Definir políticas organizacionais para controlar o acesso a aplicativos em seu ambiente
Depois de identificar um ou mais aplicativos que você deseja usar o Microsoft Entra ID para controlar o acesso, anote as políticas da organização para determinar quais usuários devem ter acesso e quaisquer outras restrições que o sistema deve fornecer.
Identifica aplicativos e suas funções no escopo
As organizações com requisitos de conformidade ou planos de gerenciamento de riscos têm aplicativos sensíveis ou críticos para os negócios. Se esta aplicação for uma aplicação existente no seu ambiente, poderá já ter documentado as políticas de acesso para quem "deve ter acesso" a esta aplicação. Caso contrário, talvez seja necessário consultar várias partes interessadas, como equipes de conformidade e gerenciamento de riscos, para garantir que as políticas que estão sendo usadas para automatizar as decisões de acesso sejam apropriadas para o seu cenário.
Colete as funções e permissões que cada aplicativo fornece. Alguns aplicativos podem ter apenas uma única função, por exemplo, um aplicativo que só tem a função "Usuário". Aplicativos mais complexos podem apresentar várias funções a serem gerenciadas por meio do Microsoft Entra ID. Essas funções de aplicativo geralmente fazem restrições amplas sobre o acesso que um usuário com essa função teria dentro do aplicativo. Por exemplo, um aplicativo que tem uma persona de administrador pode ter duas funções, "Usuário" e "Administrador". Outros aplicativos também podem depender de associações de grupo ou declarações para verificações de função mais refinadas, que podem ser fornecidas ao aplicativo a partir da ID do Microsoft Entra em provisionamento ou declarações emitidas usando protocolos SSO de federação, ou gravadas no AD como uma associação de grupo de segurança. Finalmente, pode haver funções específicas do aplicativo que não aparecem no Microsoft Entra ID - talvez o aplicativo não permita definir os administradores no Microsoft Entra ID, em vez disso, confiando em suas próprias regras de autorização para identificar administradores. O SAP Cloud Identity Services tem apenas uma função, Usuário, disponível para atribuição.
Nota
Se você estiver usando um aplicativo da galeria de aplicativos do Microsoft Entra que ofereça suporte ao provisionamento, o ID do Microsoft Entra poderá importar funções definidas no aplicativo e atualizar automaticamente o manifesto do aplicativo com as funções do aplicativo automaticamente, assim que o provisionamento for configurado.
Selecione quais funções e grupos têm associação que devem ser regidos no Microsoft Entra ID. Com base nos requisitos de conformidade e gerenciamento de riscos, as organizações geralmente priorizam as funções ou grupos de aplicativos que dão acesso privilegiado ou acesso a informações confidenciais.
Definir a política da organização com pré-requisitos e outras restrições para acesso ao aplicativo
Nesta seção, você anotará as políticas organizacionais que planeja usar para determinar o acesso ao aplicativo. Você pode registrar isso como uma tabela em uma planilha, por exemplo
| Função do aplicativo | Pré-requisito para acesso | Aprovadores | Duração padrão do acesso | Restrições em matéria de separação de funções | Políticas de Acesso Condicional |
|---|---|---|---|---|---|
| Vendas Ocidentais | Membro da equipa comercial | Gestor de Utilizadores | Revisão anual | Não é possível ter acesso ao Eastern Sales | Autenticação multifator (MFA) e dispositivo registrado necessários para acesso |
| Vendas Ocidentais | Qualquer funcionário fora das vendas | chefe do departamento de vendas | 90 dias | N/A | MFA e dispositivo registrado necessários para acesso |
| Vendas Ocidentais | Representante de vendas não empregado | chefe do departamento de vendas | 30 dias | N/A | MFA necessária para acesso |
| Vendas no Leste | Membro da equipa comercial | Gestor de Utilizadores | Revisão anual | Não é possível ter acesso ao Western Sales | MFA e dispositivo registrado necessários para acesso |
| Vendas no Leste | Qualquer funcionário fora das vendas | chefe do departamento de vendas | 90 dias | N/A | MFA e dispositivo registrado necessários para acesso |
| Vendas no Leste | Representante de vendas não empregado | chefe do departamento de vendas | 30 dias | N/A | MFA necessária para acesso |
Se você já tiver uma definição de função de organização, consulte como migrar uma função organizacional para obter mais informações.
