Tutorial: Gerenciar o acesso a recursos no gerenciamento de direitos

  • Artigo

Gerenciar o acesso a todos os recursos que os funcionários precisam, como grupos, aplicativos e sites, é uma função importante para as organizações. Você quer conceder aos funcionários o nível certo de acesso de que eles precisam para serem produtivos e remover o acesso deles quando ele não for mais necessário.

Neste tutorial, você trabalha para o Woodgrove Bank como administrador de TI. Você foi solicitado a criar um pacote de recursos para uma campanha de marketing que os usuários internos podem usar para solicitar autoatendimento. As solicitações não exigem aprovação e o acesso do usuário expira após 30 dias. Para este tutorial, os recursos da campanha de marketing são apenas membros de um único grupo, mas podem ser uma coleção de grupos, aplicativos ou sites do SharePoint Online.

Diagram that shows the scenario overview.

Neste tutorial, irá aprender a:

  • Criar um pacote de acesso com um grupo como recurso
  • Permitir que um usuário em seu diretório solicite acesso
  • Demonstrar como um usuário interno pode solicitar o pacote de acesso

Para obter uma demonstração passo a passo do processo de implantação do gerenciamento de direitos do Microsoft Entra, incluindo a criação do seu primeiro pacote de acesso, veja o seguinte vídeo:

Este restante deste artigo usa o centro de administração do Microsoft Entra para configurar e demonstrar o gerenciamento de direitos.

Pré-requisitos

Para usar o gerenciamento de direitos, você deve ter uma das seguintes licenças:

  • Governança do Microsoft Entra ID P2 ou Microsoft Entra ID
  • Licença E5 do Enterprise Mobility + Security (EMS)

Para obter mais informações, consulte Requisitos de licença.

Etapa 1: configurar usuários e grupo

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Um diretório de recursos tem um ou mais recursos para compartilhar. Nesta etapa, você cria um grupo chamado Recursos de marketing no diretório do Woodgrove Bank que é o recurso de destino para o gerenciamento de direitos. Você também configura um solicitante interno.

Função de pré-requisito: Administrador global ou Administrador de governança de identidade

Diagram that shows the users and groups for this tutorial.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.

  2. Navegue até Governança de identidade, Gerenciamento de direitos, Pacotes de>>acesso.

  3. Crie dois usuários. Use os seguintes nomes ou nomes diferentes.

    Nome Função de diretório
    Admin1 Administrador global ou Administrador de Governança de Identidade. Esse usuário pode ser o usuário no qual você está conectado no momento.
    Solicitante1 Utilizador

  4. Crie um grupo de segurança do Microsoft Entra chamado Recursos de marketing com um tipo de associação atribuído. Este grupo é o recurso de destino para a gestão de direitos. O grupo deve estar vazio de membros para começar.

Etapa 2: Criar um pacote de acesso

Um pacote de acesso é um pacote de recursos que uma equipe ou projeto precisa e é regido por políticas. Os pacotes do Access são definidos em contêineres chamados catálogos. Nesta etapa, você cria um pacote de acesso à Campanha de Marketing no catálogo Geral .

Função de pré-requisito: Administrador Global, Administrador de Governança de Identidade, Proprietário do catálogo ou Gerenciador de pacotes do Access

Diagram that describes the relationship between the access package elements.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.

  2. Navegue até Governança de identidade, Gerenciamento de direitos, Pacote de>>acesso.

  3. Na página Pacotes do Access, abra um pacote do Access.

  4. Ao abrir o pacote de acesso, se você vir Acesso negado, verifique se uma licença do Microsoft Entra ID P2 ou do Microsoft Entra ID Governance está presente no diretório.

  5. Selecione Novo pacote de acesso.

    Screenshots that shows how to create an access package.

  6. Na guia Noções básicas, digite o nome Pacote de acesso à campanha de marketing e a descrição Acesso aos recursos da campanha.

  7. Deixe a lista suspensa Catálogo definida como Geral.

    Screenshot showing how to set the basic of the access policy.

  8. Selecione Avançar para abrir a guia Funções de recurso. Nesta guia, selecione os recursos e a função de recurso a serem incluídos no pacote de acesso. Você pode optar por gerenciar o acesso a grupos e equipes, aplicativos e sites do SharePoint Online. Nesse cenário, selecione Grupos e Equipes.

    Screenshot showing how to select groups and teams.

