Gerenciar o acesso do usuário com as revisões de acesso do Azure Active Directory

Concluído

O acesso a grupos e aplicativos para funcionários e convidados muda ao longo do tempo. Para reduzir o risco associado a atribuições de acesso obsoletas, os administradores podem usar o Azure Active Directory (Azure AD) para criar revisões de acesso para membros do grupo ou acesso a aplicativos. Aqui estão alguns cenários para usar revisões de acesso:

  • Muitos usuários em funções privilegiadas
  • Quando a automação não é possível
  • Quando um grupo é usado para uma nova finalidade
  • Acesso a dados críticos para os negócios
  • Para manter a lista de exceções da política
  • Peça aos proprietários do grupo para confirmar que ainda precisam de convidados em seus grupos
  • Fazer com que as revisões se repitam periodicamente

As revisões de acesso do Azure Active Directory (Azure AD) permitem que as organizações gerenciem com eficiência as associações de grupo sem precisar de supervisão administrativa. Você pode garantir que os usuários e convidados tenham o acesso apropriado. Com as revisões de acesso, você pode:

  • Agende revisões regulares ou execute revisões ad hoc para ver quem tem acesso a recursos específicos, como aplicativos e grupos
  • Acompanhar revisões por insights, conformidade ou motivos de política
  • Delegue revisões para administradores específicos, proprietários de negócios ou usuários finais que podem atestar automaticamente a necessidade de acesso contínuo
  • Use os insights para determinar com eficiência se os usuários devem continuar a ter acesso
  • Automatize os resultados da revisão, como a remoção de usuários acesso aos recursos
  • Automatize grupos de revisão no Azure AD que têm um ou mais convidados como membros.
  • Automatize os aplicativos de revisão conectados ao Azure AD que têm um ou mais usuários convidados atribuídos a ele.

Diagrama que mostra o fluxo de revisões de acesso.

Principais benefícios

Os principais benefícios de habilitar as Revisões de Acesso são:

  • Controlar a colaboração - As Revisões de Acesso permitem que as organizações gerenciem o acesso a todos os recursos de que seus usuários precisam. Quando seus usuários compartilham e colaboram, as organizações podem ter certeza de que as informações estão apenas entre usuários autorizados.

  • Gerenciar risco - as Revisões de Acesso fornecem às organizações uma maneira de examinar o acesso a dados e aplicativos, redução do risco de vazamento de dados e vazamento de dados. Isso inclui recursos para examinar regularmente o acesso do parceiro externo aos recursos corporativos.

  • Gerenciamento de conformidade e governança - Com as Revisões de Acesso, você pode controlar e recertificar o ciclo de vida de acesso a grupos, aplicativos e sites. Você pode controlar as revisões de controle de conformidade ou aplicativos sensíveis a riscos específicos para sua organização.

  • Reduzir custo - As Revisões de Acesso são criadas na nuvem e funcionam nativamente com recursos de nuvem, como grupos, aplicativos e Pacotes do Access. O uso de Revisões de Acesso é menos caro do que criar suas próprias ferramentas ou, de outra forma, atualizar seu conjunto de ferramentas local.

Criar Revisões de Acesso para membros do grupo

Pré-requisitos

  • Azure AD Premium P2
  • Administrador global ou Administrador de usuário
  • Microsoft 365 proprietário do grupo de segurança (versão prévia)

Criar uma ou mais revisões de acesso

  1. Entre no portal do Azure e abra a página Governança de Identidade.

  2. Selecione Revisões de acesso > + Nova revisão de acesso para criar uma nova revisão de acesso.

  3. Na seção Selecionar o que revisar, selecione Equipes + Grupos.

  4. Na seção Examinar escopo, selecione uma das duas opções:

    • Todos os grupos Microsoft 365 com usuários convidados - Selecione essa opção se quiser criar revisões recorrentes em todos os seus convidados em todos os seus grupos do Microsoft Teams e do Microsoft 365 em sua organização. Você pode optar por excluir determinados grupos selecionando ' Selecione o(s) grupo(s) a ser excluído(s).

