Governança de usuários convidados do Microsoft Teams

Esse cenário de exemplo ajuda os usuários a colaborar com outras organizações, fornecendo controles de identidade e governança para usuários externos ao utilizar a colaboração do Microsoft Entra B2B.

Arquitetura

Baixe um Arquivo Visio dessa arquitetura.

Workflow

1. Diretório de recursos: esse é o diretório do Microsoft Entra que contém recursos, que são grupos e equipes do Microsoft 365. Neste exemplo, o recurso é uma equipe de projeto adicionada ao pacote de acesso, para que os usuários externos à organização possam solicitar acesso a ele.

2. Diretório externo (organização conectada): esse é o diretório externo do Microsoft Entra que contém os usuários externos da organização conectada. Esses usuários podem ser autorizados por uma política para que solicitem acesso à equipe de projetos.

3. Catálogo 1: um catálogo é um contêiner para recursos relacionados e pacotes de acesso. O catálogo 1 contém a equipe do projeto e seu pacote de acesso.

   Os catálogos permitem a delegação, de modo que os não administradores possam criar pacotes de acesso. Os proprietários de catálogos podem adicionar recursos próprios a um catálogo.

4. Recursos: esses são os recursos que aparecem nos pacotes de acesso. Eles podem incluir grupos de segurança, aplicativos e sites do SharePoint Online. Neste exemplo, é a equipe do projeto.

5. Acesso 1: um pacote de acesso é uma coleção de recursos com tipos de acesso para cada um deles. Os pacotes de acesso são utilizados para controlar o acesso de usuários internos e externos. Neste exemplo, a equipe do projeto é o recurso com uma única política que permite que usuários externos solicitem acesso. Os usuários internos neste exemplo não precisam utilizar o gerenciamento de direitos do Microsoft Entra. Eles são adicionados à equipe do projeto utilizando o Microsoft Teams.

6. Função de recurso do Grupo 1: as funções de recursos são permissões associadas a um recurso e são definidas por ele. Um grupo tem duas funções: membro e proprietário. Os sites do SharePoint normalmente têm três funções, mas podem ter funções personalizadas adicionais. Os aplicativos podem ter funções personalizadas.

7. Política de acesso externo: essa é a política que define as regras de atribuição para um pacote de acesso. Uma política é utilizada nesse exemplo para garantir que os usuários de organizações conectadas possam solicitar acesso à equipe do projeto. Após a solicitação ser feita, é exigida a aprovação dos aprovadores, conforme definido na política. A política também especifica os limites de tempo e as configurações de renovação.

8. Aprovador: um aprovador aprova a solicitação de acesso. Esse pode ser um usuário interno ou externo.

9. Solicitante: esse é o usuário externo que solicita acesso por meio do portal Meu Acesso. O portal mostra apenas os pacotes de acesso que o solicitante tem permissão para solicitar.

Solicitação de acesso a um recurso para usuários externos ao fluxo da organização

Aqui está um fluxo de trabalho de alto nível que mostra como o acesso ao grupo ou equipe do Microsoft 365 é concedido para usuários externos. Isso inclui a remoção de uma conta de convidado quando o acesso não for mais exigido ou quando um limite de tempo for atingido.

Componentes

• O Microsoft Entra ID oferece serviços de gerenciamento de identidade e acesso baseados em nuvem que fornecem uma maneira de os usuários entrarem e acessarem recursos. Ele tem os seguintes recursos e capacidades:
  • O gerenciamento de direitos do Microsoft Entra é um recurso de governança de identidade que permite que as organizações gerenciem os ciclos de vida de identidades e acessos em escala, automatizando os fluxos de trabalho de solicitação de acesso, atribuições de acesso, revisões e expiração.
  • A colaboração B2B (B2B) do Microsoft Entra é utilizada pelo gerenciamento de direitos do Microsoft Entra para compartilhar o acesso, de modo que os usuários internos possam colaborar com usuários externos.
  • As análises de acesso do Microsoft Entra permitem que as organizações gerenciem com eficiência as associações de grupos, o acesso a aplicativos empresariais e as atribuições de funções. O acesso do usuário pode ser revisado regularmente para garantir que somente as pessoas certas tenham acesso contínuo.
  • O acesso de convidado do Microsoft Teams permite que usuários externos acessem equipes, canais, recursos, chats e aplicativos, enquanto você mantém o controle sobre seus recursos corporativos.
  • O Microsoft Entra Conditional Access reúne sinais para tomar decisões e impor políticas organizacionais. O acesso condicional nessa solução foi utilizado para impor contratos de Termos de Uso e autenticação multifator e para definir tempos limite de sessão para contas de convidados.

