Altere as configurações de aprovação e informações do solicitante para um pacote de acesso no gerenciamento de direitos

Cada pacote de acesso deve ter uma ou mais políticas de atribuição de pacote de acesso, antes que um usuário possa receber acesso. Quando um pacote de acesso é criado no centro de administração do Microsoft Entra, o centro de administração do Microsoft Entra cria automaticamente a primeira política de atribuição de pacote de acesso para esse pacote de acesso. A política determina quem pode solicitar acesso e quem deve aprovar o acesso.

Como gerenciador de pacotes de acesso, você pode alterar as configurações de aprovação e informações do solicitante para um pacote de acesso a qualquer momento editando uma política existente ou adicionando uma nova política para solicitar acesso.

Este artigo descreve como alterar as configurações de aprovação e informações do solicitante para um pacote de acesso existente, por meio de uma política de pacote de acesso.

Aprovação

Na seção Aprovação, você especificará se uma aprovação é necessária quando os usuários solicitam esse pacote de acesso. As configurações de aprovação funcionam da seguinte maneira:

• Somente um dos aprovadores selecionados ou aprovadores de fallback precisa aprovar uma solicitação de aprovação de fase única.
• Somente um dos aprovadores selecionados em cada estágio precisa aprovar uma solicitação de aprovação de vários estágios para que a solicitação siga para a próxima fase.
• Se um dos aprovadores selecionados em uma fase negar uma solicitação antes que outro aprovador nessa fase a aprove ou se ninguém aprovar, a solicitação será encerrada e o usuário não receberá acesso.
• O aprovador pode ser um usuário ou membro especificado de um grupo, o Gerente do solicitante, o Patrocinador interno ou o Patrocinador externo, dependendo de quem a política está governando o acesso.

Para ver uma demonstração de como adicionar aprovadores a uma política de solicitação, assista ao vídeo a seguir:

Para ver uma demonstração de como adicionar uma aprovação de várias fases a uma política de solicitação, assista ao vídeo a seguir:

Observação

Os aprovadores não podem aprovar solicitações próprias de pacote de acesso.

Alterar as configurações de aprovação de uma política de atribuição de pacote de acesso existente

Siga estas etapas para especificar as configurações de aprovação das solicitações para o pacote de acesso por meio de uma política:

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.

   Dica

   Outras funções de privilégio mínimo que podem concluir esta tarefa incluem o proprietário do Catálogo e o gestor de atribuições do Pacote de Acesso.

2. Navegue até ID de governança>gerenciamento de direitos>pacotes de acesso.

3. Na página Pacotes de acesso, abra um pacote de acesso.

4. Selecione uma política para editar ou adicionar uma nova política ao pacote de acesso

   1. Selecione Políticas e, em seguida, Adicione a política se quiser criar uma nova política.
   2. Selecione a política que você deseja editar e, em seguida, selecione editar.

5. Vá para a guia Solicitação .

6. Para exigir aprovação para solicitações dos usuários selecionados, defina a alternância Exigir aprovação como Sim. Ou, para que as solicitações sejam aprovadas automaticamente, defina a alternância como Não. Se a política permitir que usuários externos de fora da sua organização solicitem acesso, você deverá exigir aprovação para que haja supervisão sobre quem está sendo adicionado ao diretório da sua organização.

7. Para exigir que os usuários forneçam uma justificativa para solicitar o pacote de acesso, defina a opção Exigir justificativa do solicitante como Sim.

8. Agora, determine se as solicitações exigirão aprovação de um ou de várias fases. Defina quantos estágios são necessários para o número de estágios de aprovação necessários.

   

Use as etapas a seguir para adicionar aprovadores depois de selecionar quantas fases você precisa:

Aprovação de fase única

1. Adicione o Primeiro Aprovador:

   Se a política estiver definida para controlar o acesso dos usuários em seu diretório, você poderá selecionar o Gerenciador como aprovador. Ou adicione um usuário específico selecionando Adicionar aprovadores depois de selecionar Escolher aprovadores específicos no menu suspenso.

   

   Se essa política estiver definida para controlar o acesso de usuários que não estão em seu diretório, você poderá selecionar o patrocinador externo ou o patrocinador interno. Ou adicione um usuário específico clicando em Adicionar aprovadores ou grupos em Escolher aprovadores específicos.

   

2. Se você selecionou o Gerenciador como o primeiro aprovador, selecione Adicionar fallback para selecionar um ou mais usuários ou grupos em seu diretório para ser um aprovador de fallback. Os aprovadores de fallback receberão a solicitação se o gerenciamento de direitos não conseguir localizar o gerente para o usuário que solicitou acesso.

   O gerente é encontrado pelo gerenciamento de direitos usando o atributo Manager . O atributo está no perfil do usuário no ID do Microsoft Entra. Para obter mais informações, consulte Adicionar ou atualizar informações de perfil de um usuário usando a ID do Microsoft Entra.

