Implantando políticas organizacionais para controlar o acesso a aplicativos integrados com o Microsoft Entra ID

Nas seções anteriores, você definiu suas políticas de governança para um aplicativo e integrou esse aplicativo ao Microsoft Entra ID. Nesta seção, você configura os recursos de acesso condicional e gerenciamento de direitos do Microsoft Entra para controlar o acesso contínuo aos seus aplicativos. Você estabelece

• Políticas de acesso condicional, para saber como um usuário se autentica na ID do Microsoft Entra para um aplicativo integrado à ID do Microsoft Entra para logon único
• Políticas de gerenciamento de direitos, para saber como um usuário obtém e mantém atribuições para funções de aplicativo e associação a grupos
• Políticas de revisão de acesso, para saber com que frequência as associações de grupo são revisadas

Depois que essas políticas forem implantadas, você poderá monitorar o comportamento contínuo do Microsoft Entra ID à medida que os usuários solicitam e recebem acesso ao aplicativo.

Implantar políticas de Acesso Condicional para imposição de SSO

Nesta seção, você estabelece as políticas de Acesso Condicional que estão no escopo para determinar se um usuário autorizado pode entrar no aplicativo, com base em fatores como a força de autenticação do usuário ou o status do dispositivo.

O Acesso Condicional só é possível para aplicativos que dependem do Microsoft Entra ID para logon único (SSO). Se o aplicativo não puder ser integrado para SSO, continue na próxima seção.

1. Carregue o documento dos termos de utilização (TDU), se necessário. Se você exigir que os usuários aceitem um termo de uso (TDU) antes de acessar o aplicativo, crie e carregue o documento TOU para que ele possa ser incluído em uma política de Acesso Condicional.
2. Verifique se os usuários estão prontos para a autenticação multifator do Microsoft Entra. Recomendamos exigir a autenticação multifator Microsoft Entra para aplicativos críticos de negócios integrados via federação. Para esses aplicativos, deve haver uma política que exija que o usuário tenha atendido a um requisito de autenticação multifator antes que o Microsoft Entra ID permita que ele entre no aplicativo. Algumas organizações também podem bloquear o acesso por locais ou exigir que o usuário acesse a partir de um dispositivo registrado. Se ainda não houver uma política adequada que inclua as condições necessárias para autenticação, localização, dispositivo e TOU, adicione uma política à sua implantação de Acesso Condicional.
3. Coloque o ponto de extremidade da Web do aplicativo no escopo da política de Acesso Condicional apropriada. Se você tiver uma política de Acesso Condicional existente que foi criada para outro aplicativo sujeito aos mesmos requisitos de governança, poderá atualizar essa política para que ela também se aplique a esse aplicativo, para evitar ter um grande número de políticas. Depois de fazer as atualizações, verifique se as políticas esperadas estão sendo aplicadas. Você pode ver quais políticas se aplicariam a um usuário com a ferramenta Acesso Condicional e se.
4. Crie uma revisão de acesso recorrente se algum usuário precisar de exclusões temporárias de política. Em alguns casos, pode não ser possível aplicar imediatamente políticas de Acesso Condicional para cada usuário autorizado. Por exemplo, alguns usuários podem não ter um dispositivo registrado apropriado. Se for necessário excluir um ou mais usuários da política de Acesso Condicional e permitir que eles acessem, configure uma revisão de acesso para o grupo de usuários excluídos das políticas de Acesso Condicional.
5. Documente o tempo de vida do token e as configurações de sessão do aplicativo. Por quanto tempo um usuário a quem foi negado acesso contínuo pode continuar a usar um aplicativo federado depende do próprio tempo de vida da sessão do aplicativo e do tempo de vida do token de acesso. O tempo de vida da sessão de um aplicativo depende do próprio aplicativo. Para saber mais sobre como controlar o tempo de vida dos tokens de acesso, consulte Tempos de vida dos tokens configuráveis.