Alternativas

Uma solução alternativa ao gerenciamento de direitos do Microsoft Entra é permitir que os usuários internos convidem usuários externos para uma equipe. Um usuário convidado pode criar uma conta de convidado no diretório de recursos.

Essa alternativa não fornece os controles de identidade e governança necessários para o cliente. As deficiências em relação ao gerenciamento de direitos do AD são as seguintes:

• Os usuários externos não podem solicitar o acesso, que será feito por meio de um convite. O usuário externo precisa saber como solicitar um convite, um processo que pode variar de acordo com a equipe e ser alterado com o tempo.
• Não existem justificativas comerciais, notificações por email, processos de revisão ou processos de aprovação, o que será um problema de auditoria.
• O acesso a recursos específicos não pode ser gerenciado, removido ou atualizado facilmente. Como é provável que os recursos do projeto sejam alterados, esse é um problema de eficiência.
• Se um usuário externo for convidado, mas a organização do usuário não for permitida, o acesso será negado ao usuário, causando confusão.
• As configurações das contas de convidados não são removidas automaticamente e não existe uma expiração definida. Um processo manual para lidar com a expiração está sujeito a erros e é menos eficiente que um processo automático que exige que os limites sejam definidos na criação da conta. Esse é um problema de segurança e de eficiência.

É improvável que a criação de uma solução personalizada para lidar com esses problemas seja competitiva em termos de custos ou de recursos em relação ao gerenciamento de direitos do AD.

Detalhes do cenário

Esse cenário de exemplo foi criado de forma personalizada durante a pandemia do COVID-19, quando um cliente tinha a exigência imediata de colaborar com outras organizações. Isso significava o fornecimento de controles de identidade e governança para usuários externos.

O Microsoft Teams era a principal ferramenta do cliente para as comunicações da empresa. Os usuários colaboraram utilizando chats, reuniões e chamadas do Teams. Os canais do Teams forneceram a eles acesso a arquivos e conversas.

As reuniões do Teams forneceram uma maneira eficaz de se reunir com usuários externos. Entretanto, os usuários externos não conseguiam acessar as equipes e os canais, portanto, a colaboração com eles era difícil e a produtividade era prejudicada. O cliente precisava de algo melhor.

O Teams fornece duas opções para se comunicar e colaborar com usuários externos:

• Acesso externo: um tipo de federação que permite que usuários internos encontrem, chamem e conversem com usuários externos. Os usuários com acesso externo não podem ser adicionados a equipes, a menos que sejam convidados utilizando o acesso de convidado.
• Acesso de convidado: permite que usuários internos convidem usuários externos para ingressar em uma equipe. Os usuários convidados obtêm uma conta de convidado no Microsoft Entra ID. O acesso de convidado permite que usuários externos sejam convidados para equipes e fornece acesso a documentações em canais e a recursos, chats e aplicativos. O cliente mantém o controle sobre os dados corporativos, conforme exigido.

O acesso de convidados atendeu aos requisitos de colaboração do cliente, mas deu origem a preocupações de segurança e governança:

• Os convidados só devem ter acesso a agrupamentos específicos conforme exigido, e apenas pelo tempo necessário. Quando um projeto for concluído, a conta de convidado deverá ser removida.
• Deve existir um processo de aprovação para a criação de contas de convidados que satisfaça os requisitos de auditoria. Os usuários internos devem analisar as solicitações e aprová-las conforme apropriado.
• É necessário que seja possível criar e automatizar a solução rapidamente. Nenhuma conta de convidado pode ser criada até que os controles apropriados de segurança e governança estejam em vigor.

