Descreva as revisões de acesso

  • 5 minutos

As análises de acesso do Microsoft Entra habilitam as organizações a gerenciar com eficiência as associações de grupos, o acesso a aplicativos empresariais e a atribuição de funções. As revisões regulares de acesso garantem que apenas as pessoas certas possam acessar os recursos. Direitos de acesso excessivos são um risco de segurança conhecido. No entanto, quando as pessoas mudam de equipe ou assumem ou abrem mão de responsabilidades, os direitos de acesso podem ser difíceis de controlar.

O Microsoft Entra ID habilita você a colaborar com usuários de dentro da sua organização e com usuários externos. Os usuários podem ingressar em grupos, convidar pessoas, conectar-se aos aplicativos de nuvem e trabalhar remotamente com seus dispositivos pessoais ou de trabalho. Essa conveniência levou à necessidade de melhores capacidades de gerenciamento de acesso.

Existem muitos casos de uso em que as revisões de acesso devem ser utilizadas. Aqui estão apenas alguns exemplos.

  • Muitos usuários com funções privilegiadas: é uma boa ideia verificar quantos usuários têm acesso administrativo e se existe algum convidado ou parceiro que não tenha sido removido após ter sido atribuído a uma tarefa administrativa. Você pode recertificar a atribuição de funções de usuários em funções do Microsoft Entra, como Administradores Globais, ou em funções de recursos do Azure, como Administrador de Funções com Privilégios, na experiência do Microsoft Entra Privileged Identity Management (PIM).
  • Acesso a dados comercialmente críticos: para determinados recursos, como aplicativos comercialmente críticos, pode ser exigido, como parte dos processos de conformidade, pedir às pessoas que reconfirmem regularmente e deem uma justificativa sobre o motivo pelo qual precisam continuar acessando.
  • Manter a lista de exceções de uma política: as vezes, existem casos de negócios que exigem que você faça exceções às políticas. Como administrador de TI, você pode gerenciar essa tarefa e fornecer aos auditores provas de que essas exceções são analisadas regularmente.
  • Peça aos proprietários dos grupos que confirmem se ainda precisam de convidados em seus grupos: se um grupo dá aos convidados acesso a conteúdo comercial sensível, é responsabilidade do proprietário do grupo confirmar que os convidados ainda têm uma necessidade comercial legítima de acesso.
  • Realizar revisões periodicamente: você pode configurar revisões de acesso recorrentes de usuários em frequências definidas, como semanal, mensal, trimestral ou anual, e os revisores serão notificados no início de cada revisão. Os revisores podem aprovar ou negar acesso com uma interface amigável e com a ajuda de recomendações inteligentes.

Gerenciar o acesso de usuários e convidados com revisões de acesso

Com as revisões de acesso, você pode garantir facilmente que os usuários ou convidados tenham acesso adequado. Você pode pedir aos próprios usuários, ou a um tomador de decisão, que participem de uma revisão de acesso e reconfirmar (ou atestar) o acesso dos usuários. Os avaliadores podem dar sua opinião sobre a necessidade de cada usuário de acesso contínuo com base nas sugestões do Microsoft Entra ID. Quando uma revisão de acesso for finalizada, você poderá alterar e remover o acesso de usuários que não precisam mais dela.

Revisões de acesso em várias fases

As revisões de acesso do Microsoft Entra dão suporte a até três fases de revisão, nas quais vários tipos de revisores se envolvem em determinar quem ainda precisa de acesso aos recursos da empresa. Essas revisões podem ser para associação em grupos ou equipes, acesso a aplicativos, atribuições a funções privilegiadas ou atribuições de pacote de acesso. Quando os administradores de revisão configuram a revisão para a aplicação automática de decisões, no final do período de revisão, o acesso é revogado para usuários negados.

As revisões de acesso em várias fases permitem que você e sua organização habilitem fluxos de trabalho complexos para atender aos requisitos de recertificação e auditoria que exigem que vários revisores atestem o acesso de usuários em uma sequência específica. Ele também ajuda você a criar revisões mais eficientes para seus proprietários e auditores de recursos, reduzindo o número de decisões pelas quais cada revisor é responsável.

Screen capture of an access review notification that invites users to review access rights.

Os administradores que criam revisões de acesso podem acompanhar o progresso à medida que os revisores concluem seu processo. Nenhum direito de acesso é alterado até que a revisão seja concluída. Você pode, entretanto, interromper uma revisão antes que ela chegue ao fim programado.

Quando a revisão for concluída, ela poderá ser configurada para aplicar as alterações de forma manual ou automática a fim de remover o acesso de uma associação de grupo ou atribuição de aplicativo, exceto para um grupo dinâmico ou originado no local. Nesses casos, as alterações devem ser aplicadas diretamente ao grupo.