Alterar as configurações de solicitação para um pacote de acesso no gerenciamento de direitos

Como um gerenciador de pacotes de acesso, você pode alterar os usuários que podem solicitar um pacote de acesso a qualquer momento, editando uma política para solicitações de atribuição de pacotes de acesso ou adicionando uma nova política ao pacote de acesso. Este artigo descreve como alterar as configurações de solicitação para uma política de atribuição de pacote de acesso existente.

Escolha entre uma ou várias políticas

A maneira de especificar quem pode solicitar um pacote de acesso é com uma política. Antes de criar uma nova política ou editar uma política existente em um pacote de acesso, você precisa determinar quantas políticas o pacote de acesso precisa.

Ao criar um pacote de acesso, você pode especificar as configurações de solicitação, aprovação e ciclo de vida, que são armazenadas na primeira política do pacote de acesso. A maioria dos pacotes de acesso tem uma única política para os usuários solicitarem acesso, mas um único pacote de acesso pode ter várias políticas. Você criaria várias políticas para um pacote de acesso se quiser permitir que diferentes conjuntos de usuários recebam atribuições com diferentes configurações de solicitação e aprovação.

Por exemplo, uma única política não pode ser usada para atribuir usuários internos e externos ao mesmo pacote de acesso. No entanto, você pode criar duas políticas no mesmo pacote de acesso, uma para usuários internos e outra para usuários externos. Se houver várias políticas que se apliquem a uma solicitação de usuário, ele será solicitado no momento da solicitação a selecionar a política à qual deseja ser atribuído. O diagrama a seguir mostra um pacote de acesso com duas políticas.

Além das políticas para os usuários solicitarem acesso, você também pode ter políticas para atribuição automática e políticas para atribuição direta por administradores ou proprietários de catálogo.

De quantas apólices necessito?

Cenário	Número de apólices
Quero que todos os usuários no meu diretório tenham as mesmas configurações de solicitação e aprovação para um pacote de acesso	Um
Quero que todos os usuários em determinadas organizações conectadas possam solicitar um pacote de acesso	Um
Quero permitir que usuários no meu diretório e também usuários fora do meu diretório solicitem um pacote de acesso	Dois
Quero especificar configurações de aprovação diferentes para alguns usuários	Um para cada grupo de utilizadores
Quero que alguns usuários acessem atribuições de pacote para expirar, enquanto outros usuários podem estender seu acesso	Um para cada grupo de utilizadores
Quero que alguns usuários solicitem acesso e que outros usuários recebam acesso de um administrador	Dois
Quero que alguns usuários em minha organização recebam acesso automaticamente, outros usuários em minha organização possam solicitar e outros usuários recebam acesso atribuído por um administrador	Três

Para obter informações sobre a lógica de prioridade usada quando várias políticas se aplicam, consulte Várias políticas.

Abra um pacote de acesso existente e adicione uma nova política com configurações de solicitação diferentes

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Se você tiver um conjunto de usuários que deve ter configurações de solicitação e aprovação diferentes, provavelmente precisará criar uma nova política. Siga estas etapas para começar a adicionar uma nova política a um pacote de acesso existente:

Função de pré-requisito: Administrador Global, Administrador de Governança de Identidade, Proprietário do catálogo ou Gerenciador de pacotes do Access

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.

2. Navegue até Governança de>identidade, Gerenciamento de direitos>, Pacote de acesso.

3. Na página Pacotes do Access, abra o pacote de acesso que deseja editar.

4. Selecione Políticas e, em seguida, Adicionar política.

5. Na guia Noções básicas, digite um nome e uma descrição para a política.

   

6. Selecione Avançar para abrir a guia Solicitações .

7. Altere a configuração Usuários que podem solicitar acesso . Use as etapas nas seções a seguir para alterar a configuração para uma das seguintes opções:

   • Para usuários em seu diretório
   • Para usuários que não estão no seu diretório
   • Nenhum (somente atribuições diretas do administrador)

Para usuários em seu diretório

Siga estas etapas se quiser permitir que os usuários em seu diretório possam solicitar esse pacote de acesso. Ao definir a política de solicitação, você pode especificar usuários individuais ou, mais comumente, grupos de usuários. Por exemplo, sua organização pode já ter um grupo como Todos os funcionários. Se esse grupo for adicionado na política para usuários que podem solicitar acesso, qualquer membro desse grupo poderá solicitar acesso.