O gerenciamento de direitos do Microsoft Entra foi a principal ferramenta para atender aos requisitos de segurança e governança:

• Ele ajuda a gerenciar com eficiência o acesso a grupos do Microsoft 365, incluindo equipes, aplicativos e sites do SharePoint online, para usuários internos e externos.
• Ele fornece a capacidade de automatizar fluxos de trabalho de solicitação de acesso, atribuições de acesso, revisões e expiração.

O acesso de convidado e o direito do Microsoft Entra atenderam juntos aos requisitos de colaboração do cliente. Usuários externos podem ingressar em equipes selecionadas, e o acesso é gerenciado. Além disso, o gerenciamento de direitos do Microsoft Entra oferece funcionalidades para um possível uso futuro, como gerenciar o acesso a recursos ao invés de equipes.

Possíveis casos de uso

Essa solução se aplica a qualquer situação que exija o gerenciamento de acesso, para os usuários internos e externos que precisam dele, para grupos, aplicativos e sites do SharePoint Online. O gerenciamento de direitos do Microsoft Entra tem esses recursos e vantagens:

• Existe uma integração e um gerenciamento simplificados para o acesso dos funcionários a recursos como:
  • Grupos de segurança do Microsoft Entra.
  • Grupos do Microsoft 365.
  • Equipes do Microsoft 365.
  • Aplicativos, incluindo aplicativos SaaS.
  • Aplicativos personalizados que implementam medidas de segurança adequadas.
  • Sites do SharePoint Online.
• Existem procedimentos simplificados para que os usuários externos tenham acesso aos recursos de que precisam.
• Você pode designar quais organizações conectadas têm permissão para fornecer usuários externos que podem solicitar acesso.
• Um usuário que solicita acesso e é aprovado, é automaticamente convidado para o diretório da equipe e recebe acesso aos recursos.
• Um limite de tempo pode ser definido para o acesso de um usuário aos recursos, com remoção automática quando o limite for atingido.
• Quando o acesso expira para um usuário externo que não tem outras atribuições de pacote de acesso, a conta do usuário pode ser removida automaticamente.
• Você pode garantir que os usuários não tenham mais acesso do que exigem.
• Existe um processo de aprovação para solicitações de acesso que inclui a aprovação de pessoas designadas, como gerentes.
• Você pode gerenciar o acesso a outros recursos que dependem dos grupos de segurança do Microsoft Entra ou de grupos do Microsoft 365. Um exemplo é a concessão de licenças a usuários utilizando o licenciamento baseado em grupo.
• Você pode delegar a não administradores a capacidade de criar pacotes de acesso que contenham recursos que os usuários possam solicitar.

Considerações

Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios de orientação que podem ser usados para aprimorar a qualidade de uma carga de trabalho. Para obter mais informações, confira Microsoft Azure Well-Architected Framework.

Uma importante etapa da implementação é definir as configurações do locatário para permitir a entrada de usuários externos.

1. Habilitar o catálogo para usuários externos: verifique se o catálogo Habilitado para usuários externos está definido como Sim. Por padrão, quando você cria um novo catálogo no gerenciamento de direitos do Microsoft Entra, ele está habilitado para permitir que usuários externos solicitem acesso a pacotes no catálogo.
2. Configurações de colaboração externa do Microsoft Entra B2B: as configurações de colaboração externa do Azure B2B podem afetar o fato de você poder utilizar o gerenciamento de direitos do Microsoft Entra para convidar usuários externos para recursos. Verifique estas configurações:
   • Verifique se os convidados têm permissão para convidar outros convidados para seu diretório. Recomendamos que Convidados podem convidar seja definido para Nenhum para permitir apenas convites controlados.
   • Verifique se você está permitindo ou bloqueando os convites adequadamente. Para obter mais informações, consulte Permitir ou bloquear convites para usuários B2B de organizações específicas.
3. Revisão das suas políticas de Acesso Condicional: verifique o Acesso Condicional para certificar-se de que os usuários convidados foram excluídos de todas as políticas de Acesso Condicional que não possam ser atendidas. Caso contrário, eles não poderão entrar no seu diretório e não terão acesso ao recurso.
4. Examinar suas configurações de compartilhamento externo do SharePoint Online: se incluir sites do SharePoint Online em um pacote de acesso para usuários externos, verifique se você definiu a configuração de compartilhamento externo no nível da organização. Defina como Qualquer pessoa se a entrada não for exigida ou Convidados existentes para usuários convidados. Para obter mais informações, consulte Alterar a configuração do compartilhamento externo no nível da organização.
5. Examinar as configurações de compartilhamento de grupos do Microsoft 365: se você incluir grupos ou equipes do Microsoft 365 em um pacote de acesso para usuários externos, verifique se Permitir que os usuários adicionem novos convidados à organização está definido como Ativado para permitir o acesso de convidados.
6. Revisar as configurações de compartilhamento do Teams: se você incluir o equipes em um pacote de acesso para usuários externos, verifique se Permitir acesso de convidados no Microsoft Teams está definido como Ativado para permitir o acesso de convidados. Verifique também se as configurações de Acesso de Convidados às equipes estão configuradas.
7. Gerenciar o ciclo de vida de usuários externos: você pode selecionar o que acontece quando um usuário externo não tem mais atribuições de pacotes de acesso. Isso acontece quando todas as atribuições são renunciadas pelo usuário ou expiram. Por padrão, o usuário é impedido de entrar no seu diretório. Após 30 dias, a conta de usuário convidado será removida do seu diretório.

