Gerencie o acesso de usuários e convidados com avaliações de acesso

  • Artigo

Com as avaliações de acesso, você pode facilmente garantir que os usuários ou hóspedes tenham acesso apropriado. Pode pedir aos utilizadores ou a um decisor para participar na revisão de acesso e voltar a certificar (ou confirmar) o acesso dos utilizadores. Os revisores podem dar sua opinião sobre a necessidade de acesso contínuo de cada usuário com base nas sugestões do Microsoft Entra ID. Quando a revisão de acesso estiver concluída, pode introduzir as alterações necessárias e remover o acesso dos utilizadores que já não precisam dele.

Nota

Este artigo discute a realização de revisões de acesso para usuários e aplicativos. Para ver informações sobre como conduzir uma revisão de acesso para vários recursos em pacotes de acesso, consulte aqui Revisar o acesso de um pacote de acesso no gerenciamento de direitos do Microsoft Entra. Se você quiser revisar o acesso do usuário ou da entidade de serviço às funções de recursos do Microsoft Entra ID ou do Azure, consulte Iniciar uma revisão de acesso no Microsoft Entra Privileged Identity Management.

Pré-requisitos

  • Governança do Microsoft Entra ID P2 ou Microsoft Entra ID

Para obter mais informações, consulte Requisitos de licença.

Criar e executar uma revisão de acesso para usuários

Primeiro, você deve receber uma das seguintes funções:

  • Administrador global
  • Administrador de usuários
  • Administrador de Governança de Identidade
  • Administrador de Função Privilegiada (apenas para revisões de grupos atribuíveis por função)
  • (Pré-visualização) Microsoft 365 ou Microsoft Entra Security Group proprietário do grupo a ser revisado

Em seguida, vá para a página Governança de Identidade para garantir que as revisões de acesso estejam prontas para sua organização.

Uma revisão de acesso pode ter um ou mais utilizadores como revisores.

  1. Selecione um grupo no Microsoft Entra ID que tenha um ou mais membros. Ou selecione um aplicativo conectado ao Microsoft Entra ID que tenha um ou mais usuários atribuídos a ele.

  2. Decida se quer que cada utilizador faça a revisão do seu próprio acesso ou se quer ter um ou mais utilizadores incumbidos de rever o acesso de todos os utilizadores.

  3. Em uma das funções listadas anteriormente, vá para a página Governança de identidade.

  4. Crie a revisão de acesso. Para obter mais informações, consulte Criar uma revisão de acesso de grupos ou aplicativos.

  5. Quando a revisão de acesso começar, peça aos revisores para dar entrada. Por padrão, cada um deles recebe um e-mail do Microsoft Entra ID com um link para o painel de acesso, onde analisam o acesso a grupos ou aplicativos.

  6. Se os revisores não tiverem dado entrada, você pode pedir ao Microsoft Entra ID para enviar um lembrete a eles. Por padrão, o Microsoft Entra ID envia automaticamente um lembrete até a data de término para todos os revisores.

  7. Depois de os revisores darem o respetivo parecer, pare a revisão de acesso e aplique as alterações. Para obter mais informações, consulte Concluir uma revisão de acesso de grupos ou aplicativos.

Gerencie o acesso de hóspedes com as avaliações de acesso do Microsoft Entra

Com o Microsoft Entra ID, você pode habilitar facilmente a colaboração entre os limites organizacionais usando o recurso Microsoft Entra B2B. Usuários convidados de outros locatários podem ser convidados por administradores ou por outros usuários. Esse recurso também se aplica a identidades sociais, como contas da Microsoft.

Criar e realizar uma avaliação de acesso para hóspedes

As mesmas funções necessárias para criar uma avaliação de acesso para usuários também são necessárias para criar uma avaliação de acesso para convidados. Para obter mais informações, consulte Criar e executar uma revisão de acesso para usuários.

O Microsoft Entra ID permite vários cenários para revisar usuários convidados.

