Descrever o Microsoft Entra ID Governance

  • 4 minutos

O Microsoft Entra ID Governance permite que você equilibre a necessidade de segurança e produtividade dos funcionários da sua organização com os processos e a visibilidade certas. Ele fornece recursos para garantir que as pessoas certas tenham o acesso certo aos recursos certos.

O ID Governance oferece às organizações a capacidade de realizar as seguintes tarefas:

  • Controlar o ciclo de vida de identidade.
  • Controlar o ciclo de vida de acesso.
  • Proteger o acesso privilegiado para a administração.

Essas ações podem ser concluídas para funcionários, parceiros de negócios e fornecedores e entre serviços e aplicativos, tanto localmente quanto na nuvem.

Elas se destinam a ajudar as organizações a lidar com estas quatro perguntas principais:

  • Quais usuários devem ter acesso a quais recursos?
  • O que esses usuários estão fazendo com esse acesso?
  • Existem controles organizacionais em vigor para gerenciar o acesso?
  • Auditores podem verificar se os controles estão funcionando?

Ciclo de vida de identidade

O gerenciamento do ciclo de vida de identidade dos usuários é a essência do controle de identidade.

Ao planejar o gerenciamento do ciclo de vida de identidades para funcionários, por exemplo, muitas organizações seguem como modelo o processo de "ingresso, transferência e saída". Quando uma pessoa ingressa pela primeira vez em uma organização, uma nova identidade digital é criada, caso uma já não esteja disponível. Quando uma pessoa é transferida entre fronteiras organizacionais, pode ser preciso adicionar ou remover autorizações de acesso na identidade digital dela. Quando um indivíduo sai da organização, pode ser preciso remover o acesso, e a identidade pode não ser mais necessária, exceto para fins de auditoria.

O seguinte diagrama mostra uma versão simplificada do ciclo de vida da identidade.

Diagram showing identity lifecycle for employees. The lifecycle is represented as a circle that starts with no access followed by joining the organization then moving to a new role and then leaving the organization. The cycle repeats.

Em muitas organizações, esse ciclo de vida de identidades para os funcionários está vinculado à representação desses usuários em um sistema de RH (recursos humanos), como Workday ou SuccessFactors. O sistema de RH tem autoridade para fornecer a lista atual de funcionários e algumas de suas propriedades, como nome ou departamento.

O Microsoft Entra ID P1 ou P2 oferece integração com sistemas de RH baseados em nuvem. Quando um novo funcionário é adicionado a um sistema de RH, o Microsoft Entra ID pode criar uma conta de usuário correspondente. Da mesma forma, quando suas propriedades, como departamento ou status de emprego, mudam no sistema de RH, a sincronização dessas atualizações com o Microsoft Entra ID garante a consistência.

O Microsoft Entra P1 ou P2 também inclui o Microsoft Identity Manager, que pode importar registros de sistemas de RH locais, como SAP HCM, Oracle eBusiness e Oracle PeopleSoft. Para obter mais informações, veja a documentação do Microsoft Identity Manager listada na seção Saiba mais da unidade Resumo e recursos.

Em geral, gerenciar o ciclo de vida de uma identidade envolve atualizar o acesso que os usuários precisam, seja por meio da integração com um sistema de RH, seja por meio de aplicativos de provisionamento de usuários.

Ciclo de vida de acesso

O ciclo de vida do acesso é o processo de gerenciamento de acesso ao longo a vida do usuário na organização. Os usuários exigem diferentes níveis de acesso desde o momento em que eles ingressam em uma organização até o momento em que saem dela. Nos vários estágios entre esses dois pontos, eles precisarão de direitos de acesso a diferentes recursos, dependendo de sua função e responsabilidades.

As organizações podem automatizar o processo de ciclo de vida do acesso por meio de tecnologias como grupos dinâmicos. Os grupos dinâmicos permitem que os administradores criem regras baseadas em atributos para determinar a associação de grupos. Quando qualquer atributo de um usuário ou dispositivo mudar, o sistema avaliará todas as regras de grupo dinâmico em um diretório para ver se a mudança dispararia a adição ou remoção de quaisquer usuários de um grupo. Se um usuário ou dispositivo atender a uma regra de um grupo, ele será adicionado como membro desse grupo. Se ele não atender mais à regra, ele será removido.

Ciclo de vida de acesso privilegiado

O monitoramento do acesso privilegiado é uma parte fundamental do controle de identidade. Quando funcionários, fornecedores e prestadores de serviço recebem direitos administrativos, deve haver um processo de governança devido ao potencial de uso indevido.

O Microsoft Entra Privileged Identity Manager (PIM) fornece controles extras personalizados para proteger os direitos de acesso. O PIM ajuda a minimizar o número de pessoas que têm acesso aos recursos no Microsoft Entra ID, no Azure e em outros serviços online da Microsoft. O PIM fornece um conjunto abrangente de controles de governança para ajudar a proteger os recursos da sua empresa.

Diagram showing the identity access rights lifecycle. The lifecycle is represented as a circle that starts with no admin followed a first admin role then a second admin role then leaving IT.