O que é gerenciamento de direitos?
O Gerenciamento de Direitos é um recurso de governança de identidade que permite que as organizações gerenciem o ciclo de vida de identidade e o acesso em escala, automatizando fluxos de trabalho de solicitação de acesso, atribuições de acesso, revisões e expiração.
As pessoas nas organizações precisam de acesso a vários grupos, aplicativos e sites do SharePoint Online para executar seu trabalho. O gerenciamento desse acesso é desafiador, conforme os requisitos mudam. Novos aplicativos são adicionados ou os usuários precisam de mais direitos de acesso. Esse cenário fica mais complicado quando você colabora com organizações externas. Talvez você não saiba quem, na outra organização, precisa de acesso aos recursos da sua organização, e eles não saberão quais aplicativos, grupos ou sites sua organização está usando.
O gerenciamento de direitos pode ajudar você a gerenciar com mais eficiência o acesso a grupos, aplicativos e sites do SharePoint Online para usuários internos e também para usuários fora de sua organização que precisam acessar esses recursos.
Por que usar o gerenciamento de direitos?
As organizações empresariais geralmente enfrentam desafios ao gerenciar o acesso da força de trabalho a recursos como:
- Os usuários podem não saber qual acesso eles devem ter e, mesmo se souberem, poderão ter dificuldade para localizar os indivíduos certos para aprovar esse acesso
- Depois que os usuários localizarem e receberem acesso a um recurso, eles poderão manter o acesso por mais tempo que o necessário para os fins empresariais
Esses problemas são ainda maiores para usuários que precisam de acesso de outra organização, como usuários externos que são de organizações da cadeia de fornecedores ou de outros parceiros empresariais. Por exemplo:
- Ninguém consegue conhecer todos os indivíduos específicos nos diretórios de outras organizações para poder convidá-los
- Mesmo que pudessem convidar esses usuários, ninguém nessa organização poderia se lembrar de gerenciar todo o acesso dos usuários de maneira consistente
O gerenciamento de direitos pode ajudar a resolver esses desafios. Para saber mais sobre como os clientes têm utilizado o gerenciamento de direitos, você pode ler os estudos de caso da Divisão Medicaid do Mississippi, da Storebrand, da Nippon Express Co., Ltd e da equipe de Resiliência e Segurança Digital da Microsoft. Este vídeo fornece uma visão geral do gerenciamento de direitos e seu valor:
O que posso fazer com o gerenciamento de direitos?
Aqui estão alguns recursos de gerenciamento de direitos:
- Controlar quem pode obter acesso a aplicativos, grupos, sites do Teams e do SharePoint, com aprovação em várias fases e garantir que os usuários não mantenham o acesso indefinidamente por meio de atribuições limitadas por tempo e revisões de acesso recorrentes.
- Permita automaticamente aos usuários acesso a esses recursos com base nas propriedades do usuário, como departamento ou centro de custos, e remova o acesso de um usuário quando essas propriedades forem alteradas.
- Delegar a não administradores a capacidade de criar pacotes de acesso. Esses pacotes de acesso contêm recursos que os usuários podem solicitar e os gerenciadores de pacotes de acesso delegados podem definir políticas com regras de quais usuários podem solicitar, quem deve aprovar o acesso e quando o acesso se expira.
- Selecionar as organizações conectadas cujos usuários podem solicitar acesso. Quando um usuário que ainda não está em seu diretório solicita acesso e é aprovado, ele é automaticamente convidado para seu diretório e recebe acesso. Quando o acesso expirar, se o usuário não tiver nenhuma outra atribuição de pacote de acesso, a conta B2B do seu diretório poderá ser automaticamente removida.
Observação
Se você estiver pronto para experimentar o Gerenciamento de direitos, poderá começar com nosso tutorial para criar seu primeiro pacote de acesso.
Você também pode ler os cenários comuns ou assistir a vídeos, incluindo
- Como implantar o gerenciamento de direitos em sua organização
- Como monitorar e dimensionar o uso do gerenciamento de direitos
- Como delegar no gerenciamento de direitos
O que são pacotes do acesso e quais recursos posso gerenciar com eles?
O gerenciamento de direitos introduz o conceito de um pacote de acesso . Um pacote de acesso é um pacote de todos os recursos com o acesso de que um usuário precisa para trabalhar em um projeto ou executar sua tarefa. Os pacotes de acesso podem ser usados para controlar o acesso dos funcionários e também de usuários de fora da organização.
