Criar um pacote de acesso no gerenciamento de direitos

  • Artigo

Um pacote de acesso permite que você faça uma configuração única de recursos e políticas que administra automaticamente o acesso durante a vida útil do pacote de acesso. Este artigo descreve como criar um pacote de acesso.

Descrição geral

Todos os pacotes de acesso devem estar em um contêiner chamado catálogo. Um catálogo define quais recursos você pode adicionar ao seu pacote de acesso. Se você não especificar um catálogo, seu pacote de acesso entrará no catálogo geral. Atualmente, não é possível mover um pacote de acesso existente para um catálogo diferente.

Um pacote de acesso pode ser usado para atribuir acesso a funções de vários recursos que estão no catálogo. Se for um administrador ou proprietário de catálogo, pode adicionar recursos ao catálogo enquanto cria um pacote de acesso. Você também pode adicionar recursos após o pacote de acesso ter sido criado, e os usuários atribuídos ao pacote de acesso também receberão os recursos adicionais.

Se você for um gerenciador de pacotes de acesso, não poderá adicionar recursos de sua propriedade a um catálogo. Você está restrito a usar os recursos disponíveis no catálogo. Se você precisar adicionar recursos a um catálogo, poderá perguntar ao proprietário do catálogo.

Todos os pacotes de acesso devem ter pelo menos uma política para que os usuários sejam atribuídos a eles. As políticas especificam quem pode solicitar o pacote de acesso, juntamente com as configurações de aprovação e ciclo de vida, ou como o acesso é atribuído automaticamente. Ao criar um pacote de acesso, você pode criar uma política inicial para usuários em seu diretório, para usuários que não estão em seu diretório ou apenas para atribuições diretas de administrador.

Diagram of an example marketing catalog, including its resources and its access package.

Aqui estão as etapas de alto nível para criar um pacote de acesso com uma política inicial:

  1. Em Governança de identidade, inicie o processo para criar um pacote de acesso.

  2. Selecione o catálogo onde deseja colocar o pacote de acesso e certifique-se de que ele tenha os recursos necessários.

  3. Adicione funções de recursos de recursos no catálogo ao seu pacote de acesso.

  4. Especifique uma política inicial para usuários que podem solicitar acesso.

  5. Especifique as configurações de aprovação e as configurações de ciclo de vida nessa política.

Depois que o pacote de acesso for criado, você poderá alterar a configuração oculta, adicionar ou remover funções de recurso e adicionar políticas adicionais.

Iniciar o processo de criação

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Para concluir as etapas a seguir, você precisa de uma função de Administrador global, Administrador de Governança de Identidade, proprietário do catálogo ou gerenciador de pacotes de acesso.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.

  2. Navegue até Governança de identidade, Gerenciamento de direitos, Pacote de>>acesso.

  3. Selecione Novo pacote de acesso.

    Screenshot that shows the button for creating a new access package in the Microsoft Entra admin center.

Configurar noções básicas

Na guia Noções básicas, você dá um nome ao pacote de acesso e especifica em qual catálogo criar o pacote de acesso.

  1. Insira um nome para exibição e uma descrição para o pacote de acesso. Os usuários verão essas informações quando enviarem uma solicitação para o pacote de acesso.

  2. Na lista suspensa Catálogo, selecione o catálogo onde deseja colocar o pacote de acesso. Por exemplo, você pode ter um proprietário de catálogo que gerencia todos os recursos de marketing que podem ser solicitados. Nesse caso, você pode selecionar o catálogo de marketing.

    Você vê apenas os catálogos nos quais você tem permissão para criar pacotes de acesso. Para criar um pacote de acesso em um catálogo existente, você deve ser um Administrador Global ou um Administrador de Governança de Identidade. Ou você deve ser um proprietário de catálogo ou gerenciador de pacotes de acesso nesse catálogo.

    Screenshot that shows basic information for a new access package.

    Se você for um Administrador Global, um Administrador de Governança de Identidade ou criador de catálogo e quiser criar seu pacote de acesso em um novo catálogo que não esteja listado, selecione Criar novo catálogo. Introduza o nome e a descrição do catálogo e, em seguida, selecione Criar.

    O pacote de acesso que você está criando e todos os recursos incluídos nele são adicionados ao novo catálogo. Mais tarde, você pode adicionar mais proprietários de catálogo ou adicionar atributos aos recursos que você colocar no catálogo. Para saber mais sobre como editar a lista de atributos de um recurso de catálogo específico e as funções de pré-requisito, leia Adicionar atributos de recurso no catálogo.

