Configurar uma política de atribuição automática para um pacote de acesso no gerenciamento de direitos

Você pode usar regras para determinar a atribuição de pacotes de acesso com base nas propriedades de identidade na Microsoft Entra ID, que faz parte do Microsoft Entra. No Gerenciamento de Direitos, um pacote de acesso pode ter várias políticas e cada política estabelece como as identidades obtêm uma atribuição para o pacote de acesso e por quanto tempo. Como administrador, você pode estabelecer uma política para atribuições automáticas fornecendo uma regra de associação, que o gerenciamento de direitos seguirá para criar e remover as atribuições automaticamente. Semelhante a um grupo dinâmico, quando uma política de atribuição automática é criada, os atributos de identidade são avaliados para correspondências com a regra de associação da política. Quando um atributo é alterado para uma identidade, essas regras de política de atribuição automática nos pacotes de acesso são processadas para alterações de associação. As atribuições às identidades são adicionadas ou removidas conforme atendem aos critérios da regra.

Observação

Somente uma política de atribuição automática é permitida por pacote de acesso. Configurar mais de um levará a problemas de processamento e problemas subsequentes com o acesso de indivíduos atribuídos.

Este artigo descreve como criar uma política de atribuição automática de pacote de acesso para um pacote de acesso existente.

Antes de começar

Você precisa ter atributos preenchidos nas identidades que estejam incluídas no escopo de atribuição de acesso. Os atributos que você pode usar nos critérios de regras de uma política de atribuição de pacote de acesso são os atributos listados em propriedades com suporte, juntamente com atributos de extensão e propriedades de extensão personalizadas. Esses atributos podem ser trazidos para a identificação do Microsoft Entra ao atualizar o usuário, usando um sistema de RH como o SuccessFactors, a Sincronização de Nuvem do Microsoft Entra Connect ou a Sincronização do Microsoft Entra Connect. As regras podem incluir até 15.000 usuários por política.

Requisitos de licença

O uso desse recurso exige licenças do Microsoft Entra ID Governance ou do Suíte do Microsoft Entra. Para encontrar a licença certa para seus requisitos, consulte os conceitos básicos de licenciamento de governança de ID do Microsoft Entra.

Criar uma política de atribuição automática

Para criar uma política para um pacote de acesso, você precisa começar na guia de política do pacote de acesso. Siga estas etapas para criar uma nova política de atribuição automática para um pacote de acesso.

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.

   Observação

   Os proprietários do catálogo e os gerenciadores de pacotes de acesso não podem criar políticas de atribuição automática.

2. Navegue até ID Governança>Gerenciamento de Direitos>Pacote de Acesso.

3. Na página de pacotes do Access , abra um pacote de acesso.

4. Selecione Políticas e, em seguida, adicione uma política de atribuição automática para criar uma nova política.

5. Na primeira guia, você especificará a regra. Selecione Editar.

6. Forneça uma regra para grupos de associação dinâmica usando o construtor de regras de associação ou clicando em Editar na caixa de texto de sintaxe da regra.

   Observação

   O construtor de regras pode não ser capaz de exibir algumas regras construídas na caixa de texto e a validação de uma regra atualmente exige que você esteja na função administrador de grupos. Para obter mais informações, consulte o construtor de regras no Centro de administração do Microsoft Entra.

   

7. Selecione Salvar para fechar o editor de regras para grupos de associação dinâmica.

8. Por padrão, as caixas de seleção para criar e remover atribuições automaticamente devem permanecer marcadas.

9. Se desejar permitir que as identidades mantenham o acesso por um tempo limitado depois que elas saírem do escopo, você é capaz de especificar uma duração em horas ou dias. Por exemplo, quando um funcionário deixa o departamento de vendas, talvez você queira permitir que ele continue com acesso por sete dias para que ele possa usar os aplicativos de vendas e transferir a propriedade dos respectivos recursos nesses aplicativos a outro funcionário.

10. Selecione Avançar para abrir a guia Extensões Personalizadas .

11. Se você tiver extensões personalizadas em seu catálogo que deseja executar quando a política atribuir ou remover o acesso, você poderá adicioná-las a essa política. Em seguida, selecione ao lado para abrir a guia Revisão .

12. Digite um nome e uma descrição para a política.

    

13. Selecione Criar para salvar a política.

    Observação

    Neste momento, o gerenciamento de direitos criará automaticamente um grupo de segurança dinâmico correspondente a cada política, a fim de avaliar as identidades no escopo. Esse grupo não deve ser modificado, exceto pelo próprio Gerenciamento de Direitos. Esse grupo também pode ser modificado ou excluído automaticamente pelo gerenciamento de direitos, portanto, não use esse grupo para outros aplicativos ou cenários.

14. A ID do Microsoft Entra avalia as identidades na organização que estão no escopo dessa regra e cria atribuições para essas identidades que ainda não têm atribuições para o pacote de acesso. Uma política pode incluir no máximo 15.000 identidades em sua regra. Pode levar vários minutos para que a avaliação ocorra ou para que as atualizações subsequentes nos atributos das identidades sejam refletidas nas atribuições do pacote de acesso.

Criar uma política de atribuição automática programaticamente

Há duas maneiras de criar uma política de atribuição de pacote de acesso para atribuição automática programaticamente, por meio do Microsoft Graph e por meio dos cmdlets do PowerShell para Microsoft Graph.

Criar uma política de atribuição de pacote de acesso por meio do Graph

É possível criar uma política usando o Microsoft Graph. Uma identidade em uma função apropriada, com um aplicativo que possua a permissão delegada EntitlementManagement.ReadWrite.All ou que esteja em uma função de catálogo ou com a permissão EntitlementManagement.ReadWrite.All, pode chamar a API create an assignmentPolicy. No conteúdo da solicitação, inclua as displayName, description, specificAllowedTargets, automaticRequestSettings e accessPackage propriedades da política.

Criar uma política de atribuição de pacote de acesso por meio do PowerShell

Você também pode criar uma política no PowerShell com os cmdlets do módulo Microsoft Graph PowerShell para Governança de Identidade, versão 1.16.0 ou posterior.

Este script abaixo ilustra o uso do perfil v1.0 para criar uma política de atribuição automática a um pacote de acesso. Consulte criar um assignmentPolicy e criar um pacote de acesso no gerenciamento de direitos para um aplicativo com uma única função usando o PowerShell para obter mais exemplos.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"

$pparams = @{
  DisplayName = "Sales department users"
  Description = "All users from sales department"
  AllowedTargetScope = "specificDirectoryUsers"
  SpecificAllowedTargets = @( @{
        "@odata.type" = "#microsoft.graph.attributeRuleMembers"
        description = "All users from sales department"
        membershipRule = '(user.department -eq "Sales")'
  } )
  AutomaticRequestSettings = @{
        RequestAccessForAllowedTargets = $true
  }
    AccessPackage = @{
      Id = $apid
    }
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams

Próximas etapas

• Exibir atribuições para um pacote de acesso