Alterar as configurações de solicitação de um pacote de acesso no gerenciamento de direitos

Como gerenciador de pacotes de acesso, você pode alterar os usuários que podem solicitar um pacote de acesso a qualquer momento editando uma política para solicitações de atribuição de pacote de acesso ou adicionando uma nova política ao pacote de acesso. Este artigo descreve como alterar as configurações de solicitação para uma política de atribuição de pacote de acesso existente.

Escolher entre uma ou várias políticas

A forma de especificar quem pode solicitar um pacote de acesso é com uma política. Antes de criar uma nova política ou editar uma política existente em um pacote de acesso, você precisa determinar quantas políticas o pacote de acesso precisa.

Ao criar um pacote de acesso, é possível especificar as configurações de solicitação, aprovação e ciclo de vida, que são armazenadas na primeira política do pacote de acesso. A maioria dos pacotes de acesso terá uma única política para os usuários solicitarem acesso, mas um único pacote de acesso pode ter várias políticas. Você pode criar várias políticas para um pacote de acesso se quiser permitir que diferentes conjuntos de usuários recebam atribuições com diferentes configurações de solicitação e aprovação.

Por exemplo, uma única política não pode ser usada para atribuir usuários internos e externos ao mesmo pacote de acesso. No entanto, você pode criar duas políticas no mesmo pacote de acesso, uma para usuários internos e outra para usuários externos. Se houver várias políticas que se aplicam a um usuário para solicitação, eles serão solicitadas no momento da solicitação a selecionar a política à qual desejam ser atribuídos. O diagrama a seguir mostra um pacote de acesso com duas políticas.

Além das políticas para que os usuários solicitem acesso, você também pode ter políticas para atribuição automática e políticas para atribuição direta por administradores ou proprietários de catálogo.

Quantas políticas serão necessárias?

Cenário	Número de políticas
Quero que todos os usuários no diretório tenham as mesmas configurações de solicitação e aprovação para um pacote de acesso	Um
Quero que todos os usuários em determinadas organizações conectadas possam solicitar um pacote de acesso	Um
Quero permitir que usuários dentro e fora do diretório possam solicitar um pacote de acesso	Dois
Quero especificar configurações de aprovação diferentes para alguns usuários	Um para cada grupo de usuários
Quero que as atribuições de pacote de acesso de alguns usuários sejam expiradas e prolongar o acesso a outros usuários	Um para cada grupo de usuários
Quero que alguns usuários solicitem acesso e que outros tenham acesso atribuído por um administrador	Dois
Quero que alguns usuários da minha organização recebam acesso automaticamente, outros usuários da minha organização possam solicitar e outros usuários tenham acesso atribuído por um administrador	Três

Para obter informações sobre a lógica de prioridade que é usada quando várias políticas se aplicam, confira Várias políticas.

Abrir um pacote de acesso existente e adicionar uma nova política com configurações de solicitação diferentes

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Se tiver um conjunto de usuários que deve ter diferentes configurações de solicitação e aprovação, é provável que você precise criar uma nova política. Siga estas etapas para começar a adicionar uma nova política a um pacote de acesso existente:

Pré-requisito de função: Administrador Global, Administrador de Governança de Identidade, Proprietário do catálogo ou Gerenciador de pacotes de acesso

1. Entre no centro de administração do Microsoft Entra como, no mínimo Administrador de Governança de identidade.

2. Navegue até Governança de identidade>Gerenciamento de direitos>Pacote de acesso.

3. Na página Pacotes de acesso, abra o pacote de acesso cujas solicitações você quer editar.

4. Selecione Políticas e Adicionar política.

5. Na guia Básicos, digite um nome e uma descrição para a política.

   

6. Selecione Avançar para abrir a guia Solicitações.

7. Altere a configuração Usuários que podem solicitar acesso. Use as etapas nas seguintes seções para alterar a configuração para uma das seguintes opções:

   • Para usuários no seu diretório
   • Para usuários que não estão no seu diretório
   • Nenhum (somente as atribuições diretas do administrador)

Para usuários no seu diretório

Siga estas etapas para permitir que os usuários no seu diretório possam solicitar esse pacote de acesso. Ao definir a política de solicitação, você pode especificar usuários individuais ou grupos de usuários mais comuns. Por exemplo, a organização pode já ter um grupo como Todos os funcionários. Se esse grupo for adicionado na política para usuários que podem solicitar acesso, então qualquer membro desse grupo poderá solicitar acesso.

