Conclua uma revisão de acesso de recurso do Azure e de funções do Microsoft Entra no PIM
Os Administradores de função com privilégios podem examinar o acesso privilegiado quando uma revisão de acesso for iniciada. O PIM (Privileged Identity Management) no Microsoft Entra ID enviará automaticamente um email que solicita que os usuários a revisarem seus acessos. Se um usuário não receber um email, você poderá enviar para ele as instruções de como executar uma revisão de acesso.
Depois que a revisão for criada, siga as etapas neste artigo para concluir a revisão e ver os resultados.
Concluir revisões de acesso
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Entre no Centro de administração do Microsoft Entra como um usuário atribuído a uma das funções de pré-requisito.
Navegue até Governança de identidade>Privileged Identity Management.
Para funções do Microsoft Entra, selecione funções do Microsoft Entra. Para recursos do Azure, selecione recursos do Azure
Selecione a análise de acesso que você deseja gerenciar. Veja abaixo uma captura de tela de amostra da visão geral das Revisões de acesso para Recursos do Azure e Funções do Microsoft Entra.
Na página de detalhes, as seguintes opções estão disponíveis para gerenciar a revisão de recursos do Azure e funções do Microsoft Entra:
Interromper uma revisão de acesso
Todas as revisões de acesso têm uma data de término, mas você pode usar o botão Parar para concluí-las mais cedo. O botão Interromper só pode ser selecionado quando a instância de revisão está ativa. Não é possível reiniciar uma revisão após ela ter sido interrompida.
Redefinir uma revisão de acesso
Quando a instância de revisão está ativa e pelo menos uma decisão foi feita pelos revisores, você pode redefinir a revisão de acesso selecionando o botão Redefinir para remover todas as decisões que foram tomadas. Após você redefinir uma revisão de acesso, todos os usuários serão marcados como não analisados novamente.
Aplicar uma revisão de acesso
Após a conclusão de uma revisão de acesso, seja porque você atingiu a data de término ou fez uma interrupção manual, o botão Aplicar remove o acesso de usuários negados à função. Se o acesso de um usuário foi negado na revisão, esta é a etapa que removerá a atribuição de função dele. Se a configuração Aplicação automática for configurada na criação da revisão, esse botão sempre estará desabilitado porque a revisão será aplicada de modo automático em vez de manual.
Excluir uma revisão de acesso
Se você não estiver mais interessado na revisão, exclua-a. Para remover a revisão de acesso do serviço Privileged Identity Management, selecione o botão Excluir.
Importante
Não será necessário confirmar essa alteração destrutiva, portanto, verifique se você deseja excluir essa revisão.
Resultados
Na página Resultados, você pode ver e baixar uma lista com os resultados da revisão.
Observação
As funções do Microsoft Entra têm um conceito de grupos atribuíveis à função, em que um grupo pode ser atribuído à função. Quando isso acontecer, o grupo aparecerá na revisão em vez de expandir os respectivos membros e um revisor aprovará ou negará o grupo inteiro.
Observação
Se um grupo for atribuído às funções de recurso do Azure, o revisor da função de recurso do Azure verá a lista expandida dos usuários em um grupo aninhado. Se um revisor negar um membro de um grupo aninhado, esse resultado de negação não será aplicado com êxito porque o usuário não será removido do grupo aninhado.
Revisores
Na página Revisores, você pode ver e adicionar revisores à revisão de acesso existente. Você também pode lembrar os revisores de concluírem as respectivas revisões aqui.
Observação
Se o tipo de revisor selecionado for usuário ou grupo, você poderá adicionar mais usuários ou grupos como os revisores primários a qualquer momento. Você também pode remover os revisores primários a qualquer momento. Se o tipo de revisor for gerente, você poderá adicionar usuários ou grupos como revisores de fallback para concluir as revisões de usuários que não têm gerentes. Os revisores de fallback não podem ser removidos.