Controlar o acesso de aplicativos em seu ambiente

O Microsoft Entra ID Governance permite equilibrar a necessidade de segurança e produtividade dos funcionários da sua organização com os processos e a visibilidade certos. Seus recursos garantem que as pessoas certas tenham o acesso certo aos recursos certos em sua organização no momento certo.

As organizações com requisitos de conformidade ou planos de gerenciamento de riscos têm aplicativos sensíveis ou críticos para os negócios. A sensibilidade da aplicação pode basear-se na sua finalidade ou nos dados que contém, tais como informações financeiras ou informações pessoais dos clientes da organização. Para esses aplicativos, apenas um subconjunto de todos os usuários na organização normalmente estará autorizado a ter acesso, e o acesso só deve ser permitido com base em requisitos de negócios documentados. Como parte dos controles da sua organização para gerenciar o acesso, você pode usar os recursos do Microsoft Entra para

  • configurar o acesso adequado
  • Provisionar usuários para aplicativos
  • Impor verificações de acesso
  • produzir relatórios para demonstrar como esses controles estão sendo usados para atender aos seus objetivos de conformidade e gerenciamento de riscos.

Além do cenário de governança de acesso ao aplicativo, você também pode usar a governança de identidade e os outros recursos do Microsoft Entra para outros cenários, como revisar e remover usuários de outras organizações ou gerenciar usuários excluídos das políticas de Acesso Condicional. Se sua organização tiver vários administradores no Microsoft Entra ID ou no Azure, usar B2B ou gerenciamento de grupo de autoatendimento, você deverá planejar uma implantação de revisões de acesso para esses cenários.

Requisitos da licença

O uso desse recurso requer licenças do Microsoft Entra ID Governance. Para encontrar a licença certa para seus requisitos, consulte Fundamentos de licenciamento do Microsoft Entra ID Governance.

Introdução ao controle do acesso a aplicativos

O Microsoft Entra ID Governance pode ser integrado com muitas aplicações, utilizando padrões como OpenID Connect, SAML, SCIM, SQL e LDAP. Por meio desses padrões, você pode usar o Microsoft Entra ID com muitos aplicativos SaaS populares, aplicativos locais e aplicativos que sua organização desenvolveu. Depois de preparar seu ambiente Microsoft Entra, conforme descrito na seção abaixo, o plano de três etapas aborda como conectar um aplicativo ao Microsoft Entra ID e habilitar recursos de governança de identidade para serem usados para esse aplicativo.

  1. Definir as políticas da sua organização para controlar o acesso ao aplicativo
  2. Integre o aplicativo com o Microsoft Entra ID para garantir que apenas usuários autorizados possam acessar o aplicativo e revise o acesso existente do usuário ao aplicativo para definir uma linha de base de todos os usuários que foram revisados. Isso permite a autenticação e o provisionamento do usuário
  3. Implante essas políticas para controlar o logon único (SSO) e automatizar as atribuições de acesso para esse aplicativo

Pré-requisitos antes de configurar o Microsoft Entra ID para governança de identidade

Antes de iniciar o processo de controlar o acesso ao aplicativo a partir da ID do Microsoft Entra, você deve verificar se o ambiente do Microsoft Entra está configurado adequadamente.

  • Verifique se o ambiente Microsoft Entra ID e Microsoft Online Services está pronto para os requisitos de conformidade para que os aplicativos sejam integrados e licenciados corretamente. A conformidade é uma responsabilidade compartilhada entre a Microsoft, os provedores de serviços de nuvem (CSPs) e as organizações. Para usar o Microsoft Entra ID para controlar o acesso a aplicativos, você deve ter uma das seguintes combinações de licença em seu locatário:

    • Governança do Microsoft Entra ID e seu pré-requisito, Microsoft Entra ID P1
    • Governança do Microsoft Entra ID Step Up para Microsoft Entra ID P2 e seu pré-requisito, Microsoft Entra ID P2 ou Enterprise Mobility + Security (EMS) E5

    Seu locatário precisa ter pelo menos tantas licenças quanto o número de usuários membros (não convidados) que são governados, incluindo aqueles que têm ou podem solicitar acesso aos aplicativos, aprovar ou revisar o acesso aos aplicativos. Com uma licença apropriada para esses usuários, você pode controlar o acesso a até 1500 aplicativos por usuário.

  • Se você estiver controlando o acesso do convidado ao aplicativo, vincule seu locatário do Microsoft Entra a uma assinatura para cobrança do MAU. Este passo é necessário antes de um hóspede solicitar ou rever o seu acesso. Para obter mais informações, consulte Modelo de cobrança para ID Externo do Microsoft Entra.

  • Verifique se a ID do Microsoft Entra já está enviando seu log de auditoria e, opcionalmente, outros logs, para o Azure Monitor. O Azure Monitor é opcional, mas útil para controlar o acesso a aplicativos, já que o Microsoft Entra-only armazena eventos de auditoria por até 30 dias em seu log de auditoria. Você pode manter os dados de auditoria por mais tempo do que o período de retenção padrão, descrito em Por quanto tempo o Microsoft Entra ID armazena dados de relatórios?, e usar pastas de trabalho do Azure Monitor e consultas e relatórios personalizados sobre dados históricos de auditoria. Você pode verificar a configuração do Microsoft Entra para ver se ela está usando o Azure Monitor, na ID do Microsoft Entra no centro de administração do Microsoft Entra, clicando em Pastas de trabalho. Se essa integração não estiver configurada e você tiver uma assinatura do Azure e estiver nas funções ou, poderá configurar a ID do Microsoft Entra para usar o Global Administrator Azure Monitor.Security Administrator

  • Verifique se apenas os usuários autorizados estão nas funções administrativas altamente privilegiadas em seu locatário do Microsoft Entra. Os administradores no Administrador Global, Administrador de Governança de Identidade, Administrador de Usuário, Administrador de Aplicativos, Administrador de Aplicativos na Nuvem e Administrador de Função Privilegiada podem fazer alterações nos usuários e em suas atribuições de função de aplicativo. Se as associações dessas funções ainda não tiverem sido revisadas recentemente, você precisará de um usuário que esteja no Administrador Global ou no Administrador de Função Privilegiada para garantir que a revisão de acesso dessas funções de diretório seja iniciada. Você também deve garantir que os usuários em funções do Azure em assinaturas que contêm o Monitor do Azure, Aplicativos Lógicos e outros recursos necessários para a operação de sua configuração do Microsoft Entra tenham sido revisados.

  • Verifique se o seu inquilino tem isolamento adequado. Se sua organização estiver usando o Ative Directory local e esses domínios do AD estiverem conectados à ID do Microsoft Entra, você precisará garantir que as operações administrativas altamente privilegiadas para serviços hospedados na nuvem sejam isoladas das contas locais. Verifique se você configurou seus sistemas para proteger seu ambiente de nuvem do Microsoft 365 contra comprometimento local.

Depois de verificar se o ambiente Microsoft Entra está pronto, prossiga para definir as políticas de governança para seus aplicativos.

Próximos passos