3. Se você selecionou Escolher aprovadores específicos, selecione Adicionar aprovadores para escolher um ou mais usuários ou grupos em seu diretório para serem aprovadores.

4. Na caixa em Decisão deve ser feita em quantos dias?, especifique o número de dias que um aprovador precisa examinar uma solicitação para esse pacote de acesso.

   Se uma solicitação não for aprovada dentro desse período de tempo, ela será negada automaticamente. O usuário precisará enviar outra solicitação para o pacote de acesso.

5. Para exigir que os aprovadores forneçam uma justificativa para sua decisão, defina Exigir justificativa do aprovador como Sim.

   A justificativa é visível para outros Aprovadores e o solicitante.

Aprovação em várias fases

Se você tiver selecionado uma aprovação em várias fases, precisará adicionar um aprovador para cada fase extra.

1. Adicione o segundo aprovador:

   Se os usuários estiverem em seu diretório, adicione um usuário específico como o segundo aprovador selecionando Adicionar aprovadores em Escolher aprovadores específicos.

   

   Se os usuários não estiverem em seu diretório, selecione o patrocinador interno ou o patrocinador externo como o segundo aprovador. Depois de selecionar o aprovador, adicione os aprovadores de fallback.

   

2. Especifique o número de dias que o segundo aprovador tem para aprovar a solicitação na caixa em Decisão deve ser feita em quantos dias?.

3. Defina a opção Exigir justificativa do aprovador como Sim ou Não.

   Você também pode adicionar um estágio extra para um processo de aprovação de três estágios. Por exemplo, talvez você queira que um gerente de funcionários seja o primeiro aprovador de fase de um pacote de acesso. Mas um dos recursos no pacote de acesso contém informações confidenciais. Nesse caso, você pode designar o proprietário do recurso como um segundo aprovador, e um revisador de segurança como o terceiro aprovador. Isso permite que uma equipe de segurança supervisione o processo e a capacidade de, por exemplo, rejeitar uma solicitação com base em critérios de risco não conhecidos pelo proprietário do recurso.

4. Adicione o Terceiro Aprovador:

   Se os usuários estiverem em seu diretório, adicione um usuário específico como o terceiro aprovador clicando em Adicionar aprovadores em Escolher aprovadores específicos.

   Se os usuários não estiverem em seu diretório, você também poderá selecionar o patrocinador interno ou o patrocinador externo como o terceiro aprovador. Depois de selecionar o aprovador, adicione os aprovadores de fallback.

   Observação

   Assim como no segundo estágio, se os usuários estão em seu diretório e **Gerente como aprovador** está selecionado na primeira ou na segunda fase de aprovação, você só verá uma opção para selecionar aprovadores específicos para a terceira fase de aprovação.

   Se você quiser designar o gerente como um terceiro aprovador, pode ajustar as seleções nas fases de aprovação anteriores para garantir que **Gerente como aprovador** não esteja selecionado. Você vai ver **Gerente como aprovador** como uma opção na lista suspensa.

   Se os usuários não estão em seu diretório e você não selecionou **Responsável interno** ou **Responsável externo** como aprovadores nas fases anteriores, você os verá como opções para **Terceiro aprovador**. Caso contrário, você só poderá selecionar **Escolher aprovadores específicos**.

5. Especifique o número de dias que o terceiro aprovador tem para aprovar a solicitação na caixa em Decisão deve ser feita em quantos dias?.

6. Defina a opção Exigir justificativa do aprovador como Sim ou Não.

Aprovadores alternativos

Você pode especificar aprovadores alternativos, de maneira semelhante à especificação dos aprovadores primários que podem aprovar solicitações em cada fase. Ter aprovadores alternativos ajuda a garantir que as solicitações sejam aprovadas ou negadas antes de expirarem (tempo limite). Você pode listar aprovadores alternativos junto com o aprovador primário em cada fase.

Ao especificar aprovadores alternativos em uma fase, caso os aprovadores primários não consigam aprovar ou negar a solicitação, a solicitação pendente será encaminhada para os aprovadores alternativos, de acordo com a agenda de encaminhamento especificado durante a configuração da política. Eles recebem um email para aprovar ou negar a solicitação pendente.

Após a solicitação ser encaminhada para os aprovadores alternativos, os aprovadores primários ainda pode aprová-la ou negá-la. Os aprovadores alternativos usam o mesmo site Meus Acessos para aprovar ou negar a solicitação pendente.

Você pode listar pessoas ou grupos de pessoas para serem aprovadores e aprovadores alternativos. Liste conjuntos diferentes de pessoas para serem primeiro aprovador, segundo aprovador e aprovador alternativo. Por exemplo, se você listou Alice e Bob como os aprovadores da primeira fase, liste Carol e Dave como aprovadores alternativos. Use as etapas a seguir para adicionar aprovadores alternativos a um pacote de acesso:

1. Em uma etapa com o aprovador, selecione Mostrar configurações avançadas de solicitação.

   

2. Definir Se nenhuma ação for tomada, encaminhar para aprovadores alternativos? alterne para Sim.

3. Selecione Adicionar aprovadores alternativos e selecione os aprovadores alternativos na lista.

   

   Se você selecionar o Gerenciador como aprovador para o Primeiro Aprovador, você terá uma opção extra, Gerenciador de segundo nível como aprovador alternativo, disponível para escolha no campo aprovador alternativo. Se você selecionar essa opção, será necessário adicionar um aprovador de fallback para encaminhar a solicitação caso o sistema não possa encontrar o gerente de segundo nível.

