Guia de implantação da Governança de ID do Microsoft Entra para atribuir acesso aos funcionários

Os cenários de implantação são diretrizes sobre como combinar e testar produtos e serviços da Segurança da Microsoft. Saiba como os recursos funcionam juntos para melhorar a produtividade, fortalecer a segurança e atender mais facilmente aos requisitos de conformidade e regulamentação.

Os seguintes produtos e serviços aparecem neste guia:

• Governança da ID do Microsoft Entra
• Microsoft Entra
• Microsoft Entra ID
• Aplicativos Lógicos do Azure
• Avaliações do Access
• PIM (Privileged Identity Manager ) para Grupos

Use esse cenário para ajudar a determinar a necessidade de o Microsoft Entra ID Governance criar e conceder acesso à sua organização. Saiba como você pode simplificar a experiência do funcionário com fluxos de trabalho automatizados, atribuições de acesso, revisões de acesso e expiração.

Linhas do tempo

As linhas do tempo mostram a duração aproximada do estágio de entrega e se baseiam na complexidade do cenário. Os horários são estimativas e variam dependendo do ambiente.

1. Gerenciamento de direitos - 1 hora
2. Política de atribuição automática – 1 hora
3. Extensões personalizadas – 2 horas
4. Revisões de acesso – 2 horas

Solicitações de acesso: fluxos de trabalho e aprovações

O gerenciamento de direitos é um recurso de governança de identidade para gerenciar o acesso dos funcionários aos recursos. Automatizar fluxos de trabalho de solicitação de acesso, atribuições de acesso, revisões de acesso e expiração. Forneça aos usuários solicitações de acesso a recursos de autoatendimento. Para fazer isso, defina a política de autoatendimento e o fluxo de trabalho:

• Habilitar fluxos de trabalho de aprovação de vários estágios, imposição de separação de funções e recertificação de acesso recorrente
• Usar fluxos de trabalho personalizados para ciclos de vida de acesso com o Azure Logic Apps
• Configurar o acesso limitado por tempo

Implantar o gerenciamento de direitos

1. Acesse Criar um pacote de acesso no gerenciamento de direitos.
2. Use as instruções para criar um pacote de acesso.
3. Crie uma política de atribuição automática.

Separação de funções

No gerenciamento de direitos, você pode configurar a política para grupos de usuários e pacotes de acesso. Por outro lado, com a separação de tarefas, você pode desabilitar solicitações se um usuário for atribuído a outros pacotes de acesso ou se o usuário for membro de um grupo incompatível. Gere relatórios de usuários com direitos de acesso incompatíveis. Crie alertas quando os usuários receberem acesso a aplicativos.

Você pode aprender a configurar verificações de segregação de funções para um pacote de acesso.

Criar uma política de atribuição automática

Nessa área de política de acesso, a atribuição de direito de nascimento refere-se à concessão automática de acesso a recursos com base nas propriedades do usuário. A criação de atribuições funciona da mesma forma. As características do usuário correspondem ou não às regras de associação de uma política. Use regras para determinar a atribuição de pacote de acesso com base nas propriedades do usuário, semelhante a grupos dinâmicos. Adicione ou remova atribuições, com base em critérios de regra.

Na captura de tela a seguir, consulte a Caixa de diálogo Editar política, com a guia Criar política de atribuição automática.

Para obter mais informações, você pode aprender sobre grupos e direitos de acesso na ID do Microsoft Entra

Confira o vídeo a seguir para saber mais sobre a atribuição de política.

Fluxos de trabalho personalizados com Aplicativos Lógicos do Azure

Crie e execute fluxos de trabalho automatizados com os Aplicativos Lógicos do Azure usando o designer visual e as operações predefinidas.

Para estender os fluxos de trabalho de governança, integre os Aplicativos Lógicos ao gerenciamento de direitos:

• Uma solicitação de pacote de acesso é criada ou aprovada
• Uma atribuição de pacote de acesso é concedida ou removida
• Quatorze dias antes da expiração automática da atribuição do pacote de acesso
• Um dia antes da expiração automática de uma atribuição de pacote de acesso

Observação

Tenha recursos de assinatura do Azure disponíveis para planejamento.

Exemplos de casos de uso personalizados

• Enviar notificações de email personalizadas
• Enviar notificação do Microsoft Teams
• Obter informações do usuário de aplicativos
• Escrever de volta informações do usuário em sistemas externos
• Chamar uma API Web externa para disparar ações em sistemas externos
• Criar conjuntos de tarefas no Microsoft Planner
• Gerar um TAP (passagem de acesso temporário)

Implantar extensões personalizadas do pacote de acesso

Observação

Para considerar extensões personalizadas, certifique-se de entender a funcionalidade dos Aplicativos Lógicos do Azure. Para obter mais informações, consulte a seção anterior.

1. Acesse Disparar Aplicativos Lógicos do Azure com extensões personalizadas no gerenciamento de direitos.
2. Use as instruções para criar e adicionar uma extensão personalizada a um catálogo.
3. Edite a extensão personalizada.
4. Adicione extensões personalizadas a um pacote de acesso.

Confira o vídeo a seguir para saber mais sobre extensões personalizadas e pacotes de acesso no Microsoft Entra ID Governance.

