Compartilhar via

Tutorial: gerencie o acesso aos recursos no gerenciamento de direitos

Gerenciar o acesso a todos os recursos de que os funcionários precisam, como grupos, aplicativos e sites, é uma função importante para as organizações. Você quer conceder aos funcionários o nível de acesso correto para que eles sejam produtivos e remover o acesso quando ele não for mais necessário.

Neste tutorial, você trabalhará para o Woodgrove Bank como administrador de TI. Você foi incumbido de criar um pacote de recursos para uma campanha de marketing que os usuários internos podem usar para solicitar o autoatendimento. As solicitações não exigem aprovação e o acesso do usuário expira após 30 dias. Para este tutorial, os recursos da campanha de marketing apenas são a associação em um único grupo, mas poderiam ser uma coleção de grupos, aplicativos ou sites do SharePoint Online.

Diagrama que mostra a visão geral do cenário.

Neste tutorial, você aprenderá como:

  • Criar um pacote de acesso com um grupo como um recurso
  • Permitir que um usuário em seu diretório solicite acesso
  • Demonstrar como um usuário interno pode solicitar o pacote de acesso

Para obter uma demonstração passo a passo do processo de implantação do gerenciamento de direitos Microsoft Entra, incluindo a criação de seu primeiro pacote de acesso, assista ao vídeo a seguir:

O restante deste artigo usa o centro de administração do Microsoft Entra para configurar e demonstrar o gerenciamento de direitos.

Pré-requisitos

Para usar o gerenciamento de direitos, você deve ter uma das seguintes licenças:

  • Governança do Microsoft Entra ID P2 ou Microsoft Entra ID
  • Licença do Enterprise Mobility + Security (EMS) E5

Para obter mais informações, consulte os requisitos de licença.

Etapa 1: Configurar usuários e grupo

Um diretório de recursos tem um ou mais recursos para serem compartilhados. Nesta etapa, você criará um grupo chamado Recursos de Marketing no diretório do Woodgrove Bank que é o recurso de destino para gerenciamento de direitos. Você também configurará um solicitante interno.

Diagrama que mostra os usuários e grupos deste tutorial.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.

  2. Navegue até Governança de ID>gerenciamento de direitos>pacotes de acesso.

  3. Crie dois usuários. Use os nomes a seguir ou nomes diferentes.

    Nome Função do diretório
    Administrador1 No mínimo um Administrador de governança de identidade. Esse usuário pode ser o usuário que você está conectado no momento.
    Solicitante1 Usuário

  4. Crie um grupo de segurança do Microsoft Entra denominado Recursos de Marketing com um tipo de associação Atribuída. Este grupo é o recurso de destino do gerenciamento de direitos. O grupo deve estar sem membros para começar.

Etapa 2: Criar um pacote de acesso

Um pacote de acesso é um pacote de recursos que uma equipe ou projeto precisa e é regido com políticas. Os pacotes de acesso são definidos em contêineres chamados catálogos. Nesta etapa, você criará um pacote de acesso à Campanha de Marketing no catálogo Geral.

Diagrama que descreve a relação entre os elementos do pacote de acesso.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.

    Dica

    Outras funções de privilégio mínimo que podem concluir essa tarefa incluem o proprietário do catálogo e o gerenciador de pacotes do Access.

  2. Navegue até Governança de ID>Gerenciamento de direitos>Pacote de acesso.

  3. Na página Pacotes de acesso, abra um pacote de acesso.

  4. Ao abrir o pacote de acesso, se aparecer Acesso negado, verifique se uma licença Microsoft Entra ID P2 ou uma licença de Governança Microsoft Entra ID está presente em seu diretório.

  5. Selecione Novo pacote de acesso.

    Capturas de tela que mostram como criar um pacote de acesso.

  6. Na guia Noções básicas , digite o nome Pacote de acesso à Campanha de Marketing e descrição Acesso aos recursos da campanha.

  7. Deixe a lista suspensa Catálogo definida como Geral.

    Captura de tela mostrando como definir o básico da política de acesso.

  8. Selecione Avançar para abrir a guia Funções de recurso . Nesta guia, selecione os recursos e a função de recurso a ser incluída no pacote de acesso. Você pode optar por gerenciar o acesso a grupos e equipes, aplicativos e sites do SharePoint Online. Nesse cenário, selecione Grupos e Equipes.

    Captura de tela mostrando como selecionar grupos e equipes.

  9. No painel Selecionar grupos , localize e selecione o grupo de recursos de marketing que você criou anteriormente.

    Por padrão, você vê grupos dentro do catálogo Geral. Quando você seleciona um grupo fora do catálogo geral, que você pode ver se você marcar a caixa de seleção Ver tudo , ele é adicionado ao catálogo Geral.

