O que é gerenciamento de direitos?
O Gerenciamento de Direitos é um recurso de governança de identidade que permite que as organizações gerenciem o ciclo de vida de identidade e o acesso em escala, automatizando fluxos de trabalho de solicitação de acesso, atribuições de acesso, revisões e expiração.
Os funcionários em organizações precisam acessar vários grupos, aplicativos e sites do SharePoint Online para executar seu trabalho. O gerenciamento desse acesso é desafiador, conforme os requisitos mudam. Novos aplicativos são adicionados ou os usuários precisam de mais direitos de acesso. Esse cenário fica mais complicado quando você colabora com organizações externas. Talvez você não saiba quem na outra organização precisa de acesso aos recursos da sua organização, e eles não saberão quais aplicativos, grupos ou sites sua organização está usando.
O gerenciamento de direitos pode ajudar você a gerenciar com mais eficiência o acesso a grupos, aplicativos e sites do SharePoint Online para usuários internos e também para usuários fora de sua organização que precisam acessar esses recursos.
Por que usar o gerenciamento de direitos?
Ao gerenciar o acesso de funcionários a recursos, as organizações empresariais geralmente enfrentam desafios como:
- Os usuários podem não saber qual acesso eles devem ter e, mesmo se souberem, poderão ter dificuldade para localizar os indivíduos certos para aprovar esse acesso
- Depois que os usuários localizarem e receberem acesso a um recurso, eles poderão manter o acesso por mais tempo que o necessário para os fins empresariais
Esses problemas são ainda maiores para usuários que precisam de acesso de outra organização, como usuários externos que são de organizações da cadeia de fornecedores ou de outros parceiros empresariais. Por exemplo:
- Ninguém consegue conhecer todos os indivíduos específicos nos diretórios de outras organizações para poder convidá-los
- Mesmo que pudessem convidar esses usuários, ninguém nessa organização poderia se lembrar de gerenciar todo o acesso dos usuários de maneira consistente
O gerenciamento de direitos pode ajudar a resolver esses desafios. Para saber mais sobre como os clientes têm usado o gerenciamento de direitos, você pode ler os estudos de caso de Mississippi Division of Medicaid, Storebrand e Avanade. Este vídeo fornece uma visão geral do gerenciamento de direitos e seu valor:
O que posso fazer com o gerenciamento de direitos?
Aqui estão alguns recursos de gerenciamento de direitos:
- Controlar quem pode obter acesso a aplicativos, grupos, sites do Teams e do SharePoint, com aprovação em várias fases e garantir que os usuários não mantenham o acesso indefinidamente por meio de atribuições limitadas por tempo e revisões de acesso recorrentes.
- Permita automaticamente aos usuários acesso a esses recursos com base nas propriedades do usuário, como departamento ou centro de custos, e remova o acesso de um usuário quando essas propriedades forem alteradas (versão prévia).
- Delegar a não administradores a capacidade de criar pacotes de acesso. Esses pacotes de acesso contêm recursos que os usuários podem solicitar e os gerenciadores de pacotes de acesso delegados podem definir políticas com regras de quais usuários podem solicitar, quem deve aprovar o acesso e quando o acesso se expira.
- Selecionar as organizações conectadas cujos usuários podem solicitar acesso. Quando um usuário que ainda não está em seu diretório solicita acesso e é aprovado, ele é automaticamente convidado para seu diretório e recebe acesso. Quando o acesso expirar, se o usuário não tiver nenhuma outra atribuição de pacote de acesso, a conta B2B do seu diretório poderá ser automaticamente removida.
Observação
Se você estiver pronto para experimentar o Gerenciamento de direitos, poderá começar com nosso tutorial para criar seu primeiro pacote de acesso.
Você também pode ler os cenários comuns ou assistir a vídeos, incluindo
- Como implantar o gerenciamento de direitos em sua organização
- Como monitorar e dimensionar o uso do gerenciamento de direitos
- Como delegar no gerenciamento de direitos
O que são pacotes do acesso e quais recursos posso gerenciar com eles?