1. Na seção Usuários que podem solicitar acesso, clique em Para usuários em seu diretório.

   Quando você seleciona essa opção, novas opções aparecem para refinar ainda mais quem no diretório pode solicitar esse pacote de acesso.

   

2. Selecione uma das seguintes opções:

   	Descrição
   Usuários e grupos específicos	Escolha esta opção se quiser que apenas os usuários e grupos no diretório especificados possam solicitar esse pacote de acesso.
   Todos os membros (excluindo os convidados)	Escolha esta opção se quiser que todos os usuários membros no seu diretório possam solicitar esse pacote de acesso. Esta opção não inclui nenhum usuário convidado que você tenha convidado para o diretório.
   Todos os usuários (incluindo os convidados)	Escolha esta opção se quiser que todos os usuários membros e convidados no seu diretório possam solicitar esse pacote de acesso.

   Os usuários convidados são usuários externos que foram convidados no seu diretório com o B2B do Microsoft Entra. Para saber mais sobre as diferenças entre usuários membros e convidados, consulte Quais são as permissões de usuário padrão na ID do Microsoft Entra?.

3. Se você selecionou Usuários e grupos específicos, clique em Adicionar usuários e grupos.

4. No painel Selecionar usuários e grupos, selecione os usuários e grupos que deseja adicionar.

   

5. Clique em Selecionar para adicionar os usuários e grupos.

6. Para exigir aprovação, use as etapas em Alterar as configurações de aprovação de um pacote de acesso no gerenciamento de direitos para definir as configurações de aprovação.

7. Vá para a seção Habilitar solicitações.

Para usuários que não estão no seu diretório

Usuários que não estão no diretório são os usuários que estão em outro diretório ou domínio do Microsoft Entra. Esses usuários podem ainda não ter sido convidados para seu diretório. Os diretórios do Microsoft Entra devem ser configurados para permitir convites nas Restrições de colaboração. Para obter mais informações, confira Definir configurações de colaboração externa.

Observação

Uma conta de usuário convidado será criada para um usuário que ainda não está no diretório cuja solicitação foi aprovada ou aprovada automaticamente. O convidado será convidado, mas não receberá um email de convite. Em vez disso, ele receberá um email quando a atribuição de pacote de acesso for entregue. Por padrão, quando o usuário convidado não tiver mais nenhuma atribuição de pacote de acesso, porque sua última atribuição expirou ou foi cancelada, essa conta de usuário convidado terá o acesso bloqueado e será excluída subsequentemente. Se quiser que os usuários convidados permaneçam no diretório indefinidamente, mesmo que eles não tenham atribuições de pacote de acesso, você poderá alterar as configurações da definição de gerenciamento de direitos. Para obter informações sobre o objeto do usuário convidado, consulte Propriedades de um usuário de colaboração B2B do Microsoft Entra.

Siga estas etapas para permitir que os usuários que não estão no seu diretório solicitem esse pacote de acesso:

1. Na seção Usuários que podem solicitar acesso, clique em Para usuários que não estão no diretório.

   Ao selecionar essa opção, novas opções são exibidas.

   

2. Selecione se os usuários que podem solicitar acesso devem ser afiliados a uma organização conectada existente ou se podem ser qualquer pessoa na Internet. Uma organização conectada é aquela com a qual você tem uma relação pré-existente que pode ter um diretório do Microsoft Entra externo ou outro provedor de identidade. Selecione uma das seguintes opções:

   	Descrição
   Organizações conectadas específicas	Escolha esta opção se quiser selecionar a partir de uma lista de organizações que o administrador adicionou anteriormente. Todos os usuários das organizações selecionadas podem solicitar esse pacote de acesso.
   Todas as organizações conectadas configuradas	Escolha esta opção se todos os usuários de todas as organizações conectadas configuradas podem solicitar esse pacote de acesso. Somente usuários de organizações conectadas configuradas podem solicitar pacotes de acesso, portanto, se um usuário não for de um locatário, domínio ou provedor de identidade do Microsoft Entra associado a uma organização conectada existente, ele não poderá solicitar.
   Todos os usuários (Todas as organizações conectadas + novos usuários externos)	Escolha esta opção se qualquer usuário na Internet puder solicitar esse pacote de acesso. Se eles não pertencerem a uma organização conectada no seu diretório, uma organização conectada será criada automaticamente para eles quando solicitarem o pacote. A organização conectada criada automaticamente estará em um estado proposto. Para obter mais informações sobre o estado proposto, confira Propriedades de estado das organizações conectadas.

