Implantar políticas organizacionais para controlar o acesso a aplicativos integrados ao Microsoft Entra ID
Nas seções anteriores, você definiu suas políticas de governança para um aplicativo e integrou esse aplicativo ao Microsoft Entra ID. Nesta seção, você configura os recursos de gerenciamento de direitos e acesso condicional do Microsoft Entra para controlar o acesso continuado aos seus aplicativos. Você estabelece
- Políticas de acesso condicional sobre como um usuário se autentica ao Microsoft Entra ID em um aplicativo integrado ao Microsoft Entra ID para logon único
- Políticas de gerenciamento de direitos sobre como um usuário obtém e mantém atribuições de funções de aplicativo e associação em grupos
- Políticas de revisão de acesso sobre a frequência com que as associações de grupo são revisadas
Depois que essas políticas forem implantadas, você poderá monitorar o comportamento continuado do Microsoft Entra ID conforme os usuários solicitam e recebem acesso ao aplicativo.
Implantar políticas de Acesso Condicional para imposição de SSO
Nesta seção, você estabelece as políticas de Acesso Condicional que estão no escopo para determinar se um usuário autorizado pode entrar no aplicativo, com base em fatores como a força de autenticação do usuário ou o status do dispositivo.
O acesso condicional só é possível para aplicativos que dependem do Microsoft Entra ID para fazer o SSO (logon único). Se o aplicativo não puder ser integrado ao SSO, continue para a próxima seção.
- Carregue o documento de termos de uso (TOU), se necessário. Se você exigir que os usuários aceitem um termo de uso (TOU) antes de acessar o aplicativo, crie e carregue o documento do TOU para que ele possa ser incluído em uma política de Acesso Condicional.
- Verifique se os usuários estão prontos para a autenticação multifator do Microsoft Entra. É recomendável exigir que a autenticação multifator do Microsoft Entra para aplicativos comercialmente críticos integrados por meio de federação. Para esses aplicativos, deve haver uma política que exija que o usuário tenha preenchido um requisito de autenticação multifator antes que o Microsoft Entra ID permita a entrada dele no aplicativo. Algumas organizações também podem bloquear o acesso por local, ou exigir que o usuário acesse por um dispositivo registrado. Se ainda não houver uma política adequada que inclua as condições necessárias para autenticação, localização, dispositivo e TOU, adicione uma política à implantação de Acesso Condicional.
- Coloque o ponto de extremidade da Web do aplicativo no escopo da política de Acesso Condicional apropriada. Se você tiver uma política de Acesso Condicional existente que foi criada para outro aplicativo sujeito aos mesmos requisitos de governança, você poderá atualizar essa política para ela ser válida também para esse aplicativo, evitando assim ter um grande número de políticas. Depois de fazer as atualizações, verifique se as políticas esperadas estão sendo aplicadas. Você pode ver quais políticas se aplicariam a um usuário com a ferramenta Acesso Condicional - e se.
- Crie uma revisão de acesso recorrente para o caso de algum usuário precisar de exclusões temporárias de política. Em alguns casos, pode não ser possível impor imediatamente políticas de Acesso Condicional para cada usuário autorizado. Por exemplo, alguns usuários podem não ter um dispositivo registrado apropriado. Se for necessário excluir um ou mais usuários da política de Acesso Condicional e então permitir a eles o acesso, configure uma revisão de acesso para o grupo de usuários excluídos das políticas de Acesso Condicional.
- Documente o tempo de vida do token e as configurações de sessão dos aplicativos. O período em que um usuário com acesso contínuo negado poderá continuar usando um aplicativo federado depende do tempo de vida da sessão do aplicativo e do tempo de vida do token de acesso. O tempo de vida da sessão de um aplicativo depende do próprio aplicativo. Para saber como controlar o tempo de vida dos tokens de acesso, confira Tempos de vida de token configuráveis.
Implantar políticas de gerenciamento de direitos para automatizar a atribuição de acesso
Nesta seção, você configura o gerenciamento de direitos no Microsoft Entra para que os usuários possam solicitar acesso às funções do aplicativo ou a grupos usados pelo aplicativo. Para executar essas tarefas, você precisa da função de Administrador Global ou Administrador de Governança de Identidade, ou ser delegado como criador de catálogos e ser proprietário do aplicativo.
Observação
Seguindo o acesso de privilégios mínimos, recomendamos o uso da função de Administrador de Governança de Identidade aqui.
- Os pacotes de acesso para aplicativos controlados devem estar em um catálogo designado. Se você ainda não tiver um catálogo para o cenário de governança de aplicativos, crie um catálogo no gerenciamento de direitos do Microsoft Entra. Se você tiver vários catálogos a serem criados, poderá usar um script do PowerShell para criar cada catálogo.
- Preencha o catálogo com os recursos necessários. Adicione o aplicativo, e todos os grupos do Microsoft Entra dos quais o aplicativo depende, como recursos nesse catálogo. Se você tiver muitos recursos, poderá usar um script do PowerShell para adicionar cada recurso a um catálogo.
- Crie um pacote de acesso para cada função ou grupo que os usuários podem solicitar. Para cada um dos aplicativos e para cada uma das funções ou dos grupos de aplicativos, crie um pacote de acesso que inclua essa função ou grupo como recurso. Nesta fase de configuração destes pacotes de acesso, configure a primeira política de atribuição de pacote de acesso em cada pacote de acesso para ser uma política para atribuição direta, para que apenas os administradores possam criar atribuições. Nessa política, defina os requisitos de revisão de acesso para usuários existentes, se houver, para que eles não mantenham o acesso indefinidamente. Se tiver muitos pacotes de acesso, você poderá usar um script do PowerShell para criar cada pacote de acesso em um catálogo.
