Governe o ciclo de vida do funcionário e do convidado com o Microsoft Entra ID Governance

O Identity Governance ajuda as organizações a alcançar um equilíbrio entre produtividade – Com que rapidez uma pessoa pode ter acesso aos recursos de que precisa, por exemplo, quando entra em minha organização? E segurança – Como o acesso deve mudar ao longo do tempo, como devido a alterações ao status de emprego da pessoa?

Gerenciamento do ciclo de vida de identidades

O gerenciamento do ciclo de vida de identidades é a base para o Identity Governance e a governança efetiva em escala requer modernizar a infraestrutura de gerenciamento do ciclo de vida de identidades para aplicativos. O objetivo do Gerenciamento do Ciclo de Vida de Identidades é automatizar e gerenciar todo o processo de ciclo de vida de identidade digital para indivíduos afiliados a uma organização.

O que é uma identidade digital?

Uma identidade digital é uma informação em uma entidade usada por um ou mais recursos de computação, como sistemas operacionais ou aplicativos. Essas entidades podem representar pessoas, organizações, aplicativos ou dispositivos. A identidade geralmente é descrita pelos atributos associados a ela, como o nome, identificadores e propriedades, como funções usadas para gerenciamento de acesso. Esses atributos ajudam os sistemas a fazer as determinações, que têm acesso ao que e a quem tem permissão para usar esse ou aquele recurso.

Gerenciar o ciclo de vida de identidades digitais

O gerenciamento de identidades digitais é uma tarefa complexa, principalmente como ele relaciona a correlação de objetos do mundo real, como uma pessoa e seu relacionamento com uma organização, como um funcionário da organização, com uma representação digital. Em pequenas organizações, manter a representação digital de pessoas que precisam ter uma identidade pode ser um processo manual. Por exemplo, quando alguém é contratado ou um prestador de serviços chega, um especialista em TI pode criar uma conta para ele em um diretório e atribuir a ele o acesso necessário. No entanto, em organizações de médio e grande porte, a automação pode permitir que a organização seja escalada com mais eficiência e mantenha as identidades precisas.

O processo típico para estabelecer o gerenciamento do ciclo de vida de identidades em uma organização segue estas etapas:

1. Determinar se já existem sistemas de registro: fontes de dados que a organização trata como autoritativa. Por exemplo, a organização pode ter um sistema de RH Workday ou SuccessFactors, e esse sistema é autoritativo para fornecer a lista atual de funcionários e algumas propriedades deles, como o nome ou o departamento do funcionário. Além disso, um sistema de email, como o Exchange Online, pode ser autoritativo para atributos adicionais, um endereço de email do funcionário.

2. Conecte esses sistemas de registro com o Microsoft Entra ID e resolva quaisquer inconsistências entre os usuários existentes no Microsoft Entra ID e os sistemas de registro. Por exemplo, o Microsoft Entra ID pode ter sido preenchido com dados agora obsoletos, como uma conta de usuário para um ex-funcionário que não é mais afiliado à organização.

3. Depois que o Microsoft Entra ID tiver os usuários corretos, conecte o Microsoft Entra ID a um ou mais diretórios e bancos de dados usados por aplicativos e resolva quaisquer inconsistências entre esses diretórios e a cópia do sistema de dados de registro no Microsoft Entra ID. Por exemplo, um diretório de um aplicativo que foi desconectado anteriormente pode conter dados obsoletos, como a conta de um ex-funcionário.

4. Determine quais processos podem ser usados para fornecer informações autorizadas na ausência de um sistema de registro. Por exemplo, se houver identidades digitais para visitantes, mas a organização não tiver nenhum banco de dados para visitantes, talvez seja necessário encontrar uma forma alternativa de determinar quando a identidade digital de um visitante não é mais necessária.

5. Certifique-se de que as alterações do sistema de registro ou de outros processos sejam replicadas pelo Microsoft Entra ID para cada um dos diretórios ou bancos de dados que exigem uma atualização.

Gerenciamento do ciclo de vida de identidades para representar funcionários e outros indivíduos com uma relação organizacional

Ao planejar o gerenciamento do ciclo de vida de identidades para funcionários ou outros indivíduos com uma relação organizacional, como um prestador de serviço ou aluno, muitas organizações modelam o processo "ingressar, mover e sair" da seguinte forma:

• Ingressar - quando uma pessoa entra no escopo da necessidade de acesso, uma identidade é exigida por esses aplicativos, ou seja, uma nova identidade digital talvez precise ser criada se ainda não houver uma disponível
• Mover - quando uma pessoa se move entre limites, que exigem autorizações de acesso adicionais a serem adicionadas ou removidas à sua identidade digital
• Sair - quando uma pessoa sai do escopo de necessidade de acesso, talvez o acesso precise ser removido e, subsequentemente, a identidade pode não ser mais exigida por aplicativos que não sirvam para auditoria ou perícia forense

Assim, por exemplo, se um novo funcionário ingressar na sua organização e nunca tiver sido afiliado a ela antes, esse funcionário exigirá uma nova identidade digital, representada como uma conta de usuário no seu Microsoft Entra ID. A criação dessa conta se enquadraria em um processo "Ingressar", que poderia ser automatizado se houvesse um sistema de registro como o Workday que pudesse indicar quando o novo funcionário começaria a trabalhar. Mais tarde, se sua organização tiver um funcionário que mudou, digamos, do departamento de Vendas para o de Marketing, ele se enquadrará em um processo "Mover". Isso exigiria a remoção dos direitos de acesso que ele tinha na organização de Vendas, que não é mais necessário, e a concessão de direitos na organização de Marketing de que ele precisa agora.

Gerenciamento do ciclo de vida de identidades para convidados

Processos semelhantes também são necessários para identidades adicionais, para parceiros, fornecedores e outros convidados, para permitir que eles colaborem ou tenham acesso a recursos. O gerenciamento de direitos do Microsoft Entra utiliza o Microsoft Entra External ID business-to-business (B2B) para fornecer os controles de ciclo de vida necessários para colaborar com pessoas de fora da organização que precisam de acesso aos recursos da organização. Com o Microsoft Entra B2B, os usuários externos autenticam-se em seu diretório inicial ou provedor de identidade, mas têm uma representação no diretório da sua organização. A representação no diretório da sua organização permite que o usuário receba acesso aos seus recursos. O gerenciamento de direitos permite que pessoas de fora da sua organização solicitem acesso, criando uma identidade digital para elas, conforme necessário. Essas identidades digitais são removidas automaticamente quando o usuário perde o acesso.

Requisitos de licença

O uso desse recurso exige licenças do Microsoft Entra ID Governance ou do Suíte do Microsoft Entra. Para encontrar a licença certa para seus requisitos, confira Conceitos básicos de licenciamento do Microsoft Entra ID Governance.

Próximas etapas

• O que é provisionamento?
• Controlar o acesso para usuários externos no gerenciamento de direitos do Microsoft Entra
• O que é provisionamento controlado por RH?
• O que é provisionamento de aplicativos?
• O que é provisionamento entre diretórios?