  3. Selecione Next: Funções de recurso.

Selecionar funções de recurso

Na guia Funções de recurso, selecione os recursos a serem incluídos no pacote de acesso. Os usuários que solicitarem e receberem o pacote de acesso receberão todas as funções de recurso, como associação de grupo, no pacote de acesso.

Se não tiver certeza de quais funções de recurso incluir, ignore adicioná-las ao criar o pacote de acesso e adicioná-las mais tarde.

  1. Selecione o tipo de recurso que você deseja adicionar (Grupos e Equipes, Aplicativos ou sites do SharePoint).

  2. No painel Selecionar aplicativos exibido, selecione um ou mais recursos na lista.

    Screenshot that shows the panel for selecting applications for resource roles in a new access package.

    Se você estiver criando o pacote de acesso no catálogo geral ou um novo catálogo, poderá escolher qualquer recurso do diretório de sua propriedade. Você deve ser pelo menos um administrador global, um administrador de governança de identidade ou criador de catálogo.

    Nota

    Você pode adicionar grupos dinâmicos a um catálogo e a um pacote de acesso. No entanto, você pode selecionar apenas a função de proprietário quando estiver gerenciando um recurso de grupo dinâmico em um pacote de acesso.

    Se você estiver criando o pacote de acesso em um catálogo existente, poderá selecionar qualquer recurso que já esteja no catálogo sem precisar ser proprietário desse recurso.

    Se você for um administrador global, um administrador de governança de identidade ou proprietário de catálogo, terá a opção adicional de selecionar recursos que possui ou administra, mas que ainda não estão no catálogo. Se você selecionar recursos no diretório, mas não estiver atualmente no catálogo selecionado, esses recursos também serão adicionados ao catálogo para outros administradores de catálogo criarem pacotes de acesso. Para ver todos os recursos no diretório que podem ser adicionados ao catálogo, marque a caixa de seleção Ver tudo na parte superior do painel. Se você quiser selecionar apenas os recursos que estão atualmente no catálogo selecionado, deixe a caixa de seleção Ver tudo desmarcada (o estado padrão).

  3. Na lista Função, selecione a função à qual você deseja que os usuários sejam atribuídos para o recurso. Para obter mais informações sobre como selecionar as funções apropriadas para um recurso, consulte como determinar quais funções de recurso devem ser incluídas em um pacote de acesso.

    Screenshot that shows resource role selection for a new access package.

  4. Selecione Next: Requests.

Criar políticas de solicitação

Na guia Solicitações, você cria a primeira política para especificar quem pode solicitar o pacote de acesso. Você também define as configurações de aprovação. Mais tarde, você pode criar mais políticas de solicitação para permitir que grupos adicionais de usuários solicitem o pacote de acesso com suas próprias configurações de aprovação.

Screenshot that shows the Requests tab for a new access package.

Dependendo de quais usuários você deseja solicitar esse pacote de acesso, execute as etapas em uma das seções a seguir.

Permitir que os usuários em seu diretório solicitem o pacote de acesso

Use as etapas a seguir se quiser permitir que os usuários em seu diretório possam solicitar esse pacote de acesso. Ao definir a política de solicitação, você pode especificar usuários individuais ou (mais comumente) grupos de usuários. Por exemplo, sua organização pode já ter um grupo como Todos os funcionários. Se esse grupo for adicionado na política para usuários que podem solicitar acesso, qualquer membro desse grupo poderá solicitar acesso.

  1. Na seção Usuários que podem solicitar acesso, selecione Para usuários em seu diretório.

    Quando você seleciona essa opção, novas opções aparecem para que você possa refinar quem em seu diretório pode solicitar esse pacote de acesso.

    Screenshot that shows the option for allowing users and groups in the directory to request an access package.

  2. Selecione uma das seguintes opções:

    Opção Description
    Utilizadores e grupos específicos Escolha esta opção se desejar que apenas os usuários e grupos especificados no diretório que você especificar possam solicitar este pacote de acesso.
    Todos os membros (excluindo convidados) Escolha esta opção se quiser que todos os usuários membros em seu diretório possam solicitar este pacote de acesso. Essa opção não inclui nenhum usuário convidado que você possa ter convidado para o diretório.
    Todos os utilizadores (incluindo convidados) Escolha esta opção se quiser que todos os usuários membros e convidados em seu diretório possam solicitar este pacote de acesso.

    Os utilizadores convidados são utilizadores externos que foram convidados para o seu diretório através do Microsoft Entra B2B. Para obter mais informações sobre as diferenças entre usuários membros e usuários convidados, consulte Quais são as permissões de usuário padrão no Microsoft Entra ID?.