Recertificação de acesso: revisões de acesso

Para a recertificação de acesso, você pode examinar os direitos de acesso com revisões de acesso recorrentes. Gerenciar a associação de grupos, o acesso a recursos e as atribuições de funções, além de cumprir os requisitos de conformidade.

Os administradores determinam o escopo de revisão e criam revisões em revisões de acesso, aplicativos empresariais do Microsoft Entra, PIM ( Privileged Identity Management ) ou gerenciamento de direitos.

A caixa de diálogo Nova revisão de acesso é exibida com a guia Tipo de revisão . Encontre opções para tipo de revisão, escopo e outros detalhes de configuração.

Revisores

Os administradores atribuem revisores primários e suplentes durante a criação da revisão de acesso. Um email notifica os revisores de revisões pendentes. Você pode atribuir usuários à auto-revisão ou atribuir proprietários de recursos para revisar seus recursos. Para auto-avaliações, você pode remover privilégios se o usuário recusar ou não responder.

O painel Meu Acesso mostra as aprovações e recomendações pendentes de um revisor.

Revisões de várias fases

As revisões de vários estágios reduzem a carga sobre os revisores individuais e ajudam a chegar a um consenso entre os revisores. Revisores suplentes ajudam a tomar decisões não revisadas. A configuração da etapa de revisão inclui a definição do número de fases.

Use a caixa de diálogo Nova revisão de acesso e a guia Revisões para configurar estágios de revisão, revisores, duração e muito mais.

Critérios de decisão automatizados

Durante a configuração de revisão de acesso, você pode indicar vários critérios de decisão, incluindo auxiliares de decisão do revisor. Outras opções incluem:

• Gatilhos de resposta
• Inatividade da conta
• Requisitos de justificativa
• Alertas e notificações

A caixa de diálogo Nova revisão de acesso e a guia Configurações , com as opções auxiliares de decisão realçadas.

Revisões de usuário inativas

Se os usuários não entrarem no locatário dentro de uma duração designada, eles serão considerados inativos. Esse comportamento é ajustado para revisões de atribuição de aplicativo ou para a última atividade de um usuário em um aplicativo. Para começar, defina o que significa inativo para sua organização.

Saiba como detectar e investigar contas de usuário inativas.

A caixa de diálogo Nova revisão de acesso e a guia Tipo de revisão, com opções de inatividade destacadas.

Revise as recomendações

Os revisores podem usar recomendações derivadas de machine learning para ajudar a tomar decisões de acesso. As recomendações detectam a afiliação de usuários a grupos, com base na proximidade da estrutura hierárquica. Usuários distantes dos membros do grupo têm baixa afiliação.

Observação

A afiliação de usuário a grupo está disponível para usuários em seu diretório. No entanto, não há suporte para grupos de mais de 600 usuários. Verifique se os usuários têm um atributo de gerente.

Revisão de acesso para PIM para Grupos

Você pode conceder aos usuários a associação just-in-time (JIT) e a propriedade do grupo com PIM (Privileged Identity Management) para Grupos. As revisões incluem membros ativos do grupo e membros qualificados.

Saiba como criar revisões de acesso para PIM para Grupos.

Observação

As revisões de acesso podem determinar a inatividade por até dois anos.

A caixa de diálogo Nova revisão de acesso e a caixa de diálogo Tipo de revisão com opções para escopo e muito mais.

Relatório de histórico de revisão de acesso

Com as revisões de acesso, os usuários autorizados podem criar relatórios de histórico de revisão para download para obter mais informações sobre decisões do revisor, períodos de tempo e muito mais. Use filtros para incluir tipos de revisão e resultados.

A caixa de diálogo Governança de Identidade, na área Histórico de Revisão, com a opção Histórico de Revisão realçada.

Implantar as revisões de acesso

1. Planeje uma implantação de revisão de acesso do Microsoft Entra.
2. Crie uma revisão de acesso do PIM para Grupos.
3. Concluir uma revisão de acesso das funções do recurso do Azure e do Microsoft Entra ID no PIM.
4. Crie uma revisão de acesso de um pacote de acesso no gerenciamento de direitos.

Criar relatórios personalizados com o Azure Data Explorer

Você pode gerar relatórios personalizados. Exporte dados da ID do Microsoft Entra para o Azure Data Explorer e use a KQL (Linguagem de Consulta Kusto) para criar exibições personalizadas. Você pode analisar dados de direitos, personalizar insights e otimizar relatórios de governança de identidade. No vídeo a seguir, você pode aprender a criar relatórios personalizados com o Azure Data Explorer:

Solicitar pacotes de acesso

Os administradores usam o portal Meu Acesso para configurar o acesso e para que os usuários examinem ou solicitem acesso (Solicitantes) aos recursos. No portal Meu Acesso, os Aprovadores podem modificar as respostas enviadas pelos Solicitantes.

Saiba como solicitar um pacote de acesso.

Próximas etapas

• Introdução ao guia de implantação do Microsoft Entra ID Governance
• Cenário 1: automação do ciclo de vida do empregado
• Cenário 2: Atribuir acesso de funcionários aos recursos
• Cenário 3: Gerenciar o acesso de convidados e parceiros
• Cenário 4: Controlar identidades privilegiadas e o seu acesso