizadores únicos com atividade de autenticação dentro de um mês civil. Este modelo substitui o modelo de faturação de rácio de 1:5, que permitiu que até cinco utilizadores convidados por cada Azure AD licença Premium no seu inquilino. Quando o seu inquilino estiver ligado a uma subscrição e utilizar funcionalidades de Identidades Externas para colaborar com os utilizadores convidados, será automaticamente faturado utilizando o modelo de faturação baseado na MAU. Para mais informações, consulte o modelo de Faturação para Azure AD Identidades Externas.

Passos seguintes