Tutorial: gerencie o acesso aos recursos no gerenciamento de direitos
Gerenciar o acesso a todos os recursos de que os funcionários precisam, como grupos, aplicativos e sites, é uma função importante para as organizações. Você quer conceder aos funcionários o nível de acesso correto para que eles sejam produtivos e remover o acesso quando ele não for mais necessário.
Neste tutorial, você trabalhará para o Woodgrove Bank como administrador de TI. Você foi incumbido de criar um pacote de recursos para uma campanha de marketing que os usuários internos podem usar para solicitar o autoatendimento. As solicitações não exigem aprovação e o acesso do usuário expira após 30 dias. Para este tutorial, os recursos da campanha de marketing apenas são a associação em um único grupo, mas poderiam ser uma coleção de grupos, aplicativos ou sites do SharePoint Online.
Neste tutorial, você aprenderá como:
- Criar um pacote de acesso com um grupo como um recurso
- Permitir que um usuário em seu diretório solicite acesso
- Demonstrar como um usuário interno pode solicitar o pacote de acesso
Para obter uma demonstração passo a passo do processo de implantação do gerenciamento de direitos Microsoft Entra, incluindo a criação de seu primeiro pacote de acesso, assista ao vídeo a seguir:
O restante deste artigo usa o centro de administração do Microsoft Entra para configurar e demonstrar o gerenciamento de direitos.
Pré-requisitos
Para usar o gerenciamento de direitos, você deve ter uma das seguintes licenças:
- Governança do Microsoft Entra ID P2 ou Microsoft Entra ID
- Licença do Enterprise Mobility + Security (EMS) E5
Para obter mais informações, veja Requisitos de licença.
Etapa 1: Configurar usuários e grupo
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Um diretório de recursos tem um ou mais recursos para serem compartilhados. Nesta etapa, você criará um grupo chamado Recursos de marketing no diretório do Woodgrove Bank que é o recurso de destino para o gerenciamento de direitos. Você também configurará um solicitante interno.
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Governança de Identidade.
Navegue até Governança de identidade>Gerenciamento de direitos>Pacotes de acesso.
Crie dois usuários. Use os nomes a seguir ou nomes diferentes.
Nome Função do diretório Admin1 No mínimo um Administrador de governança de identidade. Esse usuário pode ser o usuário que você está conectado no momento. Requestor1 Usuário Crie um grupo de segurança do Microsoft Entra chamado Recursos de marketing com um tipo de associação Atribuído. Este grupo é o recurso de destino do gerenciamento de direitos. O grupo deve estar sem membros para começar.
Etapa 2: Criar um pacote de acesso
Um pacote de acesso é um pacote de recursos de que uma equipe ou projeto precisa e é regido por políticas. Pacotes de acesso são definidos em contêineres chamados catálogos. Nesta etapa, você criará um pacote de acesso de Campanha de marketing no catálogo Geral.
Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Governança de Identidade.
Dica
Outras funções de privilégio mínimo que podem concluir essa tarefa incluem o proprietário do catálogo e o gerenciador de pacotes do Access.
Navegue até Governança de identidade>Gerenciamento de direitos>Pacote de acesso.
Na página Pacotes de acesso, abra um pacote de acesso.
Ao abrir o pacote de acesso, se você vir Acesso negado, certifique-se de que uma licença Microsoft Entra ID P2 ou Microsoft Entra ID Governance esteja presente em seu diretório.
Selecione Novo pacote de acesso.
Na guia Noções básicas, digite o nome do pacote de acesso Campanha de marketing e a descrição Acesso a recursos para a campanha.
Deixe a lista suspensa Catálogo definida como Geral.
Selecione Avançar para abrir a guia Funções de recurso. Nessa guia, selecione os recursos e a função de recurso a ser incluída no pacote de acesso. Você pode optar por gerenciar o acesso a grupos e equipes, aplicativos e sites do SharePoint Online. Nesse cenário, selecione Grupos e Equipes.