  3. Se você selecionou Usuários e grupos específicos, selecione Adicionar usuários e grupos.

  4. No painel Selecionar usuários e grupos, selecione os usuários e grupos que você deseja adicionar.

    Screenshot that shows the pane for selecting users and groups for an access package.

  5. Escolha Selecionar para adicionar os usuários e grupos.

  6. Vá para a seção Especificar configurações de aprovação.

Permitir que usuários que não estão em seu diretório solicitem o pacote de acesso

Os usuários que estão em outro diretório ou domínio do Microsoft Entra podem ainda não ter sido convidados para o seu diretório. Os diretórios do Microsoft Entra devem ser configurados para permitir convites em restrições de colaboração. Para obter mais informações, veja Configurar as definições de colaboração externa.

Uma conta de usuário convidado será criada para um usuário que ainda não está em seu diretório cuja solicitação foi aprovada ou não precisa de aprovação. O hóspede será convidado, mas não receberá um e-mail de convite. Em vez disso, eles receberão um e-mail quando a atribuição do pacote de acesso for entregue. Mais tarde, quando esse usuário convidado não tiver mais nenhuma atribuição de pacote de acesso porque a última atribuição expirou ou foi cancelada, a conta será bloqueada para entrar e, posteriormente, excluída. O bloqueio e a exclusão acontecem por padrão.

Se quiser que os usuários convidados permaneçam no diretório indefinidamente, mesmo que não tenham atribuições de pacote de acesso, você pode alterar as configurações da configuração de gerenciamento de direitos. Para obter mais informações sobre o objeto de usuário convidado, consulte Propriedades de um usuário de colaboração B2B do Microsoft Entra.

Siga estas etapas se quiser permitir que usuários que não estão em seu diretório solicitem o pacote de acesso:

  1. Na seção Usuários que podem solicitar acesso, selecione Para usuários que não estão no diretório.

    Quando você seleciona essa opção, novas opções aparecem.

    Screenshot that shows the option for allowing users and groups not in the directory to request an access package.

  2. Selecione uma das seguintes opções:

    Opção Description
    Organizações conectadas específicas Escolha esta opção se quiser selecionar a partir de uma lista de organizações que o administrador adicionou anteriormente. Todos os usuários das organizações selecionadas podem solicitar este pacote de acesso.
    Todas as organizações conectadas Escolha esta opção se todos os usuários de todas as suas organizações conectadas configuradas puderem solicitar este pacote de acesso.
    Todos os utilizadores (Todas as organizações ligadas + quaisquer novos utilizadores externos) Escolha esta opção se algum usuário puder solicitar este pacote de acesso e as configurações de lista de permissões ou lista de bloqueio B2B tiverem precedência para qualquer novo usuário externo.

    Uma organização conectada é um diretório ou domínio externo do Microsoft Entra com o qual você tem um relacionamento.

  3. Se você selecionou Organizações conectadas específicas, selecione Adicionar diretórios para selecionar em uma lista de organizações conectadas que o administrador adicionou anteriormente.

  4. Insira o nome ou nome de domínio para procurar uma organização conectada anteriormente.

    Screenshot that shows the search box for selecting a directory for requests to an access package.

    Se a organização com a qual você deseja colaborar não estiver na lista, você poderá solicitar ao administrador para adicioná-la como uma organização conectada. Para obter mais informações, consulte Adicionar uma organização conectada.

  5. Se você selecionou Todas as organizações conectadas, deverá confirmar com o administrador global a lista de organizações conectadas que estão atualmente configuradas e planejadas para estarem no escopo.

  6. Se você selecionou Todos os usuários, precisará configurar aprovações na seção de aprovações, pois esse escopo permitiria que qualquer identidade na Internet solicitasse acesso.

  7. Depois de selecionar todas as suas organizações conectadas, escolha Selecionar.

    Todos os usuários das organizações conectadas selecionadas poderão solicitar este pacote de acesso. Isso inclui usuários no Microsoft Entra ID de todos os subdomínios associados à organização, a menos que a lista de permissões ou a lista de bloqueio B2B do Azure bloqueie esses domínios. Se você especificar um domínio de provedor de identidade social, como live.com, qualquer usuário do provedor de identidade social poderá solicitar esse pacote de acesso. Para obter mais informações, consulte Permitir ou bloquear convites para usuários B2B de organizações específicas.