Implantar políticas de gerenciamento de direitos para automatizar a atribuição de acesso

Nesta seção, você configura o gerenciamento de direitos do Microsoft Entra para que os usuários possam solicitar acesso às funções do seu aplicativo ou aos grupos usados pelo aplicativo. Para executar essas tarefas, você precisa estar na função de Administrador Global, Administrador de Governança de Identidade ou ser delegado como criador de catálogo e proprietário do aplicativo.

1. Os pacotes de acesso para aplicativos controlados devem estar em um catálogo designado. Se você ainda não tiver um catálogo para seu cenário de governança de aplicativo, crie um catálogo no gerenciamento de direitos do Microsoft Entra. Se você tiver vários catálogos para criar, poderá usar um script do PowerShell para criar cada catálogo.
2. Preencha o catálogo com os recursos necessários. Adicione o aplicativo e quaisquer grupos do Microsoft Entra nos quais o aplicativo depende, como recursos nesse catálogo. Se você tiver muitos recursos, poderá usar um script do PowerShell para adicionar cada recurso a um catálogo.
3. Crie um pacote de acesso para cada função ou grupo que os usuários possam solicitar. Para cada um dos aplicativos e para cada uma de suas funções ou grupos de aplicativos, crie um pacote de acesso que inclua essa função ou grupo como seu recurso. Nesta etapa de configuração desses pacotes de acesso, configure a política de atribuição do primeiro pacote de acesso em cada pacote de acesso para ser uma política de atribuição direta, para que apenas os administradores possam criar atribuições. Nessa política, defina os requisitos de revisão de acesso para usuários existentes, se houver, para que eles não mantenham o acesso indefinidamente. Se você tiver muitos pacotes de acesso, poderá usar um script do PowerShell para criar cada pacote de acesso em um catálogo.
4. Configure pacotes de acesso para impor requisitos de separação de tarefas. Se você tiver requisitos de separação de tarefas , configure os pacotes de acesso incompatíveis ou grupos existentes para seu pacote de acesso. Se o seu cenário exigir a capacidade de substituir uma verificação de separação de funções, você também poderá configurar pacotes de acesso adicionais para esses cenários de substituição.
5. Adicione atribuições de usuários existentes, que já têm acesso ao aplicativo, aos pacotes de acesso. Para cada pacote de acesso, atribua usuários existentes do aplicativo nessa função correspondente, ou membros desse grupo, ao pacote de acesso e sua política de atribuição direta. Você pode atribuir diretamente um usuário a um pacote de acesso usando o centro de administração do Microsoft Entra ou em massa via Graph ou PowerShell.
6. Crie políticas adicionais para permitir que os usuários solicitem acesso. Em cada pacote de acesso, crie políticas adicionais de atribuição de pacotes de acesso para que os usuários solicitem acesso. Configure os requisitos de aprovação e revisão de acesso recorrente nessa política.
7. Crie revisões de acesso recorrentes para outros grupos usados pelo aplicativo. Se houver grupos que são usados pelo aplicativo, mas não são funções de recurso para um pacote de acesso, crie revisões de acesso para a associação desses grupos.

Ver relatórios sobre o acesso

O Microsoft Entra ID e o Microsoft Entra ID Governance com o Azure Monitor fornecem vários relatórios para ajudá-lo a entender quem tem acesso a um aplicativo e se eles estão usando esse acesso.

• Um administrador ou um proprietário de catálogo pode recuperar a lista de usuários que têm atribuições de pacote de acesso, por meio do Centro de administração do Microsoft Entra, do Graph ou do PowerShell.
• Também pode enviar os registos de auditoria para o Azure Monitor e ver um histórico de alterações ao pacote de acesso, no centro de administração do Microsoft Entra ou através do PowerShell.
• Pode ver os últimos 30 dias de início de sessão numa aplicação no relatório de início de sessão no centro de administração do Microsoft Entra ou através do Graph.
• Você também pode enviar os logs de entrada para o Azure Monitor para arquivar a atividade de logon por até dois anos.