  9. No painel Selecionar grupos, localize e selecione o grupo de recursos de Marketing criado anteriormente.

    Por padrão, você vê grupos dentro do catálogo Geral. Quando você seleciona um grupo fora do catálogo Geral, que você pode ver se marcar a caixa de seleção Ver tudo , ele é adicionado ao catálogo Geral.

    Screenshot that shows how to select the groups

  10. Escolha Selecionar para adicionar o grupo à lista.

  11. Na lista suspensa Função, selecione Membro. Se você selecionar a função Proprietário, ela permitirá que os usuários adicionem ou removam outros membros ou proprietários. Para obter mais informações sobre como selecionar as funções apropriadas para um recurso, leia adicionar funções de recurso.

    Screenshot the shows how to select the member role.

    Importante

    Os grupos atribuíveis a funções adicionados a um pacote de acesso serão indicados usando o Subtipo atribuível a funções. Para obter mais informações, consulte o artigo Criar um grupo atribuível de função. Lembre-se de que, quando um grupo atribuível por função estiver presente em um catálogo de pacotes de acesso, os usuários administrativos que puderem gerenciar no gerenciamento de direitos, incluindo usuários na função Administrador Global, usuários na função Administrador de Governança de Identidade e proprietários de catálogo do catálogo, poderão controlar os pacotes de acesso no catálogo, permitindo-lhes escolher quem pode ser adicionado a esses grupos. Se você não vir um grupo atribuível de função que deseja adicionar ou não conseguir adicioná-lo, verifique se você tem a função necessária do Microsoft Entra e a função de gerenciamento de direitos para executar essa operação. Talvez seja necessário pedir a alguém com as funções necessárias para adicionar o recurso ao catálogo. Para obter mais informações, consulte Funções necessárias para adicionar recursos a um catálogo.

    Nota

    Ao usar grupos dinâmicos , você não verá nenhuma outra função disponível além de proprietário. Esta ação é propositada. Screenshots that shows a dynamic group available roles.

  12. Selecione Avançar para abrir a guia Solicitações . Na guia Solicitações, você cria uma política de solicitação. Uma política define as regras ou guarda-corpos para acessar um pacote de acesso. Você cria uma política que permite que um usuário específico no diretório de recursos solicite esse pacote de acesso.

  13. Na seção Usuários que podem solicitar acesso, selecione Para usuários em seu diretório e, em seguida, selecione Usuários e grupos específicos.

    Screenshot of the access package requests tab.

  14. Selecione Adicionar usuários e grupos.

  15. No painel Selecionar usuários e grupos, selecione o usuário Requestor1 criado anteriormente.

    Screenshot of select users and groups.

  16. Escolha Selecionar para adicionar o usuário à lista.

  17. Role para baixo até as seções Aprovar e Habilitar solicitações .

  18. Deixar Exigir aprovação definido como Não.

  19. Em Habilitar solicitações, selecione Sim para permitir que este pacote de acesso seja solicitado assim que for criado.

  20. Se sua organização estiver configurada para receber IDs verificadas, há uma opção para configurar um pacote de acesso para exigir que os solicitantes forneçam uma ID verificada. Para saber mais, consulte: Definir configurações de ID verificada para um pacote de acesso no gerenciamento de direitos (Visualização)

    Screenshot of the Verified ID picker selection.

  21. Selecione Avançar para abrir a guia Informações do solicitante .

    Screenshots of the requests tab approval and enable requests settings.

  22. Na guia Informações do solicitante, você pode fazer perguntas para coletar mais informações do solicitante . As perguntas são apresentadas no formulário de pedido e podem ser obrigatórias ou opcionais. Nesse cenário, você não foi solicitado a incluir informações do solicitante para o pacote de acesso, portanto, você pode deixar essas caixas vazias. Selecione Avançar para abrir a guia Ciclo de vida .

  23. Na guia Ciclo de vida, você especifica quando a atribuição de um usuário ao pacote de acesso expira. Você também pode especificar se os usuários podem estender suas atribuições. Na seção Expiração:

    1. Defina as atribuições do pacote do Access expiram como Número de dias.
    2. Defina que as Atribuições expiram após 30 dias.
    3. Deixe que os usuários possam solicitar o valor padrão específico da linha do tempo, Sim.
    4. Defina Exigir revisões de acesso como Não.

