Solucionar problemas do gerenciamento de direitos
Este artigo descreve alguns itens que você deve verificar para ajudar a solucionar problemas de gerenciamento de direitos.
Administração
Se você receber uma mensagem de acesso negado ao configurar o gerenciamento de direitos e for um Administrador global, verifique se seu diretório tem uma licença de P2 da ID do Microsoft Entra ou de Governança da ID do Microsoft Entra (ou EMS E5). Se você renovou recentemente uma assinatura de P2 da ID do Microsoft Entra ou de Governança da ID do Microsoft Entra expirada, pode levar 8 horas para que a renovação da licença fique visível.
Se a licença de P2 da ID do Microsoft Entra ou de Governança da ID do Microsoft Entra tiver expirado, você não poderá processar novas solicitações de acesso ou realizar revisões de acesso.
Se você receber uma mensagem de acesso negado ao criar ou exibir pacotes de acesso e for membro de um grupo do Criador de catálogos, você deverá criar um catálogo antes de criar seu primeiro pacote de acesso.
Recursos
As funções dos aplicativos são definidas pelo próprio aplicativo e são gerenciadas na ID do Microsoft Entra. Se um aplicativo não tiver nenhuma função de recurso, o gerenciamento de direitos atribuirá os usuários a uma função de Acesso Padrão.
O Centro de administração do Microsoft Entra também pode mostrar entidades de serviço para serviços que não podem ser selecionados como aplicativos. Particularmente, o Exchange Online e o SharePoint Online são serviços e não aplicativos com funções de recurso no diretório, portanto, não podem ser incluídos em um pacote de acesso. Em vez disso, use o licenciamento baseado em grupo para estabelecer uma licença apropriada para um usuário que precise acessar esses serviços.
Os aplicativos que só têm suporte para usuários da Conta Microsoft Pessoal para autenticação e não têm suporte para contas organizacionais no diretório não têm funções de aplicativo e não podem ser adicionados aos catálogos de pacotes de acesso.
Para que um grupo seja um recurso em um pacote de acesso, ele deve poder ser modificável na ID do Microsoft Entra. Os grupos que se originarem em um Active Directory local não podem ser atribuídos como recursos porque seus atributos de proprietário ou membro não podem ser alterados na ID do Microsoft Entra. Os grupos que se originarem no Exchange Online como Grupos de distribuição também não podem ser modificados na ID do Microsoft Entra.
As bibliotecas de documentos do SharePoint Online e os documentos individuais não podem ser adicionados como recursos. Em vez disso, crie um Grupo de segurança do Microsoft Entra, inclua esse grupo e uma função de site no pacote de acesso e, no SharePoint Online, use esse grupo para controlar o acesso à biblioteca de documentos ou ao documento.
Se houver usuários que já tenham sido atribuídos a um recurso que você deseja gerenciar com um pacote de acesso, verifique se os usuários estão atribuídos ao pacote de acesso com uma política apropriada. Por exemplo, talvez você queira incluir um grupo em um pacote de acesso que já tenha usuários no grupo. Se esses usuários no grupo exigirem acesso contínuo, eles deverão ter uma política apropriada para os pacotes de acesso para que não percam seu acesso ao grupo. Você pode atribuir o pacote de acesso tanto pedindo que os usuários solicitem o pacote de acesso que contém esse recurso quanto atribuindo-os diretamente ao pacote de acesso. Para obter mais informações, veja Alterar as configurações de solicitação e aprovação de um pacote de acesso.
Quando você remove o membro de uma equipe, ele também é removido do grupo do Microsoft 365. A remoção da funcionalidade de chat da equipe pode ser atrasada. Para obter mais informações, veja Associação a um grupo.
Pacotes de acesso
- Se você tentar excluir um pacote ou uma política de acesso e vir uma mensagem de erro dizendo que há atribuições ativas, se você não vir nenhum usuário com atribuições, verifique se os usuários excluídos recentemente ainda têm atribuições. Durante a janela de 30 dias depois que um usuário for excluído, a conta do usuário pode ser restaurada.