3. Se você selecionou Organizações conectadas específicas, clique em Adicionar diretórios para selecionar a partir de uma lista de organizações conectadas que o administrador adicionou anteriormente.

4. Digite o nome ou nome de domínio para procurar uma organização conectada anteriormente.

   

   Se a organização com a qual você deseja colaborar não estiver na lista, você poderá pedir que o administrador adicione-a como uma organização conectada. Para mais informações, confira Adicionar uma organização conectada.

5. Depois de selecionar todas as organizações conectadas, clique em Selecionar.

   Observação

   Todos os usuários das organizações conectadas selecionadas podem solicitar esse pacote de acesso. Para uma organização conectada que tem um diretório do Microsoft Entra, os usuários de todos os domínios verificados associados ao diretório do Microsoft Entra podem solicitar, a menos que esses domínios sejam bloqueados pela lista de permissões ou negações do Azure B2B. Para obter mais informações, consulte Permitir ou bloquear convites para usuários B2B de organizações específicas.

6. Em seguida, use as etapas em Alterar as configurações de aprovação de um pacote de acesso no gerenciamento de direitos para definir as configurações de aprovação para especificar quem deve aprovar solicitações de usuários que não estão em sua organização.

7. Vá para a seção Habilitar solicitações.

Nenhum (somente as atribuições diretas do administrador)

Siga estas etapas se quiser ignorar as solicitações de acesso e permitir que os administradores atribuam usuários específicos diretamente a esse pacote de acesso. Os usuários não precisarão solicitar o pacote de acesso. Você ainda pode definir as configurações do ciclo de vida, mas não há configurações de solicitação.

1. Na seção Usuários que podem solicitar acesso, clique em Nenhum (somente atribuições diretas do administrador).

   

   Depois de criar o pacote de acesso, você pode atribuir diretamente usuários internos e externos específicos ao pacote de acesso. Se especificar um usuário externo, uma conta de usuário convidado será criada no diretório. Para obter informações sobre como atribuir um usuário diretamente, confira Exibir, adicionar e remover atribuições para um pacote de acesso.

2. Vá para a seção Habilitar solicitações.

Observação

Ao atribuir usuários a um pacote de acesso, os administradores precisarão verificar se os usuários estão qualificados para esse pacote de acesso com base nos requisitos de política existentes. Caso contrário, os usuários não serão atribuídos com êxito ao pacote de acesso. Se o pacote de acesso contiver uma política que exija que as solicitações do usuário sejam aprovadas, os usuários não poderão ser atribuídos diretamente ao pacote as sem aprovações necessárias dos aprovadores atribuídos.

Abrir e editar as configurações de solicitação de uma política existente

Para alterar as configurações de solicitação e aprovação de um pacote de acesso, você precisa abrir a política correspondente com aquelas configurações. Siga estas etapas para abrir e editar as configurações de solicitação para uma política de atribuição de pacote de acesso:

Pré-requisito de função: Administrador Global, Administrador de Governança de Identidade, Proprietário do catálogo ou Gerenciador de pacotes de acesso

1. Entre no centro de administração do Microsoft Entra como, no mínimo Administrador de Governança de identidade.

2. Navegue até Governança de identidade>Gerenciamento de direitos>Pacote de acesso.

3. Na página Pacotes de acesso, abra o pacote de acesso cujas configurações de solicitação de política você deseja editar.

4. Selecione Políticas e depois a política que você deseja editar.

   O painel de detalhes da Política será aberto na parte inferior da página.