Estes são os tipos de recursos para os quais você pode gerenciar o acesso de usuários com o gerenciamento de direitos:
- Associação de grupos de segurança Microsoft Entra
- Associação dos Grupos do Microsoft 365 e Teams
- Atribuição a aplicativos empresariais do Microsoft Entra, incluindo aplicativos SaaS e aplicativos personalizados compatíveis com federação/logon único e/ou provisionamento
- Associação de sites do SharePoint Online
Você também pode controlar o acesso a outros recursos que dependem de grupos de segurança do Microsoft Entra ou grupos do Microsoft 365. Por exemplo:
- Você pode conceder aos usuários licenças para o Microsoft 365 usando um grupo de segurança do Microsoft Entra em um pacote de acesso e configurando um licenciamento baseado em grupo para esse grupo.
- Você pode conceder aos usuários acesso para gerenciar recursos do Azure usando um grupo de segurança do Microsoft Entra em um pacote de acesso e criando uma atribuição de função do Azure para esse grupo.
- Você pode dar aos usuários acesso para gerenciar as funções do Microsoft Entra usando grupos atribuíveis a funções do Microsoft Entra em um pacote de acesso e atribuindo uma função do Microsoft Entra a esse grupo.
Como faço para controlar quem obtém acesso?
Com um pacote de acesso, um administrador ou um gerenciador de pacotes de acesso delegado pode listar os recursos (grupos, aplicativos e sites) e as funções que os usuários precisam para esses recursos.
Os pacotes de acesso também incluem uma ou mais políticas. Uma política define as regras ou grades de proteção para atribuição ao pacote de acesso. Cada política pode ser usada para garantir que apenas os usuários apropriados possam ter atribuições de acesso, e o acesso é limitado por tempo e expira se não for renovado.
Você pode ter políticas para que os usuários solicitem acesso. Nesses tipos de políticas, um administrador ou gerenciador de pacotes de acesso define
- Os usuários já existentes (normalmente funcionários ou participantes já convidados) ou as organizações parceiras de usuários externos, que são qualificadas para solicitar acesso
- O processo de aprovação e os usuários que podem aprovar ou negar o acesso
- A duração da atribuição de acesso de um usuário, uma vez aprovada, antes que a atribuição expire
Você também pode ter políticas para que os usuários tenham acesso atribuído, seja por um administrador, automaticamente com base em regras ou por meio de fluxos de trabalho do ciclo de vida.
O diagrama a seguir mostra um exemplo dos diferentes elementos no gerenciamento de direitos. Ele mostra um catálogo com dois pacotes de acesso de exemplo.
- O pacote de acesso 1 inclui um grupo como um recurso. O acesso é definido com uma política que permite que um conjunto de usuários no diretório solicite acesso.
- O pacote de acesso 2 inclui um grupo, um aplicativo e um site do SharePoint Online como recursos. O acesso é definido com duas políticas diferentes. A primeira política permite que um conjunto de usuários no diretório solicite acesso. A segunda política permite que os usuários em um diretório externo solicitem acesso.
Quando devo usar pacotes de acesso?
Os pacotes de acesso não substituem outros mecanismos para atribuição de acesso. Eles são mais adequados em situações como:
- Migrar definições de política de acesso de um gerenciamento de funções empresariais de terceiros para o Microsoft Entra ID.
- Os usuários precisam de acesso por tempo limitado para uma determinada tarefa. Por exemplo, você pode usar o licenciamento baseado em grupo e um grupo dinâmico para verificar se todos os funcionários têm uma caixa de correio do Exchange Online. Depois, use pacotes de acesso para situações em que os funcionários precisam de mais direitos de acesso. Por exemplo, direitos de leitura de recursos departamentais de outro departamento.
- Acesso que requer a aprovação do gerente de uma pessoa ou de outros indivíduos designados.
- O acesso deve ser atribuído automaticamente a pessoas em uma determinada parte de uma organização durante seu tempo nessa função de trabalho, mas também estar disponível para solicitação de pessoas em outros lugares da organização ou em uma organização de parceiros de negócios.
- Os departamentos desejam gerenciar as próprias políticas de acesso para seus recursos sem envolvimento de TI.