Usuários externos
Quando um usuário externo quiser solicitar acesso a um pacote de acesso, verifique se ele está usando o link do portal Meus Acessos do pacote de acesso. Veja mais informações em Compartilhar link para solicitar um pacote de acesso. Se um usuário externo apenas visitar o myaccess.microsoft.com e não usar o link completo do portal Meus Acessos, ele verá os pacotes de acesso que ele tem disponíveis na organização dele e não na sua organização.
Se um usuário externo não puder solicitar acesso a um pacote de acesso ou não puder acessar recursos, verifique as configurações dos usuários externos.
Se um novo usuário externo, que não tenha entrado anteriormente no seu diretório, receber um pacote de acesso com um site do SharePoint Online, o pacote de acesso dele será exibido como não totalmente entregue até que a conta seja provisionada no SharePoint Online. Para obter mais informações sobre configurações de compartilhamento, veja Analisar as configurações de compartilhamento externo do SharePoint Online.
Requests
Quando um usuário quiser solicitar acesso a um pacote de acesso, verifique se ele está usando o link do portal Meus Acessos do pacote de acesso. Veja mais informações em Compartilhar link para solicitar um pacote de acesso.
Se você abrir o portal Meus Acessos com seu navegador definido como modo privado ou anônimo, isso poderá entrar em conflito com o comportamento de entrada. Recomendamos que você não use o modo privado ou anônimo do seu navegador ao visitar o portal Meus Acessos.
Quando um usuário que ainda não está no seu diretório entrar no portal Meus Acessos para solicitar um pacote de acesso, verifique se ele se autenticou usando uma conta organizacional. A conta organizacional pode ser uma conta tanto no diretório de recursos quanto em um diretório incluído em uma das políticas do pacote de acesso. Se a conta do usuário não for uma conta organizacional ou se o diretório em que ele se autenticar não estiver incluído na política, o usuário não verá o pacote de acesso. Para obter mais informações, veja Solicitar acesso a um pacote de acesso.
Se um usuário estiver impedido de entrar no diretório de recursos, ele não poderá solicitar acesso no portal Meus Acessos. Antes que o usuário possa solicitar acesso, você deve remover o bloco de entrada do perfil do usuário. Para remover o bloco de entrada, no Centro de administração do Microsoft Entra, selecione Identidade, Usuários, selecione o usuário e, em seguida, Perfil. Edite a seção Configurações e altere a Entrada de bloco para Não. Para mais informações, consulte Adicionar ou atualizar as informações de perfil de um usuário usando o ID do Microsoft Entra. Você também pode verificar se o usuário foi bloqueado devido a uma política de Proteção de identidade.
No portal Meus Acessos, se um usuário for tanto um solicitante quanto um aprovador, ele não verá a solicitação de um pacote de acesso na página Aprovações. Esse comportamento é intencional: um usuário não pode aprovar a própria solicitação. Verifique se o pacote de acesso sendo solicitado tem aprovadores adicionais configurados na política. Para obter mais informações, veja Alterar as configurações de solicitação e aprovação de um pacote de acesso.
Ver os erros de entrega de uma solicitação
Pré-requisito de função: Administrador global, Administrador de governança de identidade, Proprietário do catálogo, Gerenciador de pacotes de acesso ou Gerenciador de atribuição de pacotes de acesso
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Governança de Identidade.
Navegue até Governança de identidade>Gerenciamento de direitos>Pacotes de acesso.
Selecione Solicitações.
Selecione a solicitação que deseja exibir.
Se a solicitação tiver erros de entrega, o status da solicitação será Não entregue ou Parcialmente entregue.
Se houver erros de entrega, uma contagem de erros de entrega será exibida no painel de detalhes da solicitação.
Selecione a contagem para ver todos os erros de entrega da solicitação.