   

5. Selecione Editar para editar a política.

   

6. Selecione a guia Solicitações para abrir as configurações de solicitação.

7. Use as etapas nas seções anteriores para alterar as configurações de solicitação conforme necessário.

8. Vá para a seção Habilitar solicitações.

Habilitar solicitações

1. Se quiser que a solicitação do pacote de acesso seja disponibilizada imediatamente para os usuários na política de solicitação, mova o botão de alternância Habilitar para Sim.

   Você poderá habilitá-la futuramente depois de concluir a criação do pacote de acesso.

   Se selecionou Nenhum (somente atribuições diretas do administrador) e definir habilitar como Não, os administradores não poderão atribuir diretamente este pacote de acesso.

   

2. Selecione Avançar.

3. Para exigir que os solicitantes forneçam informações adicionais ao solicitar acesso a um pacote de acesso, siga as etapas em Alterar as configurações de informações de aprovação e do solicitante de um pacote de acesso no gerenciamento de direitos para configurar as informações do solicitante.

4. Defina as configurações do ciclo de vida.

5. Se você estiver editando uma política, selecione Atualizar. Se você estiver adicionando uma nova política, selecione Criar.

Criar uma política de atribuição de pacote de acesso programaticamente

Há duas maneiras de criar uma política de atribuição de pacote de acesso programaticamente, por meio do Microsoft Graph e por meio dos cmdlets do PowerShell para Microsoft Graph.

Criar uma política de atribuição de pacote de acesso por meio do Graph

É possível criar uma política usando o Microsoft Graph. Um usuário em uma função apropriada com um aplicativo que tem a permissão EntitlementManagement.ReadWrite.All delegada, ou um aplicativo em uma função de catálogo ou com a permissão EntitlementManagement.ReadWrite.All, pode chamar a API create an assignmentPolicy.

Criar uma política de atribuição de pacote de acesso por meio do PowerShell

Você também pode criar um pacote de acesso no PowerShell com os cmdlets do módulo Cmdlets do PowerShell do Microsoft Graph para Governança de Identidade versão 2.1 ou posterior.

O script abaixo ilustra a criação de uma política de atribuição direta para um pacote de acesso. Nessa política, somente o administrador pode atribuir acesso e não existem aprovações ou revisões de acesso. Consulte Criar uma política de atribuição automática para obter um exemplo de como criar uma política de atribuição automática e create an assignmentPolicy para obter mais exemplos.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$apid = "cdd5f06b-752a-4c9f-97a6-82f4eda6c76d"

$params = @{
    displayName = "New Policy"
    description = "policy for assignment"
    allowedTargetScope = "notSpecified"
    specificAllowedTargets = @(
    )
    expiration = @{
        endDateTime = $null
        duration = $null
        type = "noExpiration"
    }
    requestorSettings = @{
        enableTargetsToSelfAddAccess = $false
        enableTargetsToSelfUpdateAccess = $false
        enableTargetsToSelfRemoveAccess = $false
        allowCustomAssignmentSchedule = $true
        enableOnBehalfRequestorsToAddAccess = $false
        enableOnBehalfRequestorsToUpdateAccess = $false
        enableOnBehalfRequestorsToRemoveAccess = $false
        onBehalfRequestors = @(
        )
    }
    requestApprovalSettings = @{
        isApprovalRequiredForAdd = $false
        isApprovalRequiredForUpdate = $false
        stages = @(
        )
    }
    accessPackage = @{
        id = $apid
    }
}

New-MgEntitlementManagementAssignmentPolicy -BodyParameter $params

Impedir solicitações de usuários com acesso incompatível

Além das verificações de política sobre quem pode solicitar, talvez você queira restringir ainda mais o acesso, a fim de evitar que um usuário que já tem algum acesso – por meio de um grupo ou de outro pacote de acesso – obtenha acesso excessivo.

Se você quiser configurar que um usuário não pode solicitar um pacote de acesso se ele já tiver uma atribuição para outro pacote de acesso ou for membro de um grupo, use as etapas em Configurar verificações de separação de tarefas para um pacote de acesso.

Próximas etapas

• Alterar as configurações de aprovação de um pacote de acesso
• Alterar as configurações do ciclo de vida de um pacote de acesso
• Exibir solicitações para um pacote de acesso