Pode rever:

  • Um grupo no Microsoft Entra ID que tem um ou mais convidados como membros.
  • Um aplicativo conectado ao Microsoft Entra ID que tem um ou mais usuários convidados atribuídos a ele.

Ao analisar o acesso de usuários convidados a grupos do Microsoft 365, você pode criar uma revisão para cada grupo individualmente ou ativar revisões de acesso automáticas e recorrentes de usuários convidados em todos os grupos do Microsoft 365. O vídeo a seguir fornece mais informações sobre avaliações de acesso recorrente de usuários convidados:

Em seguida, pode decidir se pede a cada hóspede que reveja o seu próprio acesso ou se pede a um ou mais utilizadores que revejam o acesso de cada hóspede.

Esses cenários são abordados nas seções a seguir.

Peça aos hóspedes que revejam a sua própria participação num grupo

Você pode usar as revisões de acesso para garantir que os usuários que foram convidados e adicionados a um grupo continuem a precisar de acesso. Pode pedir facilmente aos hóspedes que revejam a sua própria participação nesse grupo.

  1. Para criar uma revisão de acesso para o grupo, selecione a avaliação para incluir apenas membros de usuários convidados e que os membros revisem a si mesmos. Para obter mais informações, consulte Criar uma revisão de acesso de grupos ou aplicativos.

  2. Peça a cada hóspede que reveja a sua própria subscrição. Por padrão, cada convidado que aceitou um convite recebe um e-mail da ID do Microsoft Entra com um link para a revisão de acesso. O Microsoft Entra ID tem instruções para os hóspedes sobre como rever o acesso a grupos ou aplicações.

  3. Depois de os revisores darem o respetivo parecer, pare a revisão de acesso e aplique as alterações. Para obter mais informações, consulte Concluir uma revisão de acesso de grupos ou aplicativos.

  4. Além dos usuários que negaram sua própria necessidade de acesso contínuo, você também pode remover usuários que não responderam.

  5. Se o grupo não for usado para gerenciamento de acesso, você também poderá remover usuários que não foram selecionados para participar da avaliação porque não aceitaram o convite. Não aceitar pode indicar que o endereço de e-mail do usuário convidado teve um erro de digitação. Se um grupo for usado como uma lista de distribuição, talvez alguns usuários convidados não tenham sido selecionados para participar porque são objetos de contato.

Peça a um patrocinador que analise a participação de um hóspede em um grupo

Pode pedir a um patrocinador, como o proprietário de um grupo, que analise a necessidade de um hóspede continuar a ser membro de um grupo.

  1. Para criar uma revisão de acesso para o grupo, selecione-a para incluir apenas membros de usuários convidados. Em seguida, especifique um ou mais revisores. Para obter mais informações, consulte Criar uma revisão de acesso de grupos ou aplicativos.

  2. Peça aos revisores para darem o seu parecer. Por padrão, cada um deles recebe um e-mail do Microsoft Entra ID com um link para o painel de acesso, onde analisam o acesso a grupos ou aplicativos.

  3. Depois de os revisores darem o respetivo parecer, pare a revisão de acesso e aplique as alterações. Para obter mais informações, consulte Concluir uma revisão de acesso de grupos ou aplicativos.

Nota

Pode impedir que as identidades externas entrem no seu inquilino e elimine as identidades externas do seu inquilino após 30 dias. Durante esse período, as configurações, os resultados, os revisores ou os logs de auditoria na revisão atual não serão visíveis ou configuráveis. Para obter mais informações, consulte Desabilitar e excluir identidades externas com revisões de acesso do Microsoft Entra .

Peça aos hóspedes que revejam o seu próprio acesso a uma aplicação

Você pode usar as revisões de acesso para garantir que os usuários que foram convidados para um aplicativo específico continuem a precisar de acesso. Pode facilmente pedir aos próprios hóspedes que revejam a sua própria necessidade de acesso.