    Captura de tela que mostra como selecionar os grupos

  10. Escolha Selecionar para adicionar o grupo à lista.

  11. Na lista suspensa Função, selecione Membro. Caso selecione a função Proprietário, permite que os usuários adicionem ou removam outros membros ou proprietários. Para obter mais informações sobre como selecionar as funções apropriadas para um recurso, leia adicionar funções de recurso.

    Captura de tela que mostra como selecionar a função de membro.

    Importante

    Os grupos atribuíveis a função adicionados a um pacote de acesso serão indicados usando o Sub Type Atribuível às funções. Para obter mais informações, confira o artigo Criar um grupo atribuível a função . Tenha em mente que, uma vez que um grupo atribuível à função esteja presente em um catálogo de pacotes de acesso, os usuários administrativos que são capazes de gerenciar no gerenciamento de direitos, incluindo os usuários na função de administrador global, os usuários na função de administrador de governança da identidade e os proprietários de catálogos do catálogo, poderão controlar os pacotes de acesso no catálogo, permitindo escolher quem pode ser adicionado a esses grupos. Se não vir um grupo atribuível a funções que deseja adicionar ou se não puder adicioná-lo, verifique se você tem a função de gerenciamento de direitos e a função do Microsoft Entra necessárias para executar essa operação. Talvez seja necessário solicitar que alguém com as funções necessárias adicione o recurso ao seu catálogo. Para obter mais informações, consulte as funções necessárias para adicionar recursos a um catálogo.

    Observação

    Ao usar grupos de associação dinâmica , você não verá outras funções disponíveis além do proprietário. Isso ocorre por design. Capturas de tela que mostram funções disponíveis de um grupo dinâmico.

  12. Selecione Avançar para abrir a guia Solicitações . Na guia Solicitações, você cria uma política de solicitação. Uma política define as regras ou os guardrails para acessar um pacote de acesso. Você cria uma política que permite que um usuário específico no diretório do recurso solicite o pacote de acesso.

  13. Na seção Usuários que podem solicitar acesso , selecione Para usuários em seu diretório e selecione Usuários e grupos específicos.

    Captura de tela da guia de solicitações do pacote de acesso.

  14. Selecione Adicionar usuários e grupos.

  15. No painel Selecionar usuários e grupos, selecione o usuário Requestor1 criado anteriormente.

    Captura de tela de usuários e grupos selecionados.

  16. Escolha Selecionar para adicionar o usuário à lista.

  17. Role para baixo até as seções Aprovação e Habilitar solicitações .

  18. Deixe Requerer aprovação configurado como Não.

  19. Para habilitar solicitações, selecione Sim para habilitar esse pacote de acesso a ser solicitado assim que ele for criado.

  20. Se sua organização estiver configurada para receber IDs verificadas, existe uma opção para configurar um pacote de acesso para exigir que os solicitantes forneçam uma ID verificada. Para saber mais, confira: Definir as configurações de ID verificadas para um pacote de acesso no gerenciamento de direitos (versão prévia)

    Captura de tela da seleção do seletor de ID verificado.

  21. Selecione Avançar para abrir a guia Informações do Solicitante .

    Capturas de tela da aprovação na guia de solicitações e das configurações para habilitar solicitações.

  22. Na guia Informações do Solicitante , você pode fazer perguntas para coletar mais informações do solicitante. As perguntas são mostradas no formulário de solicitação e podem ser definidas como obrigatórias ou opcionais. Você também pode especificar se o gerente de um funcionário pode ou não solicitar em seu nome e se a aprovação é necessária se ele fizer isso. Se a política permitir que os gerentes solicitem em nome de um funcionário, o gerente responderá as perguntas em nome do funcionário, e não de si mesmo. Para obter mais informações sobre essa opção, consulte: Solicitar o pacote de acesso em nome de outros usuários (versão prévia). Nesse cenário, você não foi solicitado a incluir informações do solicitante para o pacote de acesso e, portanto, pode deixar essas caixas vazias. Selecione Avançar para abrir a guia Ciclo de Vida .

  23. Na guia Ciclo de Vida , você especifica quando a atribuição de um usuário ao pacote de acesso expira. Você também pode especificar se os usuários podem estender suas respectivas atribuições. Na seção Expiração :

    1. Defina o tempo de expiração das atribuições do pacote de acesso para número de dias.
    2. Defina as Atribuições expirando após30 dias.
    3. Deixe que os usuários possam solicitar um valor padrão de linha do tempo específico , Sim.
    4. Configure Exigir revisões de acesso como Não.

