Governe o ciclo de vida de funcionários e convidados com o Microsoft Entra ID Governance

A Governança de Identidade ajuda as organizações a alcançar um equilíbrio entre produtividade - Com que rapidez uma pessoa pode ter acesso aos recursos de que precisa, como quando ingressa na minha organização? E segurança - Como deve mudar o seu acesso ao longo do tempo, por exemplo, devido a alterações no estatuto laboral dessa pessoa?

Gestão do ciclo de vida de identidades

O gerenciamento do ciclo de vida da identidade é a base para a governança de identidade, e uma governança eficaz em escala requer a modernização da infraestrutura de gerenciamento do ciclo de vida da identidade para aplicativos. O Identity Lifecycle Management tem como objetivo automatizar e gerenciar todo o processo de ciclo de vida da identidade digital para indivíduos afiliados a uma organização.

O que é uma identidade digital?

Uma identidade digital é uma informação sobre uma entidade utilizada por um ou mais recursos informáticos, tais como sistemas operativos ou aplicações. Essas entidades podem representar pessoas, organizações, aplicativos ou dispositivos. A identidade geralmente é descrita pelos atributos associados a ela, como nome, identificadores e propriedades, como funções usadas para gerenciamento de acesso. Esses atributos ajudam os sistemas a fazer determinações como quem tem acesso a quê e quem tem permissão para usar esse recurso.

Gerenciando o ciclo de vida das identidades digitais

Gerenciar identidades digitais é uma tarefa complexa, especialmente porque relaciona correlacionar objetos do mundo real, como uma pessoa e seu relacionamento com uma organização como funcionário dessa organização, com uma representação digital. Em pequenas organizações, manter a representação digital de indivíduos que necessitam de uma identidade pode ser um processo manual. Por exemplo, quando alguém é contratado ou um contratante chega, um especialista em TI pode criar uma conta para ele em um diretório e atribuir-lhe o acesso de que precisa. No entanto, em organizações de médio e grande porte, a automação pode permitir que a organização escale de forma mais eficaz e mantenha as identidades precisas.

O processo típico para estabelecer o gerenciamento do ciclo de vida da identidade em uma organização segue estas etapas:

1. Determine se já existem sistemas de registro - fontes de dados, que a organização trata como autoridade. Por exemplo, a organização pode ter um sistema de RH, como Workday ou SuccessFactors, e esse sistema é autorizado a fornecer a lista atual de funcionários e algumas de suas propriedades, como o nome ou departamento do funcionário. Além disso, um sistema de email como o Exchange Online pode ser autorizado para atributos adicionais, o endereço de email do funcionário.

2. Conecte esses sistemas de registro com o Microsoft Entra ID e resolva quaisquer inconsistências entre os usuários existentes no Microsoft Entra ID e os sistemas de registro. Por exemplo, o Microsoft Entra ID pode ter sido preenchido com dados agora obsoletos, como uma conta de usuário para um ex-funcionário que não é mais afiliado à organização.

3. Quando o Microsoft Entra ID tiver os usuários corretos, conecte o Microsoft Entra ID com um ou mais diretórios e bancos de dados usados pelos aplicativos e resolva quaisquer inconsistências entre esses diretórios e a cópia do sistema de dados de registro no Microsoft Entra ID. Por exemplo, um diretório de um aplicativo que foi desconectado anteriormente pode ter dados obsoletos, como uma conta de um ex-funcionário.

4. Determinar quais processos podem ser usados para fornecer informações confiáveis na ausência de um sistema de registro. Por exemplo, se houver identidades digitais para visitantes, mas a organização não tiver banco de dados para visitantes, pode ser necessário encontrar uma maneira alternativa de determinar quando uma identidade digital para um visitante não é mais necessária.

5. Certifique-se de que as alterações do sistema de registro ou outros processos sejam replicadas por meio do Microsoft Entra ID para cada um dos diretórios ou bancos de dados que exigem uma atualização.

Gerenciamento do ciclo de vida da identidade para representar funcionários e outros indivíduos com um relacionamento organizacional

Ao planejar o gerenciamento do ciclo de vida da identidade para funcionários ou outros indivíduos com um relacionamento organizacional, como um contratante ou estudante, muitas organizações modelam o processo "entrar, mover e sair" da seguinte forma:

• Junte-se - quando um indivíduo entra no escopo de precisar de acesso, uma identidade é necessária para esses aplicativos, então uma nova identidade digital pode precisar ser criada se ainda não estiver disponível
• Mover - quando um indivíduo se move entre limites que exigem que autorizações de acesso adicionais sejam adicionadas ou removidas à sua identidade digital
• Licença - quando uma pessoa deixa o âmbito de necessidade de acesso, o acesso pode ter de ser removido e, subsequentemente, a identidade pode deixar de ser exigida por aplicações que não sejam para fins de auditoria ou forense.

Assim, por exemplo, se um novo funcionário ingressar em sua organização e esse funcionário nunca tiver sido afiliado à sua organização antes, esse funcionário exigirá uma nova identidade digital, representada como uma conta de usuário no Microsoft Entra ID. A criação dessa conta cairia em um processo de "Marceneiro", que poderia ser automatizado se houvesse um sistema de registro como o Workday que pudesse indicar quando o novo funcionário começa a trabalhar. Mais tarde, se a sua organização tiver um funcionário a passar de Vendas para Marketing, ele cairá num processo de "Mover". Essa mudança exigiria a remoção dos direitos de acesso que eles tinham na organização de Vendas, que eles não exigem mais, e conceder-lhes direitos na organização de Marketing que eles novos exigem.

Gerenciamento do ciclo de vida da identidade para hóspedes

Processos semelhantes também são necessários para identidades adicionais, para parceiros, fornecedores e outros convidados, para permitir que colaborem ou tenham acesso a recursos. O gerenciamento de direitos do Microsoft Entra utiliza o Microsoft Entra External ID business-to-business (B2B) para fornecer os controles de ciclo de vida necessários para colaborar com pessoas fora da sua organização que precisam de acesso aos recursos da sua organização. Com o Microsoft Entra B2B, os usuários externos se autenticam em seu diretório base ou provedor de identidade, mas têm uma representação no diretório da sua organização. A representação no diretório da sua organização permite que o usuário receba acesso aos seus recursos. O gerenciamento de direitos permite que indivíduos fora da sua organização solicitem acesso, criando uma identidade digital para eles, conforme necessário. Essas identidades digitais são removidas automaticamente quando o usuário perde o acesso.

Requisitos de licença

O uso desse recurso requer licenças do Microsoft Entra ID Governance. Para encontrar a licença certa para seus requisitos, consulte Fundamentos de licenciamento do Microsoft Entra ID Governance.

Próximos passos

• O que é provisionamento?
• Controlar o acesso de usuários externos no gerenciamento de direitos do Microsoft Entra
• O que é o provisionamento orientado por RH?
• O que é provisionamento de aplicativos?
• O que é o provisionamento entre diretórios?