Monitorar para ajustar as políticas de gerenciamento de direitos e o acesso, conforme necessário

Em intervalos regulares, como semanal, mensal ou trimestral, com base no volume de alterações de atribuição de acesso ao aplicativo para seu aplicativo, use o centro de administração do Microsoft Entra para garantir que o acesso esteja sendo concedido de acordo com as políticas. Você também pode garantir que os usuários identificados para aprovação e revisão ainda sejam os indivíduos corretos para essas tarefas.

• Fique atento às atribuições de função do aplicativo e às alterações de associação ao grupo. Se você tiver a ID do Microsoft Entra configurada para enviar seu log de auditoria para o Azure Monitor, use o Application role assignment activity no Azure Monitor para monitorar e relatar quaisquer atribuições de função de aplicativo que não foram feitas por meio do gerenciamento de direitos. Se houver atribuições de função que foram criadas diretamente por um proprietário de aplicativo, você deve entrar em contato com esse proprietário de aplicativo para determinar se essa atribuição foi autorizada. Além disso, se o aplicativo depender de grupos de segurança do Microsoft Entra, também monitore as alterações nesses grupos.

• Observe também os usuários que receberam acesso diretamente no aplicativo. Se as seguintes condições forem atendidas, é possível que um usuário obtenha acesso a um aplicativo sem fazer parte do Microsoft Entra ID ou sem ser adicionado ao armazenamento de conta de usuário dos aplicativos pelo Microsoft Entra ID:

  • O aplicativo tem um armazenamento de conta de usuário local dentro do aplicativo
  • O armazenamento da conta de usuário está em um banco de dados ou em um diretório LDAP
  • O aplicativo não depende apenas do Microsoft Entra ID para logon único.

  Para um aplicativo com as propriedades na lista anterior, você deve verificar regularmente se os usuários só foram adicionados ao repositório de usuário local do aplicativo por meio do provisionamento do Microsoft Entra. Se os usuários que foram criados diretamente no aplicativo, entre em contato com o proprietário do aplicativo para determinar se essa atribuição foi autorizada.

• Certifique-se de que os aprovadores e revisores sejam mantidos atualizados. Para cada pacote de acesso configurado na seção anterior, verifique se as políticas de atribuição de pacotes de acesso continuam a ter os aprovadores e revisores corretos. Atualize essas políticas se os aprovadores e revisores que foram configurados anteriormente não estiverem mais presentes na organização ou estiverem em uma função diferente.

• Valide se os revisores estão tomando decisões durante uma revisão. Monitore se as revisões de acesso recorrentes para esses pacotes de acesso estão sendo concluídas com êxito, para garantir que os revisores estejam participando e tomando decisões para aprovar ou negar a necessidade contínua de acesso do usuário.

• Verifique se o provisionamento e o desprovisionamento estão funcionando conforme o esperado. Se você configurou anteriormente o provisionamento de usuários para o aplicativo, quando os resultados de uma revisão forem aplicados ou a atribuição de um usuário a um pacote de acesso expirar, o Microsoft Entra ID começará a desprovisionar usuários negados do aplicativo. Você pode monitorar o processo de desprovisionamento de usuários. Se o provisionamento indicar um erro com o aplicativo, você poderá baixar o log de provisionamento para investigar se houve um problema com o aplicativo.

• Atualize a configuração do Microsoft Entra com quaisquer alterações de função ou grupo no aplicativo. Se o administrador do aplicativo adicionar novas funções de aplicativo em seu manifesto, atualizar funções existentes ou depender de grupos adicionais, você precisará atualizar os pacotes de acesso e as revisões de acesso para levar em conta essas novas funções ou grupos.

Próximos passos

• O Access revisa o plano de implantação