    Screenshot of the access package lifecycle tab

  24. Ignore a etapa Extensões personalizadas.

  25. Selecione Avançar para abrir a guia Revisão + Criar.

  26. No separador Rever + Criar, selecione Criar. Depois de alguns momentos, você verá uma notificação de que o pacote de acesso foi criado com êxito.

  27. No menu esquerdo do pacote de acesso à Campanha de Marketing, selecione Visão geral.

  28. Copie o link do portal Meu Acesso.

    Você usará este link para a próxima etapa.

    Screenshot that demonstrates how to copy the link to the access policy.

Passo 3: Solicitar acesso

Nesta etapa, você executa as etapas como solicitante interno e solicita acesso ao pacote de acesso. Os solicitantes enviam suas solicitações usando um site chamado portal Meu Acesso. O portal Meu Acesso permite que os solicitantes enviem solicitações de pacotes de acesso, vejam os pacotes de acesso aos quais já têm acesso e visualizem seu histórico de solicitações. Quando um novo hóspede solicita um pacote de acesso no MyAccess, seu idioma preferido é carimbado com base no idioma do navegador MyAccess no momento da solicitação. Isso permite que os novos hóspedes recebam comunicações por e-mail em um idioma que eles entendam.

Função de pré-requisito: Solicitante interno

  1. Saia do centro de administração do Microsoft Entra.

  2. Em uma nova janela do navegador, navegue até o link do portal Meu Acesso copiado na etapa anterior.

  3. Inicie sessão no portal O Meu Acesso como Requerente1.

    Deverá ver o pacote de acesso à Campanha de Marketing .

  4. Na caixa Justificação comercial, digite a justificativa em que estou trabalhando na nova campanha de marketing.

    Screenshot of the My Access portal listing the access packages.

  5. Selecione Submeter.

  6. No menu à esquerda, selecione Histórico de solicitações para verificar se sua solicitação foi entregue. Para obter mais detalhes, selecione Exibir.

    Screenshot of the My Access portal request history.

Etapa 4: Validar que o acesso foi atribuído

Nesta etapa, você confirma que o solicitante interno recebeu o pacote de acesso e que agora é membro do grupo de recursos de Marketing.

Função de pré-requisito: Administrador Global, Administrador de Governança de Identidade, Proprietário do catálogo ou Gerenciador de pacotes do Access

  1. Saia do portal Meu Acesso.

  2. Entre no centro de administração do Microsoft Entra como Admin1.

  3. Navegue até Governança de identidade, Gerenciamento de direitos, Pacotes de>>acesso.

  4. Encontre e selecione Pacote de acesso à Campanha de Marketing .

  5. No menu à esquerda, selecione Solicitações.

    Você deve ver Solicitante1 e a política Inicial com o status Entregue.

  6. Selecione a solicitação para ver os detalhes da solicitação.

    Screenshot of the access package request details.

  7. Na navegação à esquerda, selecione Identidade.

  8. Selecione Grupos e abra o grupo Recursos de marketing .

  9. Selecione Membros.

    Você deve ver Requestor1 listado como membro.

    Screenshot shows the requestor one has been added to the marketing resources group.

Etapa 5: Limpar recursos

Nesta etapa, você remove as alterações feitas e exclui o pacote de acesso à Campanha de Marketing .

Função de pré-requisito: Administrador Global ou Administrador de Governança de Identidade

  1. No centro de administração do Microsoft Entra Governança de Identidade.

  2. Abra o pacote de acesso à Campanha de Marketing .

  3. Selecione Tarefas.

  4. Para Requestor1, selecione as reticências (...) e, em seguida, selecione Remover acesso. Na mensagem exibida, selecione Sim.

    Após alguns momentos, o status mudará de Entregue para Expirado.

  5. Selecione Funções de recurso.

  6. Para Recursos de marketing, selecione as reticências (...) e, em seguida, selecione Remover função de recurso. Na mensagem exibida, selecione Sim.

  7. Abra a lista de pacotes de acesso.

  8. Para Campanha de Marketing, selecione as reticências (...) e, em seguida, selecione Excluir. Na mensagem exibida, selecione Sim.

  9. Em Identidade, exclua todos os usuários criados, como Requestor1 e Admin1.

  10. Exclua o grupo de recursos de Marketing.

Próximos passos

Avance para o próximo artigo para saber mais sobre as etapas comuns do cenário no gerenciamento de direitos.

Cenários comuns