Identifique se há requisitos de pré-requisitos, padrões que um usuário deve atender antes de ter acesso a um aplicativo. Por exemplo, em circunstâncias normais, apenas funcionários em tempo integral, ou aqueles em um determinado departamento ou centro de custo, devem ter permissão para ter acesso ao aplicativo de um determinado departamento. Além disso, você pode exigir que a política de gerenciamento de direitos para um usuário de algum outro departamento que solicite acesso tenha um ou mais aprovadores adicionais. Embora ter vários estágios de aprovação possa atrasar o processo geral de acesso de um usuário, esses estágios extras garantem que as solicitações de acesso sejam apropriadas e as decisões sejam responsáveis. Por exemplo, as solicitações de acesso de um funcionário podem ter dois estágios de aprovação, primeiro pelo gerente do usuário solicitante e segundo por um dos proprietários de recursos responsáveis pelos dados mantidos no aplicativo.
Determine por quanto tempo um usuário que foi aprovado para acesso deve ter acesso e quando esse acesso deve desaparecer. Para muitos aplicativos, um usuário pode manter o acesso indefinidamente, até que não esteja mais afiliado à organização. Em algumas situações, o acesso pode estar vinculado a projetos ou marcos específicos, de modo que, quando o projeto termina, o acesso é removido automaticamente. Ou, se apenas alguns usuários estiverem usando um aplicativo por meio de uma política, você poderá configurar revisões trimestrais ou anuais do acesso de todos por meio dessa política, para que haja supervisão regular.
Se sua organização já está controlando o acesso com um modelo de função organizacional, planeje trazer esse modelo de função organizacional para o Microsoft Entra ID. Você pode ter uma função organizacional definida que atribui acesso com base na propriedade de um usuário, como sua posição ou departamento. Esses processos podem garantir que os usuários percam o acesso eventualmente quando o acesso não for mais necessário, mesmo que não haja uma data de término do projeto pré-determinada.
Informe-se sobre se existem restrições de separação de funções. Por exemplo, você pode ter um aplicativo com duas funções de aplicativo, Western Sales e Eastern Sales, e deseja garantir que um usuário só possa ter um território de vendas de cada vez. Inclua uma lista de quaisquer pares de funções de aplicativo que sejam incompatíveis com seu aplicativo, para que, se um usuário tiver uma função, ele não tenha permissão para solicitar a segunda função.
Selecione a política de Acesso Condicional apropriada para acesso ao aplicativo. Recomendamos que você analise seus aplicativos e os agrupe em aplicativos que tenham os mesmos requisitos de recursos para os mesmos usuários. Se este for o primeiro aplicativo SSO federado que você está integrando com o Microsoft Entra ID Governance para governança de identidade, talvez seja necessário criar uma nova política de Acesso Condicional para expressar restrições, como requisitos para autenticação multifator (MFA) ou acesso baseado em local. Você pode configurar os usuários para serem obrigados a concordar com os termos de uso. Consulte planejar uma implantação de Acesso Condicional para obter mais considerações sobre como definir uma política de Acesso Condicional.
Determine como as exceções aos seus critérios devem ser tratadas. Por exemplo, um aplicativo normalmente só pode estar disponível para funcionários designados, mas um auditor ou fornecedor pode precisar de acesso temporário para um projeto específico. Ou, um funcionário que está viajando pode precisar de acesso de um local que normalmente está bloqueado, pois sua organização não tem presença nesse local. Nessas situações, você pode optar por também ter uma política de gerenciamento de direitos para aprovação que pode ter estágios diferentes, ou um limite de tempo diferente, ou um aprovador diferente. Um fornecedor que está conectado como um usuário convidado em seu locatário do Microsoft Entra pode não ter um gerente, portanto, em vez disso, suas solicitações de acesso podem ser aprovadas por um patrocinador para sua organização, por um proprietário de recurso ou por um oficial de segurança.
Como a política organizacional para quem deve ter acesso está sendo revisada pelas partes interessadas, você pode começar a integrar o aplicativo com o Microsoft Entra ID. Dessa forma, em uma etapa posterior, você estará pronto para implantar as políticas de acesso aprovadas pela organização na Governança de ID do Microsoft Entra.