  8. Vá para a seção Especificar configurações de aprovação.

Permitir apenas atribuições diretas de administrador

Siga estas etapas se quiser ignorar as solicitações de acesso e permitir que os administradores atribuam diretamente usuários específicos a esse pacote de acesso. Os usuários não precisarão solicitar o pacote de acesso. Você ainda pode definir as configurações do ciclo de vida, mas não há configurações de solicitação.

  1. Na seção Usuários que podem solicitar acesso, selecione Nenhum (somente atribuições diretas do administrador).

    Screenshot that shows the option for allowing only administrator direct assignments for an access package.

    Depois de criar o pacote de acesso, você pode atribuir diretamente usuários internos e externos específicos a ele. Se você especificar um usuário externo, uma conta de usuário convidado será criada em seu diretório. Para obter informações sobre como atribuir diretamente um usuário, consulte Exibir, adicionar e remover atribuições para um pacote de acesso.

  2. Vá para a seção Habilitar solicitações .

Especificar configurações de aprovação

Na seção Aprovação, você especifica se uma aprovação é necessária quando os usuários solicitam esse pacote de acesso. As configurações de aprovação funcionam da seguinte maneira:

  • Apenas um dos aprovadores ou aprovadores de fallback selecionados precisa aprovar uma solicitação de aprovação de estágio único.
  • Apenas um dos aprovadores selecionados de cada etapa precisa aprovar um pedido de aprovação em duas etapas.
  • Um aprovador pode ser um gerente, um patrocinador de um usuário, um patrocinador interno ou um patrocinador externo, dependendo da governança de acesso para a política.
  • A aprovação de todos os aprovadores selecionados não é necessária para aprovação em um ou dois estágios.
  • A decisão de aprovação baseia-se no aprovador que analisa primeiro o pedido.

Para obter uma demonstração de como adicionar aprovadores a uma política de solicitação, assista ao seguinte vídeo:

Para obter uma demonstração de como adicionar uma aprovação de vários estágios a uma política de solicitação, assista ao seguinte vídeo:

Siga estas etapas para especificar as configurações de aprovação para solicitações para o pacote de acesso:

  1. Para exigir aprovação para solicitações dos usuários selecionados, defina a alternância Exigir aprovação como Sim. Ou, para que as solicitações sejam aprovadas automaticamente, defina a alternância como Não. Se a política permitir que usuários externos de fora da sua organização solicitem acesso, você deverá precisar de aprovação, para que haja supervisão sobre quem está sendo adicionado ao diretório da sua organização.

  2. Para exigir que os usuários forneçam uma justificativa para solicitar o pacote de acesso, defina a alternância Exigir justificação do solicitante como Sim.

  3. Determine se as solicitações exigem aprovação de estágio único ou de dois estágios. Defina o botão Quantos estágios alternam como 1 para aprovação de estágio único, 2 para aprovação em dois estágios ou 3 para aprovação em três estágios.

    Screenshot that shows approval settings for requests to an access package.

Use as etapas a seguir para adicionar aprovadores depois de selecionar o número de estágios.

Aprovação em fase única

  1. Adicione as informações do Primeiro Aprovador :

    • Se a política estiver definida como Para usuários em seu diretório, você poderá selecionar Gerente como aprovador ou Patrocinadores como aprovadores. Ou, você pode adicionar um usuário específico selecionando Escolher aprovadores específicos e, em seguida, selecionando Adicionar aprovadores.

      Para usar Patrocinadores como aprovadores para Aprovação, você deve ter uma licença de Governança de ID do Microsoft Entra. Para obter mais informações, consulte Comparar recursos geralmente disponíveis do Microsoft Entra ID.

      Screenshot that shows options for a first approver if the policy is set to users in your directory.

    • Se a política estiver definida como Para usuários que não estão no diretório, você poderá selecionar Patrocinador externo ou Patrocinador interno. Ou, você pode adicionar um usuário específico selecionando Escolher aprovadores específicos e, em seguida, selecionando Adicionar aprovadores.

      Screenshot that shows options for a first approver if the policy is set to users not in your directory.

  2. Se você selecionou Gerente como o primeiro aprovador, selecione Adicionar fallback para selecionar um ou mais usuários ou grupos em seu diretório para ser um aprovador de fallback . Os aprovadores de fallback recebem a solicitação se o gerenciamento de direitos não conseguir encontrar o gerente do usuário que está solicitando acesso.

    O gerenciamento de direitos localiza o gerente usando o atributo Manager . O atributo está no perfil do usuário no Microsoft Entra ID. Para obter mais informações, consulte Adicionar ou atualizar as informações e configurações de perfil de um usuário.

