Conclua uma revisão de acesso de grupos e aplicativos em revisões de acesso

Como administrador, você cria uma revisão de acesso de grupos ou aplicativos e revisores executa a revisão de acesso. Este artigo descreve como conferir os resultados da revisão de acesso e aplicá-los.

Observação

Este artigo mostra as etapas de como excluir dados pessoais do dispositivo ou serviço e pode ser usado para dar suporte às suas obrigações de acordo com o GDPR. Para obter informações gerais sobre o RGPD, consulte a seção GDPR da Central de Confiabilidade da Microsoft e a seção RGPD do portal de Confiança do Serviço.

Pré-requisitos

• Microsoft Entra ID Governance P2 ou Microsoft Entra ID
• Pelo menos a função de Administrador de Usuário ou de Administrador de Governança de Identidade para gerenciar o acesso de revisões em grupos e aplicativos. Os usuários que têm pelo menos a função Administrador de Função com Privilégios podem gerenciar revisões de grupos atribuíveis a funções, veja: Usar grupos do Microsoft Entra para gerenciar atribuições de função
• Os leitores de segurança têm acesso de leitura.

Para obter mais informações, consulte: Requisitos de licença.

Ver o status de uma revisão de acesso

Execute as etapas a seguir para acompanhar o progresso das revisões de acesso à medida que são concluídas.

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.

2. Navegue até Governança de Identidade>Revisões de Acesso.

3. Na lista, selecione uma revisão de acesso.

   Na página Visão geral , você pode ver o progresso da instância atual da revisão. Se não houver uma instância ativa aberta no momento, você verá informações sobre a instância anterior. Nenhum direito de acesso será alterado no diretório até que a revisão seja concluída.

   

   Todas as folhas em Atual só ficam visíveis durante a vigência de cada instância de revisão.

   Observação

   Embora a revisão de acesso atual mostre apenas informações sobre a instância de revisão ativa, você pode obter informações sobre revisões ainda a serem realizadas na série na seção Exibir status da revisão de vários estágios (versão prévia ).

   A página Resultados fornece mais informações sobre cada usuário sob revisão na instância, incluindo a capacidade de Interromper, Redefinir e Baixar resultados.

   

   Se você estiver exibindo uma revisão de acesso que examina o acesso para convidado entre os grupos do Microsoft 365, o painel Visão Geral listará cada grupo na revisão.

   

   Selecione um grupo para conferir o andamento da revisão nesse grupo, bem como para Interromper, Redefinir, Aplicar e Excluir.

   

4. Se você quiser interromper uma revisão de acesso antes de atingir a data de término agendada, selecione o botão Parar .

   Ao interromper uma revisão, os revisores não estarão mais disponíveis para fornecer respostas. Não é possível reiniciar uma análise depois de ter sido interrompida.

   Observação

   A opção Parar só está disponível para uma instância de revisão específica, não para toda a série de revisão recorrente. Para interromper uma série de revisão recorrente, você pode editar a série e atualizar a opção End para a data desejada quando quiser que a série pare. Essa alteração impede que quaisquer instâncias de revisão futuras sejam criadas além da data de término atualizada.

5. Se você não estiver mais interessado na revisão de acesso, poderá excluí-la clicando no botão Excluir .

Exibir o status da revisão de vários estágios (versão prévia)

Para ver o status e o estágio de uma revisão de acesso de vários estágios:

1. Selecione a revisão de vários estágios em que você deseja verificar o status ou veja em qual estágio ela está.

2. Selecione Resultados no menu de navegação à esquerda em Atual.

3. Na página de resultados, sob Status, aparecerá em qual estágio a revisão de vários estágios se encontra. O próximo estágio da revisão não ficará ativo até a duração especificada durante a instalação da revisão de acesso passar.

4. Se uma decisão for tomada, mas a duração da revisão para este estágio ainda não tiver expirado, você poderá selecionar Botão Parar estágio atual na página de resultados. Isso disparará o próximo estágio da revisão.

Recuperar os resultados

Para exibir os resultados de uma revisão, selecione a página Resultados . Para exibir o acesso apenas para um usuário, na caixa Pesquisar, digite o nome de exibição ou nome UPN de um usuário cujo acesso foi revisado.

Para exibir os resultados de uma instância concluída de uma revisão de acesso recorrente, selecione Histórico de revisão e selecione a instância específica na lista de instâncias de revisão de acesso concluídas, com base na data de início e término da instância. Os resultados dessa instância podem ser obtidos na página Resultados . As revisões de acesso recorrente permitem que você tenha uma noção constante do acesso aos recursos que podem precisar de atualização com mais frequência do que as revisões de acesso únicas.

Para recuperar os resultados de uma revisão de acesso, em andamento ou concluída, selecione o botão Baixar . O arquivo CSV resultante pode ser visualizado no Excel ou em outros programas que abrem arquivos CSV codificados em UTF-8.

Recuperar os resultados programaticamente

Também é possível recuperar os resultados de uma revisão de acesso usando o Microsoft Graph ou o PowerShell.