No painel Selecionar grupos, localize e selecione o grupo Recursos de marketing criado anteriormente.
Por padrão, você vê grupos dentro do catálogo Geral. Ao selecionar um grupo fora do catálogo Geral, que você pode ver ao marcar a caixa de seleção Ver todos, ele será adicionado ao catálogo Geral.
Escolha Selecionar para adicionar o grupo à lista.
Na lista suspensa Função, selecione Membro. Caso selecione a função Proprietário, permite que os usuários adicionem ou removam outros membros ou proprietários. Para obter mais informações de como selecionar as funções apropriadas para um recurso, leia adicionar funções de recurso.
Importante
Os grupos atribuíveis a funções adicionados a um pacote de acesso serão indicados usando o subtipo Atribuível a funções. Para obter mais informações, confira o artigo Criar um grupo atribuível a função. Tenha em mente que, uma vez que um grupo atribuível à função esteja presente em um catálogo de pacotes de acesso, os usuários administrativos que são capazes de gerenciar no gerenciamento de direitos, incluindo os usuários na função de administrador global, os usuários na função de administrador de governança da identidade e os proprietários de catálogos do catálogo, poderão controlar os pacotes de acesso no catálogo, permitindo escolher quem pode ser adicionado a esses grupos. Se não vir um grupo atribuível a funções que deseja adicionar ou se não puder adicioná-lo, verifique se você tem a função de gerenciamento de direitos e a função do Microsoft Entra necessárias para executar essa operação. Talvez seja necessário solicitar que alguém com as funções necessárias adicione o recurso ao seu catálogo. Para obter mais informações, confira Funções necessárias para adicionar recursos a um catálogo.
Observação
Ao usar grupos de associação dinâmica, você não verá outras funções disponíveis além do proprietário. Isso ocorre por design.
Selecione Avançar para abrir a guia Solicitações. Na guia Solicitações, você cria uma política de solicitação. Uma política define as regras ou grades de proteção para acessar um pacote de acesso. Você cria uma política que permite que um usuário específico no diretório do recurso solicite o pacote de acesso.
Na seção Usuários que podem solicitar acesso, selecione Para usuários em seu diretório e Usuários e grupos específicos.
Selecione Adicionar usuários e grupos.
No painel Selecionar usuários e grupos, selecione o usuário Requestor1 que você criou anteriormente.
Escolha Selecionar para adicionar o usuário à lista.
Role para baixo até as seções Aprovação e Habilitar solicitações.
Deixe Exigir aprovação definido como Não.
Para Habilitar solicitações, selecione Sim para permitir que esse pacote de acesso seja solicitado assim que for criado.
Se sua organização estiver configurada para receber IDs verificadas, existe uma opção para configurar um pacote de acesso para exigir que os solicitantes forneçam uma ID verificada. Para saber mais, consulte: Definir configurações de ID verificada para um pacote de acesso no gerenciamento de direitos (versão preliminar)
Selecione Avançar para abrir a guia Informações do solicitante.
Na guia Informações do solicitante, você pode fazer perguntas para coletar mais informações do solicitante. As perguntas são mostradas no formulário de solicitação e podem ser definidas como obrigatórias ou opcionais. Você também pode especificar se o gerente de um funcionário pode ou não solicitar em seu nome e se a aprovação é necessária se ele fizer isso. Se a política permitir que os gerentes solicitem em nome de um funcionário, o gerente responderá as perguntas em nome do funcionário, e não de si mesmo. Para obter mais informações sobre essa opção, consulte: Solicitar pacote de acesso em nome de outros usuários (versão prévia). Nesse cenário, você não foi solicitado a incluir informações do solicitante para o pacote de acesso e, portanto, pode deixar essas caixas vazias. Selecione Avançar para abrir a guia Ciclo de vida.
Na guia Ciclo de vida, você especifica quando expira a atribuição de um usuário ao pacote de acesso. Você também pode especificar se os usuários podem estender suas respectivas atribuições. Na seção Expiração:
- Defina a Expiração das atribuições do pacote de acesso como Número de dias.