O gerenciamento de direitos introduz o conceito de um pacote de acesso . Um pacote de acesso é um pacote de todos os recursos com o acesso de que um usuário precisa para trabalhar em um projeto ou executar sua tarefa. Os pacotes de acesso são usados para controlar o acesso de seus funcionários internos e também dos usuários de fora da sua organização.
Estes são os tipos de recursos para os quais você pode gerenciar o acesso de usuários com o gerenciamento de direitos:
- Associação de grupos de segurança do Azure AD
- Associação dos Grupos do Microsoft 365 e Teams
- Atribuição a aplicativos empresariais do Azure AD, incluindo aplicativos SaaS e aplicativos personalizados compatíveis com federação/logon único e/ou provisionamento
- Associação de sites do SharePoint Online
Você também pode controlar o acesso a outros recursos que dependem de grupos de segurança do Azure AD ou grupos do Microsoft 365. Por exemplo:
- Você pode conceder aos usuários licenças para o Microsoft 365 usando um grupo de segurança do Azure AD em um pacote de acesso e configurando um licenciamento baseado em grupo para esse grupo.
- Você pode conceder aos usuários acesso para gerenciar recursos do Azure usando um grupo de segurança do Azure AD em um pacote de acesso e criando uma atribuição de função do Azure para esse grupo.
- Você pode conceder aos usuários acesso para gerenciar funções do Azure AD usando grupos atribuíveis às funções do Azure AD em um pacote de acesso e atribuindo uma função do Azure AD a esse grupo.
Como faço para controlar quem obtém acesso?
Com um pacote de acesso, um administrador ou um gerenciador de pacotes de acesso delegado pode listar os recursos (grupos, aplicativos e sites) e as funções que os usuários precisam para esses recursos.
Os pacotes de acesso também incluem uma ou mais políticas. Uma política define as regras ou grades de proteção para atribuição ao pacote de acesso. Cada política pode ser usada para garantir que apenas os usuários apropriados possam ter atribuições de acesso, e o acesso é limitado por tempo e expirará se não for renovado.
Você pode ter políticas para que os usuários solicitem acesso. Nesses tipos de políticas, um administrador ou gerenciador de pacotes de acesso define
- Os usuários já existentes (normalmente funcionários ou participantes já convidados) ou as organizações parceiras de usuários externos, que são qualificadas para solicitar acesso
- O processo de aprovação e os usuários que podem aprovar ou negar o acesso
- A duração da atribuição de acesso de um usuário, uma vez aprovada, antes que a atribuição expire
Você também pode ter políticas para que os usuários tenham acesso atribuído, seja por um administrador ou automaticamente.
O diagrama a seguir mostra um exemplo dos diferentes elementos no gerenciamento de direitos. Ele mostra um catálogo com dois pacotes de acesso de exemplo.
- O pacote de acesso 1 inclui um grupo como um recurso. O acesso é definido com uma política que permite que um conjunto de usuários no diretório solicite acesso.
- O pacote de acesso 2 inclui um grupo, um aplicativo e um site do SharePoint Online como recursos. O acesso é definido com duas políticas diferentes. A primeira política permite que um conjunto de usuários no diretório solicite acesso. A segunda política permite que os usuários em um diretório externo solicitem acesso.
Quando devo usar pacotes de acesso?
Os pacotes de acesso não substituem outros mecanismos para atribuição de acesso. Eles são mais adequados em situações como:
- Migrar definições de política de acesso de um gerenciamento de funções empresariais de terceiros para o Azure AD.
- Os funcionários precisam de acesso limitado por tempo para uma determinada tarefa. Por exemplo, você pode usar o licenciamento baseado em grupo e um grupo dinâmico para verificar se todos os funcionários têm uma caixa de correio do Exchange Online. Depois, use pacotes de acesso para situações em que os funcionários precisam de mais direitos de acesso. Por exemplo, direitos de leitura de recursos departamentais de outro departamento.
- O acesso precisa da aprovação do gerente de um funcionário ou de outros indivíduos designados.