Reprocessar uma solicitação
Se um erro for atendido depois de disparar uma solicitação de reprocessamento de pacote de acesso, você deverá aguardar enquanto o sistema reprocessará a solicitação. O sistema tenta várias vezes reprocessar por várias horas, então você não pode forçar o reprocessamento durante esse tempo.
Você só pode reprocessar uma solicitação que tenha um status de Falha ao entregar ou Parcialmente entregue e uma data de conclusão inferior a uma semana. Caso contrário, o botão Reprocessar estará esmaecido.
Se o erro for corrigido durante a janela de avaliações, o status da solicitação será alterado para Entregando. A solicitação será reprocessada sem ações adicionais do usuário.
Se o erro não foi corrigido durante a janela de avaliações, o status da solicitação pode ser Falha ao entregar ou Parcialmente entregue. Em seguida, você pode usar o botão Reprocessar. Você terá sete dias para reprocessar a solicitação.
Pré-requisito de função: Administrador global, Administrador de governança de identidade, Proprietário do catálogo, Gerenciador de pacotes de acesso ou Gerenciador de atribuição de pacotes de acesso
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Governança de Identidade.
Navegue até Governança de identidade>Gerenciamento de direitos>Pacotes de acesso para abrir um pacote de acesso.
Selecione Solicitações.
Selecione a solicitação que você deseja reprocessar.
No painel detalhes da solicitação, selecione Reprocessar solicitação.
Cancelar uma solicitação pendente
Você só pode cancelar uma solicitação pendente que ainda não foi entregue ou cuja entrega falhou. Caso contrário, o botão Cancelar estará esmaecido.
Pré-requisito de função: Administrador global, Administrador de governança de identidade, Proprietário do catálogo, Gerenciador de pacotes de acesso ou Gerenciador de atribuição de pacotes de acesso
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Governança de Identidade.
Navegue até Governança de identidade>Gerenciamento de direitos>Pacotes de acesso para abrir um pacote de acesso.
Selecione Solicitações.
Selecione a solicitação que você deseja cancelar.
No painel detalhes da solicitação, selecione Cancelar solicitação.
Políticas de atribuição automática
- Cada política de atribuição automática pode incluir no máximo 5.000 usuários no escopo da sua regra. Usuários adicionais no escopo da regra podem não ter acesso atribuído.
Várias políticas
O gerenciamento de direitos segue as práticas recomendadas de privilégio mínimo. Quando um usuário solicita acesso a um pacote de acesso que tem várias políticas que se aplicam, o gerenciamento de direitos inclui a lógica para ajudar a garantir que as políticas mais rígidas ou mais específicas sejam priorizadas em relação a políticas genéricas. Se uma política for genérica, o gerenciamento de direitos poderá não exibir a política para o solicitante ou poderá selecionar automaticamente uma política mais estrita.
Por exemplo, considere um pacote de acesso com duas políticas para usuários no diretório, em que ambas as políticas se aplicam ao solicitante. A primeira política é para usuários específicos que incluem o solicitante. A segunda política é para todos os usuários no diretório. Nesse cenário, a primeira política é selecionada automaticamente para o solicitante porque é mais estrita. O solicitante não recebeu a opção de selecionar a segunda política.
Quando várias políticas se aplicam, a política selecionada automaticamente ou as políticas que são exibidas para o solicitante baseiam-se na seguinte lógica de prioridade:
Prioridade da política Escopo P1 Usuários e grupos específicos no diretório OU em organizações conectadas específicas P2 Todos os membros no diretório (exceto convidados) P3 Todos os usuários no diretório (incluindo convidados) OU organizações conectadas específicas P4 Todas as organizações conectadas configuradas OU todos os usuários (todas as organizações conectadas + novos usuários externos) Se alguma política estiver em uma categoria de prioridade mais alta, as categorias de prioridade mais baixa serão ignoradas. Para obter um exemplo de como várias políticas com a mesma prioridade são exibidas para o solicitante, veja Selecionar uma política.