1. Na seção Usuários que podem solicitar acesso, clique em Para usuários em seu diretório.

   Quando você seleciona essa opção, novas opções aparecem para refinar ainda mais quem em seu diretório pode solicitar esse pacote de acesso.

   

2. Selecione uma das seguintes opções:

   	Description
   Utilizadores e grupos específicos	Escolha esta opção se desejar que apenas os usuários e grupos especificados no diretório que você especificar possam solicitar este pacote de acesso.
   Todos os membros (excluindo convidados)	Escolha esta opção se quiser que todos os usuários membros em seu diretório possam solicitar este pacote de acesso. Essa opção não inclui nenhum usuário convidado que você possa ter convidado para o diretório.
   Todos os utilizadores (incluindo convidados)	Escolha esta opção se quiser que todos os usuários membros e convidados em seu diretório possam solicitar este pacote de acesso.

   Os usuários convidados referem-se a usuários externos que foram convidados para seu diretório com o Microsoft Entra B2B. Para obter mais informações sobre as diferenças entre usuários membros e usuários convidados, consulte Quais são as permissões de usuário padrão no Microsoft Entra ID?.

3. Se você selecionou Usuários e grupos específicos, clique em Adicionar usuários e grupos.

4. No painel Selecionar usuários e grupos, selecione os usuários e grupos que deseja adicionar.

   

5. Clique em Selecionar para adicionar os usuários e grupos.

6. Se você quiser exigir aprovação, use as etapas em Alterar configurações de aprovação para um pacote de acesso no gerenciamento de direitos para definir as configurações de aprovação.

7. Vá para a seção Habilitar solicitações .

Para usuários que não estão no seu diretório

Usuários que não estão em seu diretório referem-se a usuários que estão em outro diretório ou domínio do Microsoft Entra. Esses usuários podem ainda não ter sido convidados para o seu diretório. Os diretórios do Microsoft Entra devem ser configurados para permitir convites em restrições de colaboração. Para obter mais informações, veja Configurar as definições de colaboração externa.

Nota

Uma conta de usuário convidado será criada para um usuário que ainda não está no seu diretório cuja solicitação foi aprovada ou aprovada automaticamente. O hóspede será convidado, mas não receberá um e-mail de convite. Em vez disso, eles receberão um e-mail quando a atribuição do pacote de acesso for entregue. Por padrão, mais tarde, quando esse usuário convidado não tiver mais nenhuma atribuição de pacote de acesso, porque sua última atribuição expirou ou foi cancelada, essa conta de usuário convidado será bloqueada para entrar e, posteriormente, excluída. Se você quiser que os usuários convidados permaneçam em seu diretório indefinidamente, mesmo que eles não tenham atribuições de pacote de acesso, você pode alterar as configurações para sua configuração de gerenciamento de direitos. Para obter mais informações sobre o objeto de usuário convidado, consulte Propriedades de um usuário de colaboração B2B do Microsoft Entra.

Siga estas etapas se quiser permitir que usuários que não estão em seu diretório solicitem este pacote de acesso:

1. Na seção Usuários que podem solicitar acesso, clique em Para usuários que não estão no diretório.

   Quando você seleciona essa opção, novas opções aparecem.