- Defina Atribuições expiram após como 30 dias.
- Deixe que os Usuários possam solicitar um valor padrão de linha do tempo específica, Sim.
- Defina Exigir revisões de acesso como Não.
Ignore a etapa Extensões personalizadas.
Selecione Avançar para abrir a guia Examinar + Criar.
Na guia Examinar + Criar, selecione Criar. Após alguns instantes, você deverá ver uma notificação de que o pacote de acesso foi criado com êxito.
No menu à esquerda do pacote de acesso da campanha de marketing, selecione Visão Geral.
Copie o Link do portal Meus Acessos.
Você usará esse link na próxima etapa.
Etapa 3: Solicitar acesso
Nesta etapa, você executará as etapas como o solicitante interno e solicitará acesso ao pacote de acesso. Os solicitadores enviam suas solicitações usando um site denominado portal Meus Acessos. O portal Meus Acessos permite que os solicitantes enviem solicitações para pacotes de acesso, vejam os pacotes de acesso aos quais eles já têm acesso e vejam seu histórico de solicitações. Quando um novo convidado solicita um pacote de acesso no MyAccess, seu idioma de preferência é carimbado com base no idioma do navegador MyAccess no momento da solicitação. Isso permite que novos convidados recebam comunicações por email em um idioma que eles entendam.
Função de pré-requisito: Solicitante interno
Saia do centro de administração do Microsoft Entra.
Em uma nova janela do navegador, navegue até o link do portal Meus Acessos copiado na etapa anterior.
Entre no portal Meus Acessos como Requestor1.
Você deve ver o pacote de acesso Campanha de Marketing.
Na caixa Justificativa comercial, digite a justificativa Estou trabalhando na nova campanha de marketing.
Selecione Enviar.
No menu esquerdo, clique em Histórico de solicitações para verificar se a sua solicitação foi enviada. Para obter mais detalhes, selecione Exibir.
Etapa 4: Validar que o acesso foi atribuído
Nesta etapa, você confirma que o solicitante interno foi atribuído ao pacote de acesso e que agora é um membro do grupo Recursos de marketing.
Saia do portal Meus Acessos.
Entre no Centro de administração do Microsoft Entra como Admin1, que seja no mínimo, um Administrador de Governança de Identidade.
Dica
Outras funções de privilégio mínimo que podem concluir essa tarefa incluem o proprietário do catálogo e o gerenciador de pacotes do Access.
Navegue até Governança de identidade>Gerenciamento de direitos>Pacotes de acesso.
Localize e selecione o pacote de acesso Campanha de Marketing.
No menu à esquerda, selecione Solicitações.
Você deve ver Requestor1 e a política Inicial com um status de Entregue.
Clique na solicitação para ver os detalhes dela.
Na navegação esquerda, selecione Identidade.
Clique em Grupos e abra o grupo de Recursos de marketing.
Selecione Membros.
Você deve ver Requestor1 listado como um membro.
Etapa 5: Limpar os recursos
Nesta etapa, você removerá as alterações feitas e excluirá o pacote de acesso Campanha de Marketing.
No Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Governança de Identidade selecione Governança de Identidade.
Abra o pacote de acesso Campanha de Marketing.
Selecione Atribuições.
Para Solicitante1, selecione as reticências (…) e Remover acesso. Na mensagem que aparece, selecione Sim.
Depois de alguns momentos, o status mudará de Entregue para Expirado.
Selecione Funções do recurso.
Para Recursos de marketing, clique nas reticências (...) e em Remover função do recurso. Na mensagem que aparece, selecione Sim.
Abra a lista de pacotes de acesso.
Para Campanha de Marketing, selecione as reticências (...) e Excluir. Na mensagem que aparece, selecione Sim.
Em Identidade, exclua todos os usuários que você criou como Requestor1 e Admin1.
Exclua o grupo Recursos de marketing.
Próximas etapas
Passe para o próximo artigo para conhecer etapas comuns de cenário no gerenciamento de direitos.