  3. Se você selecionou Patrocinadores como o primeiro aprovador, selecione Adicionar fallback para selecionar um ou mais usuários ou grupos em seu diretório para ser um aprovador de fallback . Os aprovadores de fallback recebem a solicitação se o gerenciamento de direitos não conseguir encontrar o patrocinador para o usuário que está solicitando acesso.

    O gerenciamento de direitos encontra patrocinadores usando o atributo Sponsors . O atributo está no perfil do usuário no Microsoft Entra ID. Para obter mais informações, consulte Adicionar ou atualizar as informações e configurações de perfil de um usuário.

  4. Se você selecionou Escolher aprovadores específicos, selecione Adicionar aprovadores para selecionar um ou mais usuários ou grupos em seu diretório para serem aprovadores .

  5. Na caixa Decisão deve ser tomada em quantos dias? , especifique o número de dias que um aprovador tem para analisar uma solicitação para este pacote de acesso.

    Se uma solicitação não for aprovada dentro desse período, ela será automaticamente negada. O usuário deve então enviar outra solicitação para o pacote de acesso.

  6. Para exigir que os aprovadores forneçam uma justificativa para sua decisão, defina Exigir justificativa do aprovador como Sim.

    A justificação é visível para os outros aprovadores e para o requerente.

Homologação em duas fases

Se você selecionou uma aprovação em dois estágios, precisará adicionar um segundo aprovador:

  1. Adicione as informações do Segundo Aprovador :

    • Se os usuários estiverem em seu diretório, você poderá selecionar Patrocinadores como aprovadores. Ou adicione um usuário específico selecionando Escolher aprovadores específicos no menu suspenso e, em seguida, selecionando Adicionar aprovadores.

      Screenshot that shows options for a second approver if the policy is set to users in your directory.

    • Se os usuários não estiverem no seu diretório, selecione Patrocinador interno ou Patrocinador externo como o segundo aprovador. Depois de selecionar o aprovador, adicione os aprovadores de fallback.

      Screenshot that shows options for a second approver if the policy is set to users not in your directory.

  2. Na caixa Decisão deve ser tomada em quantos dias?, especifique o número de dias que o segundo aprovador tem para aprovar a solicitação.

  3. Defina o botão Exigir justificação do aprovador para Sim ou Não.

Homologação em três fases

Se você selecionou uma aprovação em três estágios, precisará adicionar um terceiro aprovador:

  1. Adicione as informações do Terceiro Aprovador :

    Se os usuários estiverem em seu diretório, adicione um usuário específico como o terceiro aprovador selecionando Escolher aprovadores específicos Adicionar aprovadores>.

    Screenshot that shows options for a third approver if the policy is set to users in your directory.

  2. Na caixa Decisão deve ser tomada em quantos dias?, especifique o número de dias que o segundo aprovador tem para aprovar a solicitação.

  3. Defina o botão Exigir justificação do aprovador para Sim ou Não.

Aprovadores suplentes

Você pode especificar aprovadores alternativos, semelhante a especificar o primeiro e o segundo aprovadores que podem aprovar solicitações. Ter aprovadores alternativos ajuda a garantir que as solicitações sejam aprovadas ou negadas antes de expirarem (tempo limite). Você pode listar aprovadores alternativos para o primeiro aprovador e o segundo aprovador para aprovação em dois estágios.

Quando você especifica aprovadores alternativos, se o primeiro ou o segundo aprovadores não puder aprovar ou negar a solicitação, a solicitação pendente será encaminhada para os aprovadores alternativos. A solicitação é enviada de acordo com o cronograma de encaminhamento especificado durante a configuração da política. Os aprovadores recebem um e-mail para aprovar ou negar a solicitação pendente.

Depois que a solicitação é encaminhada para os aprovadores alternativos, o primeiro ou segundo aprovadores ainda pode aprovar ou negar a solicitação. Os aprovadores alternativos usam o mesmo site Meu Acesso para aprovar ou negar a solicitação pendente.

Você pode listar pessoas ou grupos de pessoas para serem aprovadores e aprovadores alternativos. Certifique-se de listar diferentes conjuntos de pessoas para serem o primeiro, o segundo e os aprovadores alternativos. Por exemplo, se você listou Alice e Bob como os primeiros aprovadores, liste Carol e Dave como os aprovadores alternativos.

Use as seguintes etapas para adicionar aprovadores alternativos a um pacote de acesso:

  1. Em Primeiro Aprovador, Segundo Aprovador ou ambos, selecione Mostrar configurações avançadas de solicitação.

    Screenshot of the selection for showing advanced request settings.