    • Equipes + grupos específicos - Selecione essa opção se quiser especificar um conjunto finito de equipes e/ou grupos a serem examinados. Depois de selecionar essa opção, você verá uma lista de grupos à direita para escolher.

  5. Na seção Escopo, você pode selecionar um escopo para a revisão. Suas opções são

    • Somente usuários convidados - Selecionar essa opção limita a revisão de acesso apenas aos convidados B2B do Azure AD em seu diretório.
    • Todos os usuários - Selecionar essa opção tem como escopo a revisão de acesso para todos os objetos de usuário associados ao recurso.

    Se você selecionou Todos os grupos do Microsoft 365 com convidados, sua única opção é revisar somente os usuários convidados.

    Equipes e grupos

  6. Selecione Próximo: Revisões.

  7. Na seção Selecionar revisores selecione uma ou mais pessoas para executar as revisões de acesso. Você pode escolher:

    • Proprietários do grupo (Disponível somente ao executar uma revisão em uma Equipe ou grupo)
    • Usuário(s) ou grupo(s) selecionado(s)
    • Usuários revisam o próprio acesso
    • Gerentes de usuários. Se você escolher Gerentes de usuários ou Proprietários de grupos você também terá a opção de especificar um revisor de fallback. Os revisores de fallback são solicitados a fazer uma revisão quando o usuário não tem nenhum gerente especificado no diretório ou o grupo não tem um proprietário.
  8. Na seção Especificar a recorrência da revisão você pode especificar uma frequência como Semanal, Mensal, Trimestral, Semestral, Anual. Em seguida, especifique uma Duração, que define por quanto tempo uma revisão será aberta para entrada dos revisores. Por exemplo, a duração máxima que você pode definir para uma revisão mensal é de 27 dias, para evitar revisões sobrepostas. Talvez você queira reduzir a duração para garantir que a entrada dos revisores seja aplicada anteriormente. Em seguida, você pode selecionar uma Data de início e Data de término.

    Nova revisão de acesso

  9. Selecione o botão Próximo: Configurações na parte inferior da página.

  10. Nas configurações após a conclusão, você pode especificar o que acontece após a conclusão da revisão.

    Se você quiser remover automaticamente o acesso para usuários negados, defina Aplicável automaticamente aos resultados ao recurso como Habilitar. Se você quiser aplicar manualmente os resultados quando a revisão for concluída, defina a opção como Desabilitar.

    Use a lista Se os revisores não responderem para especificar o que acontece para usuários que não são revisados pelo revisor dentro do período de revisão. Essa configuração não afeta os usuários que foram revisados manualmente pelos revisores. Se a decisão do revisor final for Negar, o acesso do usuário será removido.

    • Nenhuma alteração - Deixa o acesso do usuário inalterado
    • Remover acesso - Remove o acesso do usuário
    • Aprovar acesso - Aprova o acesso do usuário
    • Obter recomendações - Segue a recomendação do sistema para negar ou aprovar o acesso contínuo do usuário

    Use a Ação para aplicar em usuários convidados negados para especificar o que acontece com os convidados se eles forem negados.

    • Remover a associação do usuário do recurso removerá o acesso negado do usuário ao grupo ou aplicativo que está sendo revisado, ele ainda poderá entrar no locatário.
    • Bloquear a entrada do usuário por 30 dias e, em seguida, remover o usuário do locatário impedirá que os usuários negados entre no locatário, independentemente se tiverem acesso a outros recursos. Se houver um erro ou se um administrador decidir reabilitar o acesso, ele poderá fazer isso dentro de 30 dias após o usuário ter sido desabilitado. Se não houver nenhuma ação tomada nos usuários desabilitados, eles serão excluídos do locatário.
  11. Você pode enviar notificações a outros usuários ou grupos para receber atualizações de conclusão da revisão. Esse recurso permite que os stakeholders que não sejam o criador da revisão sejam atualizados sobre o progresso da revisão. Para usar esse recurso, selecione Selecionar Usuários ou Grupos e adicione um usuário ou grupo extra que você deseja receber o status de conclusão.