Considerações adicionais:

• Atribuição de acesso: os pacotes de acesso não substituem outros mecanismos de atribuição de acesso. Eles são mais adequados em situações como:
  • Os funcionários precisam de acesso limitado por tempo para uma determinada tarefa.
  • O acesso exige a aprovação de um gerente ou de outra pessoa designada.
  • Os departamentos desejam gerenciar seus recursos sem o envolvimento da TI.
  • Duas ou mais organizações estão colaborando em um projeto, de modo que vários usuários de uma organização precisam ser convidados a acessar os recursos de outra organização.
• Atualizações de recursos: com o gerenciamento de direitos do Microsoft Entra, você pode alterar os recursos em um pacote de acesso a qualquer momento. Os usuários do pacote têm seu acesso aos recursos ajustado automaticamente para corresponder ao pacote alterado.

Otimização de custo

A otimização de custos é a análise de maneiras de reduzir as despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, confira Visão geral do pilar de otimização de custo.

• O uso do gerenciamento de direitos do Microsoft Entra exige uma licença do Microsoft Entra ID P2.
• O acesso de convidados pode ser utilizado com todas as assinaturas do Microsoft 365 Business Standard, Microsoft 365 Business Premium e Microsoft 365 Education. Não é necessária nenhuma licença adicional do Microsoft 365.
• O modelo de cobrança do Identidades Externas do Microsoft Entra se aplica a convidados no Microsoft 365. Somente usuários externos podem ser convidados como convidados.

Colaboradores

Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.

Autor principal:

• Martin Boam | Arquiteto Associado

Próximas etapas

• Visão geral das equipes e dos canais no Microsoft Teams
• Compreender as equipes e os canais no Microsoft Teams
• Usar acesso externo e acesso de convidado para colaborar com pessoas fora da sua organização
• Criar um novo pacote de acesso no gerenciamento de direitos do Microsoft Entra
• Tutorial: gerenciar o acesso a recursos no gerenciamento de direitos do Microsoft Entra
• O que é o gerenciamento de direitos do Microsoft Entra?
• O que é o Microsoft Entra ID Governance?
• O que são as revisões de acesso do Microsoft Entra?
• Cenários comuns no gerenciamento de direitos do Microsoft Entra
• Controlar o acesso para usuários externos no gerenciamento de direitos do Microsoft Entra
• Controlar o acesso de usuários externos à sua organização
• Colaborar com os convidados em uma equipe
• Utilize o acesso de convidado e o acesso externo para colaborar com pessoas de fora de sua organização
• Colaboração com pessoas de fora de sua organização
• O que é Acesso Condicional?

Recursos relacionados

• Criar uma floresta de recursos do AD DS no Microsoft Azure
• Implantar o AD DS em uma rede virtual do Azure
• Identidade híbrida
• Integrar domínios AD locais com o Microsoft Entra ID
• Gerenciamento de identidades e acesso do Microsoft Entra para AWS