  2. Defina o botão Se nenhuma ação for tomada, encaminhe para aprovadores alternativos? para Sim.

  3. Selecione Adicionar aprovadores alternativos e, em seguida, selecione os aprovadores alternativos na lista.

    Screenshot that shows advanced request settings, including the link for adding alternate approvers.

    Se você selecionar Gerente como o primeiro aprovador, uma opção extra aparecerá na caixa Aprovador alternativo: Gerente de segundo nível como aprovador alternativo. Se você selecionar essa opção, precisará adicionar um aprovador de fallback para encaminhar a solicitação, caso o sistema não consiga encontrar o gerente de segundo nível.

  4. Na caixa Encaminhar para aprovador alternativo após quantos dias, insira o número de dias que os aprovadores têm para aprovar ou negar uma solicitação. Se nenhum aprovador aprovar ou negar a solicitação antes da duração da solicitação, a solicitação expira (expira). O usuário deve então enviar outra solicitação para o pacote de acesso.

Os pedidos só podem ser encaminhados para aprovadores alternativos um dia após a duração do pedido atingir a meia-vida. A decisão dos principais aprovadores deve expirar após pelo menos quatro dias. Se o tempo limite da solicitação for menor ou igual a três dias, não haverá tempo suficiente para encaminhar a solicitação para aprovadores alternativos.

Neste exemplo, a duração do pedido é de 14 dias. A duração do pedido atinge a meia-vida no dia 7. Assim, o pedido não pode ser encaminhado antes do dia 8.

Além disso, as solicitações não podem ser encaminhadas no último dia da duração da solicitação. Assim, no exemplo, o último pedido que pode ser encaminhado é dia 13.

Ativar solicitações

  1. Se desejar que o pacote de acesso seja disponibilizado imediatamente para que os usuários na política de solicitação solicitem, mova o botão Habilitar novas solicitações e atribuições para Sim.

    Você sempre pode habilitá-lo no futuro, depois de terminar de criar o pacote de acesso.

    Se você selecionar Nenhum (somente atribuições diretas do administrador) e definir Habilitar novas solicitações e atribuições como Não, os administradores não poderão atribuir diretamente este pacote de acesso.

    Screenshot that shows the option for enabling new requests and assignments.

  2. Vá para a próxima seção para saber como adicionar um requisito de ID verificada ao seu pacote de acesso. Caso contrário, selecione Avançar.

Adicionar um requisito de identificação verificada

Use as etapas a seguir se quiser adicionar um requisito de ID verificada à sua política de pacote de acesso. Os usuários que desejam acessar o pacote de acesso precisam apresentar as IDs verificadas necessárias antes de enviar sua solicitação com êxito. Para saber como configurar seu locatário com o serviço de ID Verificada do Microsoft Entra, consulte Introdução à ID Verificada do Microsoft Entra.

Você precisa de uma função de administrador global para adicionar requisitos de ID verificada a um pacote de acesso. Um administrador de Governança de Identidade, administrador de usuário, proprietário de catálogo ou gerenciador de pacotes de acesso ainda não pode adicionar requisitos de ID verificados.

  1. Selecione + Adicionar emissor e, em seguida, selecione um emissor na rede Microsoft Entra Verified ID. Se você quiser emitir suas próprias credenciais para os usuários, você pode encontrar instruções em Emitir credenciais de ID Verificada do Microsoft Entra de um aplicativo.

    Screenshot that shows the pane for selecting an issuer for an access package.

  2. Selecione os tipos de credenciais que você deseja que os usuários apresentem durante o processo de solicitação.

    Screenshot that shows the area for selecting credential types for an access package.

    Se você selecionar vários tipos de credenciais de um emissor, os usuários deverão apresentar credenciais de todos os tipos selecionados. Da mesma forma, se você incluir vários emissores, os usuários serão obrigados a apresentar credenciais de cada um dos emissores que você incluir na política. Para dar aos usuários a opção de apresentar credenciais diferentes de vários emissores, configure políticas separadas para cada emissor ou tipo de credencial que você aceitará.

  3. Selecione Adicionar para adicionar o requisito de ID verificada à política do pacote de acesso.

Adicionar informações do solicitante a um pacote de acesso

  1. Vá para a guia Informações do solicitante e selecione a guia Perguntas.

  2. Na caixa Pergunta, insira uma pergunta que você deseja fazer ao solicitante. Essa pergunta também é conhecida como cadeia de caracteres de exibição.

  3. Se quiser adicionar suas próprias opções de localização, selecione adicionar localização.

    Screenshot that shows the box for entering a question for a requestor.