- Duas ou mais organizações estão colaborando em um projeto e, como resultado, vários usuários de uma organização precisarão ser incluídos por meio do Microsoft Entra B2B para acessar os recursos de outra organização.
Como faço para delegar acesso?
Pacotes de acesso são definidos em contêineres chamados catálogos. Você pode ter um catálogo para todos os seus pacotes de acesso ou pode designar indivíduos para criar e serem proprietários dos próprios catálogos. Um administrador pode adicionar recursos a qualquer catálogo, mas alguém que não seja administrador só pode adicionar a um catálogo os recursos de que é proprietário. Um proprietário de catálogo pode adicionar outros usuários como coproprietários de catálogo ou como gerenciadores de pacotes de acesso. Esses cenários são descritos mais detalhadamente no artigo delegação e funções no gerenciamento de direitos.
Resumo da terminologia
Para entender melhor o gerenciamento de direitos e sua documentação, veja a lista de termos a seguir.
Termo | Descrição |
---|---|
pacote de acesso | Um pacote de recursos de que uma equipe ou um projeto precisa e é regido por políticas. Um pacote de acesso sempre está contido em um catálogo. Você criaria um pacote de acesso para um cenário no qual os usuários precisassem solicitar acesso. |
solicitação de acesso | Uma solicitação para acessar os recursos em um pacote de acesso. Normalmente, uma solicitação passa por um fluxo de trabalho de aprovação. Se aprovada, o usuário solicitante receberá uma atribuição de pacote de acesso. |
atribuição | Uma atribuição de um pacote de acesso a um usuário garante que o usuário tenha todas as funções de recurso desse pacote de acesso. As atribuições de pacote de acesso normalmente têm um limite de tempo para expirarem. |
catálogo | Um contêiner de recursos relacionados e pacotes de acesso. Os catálogos são usados para delegação, de modo que não administradores possam criar pacotes de acesso próprios. Os proprietários do catálogo podem adicionar recursos que eles têm a um catálogo. |
criador de catálogos | Uma coleção de usuários que estão autorizados a criar catálogos. Quando um usuário não administrador que está autorizado a ser um criador de catálogos cria um catálogo, ele se torna automaticamente o proprietário desse catálogo. |
organização conectada | Um diretório ou domínio externo do Microsoft Entra com o qual você tem uma relação. Os usuários de uma organização conectada podem ser especificados em uma política como tendo permissão para solicitar acesso. |
policy | Um conjunto de regras que define o ciclo de vida do acesso, como a forma que os usuários obtêm acesso, quem pode aprovar e por quanto tempo os usuários têm acesso por meio de uma atribuição. Uma política está vinculada a um pacote de acesso. Por exemplo, um pacote de acesso pode ter duas políticas: uma para os funcionários solicitarem acesso e uma segunda para usuários externos solicitarem acesso. |
recurso | Um ativo, como um grupo do Office, um grupo de segurança, um aplicativo ou um site do SharePoint Online, com uma função à qual um usuário pode ter permissões concedidas. |
diretório de recursos | Um diretório que tem um ou mais recursos para serem compartilhados. |
função de recurso | Uma coleção de permissões associadas a um recurso e definidas por ele. Um grupo tem duas funções: membro e proprietário. Os sites do SharePoint normalmente têm três funções, mas podem ter funções personalizadas. Os aplicativos podem ter funções personalizadas. |
Requisitos de licença
Esse recurso exige assinaturas do Microsoft Entra ID Governance ou do Suíte do Microsoft Entra para os usuários da sua organização. Algumas funcionalidades desse recurso podem funcionar com uma assinatura do Microsoft Entra ID P2. Para obter mais informações, confira os artigos de cada funcionalidade e veja mais detalhes. Para encontrar a licença certa para seus requisitos, confira Conceitos básicos de licenciamento do Microsoft Entra ID Governance.
Próximas etapas
- Se você tiver interesse em usar o Centro de administração do Microsoft Entra para gerenciar o acesso aos recursos, consulte Tutorial: gerenciar o acesso aos recursos – Microsoft Entra.
- Se tiver interesse em usar o Microsoft Graph para gerenciar o acesso aos recursos, confira Tutorial: gerenciar o acesso a recursos – Microsoft Graph
- Cenários comuns