- Configure pacotes de acesso para impor a separação de requisitos de tarefas. Se você tiver os requisitos de separação de tarefas, configure os pacotes de acesso incompatíveis ou os grupos existentes para o seu pacote de acesso. Se o cenário exigir a capacidade de substituir uma verificação de separação de tarefas, você também poderá configurar pacotes de acesso adicionais para esses cenários de substituição.
- Adicione atribuições dos usuários existentes, que já têm acesso ao aplicativo, aos pacotes de acesso. Para cada pacote de acesso, atribua usuários existentes da aplicação nessa função correspondente, ou membros desse grupo, ao pacote de acesso e à sua política de atribuição direta. Você pode atribuir diretamente um pacote de acesso a um usuário usando o centro de administração do Microsoft Entra, ou atribuir em massa usando o Graph ou o PowerShell.
- Crie outras políticas para que os usuários solicitem acesso. Em cada pacote de acesso, crie políticas adicionais de atribuição de pacote de acesso para que os usuários solicitem acesso. Configure os requisitos de aprovação e revisão de acesso recorrentes nessa política.
- Crie revisões de acesso recorrentes para outros grupos usados pelo aplicativo. Se houver grupos que são usados pelo aplicativo, mas não são funções de recurso para um pacote de acesso, crie revisões de acesso para a associação desses grupos.
Exibir relatórios de acesso
O Microsoft Entra ID e o Microsoft Entra ID Governance, com o Azure Monitor, fornecem vários relatórios para ajudá-lo a entender quem tem acesso a um aplicativo e se essa pessoa está usando esse acesso.
- Um administrador ou um proprietário de catálogo pode recuperar a lista de usuários que têm atribuições de pacote de acesso usando o centro de administração do Microsoft Entra, o Graph ou o PowerShell.
- Você também pode enviar os logs de auditoria para o Azure Monitor e exibir um histórico de alterações no pacote de acesso no centro de administração do Microsoft Entra ou por meio do PowerShell.
- Você pode exibir os últimos 30 dias de acessos a um aplicativo no relatório de entradas no centro de administração do Microsoft Entra ou por meio do Graph.
- Você também pode enviar os logs de entrada no Azure Monitor para arquivar a atividade de entrada por até dois anos.
Monitorar e ajustar políticas de gerenciamento de direitos e acesso conforme necessário
Com base no volume de alterações de atribuição de acesso do aplicativo para seu aplicativo, use o centro de administração do Microsoft Entra em intervalos regulares, como semanal, mensal ou trimestral, para garantir que o acesso esteja sendo concedido de acordo com as políticas. Você também pode garantir que os usuários identificados para aprovação e revisão ainda sejam os indivíduos corretos para essas tarefas.
Observe as atribuições de função de aplicativo e as alterações de associação de grupo. Se você tiver o Microsoft Entra ID configurado para enviar seu log de auditoria para o Azure Monitor, use o
Application role assignment activity
no Azure Monitor para monitorar e relatar as atribuições de função de aplicativo que não foram feitas por meio do gerenciamento de direitos. Se houver atribuições de função criadas diretamente por um proprietário do aplicativo, entre em contato com o proprietário do aplicativo para determinar se essa atribuição foi autorizada. Além disso, se o aplicativo depender de grupos de segurança do Microsoft Entra, monitore também as alterações nesses grupos.Observe também os usuários que receberam acesso diretamente no aplicativo. Se as seguintes condições forem atendidas, será possível que um usuário obtenha acesso a um aplicativo sem fazer parte do Microsoft Entra ID ou sem ser adicionado ao repositório de contas de usuário dos aplicativos pelo Microsoft Entra ID:
- O aplicativo tem um repositório de conta de usuário local dentro do aplicativo
- O repositório de contas de usuário está em um banco de dados ou em um diretório LDAP
- O aplicativo não depende apenas do Microsoft Entra ID para logon único.
No caso de um aplicativo com as propriedades da lista anterior, você deve verificar regularmente se os usuários só foram adicionados ao repositório de usuários local do aplicativo por meio do provisionamento do Microsoft Entra. Se os usuários foram criados diretamente no aplicativo, entre em contato com o proprietário do aplicativo para determinar se essa atribuição foi autorizada.
Verifique se os aprovadores e revisores estão atualizados. Para cada pacote de acesso configurado na seção anterior, verifique se as políticas de atribuição de pacote de acesso continuam com os aprovadores e revisores corretos. Atualize essas políticas se os aprovadores e revisores configurados anteriormente não estiverem mais presentes na organização, ou estiverem em uma função diferente.
Valide se os revisores estão tomando decisões durante uma revisão. Monitore se as revisões de acesso recorrentes para esses pacotes de acesso estão sendo concluídas com êxito, para garantir que os revisores estejam participando e tomando decisões para aprovar ou negar a necessidade contínua de acesso do usuário.
Verifique se o provisionamento e o desprovisionamento estão funcionando conforme o esperado. Se você já tiver configurado o provisionamento de usuários para o aplicativo, quando os resultados de uma revisão forem aplicados, o Microsoft Entra ID começará a desprovisionar do aplicativo os usuários negados. Você pode monitorar o processo de desprovisionamento de usuários. Se o provisionamento indicar um erro com o aplicativo, você poderá baixar o log de provisionamento para investigar se houve um problema com o aplicativo.
Atualize a configuração do Microsoft Entra com qualquer função ou alteração de grupo no aplicativo. Se o administrador do aplicativo adicionar novas funções de aplicativo ao manifesto, atualizar as funções existentes ou depender de grupos adicionais, você precisará atualizar os pacotes de acesso e as revisões de acesso para levar em consideração essas novas funções ou grupos.