    No painel Adicionar localizações para perguntas:

    1. Em Código de idioma, selecione o código de idioma para o idioma no qual você está localizando a pergunta.
    2. Na caixa Texto Localizado, insira a pergunta no idioma que você configurou.
    3. Quando terminar de adicionar todas as localizações necessárias, selecione Salvar.

    Screenshot that shows localization selections for a question.

  4. Em Formato de resposta, selecione o formato no qual você deseja que os solicitantes respondam. Os formatos de resposta incluem Texto curto, Múltipla escolha e Texto longo.

  5. Se você selecionou múltipla escolha, selecione o botão Editar e localizar para configurar as opções de resposta.

    Screenshot that shows multiple choice selected as an answer format, along with the button for editing and localizing answer options.

    No painel Exibir /editar perguntas :

    1. Nas caixas Valores de resposta, insira as opções de resposta que você deseja dar quando o solicitante estiver respondendo à pergunta.
    2. Nas caixas Idioma, selecione o idioma para as opções de resposta. Você pode localizar as opções de resposta se escolher idiomas extras.
    3. Selecione Guardar.

    Screenshot that shows options for editing and localizing multiple-choice answers.

  6. Para exigir que os solicitantes respondam a essa pergunta quando solicitarem acesso a um pacote de acesso, marque a caixa de seleção Obrigatório .

  7. Selecione a guia Atributos para exibir os atributos associados aos recursos que você adicionou ao pacote de acesso.

    Nota

    Para adicionar ou atualizar atributos para os recursos de um pacote de acesso, vá para Catálogos e localize o catálogo associado ao pacote de acesso. Para saber mais sobre como editar a lista de atributos de um recurso de catálogo específico e as funções de pré-requisito, leia Adicionar atributos de recurso no catálogo.

  8. Selecione Seguinte.

Especificar um ciclo de vida

Na guia Ciclo de vida, você especifica quando a atribuição de um usuário ao pacote de acesso expira. Você também pode especificar se os usuários podem estender suas atribuições.

  1. Na seção Expiração, defina Atribuições de pacotes do Access expiram como Em data, Número de dias, Número de horas ou Nunca.

    • Em data, selecione uma data de expiração no futuro.
    • Para Número de dias, especifique um número de 0 a 3660 dias.
    • Em Número de horas, especifique quantas horas.

    Com base na sua seleção, a atribuição de um usuário ao pacote de acesso expira em uma determinada data, alguns dias após a aprovação, ou nunca.

  2. Se você quiser que o usuário solicite uma data de início e término específica para seu acesso, selecione Sim para alternar os usuários podem solicitar uma linha do tempo específica.

  3. Selecione Mostrar configurações avançadas de expiração para mostrar mais configurações .

    Screenshot that shows lifecycle expiration settings for an access package.

  4. Para permitir que o usuário estenda suas atribuições, defina Permitir que os usuários estendam o acesso a Sim.

    Se as extensões forem permitidas na política, o usuário receberá um e-mail 14 dias antes e, um dia antes, sua atribuição de pacote de acesso será definida para expirar. O e-mail solicita que o usuário estenda a atribuição. O usuário ainda deve estar no escopo da política no momento em que solicitar uma extensão.

    Além disso, se a política tiver uma data de término explícita para atribuições e um usuário enviar uma solicitação para estender o acesso, a data de extensão na solicitação deverá ser igual ou anterior ao vencimento das atribuições. A política que você usou para conceder ao usuário acesso ao pacote de acesso define se a data da extensão está na expiração da atribuição ou antes dela. Por exemplo, se a política indicar que as atribuições estão definidas para expirar em 30 de junho, a extensão máxima que um usuário pode solicitar é 30 de junho.

    Se o acesso de um usuário for estendido, ele não poderá solicitar o pacote de acesso após a data de extensão especificada (a data definida no fuso horário do usuário que criou a política).

  5. Para exigir aprovação para conceder uma extensão, defina Exigir aprovação para conceder extensão como Sim.

    Essa aprovação usará as mesmas configurações de aprovação especificadas na guia Solicitações .

  6. Selecione Avançar ou Atualizar.

Rever e criar o pacote de acesso

No separador Rever + criar, pode rever as suas definições e verificar se existem erros de validação.

  1. Revise as configurações do pacote de acesso.

    Screenshot that shows a summary of access package configuration.

  2. Selecione Criar para criar o pacote de acesso.

    O novo pacote de acesso aparece na lista de pacotes de acesso.