4. Na caixa Encaminhar para aprovadores alternativos após quantos dias , coloque o número de dias em que os aprovadores precisam aprovar ou negar uma solicitação. Se nenhum aprovador tiver aprovado ou negado a solicitação antes da duração da solicitação, ela expira (tempo limite) e o usuário precisa enviar outra solicitação para o pacote de acesso.

   As solicitações só podem ser encaminhadas para aprovadores alternativos um dia após o início da solicitação. Para usar a aprovação alternativa, o tempo limite da solicitação precisa ser de pelo menos quatro dias.

Habilitar solicitações

1. Se você deseja que o pacote de acesso seja disponibilizado imediatamente para que os usuários possam solicitá-lo na política de solicitação, mova a alternância Habilitar para Sim.

   Você poderá habilitá-la futuramente depois de concluir a criação do pacote de acesso.

   Se você selecionou Nenhum (somente atribuições diretas de administrador) e definiu habilitar como Não, os administradores não poderão atribuir diretamente esse pacote de acesso.

   

2. Quando novas solicitações estiverem habilitadas, você poderá especificar se deseja permitir que os gerentes solicitem em nome de seus funcionários (versão prévia).

3. Selecione Avançar.

Coletar informações adicionais do solicitante para aprovação

Para garantir que os usuários tenham acesso aos pacotes de acesso corretos, você pode exigir que os solicitantes respondam ao campo de texto personalizado ou à perguntas de múltipla escolha no momento da solicitação. Em seguida, as perguntas serão mostradas aos aprovadores para auxiliar na tomada de decisão.

1. Vá para a guia Informações do Solicitante e selecione a subtare de Perguntas .

2. Digite o que você deseja perguntar ao solicitante, também conhecido como cadeia de caracteres de exibição, para a pergunta na caixa Pergunta.

   

3. Se a comunidade de usuários que precisarem de acesso ao pacote de acesso não possuir uma linguagem preferencial comum, você poderá melhorar a experiência dos usuários que solicitam acesso em myaccess.microsoft.com. Para melhorar a experiência, você pode fornecer cadeias de caracteres de exibição alternativa para idiomas diferentes. Por exemplo, se o navegador da Web de um usuário estiver definido como espanhol e você tiver cadeias de caracteres de exibição em espanhol configuradas, elas serão exibidas para o usuário solicitante. Para configurar a localização para solicitações, selecione adicionar localização.

   1. Uma vez no painel Adicionar localizações para perguntas , selecione o código de idioma para o idioma no qual você está localizando a pergunta.
   2. No idioma configurado, digite a pergunta na caixa Texto Localizado .
   3. Depois de adicionar todas as localizações necessárias, selecione Salvar.

   

4. Selecione o formato Resposta no qual você deseja que os solicitantes respondam. Os formatos de resposta incluem: texto curto, Múltipla Escolha e texto longo.

   

5. Se selecionar várias opções, selecione no botão Editar e localizar para configurar as opções de resposta.

   1. Depois de selecionar Editar, o painel Exibir/editar perguntas será aberto.
   2. Digite as opções de resposta que você deseja dar ao solicitante ao responder à pergunta nas caixas de valores de resposta .
   3. Digite quantas respostas forem necessárias.
   4. Se você quiser adicionar sua própria localização para as opções de Múltipla Escolha, selecione o código de idioma opcional para o idioma no qual deseja localizar uma opção específica.
   5. No idioma configurado, digite a opção na caixa de texto localizado.
   6. Depois de adicionar todas as localizações necessárias para cada opção de Múltipla Escolha, selecione Salvar.

   

6. Caso queira incluir uma verificação de sintaxe para obter respostas de texto para perguntas, você também pode especificar um padrão regex personalizado.
   Se você quiser incluir uma verificação de sintaxe para respostas textuais a perguntas, também poderá especificar um padrão regex personalizado.

7. Para exigir que os solicitantes respondam a essa pergunta ao solicitar acesso a um pacote de acesso, marque a caixa de seleção em Obrigatório.

8. Preencha as guias restantes (por exemplo, ciclo de vida) com base em suas necessidades.

Após configurar as informações do solicitante em sua política de pacote de acesso, você pode exibir as respostas do solicitante às perguntas. Para obter orientação sobre como ver informações do solicitante, consulte Exibir as respostas do solicitante às perguntas.

Próximas etapas

• Alterar as configurações do ciclo de vida de um pacote de acesso
• Exibir solicitações para um pacote de acesso