Conclua uma revisão de acesso de recurso do Azure e de funções do Microsoft Entra no PIM

  • Artigo

Os administradores de função com privilégios podem examinar o acesso privilegiado quando uma revisão de acesso tiver sido iniciada. O PIM (Privileged Identity Management) no Microsoft Entra ID enviará automaticamente um email que solicita que os usuários a revisarem seus acessos. Se um usuário não receber um email, você poderá enviar para ele as instruções de como executar uma revisão de acesso.

Depois que a revisão for criada, siga as etapas neste artigo para concluir a revisão e ver os resultados.

Concluir revisões de acesso

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

  1. Entre no Centro de administração do Microsoft Entra como um usuário atribuído a uma das funções de pré-requisito.

  2. Navegue até Governança de identidade>Privileged Identity Management.

  3. Para funções do Microsoft Entra, selecione funções do Microsoft Entra. Para recursos do Azure, selecione recursos do Azure

  4. Selecione a análise de acesso que você deseja gerenciar. Veja abaixo uma captura de tela de amostra da visão geral das Revisões de acesso para Recursos do Azure e Funções do Microsoft Entra.

    Captura de tela da lista de revisões de acesso mostrando função, proprietário, data de início, data de término e status.

Na página de detalhes, as seguintes opções estão disponíveis para gerenciar a revisão de recursos do Azure e funções do Microsoft Entra:

Captura de tela das opções para gerenciar uma revisão de recursos do Azure – Interromper, Redefinir, Aplicar e Excluir.

Interromper uma revisão de acesso

Todas as revisões de acesso têm uma data de término, mas você pode usar o botão Parar para concluí-las mais cedo. O botão Interromper só pode ser selecionado quando a instância de revisão está ativa. Não é possível reiniciar uma revisão após ela ter sido interrompida.

Redefinir uma revisão de acesso

Quando a instância de revisão está ativa e pelo menos uma decisão foi feita pelos revisores, você pode redefinir a revisão de acesso selecionando o botão Redefinir para remover todas as decisões que foram tomadas. Após você redefinir uma revisão de acesso, todos os usuários serão marcados como não analisados novamente.

Aplicar uma revisão de acesso

Após a conclusão de uma revisão de acesso, seja porque você atingiu a data de término ou fez uma interrupção manual, o botão Aplicar remove o acesso de usuários negados à função. Se o acesso de um usuário foi negado na revisão, esta é a etapa que removerá a atribuição de função dele. Se a configuração Aplicação automática for configurada na criação da revisão, esse botão sempre estará desabilitado porque a revisão será aplicada de modo automático em vez de manual.

Excluir uma revisão de acesso

Se você não estiver mais interessado na revisão, exclua-a. Para remover a revisão de acesso do serviço Privileged Identity Management, selecione o botão Excluir.

Importante

Não será necessário confirmar essa alteração destrutiva, portanto, verifique se você deseja excluir essa revisão.

Resultados

Na página Resultados, você pode ver e baixar uma lista com os resultados da revisão.

Página de resultados listando usuários, resultado, motivo, revisado por, aplicado por e resultado da aplicação para a captura de tela das funções do Microsoft Entra.

Observação

As funções do Microsoft Entra têm um conceito de grupos atribuíveis à função, em que um grupo pode ser atribuído à função. Quando isso acontecer, o grupo aparecerá na revisão em vez de expandir os respectivos membros e um revisor aprovará ou negará o grupo inteiro.

Captura de tela da página de resultados listando usuários, resultado, motivo, analisado por, aplicado por e aplicar resultado às funções de recurso do Azure.

Observação

Se um grupo for atribuído às funções de recurso do Azure, o revisor da função de recurso do Azure verá a lista expandida dos usuários em um grupo aninhado. Se um revisor negar um membro de um grupo aninhado, esse resultado de negação não será aplicado com êxito porque o usuário não será removido do grupo aninhado.

Revisores

Na página Revisores, você pode ver e adicionar revisores à revisão de acesso existente. Você também pode lembrar os revisores de concluírem as respectivas revisões aqui.

Observação

Se o tipo de revisor selecionado for usuário ou grupo, você poderá adicionar mais usuários ou grupos como os revisores primários a qualquer momento. Você também pode remover os revisores primários a qualquer momento. Se o tipo de revisor for gerente, você poderá adicionar usuários ou grupos como revisores de fallback para concluir as revisões de usuários que não têm gerentes. Os revisores de fallback não podem ser removidos.

Captura de tela da página de revisores listando o nome e o nome UPN das funções de recurso do Azure.

Próximas etapas