- O acesso deve ser atribuído automaticamente a pessoas em uma determinada parte de uma organização durante seu tempo nessa função de trabalho, mas também estar disponível para solicitação de pessoas em outros lugares da organização ou em uma organização de parceiros de negócios.
- Os departamentos desejam gerenciar as próprias políticas de acesso para seus recursos sem envolvimento de TI.
- Duas ou mais organizações estão colaborando em um projeto e, como resultado, vários usuários de uma organização precisarão ser incluídos por meio do B2B do Azure AD para acessar os recursos de outra organização.
Como faço para delegar acesso?
Pacotes de acesso são definidos em contêineres chamados catálogos. Você pode ter um catálogo para todos os seus pacotes de acesso ou pode designar indivíduos para criar e serem proprietários dos próprios catálogos. Um administrador pode adicionar recursos a qualquer catálogo, mas alguém que não seja administrador só pode adicionar a um catálogo os recursos de que é proprietário. Um proprietário de catálogo pode adicionar outros usuários como coproprietários de catálogo ou como gerenciadores de pacotes de acesso. Esses cenários são descritos mais detalhadamente no artigo delegação e funções no gerenciamento de direitos.
Resumo da terminologia
Para entender melhor o gerenciamento de direitos e sua documentação, veja a lista de termos a seguir.
| Termo | Descrição |
|---|---|
| pacote de acesso | Um pacote de recursos de que uma equipe ou um projeto precisa e é regido por políticas. Um pacote de acesso sempre está contido em um catálogo. Você criaria um pacote de acesso para um cenário no qual os usuários precisassem solicitar acesso. |
| solicitação de acesso | Uma solicitação para acessar os recursos em um pacote de acesso. Normalmente, uma solicitação passa por um fluxo de trabalho de aprovação. Se aprovada, o usuário solicitante receberá uma atribuição de pacote de acesso. |
| atribuição | Uma atribuição de um pacote de acesso a um usuário garante que o usuário tenha todas as funções de recurso desse pacote de acesso. As atribuições de pacote de acesso normalmente têm um limite de tempo para expirarem. |
| catálogo | Um contêiner de recursos relacionados e pacotes de acesso. Os catálogos são usados para delegação, de modo que não administradores possam criar pacotes de acesso próprios. Os proprietários do catálogo podem adicionar recursos que eles têm a um catálogo. |
| criador de catálogos | Uma coleção de usuários que estão autorizados a criar catálogos. Quando um usuário não administrador que está autorizado a ser um criador de catálogos cria um catálogo, ele se torna automaticamente o proprietário desse catálogo. |
| organização conectada | Um diretório ou domínio externo do Azure AD com o qual você tem uma relação. Os usuários de uma organização conectada podem ser especificados em uma política como tendo permissão para solicitar acesso. |
| policy | Um conjunto de regras que define o ciclo de vida do acesso, como a forma que os usuários obtêm acesso, quem pode aprovar e por quanto tempo os usuários têm acesso por meio de uma atribuição. Uma política está vinculada a um pacote de acesso. Por exemplo, um pacote de acesso pode ter duas políticas: uma para os funcionários solicitarem acesso e uma segunda para usuários externos solicitarem acesso. |
| recurso | Um ativo, como um grupo do Office, um grupo de segurança, um aplicativo ou um site do SharePoint Online, com uma função à qual um usuário pode ter permissões concedidas. |
| diretório de recursos | Um diretório que tem um ou mais recursos para serem compartilhados. |
| função de recurso | Uma coleção de permissões associadas a um recurso e definidas por ele. Um grupo tem duas funções: membro e proprietário. Os sites do SharePoint normalmente têm três funções, mas podem ter funções personalizadas. Os aplicativos podem ter funções personalizadas. |
Requisitos de licença
Para usar esse recurso, é necessária uma licença do Azure AD Premium P2. Para localizar a licença correta para os requisitos, confira Comparar os recursos geralmente disponíveis do Azure Active Directory.
Quantas licenças você precisa ter?