  12. Em Habilitar auxiliares de decisão de revisão, escolha se deseja que o revisor receba recomendações durante o processo de revisão.

  13. Na seção Configurações avançadas, você pode escolher o seguinte:

    • Defina Justificação necessária como Habilitar para exigir que o revisor forneça um motivo para aprovação.
    • Defina notificações por email como Habilitar para que o Azure AD envie notificações por email aos revisores quando uma revisão de acesso for iniciada e aos administradores quando uma revisão for concluída.
    • Defina Lembretes como Habilitar para que o Azure AD envie lembretes de revisões de acesso em andamento para revisores que não concluíram sua revisão. Esses lembretes serão enviados pela metade durante a revisão.
    • O conteúdo do email enviado aos revisores é gerado automaticamente com base nos detalhes da revisão, como nome da revisão, nome do recurso, data de conclusão e outros detalhes. Se precisar de uma maneira de comunicar outras informações, como outras instruções ou informações de contato, você poderá especificar esses detalhes na seção Conteúdo adicional para email do revisor. As informações inseridas estão incluídas nos emails de convite e lembrete enviados aos revisores atribuídos. A seção realçada na imagem a seguir mostra onde essas informações são exibidas.

    Opções de configurações de conclusão

  14. Selecione Próximo: Examinar + Criar para ir para a próxima página.

  15. Nomeie a revisão de acesso. Opcionalmente, forneça uma descrição à revisão. O nome e a descrição são mostrados aos revisores.

  16. Examine as informações e selecione Criar.

Permitir que os proprietários do grupo criem e gerenciem revisões de acesso (versão prévia)

Função de pré-requisito: Administrador global ou de usuário

  1. Entre no portal do Azure e abra a página Governança de Identidade.

  2. No menu à esquerda, em Acessar revisões, configurações.

  3. Na página Representante que pode criar e gerenciar revisões de acesso, defina a configuração (Visualização) Proprietários do grupo podem criar e gerenciar para revisões de acesso de grupos que possuem como Sim.

Examinar o acesso a grupos

Depois de especificar as configurações para uma revisão de acesso, selecione Iniciar. A revisão de acesso aparecerá em sua lista com um indicador de seu status.

Por padrão, o Azure AD envia um email aos revisores logo após o início da revisão. Se você optar por não fazer com que o Azure AD envie o email, certifique-se de informar os revisores de que uma revisão de acesso está aguardando a conclusão.

Você pode iniciar o processo de Revisão de Acesso no email de notificação ou acessando diretamente o site https://myapps.microsoft.com. Há duas maneiras de aprovar ou negar o acesso:

  • Você pode aprovar ou negar o acesso para um ou mais usuários 'manualmente' escolhendo a ação apropriada para cada solicitação de usuário.

  • Você pode aceitar as recomendações do sistema.

    Abrir a revisão de acesso listando os usuários a serem examinados

Logs de auditoria no Azure Active Directory

Além das revisões de acesso, os administradores podem usar logs de auditoria para examinar os registros de atividades do sistema para fins de conformidade, incluindo:

Exibição centrada no usuário

  • Quais tipos de atualizações foram aplicadas aos usuários?
  • Quantos usuários foram alterados?
  • Quantas senhas foram alteradas?
  • O que um administrador fez em um diretório?

Exibição centrada em grupo

  • Quais são os grupos que foram adicionados?
  • Há grupos com alterações de associação?
  • Os proprietários do grupo foram alterados?
  • Quais licenças foram atribuídas a um grupo ou um usuário?

Exibição centrada no aplicativo

  • Quais aplicativos foram adicionados ou atualizados?
  • Quais aplicativos foram removidos?
  • Uma entidade de serviço para um aplicativo foi alterada?
  • Os nomes dos aplicativos foram alterados?
  • Quem deu consentimento a um aplicativo?

Você pode acessar o log de auditoria na seção Monitoramento no centro de administração do Azure Active Directory e usar filtros para localizar as informações.

Log de auditoria no centro de administração do AAD

Para obter mais informações, consulte Logs de auditoria no Azure Active Directory.