Primeiro, você precisará localizar a instância da revisão de acesso. Se o accessReviewScheduleDefinition for uma revisão recorrente de acesso, cada instância representará uma recorrência. Uma revisão que não tem recorrência tem exatamente uma instância. Instâncias também representam cada grupo exclusivo que está sendo revisado na definição de agendamento. Se uma definição de planejamento revisar vários grupos, cada grupo terá uma instância exclusiva para cada recorrência. Cada instância contém uma lista de decisões sobre as quais os revisores podem agir, com uma decisão por identidade que está sendo revisada.

Depois de identificar a instância, para recuperar as decisões usando o Graph, chame a API do Graph para listar decisões de uma instância. Se a instância for uma revisão de vários estágios, chame a API do Graph para listar decisões de uma revisão de acesso de vários estágios. O chamador deve ser um usuário em uma função apropriada com um aplicativo que tenha a permissão AccessReview.Read.All ou AccessReview.ReadWrite.All delegada ou um aplicativo com a permissão de aplicativo AccessReview.Read.All ou AccessReview.ReadWrite.All. Para obter mais informações, consulte o tutorial de como examinar um grupo de segurança.

Você também pode recuperar as decisões no PowerShell com o cmdlet Get-MgIdentityGovernanceAccessReviewDefinitionInstanceDecision do módulo cmdlets do PowerShell do Microsoft Graph para Governança de Identidade. O tamanho de página padrão dessa API é de 100 itens de decisão.

Aplicar as alterações

Se a aplicação automática de resultados ao recurso foi habilitada com base em suas seleções nas configurações de conclusão, ela executa automaticamente quando uma instância de revisão é concluída, ou antes, se você interromper manualmente a revisão.

Se a Aplicação automática dos resultados ao recurso não foi habilitada para a revisão, navegue até o Histórico de Revisão em Série após o fim da vigência da revisão ou se a revisão for interrompida no início e selecione a instância da revisão que você gostaria de aplicar.

Selecione Aplicar para aplicar manualmente as alterações. Se o acesso de um usuário foi negado na revisão, ao selecionar Aplicar, o Microsoft Entra ID remove a associação ou atribuição de aplicativo do usuário.

O status da revisão muda de Concluído por meio de estados intermediários, como Aplicar e, por fim, declarar resultado aplicado. É necessário esperar que os usuários negados, se houver algum, sejam removidos da associação do grupo ou da atribuição do aplicativo em alguns minutos.

A aplicação manual ou automática dos resultados não afeta um grupo gerado em um diretório local. Se você quiser alterar um grupo que se origina localmente, baixe os resultados e aplique essas alterações para a representação do grupo neste diretório.

Observação

Alguns usuários negados não podem receber a aplicação dos resultados. Os cenários em que isso pode acontecer incluem:

• Examinando membros de um grupo do Windows Server AD local sincronizado: se o grupo for sincronizado do Windows Server AD local, o grupo não poderá ser gerenciado na ID do Microsoft Entra e, portanto, a associação não poderá ser alterada.
• Revisando um recurso (função, grupo, aplicativo) com grupos aninhados atribuídos: Para usuários que têm associação por meio de um grupo aninhado, não removeremos sua associação ao grupo aninhado e, portanto, eles manterão o acesso ao recurso que está sendo revisado.
• Usuário não encontrado/outros erros também podem ocorrer devido a não compatibilidade de um resultado de aplicação.
• Examinando os membros do grupo habilitado para email: o grupo não pode ser gerenciado na ID do Microsoft Entra, portanto, a associação não pode ser alterada.
• A revisão de um aplicativo que utiliza atribuição de grupo não removerá os membros desses grupos, portanto, eles manterão o acesso existente baseado na relação do grupo com a atribuição ao aplicativo.

Observação

As decisões de revisão de acesso não alteram a associação em grupos dinâmicos. Esses grupos são gerenciados por usuários de regras e permanecem membros desde que correspondam às condições da regra.

Ações executadas em usuários convidados negados em uma revisão de acesso

Na criação da revisão, o criador pode escolher entre duas opções para usuários convidados negados em uma revisão de acesso.

• Usuários convidados negados podem ter o acesso ao recurso removido. Essa é a configuração padrão.
• O usuário convidado negado pode ser impedido de entrar por 30 dias e, em seguida, excluído do locatário. Durante o período de 30 dias, um administrador pode restaurar o acesso do usuário convidado ao locatário. Após o término do período de 30 dias, se o usuário convidado não tiver acesso ao recurso concedido a ele novamente, ele será removido do locatário permanentemente. Além disso, usando o Centro de administração do Microsoft Entra, um Administrador Global pode excluir explicitamente permanentemente um usuário excluído recentemente antes que esse período de tempo seja atingido. Após a exclusão permanente de um usuário, os dados sobre esse usuário são removidos das revisões de acesso ativas. Auditar informações sobre usuários excluídos na trilha de auditoria.

Ações executadas em usuários negados da conexão direta de B2B

Os usuários e equipes negados da conexão direta de B2B perdem o acesso a todos os canais compartilhados na Equipe.

Próximas etapas

• Gerenciar revisões de acesso
• Criar uma revisão de acesso de grupos ou aplicativos
• Criar uma revisão de acesso de usuários em uma função administrativa do Microsoft Entra