Conheça os grupos e os direitos de acesso no Azure Ative Directory

O Azure Ative Directory (Azure AD) oferece várias formas de gerir o acesso a recursos, aplicações e tarefas. Com Azure AD grupos, pode conceder acesso e permissões a um grupo de utilizadores em vez de para cada utilizador. Limitar o acesso a recursos Azure AD apenas aos utilizadores que precisam de acesso é um dos principais princípios de segurança da Confiança Zero. Este artigo fornece uma visão geral de como grupos e direitos de acesso podem ser usados em conjunto para facilitar a gestão dos seus Azure AD utilizadores, aplicando também as melhores práticas de segurança.

Azure AD permite-lhe utilizar grupos para gerir o acesso a aplicações, dados e recursos. Os recursos podem ser:

  • Parte da organização Azure AD, como permissões para gerir objetos através de papéis em Azure AD
  • Externo à organização, como para aplicações de Software como um Serviço (SaaS)
  • Serviços do Azure
  • Sites do SharePoint
  • Recursos no local

Alguns grupos não podem ser geridos no portal Azure AD:

  • Grupos sincronizados a partir de Ative Directory no local só podem ser geridos em Ative Directory no local.
  • As listas de distribuição e os grupos de segurança via correio são geridos apenas no Centro de Administração exchange ou centro de administração do Microsoft 365. Tem de iniciar saúde no Centro de Administração exchange ou centro de administração do Microsoft 365 para gerir estes grupos.

O que saber antes de criar um grupo

Existem dois tipos de grupo e três tipos de membros do grupo. Reveja as opções para encontrar a combinação certa para o seu cenário.

Tipos de grupo:

Segurança: Usado para gerir o acesso ao utilizador e ao computador a recursos partilhados.

Por exemplo, pode criar um grupo de segurança para que todos os membros do grupo tenham o mesmo conjunto de permissões de segurança. Os membros de um grupo de segurança podem incluir utilizadores, dispositivos, outros grupos e diretores de serviço, que definem a política de acesso e permissões. Os proprietários de um grupo de segurança podem incluir utilizadores e diretores de serviço.

Microsoft 365: Proporciona oportunidades de colaboração, dando aos membros do grupo acesso a uma caixa de correio partilhada, calendário, ficheiros, sites SharePoint e muito mais.

Esta opção também lhe permite conceder às pessoas fora da organização acesso ao grupo. Os membros de um grupo Microsoft 365 só podem incluir utilizadores. Os proprietários de um grupo Microsoft 365 podem incluir utilizadores e diretores de serviços. Para mais informações sobre Grupos do Microsoft 365, consulte Saiba mais sobre Grupos do Microsoft 365.

Tipos de adesão:

  • Atribuído: Permite adicionar utilizadores específicos como membros de um grupo e ter permissões únicas.

  • Utilizador dinâmico: Permite-lhe utilizar regras dinâmicas de adesão para adicionar e remover automaticamente os membros. Se os atributos de um membro mudarem, o sistema analisa as suas regras dinâmicas de grupo para ver se o membro cumpre os requisitos de regra (é adicionado), ou já não cumpre os requisitos de regras (é removido).

  • Dispositivo dinâmico: Permite-lhe utilizar regras dinâmicas de grupo para adicionar e remover automaticamente dispositivos. Se os atributos de um dispositivo mudarem, o sistema analisa as regras dinâmicas do grupo para ver se o dispositivo cumpre os requisitos de regra (é adicionado), ou já não cumpre os requisitos de regras (é removido).

    Importante

    Pode criar um grupo dinâmico para dispositivos ou utilizadores, mas não para ambos. Não é possível criar um grupo de dispositivos baseado nos atributos dos proprietários do dispositivo. As regras de associação de dispositivos só podem referenciar atribuições de dispositivos. Para obter mais informações sobre a criação de um grupo dinâmico para utilizadores e dispositivos, consulte Criar um grupo dinâmico e verificar o estado

O que saber antes de adicionar direitos de acesso a um grupo

Depois de criar um grupo Azure AD, tem de lhe conceder o acesso adequado. Cada aplicação, recurso e serviço que exija permissões de acesso tem de ser gerida separadamente porque as permissões para uma podem não ser as mesmas que as outras. Conceder acesso usando o princípio do menor privilégio para ajudar a reduzir o risco de ataque ou uma quebra de segurança.

Como funciona a gestão de acessos em Azure AD

Azure AD ajuda-o a dar acesso aos recursos da sua organização, fornecendo direitos de acesso a um único utilizador ou a um grupo Azure AD inteiro. A utilização de grupos permite ao proprietário do recurso ou Azure AD do diretório atribuir um conjunto de permissões de acesso a todos os membros do grupo. O proprietário de recursos ou diretório também pode dar direitos de gestão a alguém, como um gerente de departamento ou um administrador de balcão de ajuda, permitindo que essa pessoa adicione e remova membros. Para obter mais informações sobre como gerir os proprietários do grupo, consulte o artigo Gerir grupos .

Diagrama da gestão de acesso ao Diretório Ativo Azure.

Formas de atribuir direitos de acesso

Depois de criar um grupo, você precisa decidir como atribuir direitos de acesso. Explore as formas de atribuir direitos de acesso para determinar o melhor processo para o seu cenário.

  • Missão direta. O titular do recurso atribui diretamente o utilizador ao recurso.

  • Missão de grupo. O titular do recurso atribui um grupo Azure AD ao recurso, o que automaticamente dá acesso a todos os membros do grupo ao recurso. A adesão ao grupo é gerida tanto pelo proprietário do grupo como pelo proprietário do recurso, permitindo que o proprietário adicione ou remova os membros do grupo. Para obter mais informações sobre a gestão da adesão ao grupo, consulte o artigo Gerir grupos .

  • Atribuição baseada em regras. O titular do recurso cria um grupo e utiliza uma regra para definir quais os utilizadores que são atribuídos a um recurso específico. A regra baseia-se em atributos atribuídos a utilizadores individuais. O titular do recurso gere a regra, determinando quais os atributos e valores necessários para permitir o acesso ao recurso. Para obter mais informações, consulte Criar um grupo dinâmico e verificar o estado.

  • Atribuição de autoridade externa. O acesso provém de uma fonte externa, como um diretório no local ou uma aplicação SaaS. Nesta situação, o titular do recurso designa um grupo para fornecer acesso ao recurso e, em seguida, a fonte externa gere os membros do grupo.

    Diagrama de visão geral da gestão de acessos.

Os utilizadores podem juntar-se a grupos sem serem designados?

O proprietário do grupo pode permitir que os utilizadores encontrem os seus próprios grupos para aderir, em vez de atribuí-los. O proprietário também pode configurar o grupo para aceitar automaticamente todos os utilizadores que aderirem ou exigirem aprovação.

Após um pedido de acesso a um grupo, o pedido é reencaminhado para o proprietário do grupo. Se for necessário, o proprietário pode aprovar o pedido e o utilizador é notificado da adesão ao grupo. Se tiver vários proprietários e um deles não aprovar, o utilizador é notificado, mas não é adicionado ao grupo. Para obter mais informações e instruções sobre como permitir que os seus utilizadores solicitem a junção de grupos, consulte Configurar Azure AD para que os utilizadores possam solicitar para se juntarem a grupos.

Passos seguintes