Seu diretório deve ter pelo menos a quantidade de licenças Azure AD Premium P2 que você tem:
- Usuários membros que podem solicitar um pacote de acesso.
- Usuários membros que solicitam um pacote de acesso.
- Usuários membros que aprovam solicitações para um pacote de acesso.
- Usuários membros que examinam as atribuições de um pacote de acesso.
- Usuários membros que têm uma atribuição direta ou atribuição automática a um pacote de acesso.
Para os usuários convidados, as necessidades de licenciamento dependerão do modelo de licenciamento utilizado. No entanto, as atividades dos usuários convidados abaixo são consideradas como uso do Azure AD Premium P2:
- Usuários convidados que solicitam um pacote de acesso.
- Usuários convidados que aprovam solicitações para um pacote de acesso.
- Usuários convidados que examinam as atribuições de um pacote de acesso.
- Usuários convidados que têm uma atribuição direta a um pacote de acesso.
As licenças do Azure AD Premium P2 não são necessárias para as seguintes tarefas:
- Nenhuma licença é necessária para usuários com a função Administrador global que configura os catálogos iniciais, os pacotes de acesso e as políticas e delega tarefas administrativas a outros usuários.
- Nenhuma licença é necessária para os usuários a quem foram delegadas tarefas administrativas, como criador de catálogos, proprietário do catálogo e gerenciador de pacotes de acesso.
- Nenhuma licença é necessária para os convidados que têm um privilégio para solicitar pacotes de acesso, mas eles não optam por solicitá-los.
Para obter mais informações sobre licenças, confira Atribuir ou remover licenças usando o portal do Azure.
Cenários de licença de exemplo
Aqui estão alguns exemplos de cenários de licença para ajudá-lo a determinar o número de licenças que você precisa ter.
| Cenário | Cálculo | Número de licenças |
|---|---|---|
| Um Administrador global no Banco Woodgrove cria catálogos iniciais e delega tarefas administrativas a seis outros usuários. Uma das políticas especifica que Todos os funcionários (2 mil funcionários) podem solicitar um conjunto específico de pacotes de acesso. 150 funcionários solicitam os pacotes de acesso. | 2 mil funcionários que podem solicitar os pacotes de acesso | 2\.000 |
| Um Administrador global no Banco Woodgrove cria catálogos iniciais e delega tarefas administrativas a seis outros usuários. Uma das políticas especifica que Todos os funcionários (2 mil funcionários) podem solicitar um conjunto específico de pacotes de acesso. Outra política especifica que alguns usuários que são Usuários do parceiro Contoso (convidados) podem solicitar os mesmos pacotes de acesso, sujeitos à aprovação. A Contoso tem 30 mil usuários. 150 funcionários solicitam os pacotes de acesso e 10.500 usuários da Contoso solicitam acesso. | 2.000 funcionários precisam de licenças, usuários convidados são cobrados mensalmente por usuário ativo e nenhuma licença adicional é necessária para eles. * | 2.000 |
* O preço das Identidades Externas (usuários convidados) do Azure Active Directory baseiam-se em MAUs (usuários ativos mensais), que é a contagem de usuários exclusivos que realizam atividades de autenticação em um mês civil. Esse modelo substitui o modelo de cobrança com proporção de 1:5, que permitia até cinco usuários convidados para cada licença do Azure AD Premium no locatário. Quando o locatário estiver vinculado a uma assinatura e você usar recursos de Identidades Externas para colaborar com usuários convidados, você será cobrado automaticamente de acordo com o modelo de cobrança baseado em MAU. Para obter mais informações, confira Modelo de cobrança para Identidades Externas do Microsoft Azure AD.
Próximas etapas
- Se tiver interesse em usar o portal do Azure para gerenciar o acesso aos recursos, confira Tutorial: Gerenciar acesso a recursos – portal do Azure.
- Se tiver interesse em usar o Microsoft Graph para gerenciar o acesso aos recursos, confira Tutorial: gerenciar o acesso a recursos – Microsoft Graph
- Cenários comuns