  1. Para criar uma revisão de acesso para o aplicativo, selecione-a para incluir apenas convidados e que os usuários revisem seu próprio acesso. Para obter mais informações, consulte Criar uma revisão de acesso de grupos ou aplicativos.

  2. Peça a cada hóspede que reveja o seu próprio acesso à aplicação. Por padrão, cada convidado que aceitou um convite recebe um email do Microsoft Entra ID. Esse e-mail tem um link para a revisão de acesso no painel de acesso da sua organização. O Microsoft Entra ID tem instruções para os hóspedes sobre como rever o acesso a grupos ou aplicações.

  3. Depois de os revisores darem o respetivo parecer, pare a revisão de acesso e aplique as alterações. Para obter mais informações, consulte Concluir uma revisão de acesso de grupos ou aplicativos.

  4. Além dos usuários que negaram sua própria necessidade de acesso contínuo, você também pode remover usuários convidados que não responderam. Você também pode remover usuários convidados que não foram selecionados para participar, especialmente se eles não foram convidados recentemente. Esses usuários não aceitaram o convite e, portanto, não tiveram acesso ao aplicativo.

Peça a um patrocinador para rever o acesso de um hóspede a uma candidatura

Você pode pedir a um patrocinador, como o proprietário de um aplicativo, que analise a necessidade do hóspede de acesso contínuo ao aplicativo.

  1. Para criar uma avaliação de acesso para o aplicativo, selecione-a para incluir apenas convidados. Em seguida, especifique um ou mais usuários como revisores. Para obter mais informações, consulte Criar uma revisão de acesso de grupos ou aplicativos.

  2. Peça aos revisores para darem o seu parecer. Por padrão, cada um deles recebe um e-mail do Microsoft Entra ID com um link para o painel de acesso, onde analisam o acesso a grupos ou aplicativos.

  3. Depois de os revisores darem o respetivo parecer, pare a revisão de acesso e aplique as alterações. Para obter mais informações, consulte Concluir uma revisão de acesso de grupos ou aplicativos.

Peça aos hóspedes que revejam a sua necessidade de acesso, em geral

Em algumas organizações, os hóspedes podem não estar cientes de suas associações de grupo.

  1. Crie um grupo de segurança no Microsoft Entra ID com os convidados como membros, se ainda não existir um grupo adequado. Por exemplo, você pode criar um grupo com uma associação de convidados mantida manualmente. Ou, você pode criar um grupo dinâmico com um nome como "Convidados da Contoso" para usuários no locatário da Contoso que tenham o valor do atributo UserType de Convidado. Lembre-se de que um usuário convidado que seja membro do grupo pode ver os outros membros do grupo.

  2. Para criar uma revisão de acesso para esse grupo, selecione os revisores para serem os próprios membros. Para obter mais informações, consulte Criar uma revisão de acesso de grupos ou aplicativos.

  3. Peça a cada hóspede que reveja a sua própria subscrição. Por padrão, cada convidado que aceitou um convite recebe um email do Microsoft Entra ID com um link para a revisão de acesso no painel de acesso da sua organização. O Microsoft Entra ID tem instruções para os hóspedes sobre como rever o acesso a grupos ou aplicações.

  4. Depois que os revisores derem entrada, interrompa a revisão de acesso. Para obter mais informações, consulte Concluir uma revisão de acesso de grupos ou aplicativos.

  5. Remova o acesso de hóspedes que foram negados, não concluíram a avaliação ou não aceitaram o convite anteriormente. Se alguns dos convidados forem contatos que foram selecionados para participar da avaliação ou se não tiverem aceitado um convite anteriormente, você poderá desabilitar suas contas usando o Centro de administração do Microsoft Entra ou o PowerShell. Se o convidado não precisar mais de acesso e não for um contato, você poderá remover seu objeto de usuário do diretório usando o centro de administração do Microsoft Entra ou o PowerShell para excluir o objeto de usuário convidado.

Próximos passos

Criar uma revisão de acesso de grupos ou aplicativos