    Captura de tela da guia do ciclo de vida do pacote de acesso

  24. Ignore a etapa extensões personalizadas .

  25. Selecione Avançar para abrir a guia Examinar + Criar .

  26. Na guia Revisar + Criar , selecione Criar. Após alguns instantes, você deverá ver uma notificação de que o pacote de acesso foi criado com êxito.

  27. No menu à esquerda do pacote de acesso da Campanha de Marketing, selecione Visão geral.

  28. Copie o link do portal Meu Acesso.

    Você usará esse link na próxima etapa.

    Captura de tela que demonstra como copiar o link para a política de acesso.

Etapa 3: Solicitar acesso

Nesta etapa, você executará as etapas como o solicitante interno e solicitará acesso ao pacote de acesso. Os solicitadores enviam suas solicitações usando um site denominado portal Meus Acessos. O portal Meus Acessos permite que os solicitantes enviem solicitações para pacotes de acesso, vejam os pacotes de acesso aos quais eles já têm acesso e vejam seu histórico de solicitações. Quando um novo convidado solicita um pacote de acesso no MyAccess, seu idioma de preferência é carimbado com base no idioma do navegador MyAccess no momento da solicitação. Isso permite que novos convidados recebam comunicações por email em um idioma que eles entendam.

Função de pré-requisito: Solicitante interno

  1. Saia do centro de administração do Microsoft Entra.

  2. Em uma nova janela do navegador, navegue até o link do portal Meus Acessos copiado na etapa anterior.

  3. Entre no portal Meu Acesso como Solicitante1.

    Você deve ver o pacote de acesso à Campanha de Marketing .

  4. Na caixa Justificativa comercial , digite a justificativa que estou trabalhando na nova campanha de marketing.

    Captura de tela do portal Meu Acesso listando os pacotes de acesso.

  5. Selecione Enviar.

  6. No menu à esquerda, selecione Histórico de solicitações para verificar se sua solicitação foi entregue. Para obter mais detalhes, selecione Exibição.

    Captura de tela do histórico de solicitações do portal Meu Acesso.

Etapa 4: Validar que o acesso foi atribuído

Nesta etapa, você confirma que o solicitante interno recebeu o pacote de acesso e que agora é membro do grupo de recursos de marketing .

  1. Saia do portal Meus Acessos.

  2. Entre no Centro de administração do Microsoft Entra como Admin1, que é pelo menos um Administrador de Governança de Identidade.

    Dica

    Outras funções de privilégio mínimo que podem concluir essa tarefa incluem o proprietário do catálogo e o gerenciador de pacotes do Access.

  3. Navegue até Governança de ID>gerenciamento de direitos>pacotes de acesso.

  4. Localize e selecione o pacote de acesso Campanha de Marketing.

  5. No menu à esquerda, selecione Solicitações.

    Você deverá ver Requestor1 e a política inicial com um status de Entregue.

  6. Clique na solicitação para ver os detalhes dela.

    Captura de tela dos detalhes da solicitação do pacote de acesso.

  7. Na navegação à esquerda, selecione Entra ID.

  8. Selecione Grupos e abra o grupo de recursos de marketing .

  9. Selecione Membros.

    Você deve ver Requestor1 listado como um membro.

    A captura de tela mostra que o solicitante foi adicionado ao grupo de recursos de marketing.

Etapa 5: Limpar os recursos

Nesta etapa, você removerá as alterações feitas e excluirá o pacote de acesso da Campanha de Marketing .

  1. No Centro de administração do Microsoft Entra, como pelo menos um Administrador de Governança de Identidade, selecione Governança de Identidade.

  2. Abra o pacote de acesso Campanha de Marketing.

  3. Selecione Atribuições.

  4. Para Requestor1, selecione as reticências (...) e, em seguida, selecione Remover acesso. Na mensagem exibida, selecione Sim.

    Depois de alguns momentos, o status mudará de Entregue para Expirado.

  5. Selecione funções de recurso.

  6. Para recursos de marketing, selecione as reticências (...) e, em seguida, selecione Remover função de recurso. Na mensagem exibida, selecione Sim.

  7. Abra a lista de pacotes de acesso.

  8. Para a Campanha de Marketing, selecione as reticências (...) e, em seguida, selecione Excluir. Na mensagem exibida, selecione Sim.

  9. No Identity, exclua todos os usuários criados, como Requestor1 e Admin1.

  10. Exclua o grupo de recursos de marketing .

Próximas etapas

Passe para o próximo artigo para conhecer etapas comuns de cenário no gerenciamento de direitos.

Cenários comuns