  3. Se o pacote de acesso se destinar a ser visível para todos no escopo das políticas, deixe a configuração Oculto do pacote de acesso em Não. Opcionalmente, se você pretende permitir que apenas usuários com o link direto solicitem o pacote de acesso, edite o pacote de acesso para alterar a configuração Oculto para Sim. Em seguida, copie o link para solicitar o pacote de acesso e compartilhá-lo com os usuários que precisam de acesso.

Criar um pacote de acesso programaticamente

Há duas maneiras de criar um pacote de acesso programaticamente: por meio do Microsoft Graph e dos cmdlets do PowerShell para o Microsoft Graph.

Criar um pacote de acesso usando o Microsoft Graph

Você pode criar um pacote de acesso usando o Microsoft Graph. Um usuário em uma função apropriada com um aplicativo que tenha a permissão delegada EntitlementManagement.ReadWrite.All pode chamar a API para:

  1. Liste os recursos no catálogo e crie um accessPackageResourceRequest para todos os recursos que ainda não estão no catálogo.
  2. Recupere as funções e os escopos de cada recurso no catálogo. Essa lista de funções será usada para selecionar uma função ao criar posteriormente um resourceRoleScope.
  3. Crie um accessPackage.
  4. Crie um resourceRoleScope para cada função de recurso necessária no pacote de acesso.
  5. Crie uma assignmentPolicy para cada política necessária no pacote de acesso.

Criar um pacote de acesso usando o Microsoft PowerShell

Você também pode criar um pacote de acesso no PowerShell usando os cmdlets do módulo Governança de Identidade do Microsoft Graph PowerShell.

Primeiro, recupere a ID do catálogo e do recurso nesse catálogo e seus escopos e funções, que você deseja incluir no pacote de acesso. Use um script semelhante ao exemplo a seguir:

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'" -All
if ($catalog -eq $null) { throw "catalog not found" }
$rsc = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter "originSystem eq 'AadApplication'" -ExpandProperty scopes
if ($rsc -eq $null) { throw "resource not found" }
$filt = "(id eq '" + $rsc.Id + "')"
$rrs = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter $filt -ExpandProperty roles,scopes

Em seguida, crie o pacote de acesso:


$params = @{
    displayName = "sales reps"
    description = "outside sales representatives"
    catalog = @{
        id = $catalog.id
    }
}
$ap = New-MgEntitlementManagementAccessPackage -BodyParameter $params

Depois de criar o pacote de acesso, atribua as funções de recurso a ele. Por exemplo, se você quiser incluir a primeira função de recurso do recurso retornado anteriormente como uma função de recurso do novo pacote de acesso, poderá usar um script semelhante a este:


$rparams = @{
    role = @{
        id =  $rrs.Roles[0].Id
        displayName =  $rrs.Roles[0].DisplayName
        description =  $rrs.Roles[0].Description
        originSystem =  $rrs.Roles[0].OriginSystem
        originId =  $rrs.Roles[0].OriginId
        resource = @{
            id = $rrs.Id
            originId = $rrs.OriginId
            originSystem = $rrs.OriginSystem
        }
    }
    scope = @{
        id = $rsc.Scopes[0].Id
        originId = $rsc.Scopes[0].OriginId
        originSystem = $rsc.Scopes[0].OriginSystem
    }
}

New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $ap.Id -BodyParameter $rparams

Por fim, crie as políticas. Nesta política, apenas os administradores ou gerentes de atribuição de pacotes de acesso podem atribuir acesso e não há revisões de acesso. Para obter mais exemplos, consulte Criar uma política de atribuição por meio do PowerShell e Criar uma assignmentPolicy.



$pparams = @{
    displayName = "New Policy"
    description = "policy for assignment"
    allowedTargetScope = "notSpecified"
    specificAllowedTargets = @(
    )
    expiration = @{
        endDateTime = $null
        duration = $null
        type = "noExpiration"
    }
    requestorSettings = @{
        enableTargetsToSelfAddAccess = $false
        enableTargetsToSelfUpdateAccess = $false
        enableTargetsToSelfRemoveAccess = $false
        allowCustomAssignmentSchedule = $true
        enableOnBehalfRequestorsToAddAccess = $false
        enableOnBehalfRequestorsToUpdateAccess = $false
        enableOnBehalfRequestorsToRemoveAccess = $false
        onBehalfRequestors = @(
        )
    }
    requestApprovalSettings = @{
        isApprovalRequiredForAdd = $false
        isApprovalRequiredForUpdate = $false
        stages = @(
        )
    }
    accessPackage = @{
        id = $ap.Id
    }
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams

Próximos passos