   

2. Selecione se os usuários que podem solicitar acesso precisam ser afiliados a uma organização conectada existente ou podem ser qualquer pessoa na Internet. Uma organização conectada é aquela com a qual você tem um relacionamento pré-existente, que pode ter um diretório externo do Microsoft Entra ou outro provedor de identidade. Selecione uma das seguintes opções:

   	Description
   Organizações conectadas específicas	Escolha esta opção se quiser selecionar a partir de uma lista de organizações que o administrador adicionou anteriormente. Todos os usuários das organizações selecionadas podem solicitar este pacote de acesso.
   Todas as organizações conectadas configuradas	Escolha esta opção se todos os usuários de todas as suas organizações conectadas configuradas puderem solicitar este pacote de acesso. Somente usuários de organizações conectadas configuradas podem solicitar pacotes de acesso, portanto, se um usuário não for de um locatário, domínio ou provedor de identidade do Microsoft Entra associado a uma organização conectada existente, ele não poderá solicitar.
   Todos os utilizadores (Todas as organizações ligadas + quaisquer novos utilizadores externos)	Escolha esta opção se algum utilizador na Internet puder solicitar este pacote de acesso. Se eles não pertencerem a uma organização conectada em seu diretório, uma organização conectada será criada automaticamente para eles quando eles solicitarem o pacote. A organização conectada criada automaticamente estará em um estado proposto . Para obter mais informações sobre o estado proposto, consulte Propriedade estatal de organizações conectadas.

3. Se você selecionou Organizações conectadas específicas, clique em Adicionar diretórios para selecionar em uma lista de organizações conectadas que o administrador adicionou anteriormente.

4. Digite o nome ou nome de domínio para procurar uma organização conectada anteriormente.

   

   Se a organização com a qual você deseja colaborar não estiver na lista, solicite ao administrador para adicioná-la como uma organização conectada. Para obter mais informações, consulte Adicionar uma organização conectada.

5. Depois de selecionar todas as suas organizações conectadas, clique em Selecionar.

   Nota

   Todos os usuários das organizações conectadas selecionadas podem solicitar este pacote de acesso. Para uma organização conectada que tenha um diretório do Microsoft Entra, os usuários de todos os domínios verificados associados ao diretório do Microsoft Entra podem solicitar, a menos que esses domínios sejam bloqueados pela lista de permissão ou negação B2B do Azure. Para obter mais informações, consulte Permitir ou bloquear convites para usuários B2B de organizações específicas.

6. Em seguida, use as etapas em Alterar configurações de aprovação para um pacote de acesso no gerenciamento de direitos para definir as configurações de aprovação para especificar quem deve aprovar solicitações de usuários que não estejam em sua organização.

7. Vá para a seção Habilitar solicitações .

Nenhum (somente atribuições diretas do administrador)

Siga estas etapas se quiser ignorar as solicitações de acesso e permitir que os administradores atribuam diretamente usuários específicos a esse pacote de acesso. Os usuários não precisarão solicitar o pacote de acesso. Você ainda pode definir as configurações do ciclo de vida, mas não há configurações de solicitação.

1. Na seção Usuários que podem solicitar acesso, clique em Nenhum (somente atribuições diretas do administrador).

   

   Depois de criar o pacote de acesso, você pode atribuir diretamente usuários internos e externos específicos ao pacote de acesso. Se você especificar um usuário externo, uma conta de usuário convidado será criada em seu diretório. Para obter informações sobre como atribuir diretamente um usuário, consulte Exibir, adicionar e remover atribuições para um pacote de acesso.

2. Vá para a seção Habilitar solicitações .

Nota

Ao atribuir usuários a um pacote de acesso, os administradores precisarão verificar se os usuários são qualificados para esse pacote de acesso com base nos requisitos de política existentes. Caso contrário, os usuários não serão atribuídos com êxito ao pacote de acesso. Se o pacote de acesso contiver uma política que exija que as solicitações do usuário sejam aprovadas, os usuários não poderão ser atribuídos diretamente ao pacote sem a(s) aprovação(ões) necessária(s) do(s) aprovador(es) designado(s).

Abrir e editar as configurações de solicitação de uma política existente

Para alterar as configurações de solicitação e aprovação de um pacote de acesso, você precisa abrir a política correspondente com essas configurações. Siga estas etapas para abrir e editar as configurações de solicitação para uma política de atribuição de pacote de acesso:

Função de pré-requisito: Administrador Global, Administrador de Governança de Identidade, Proprietário do catálogo ou Gerenciador de pacotes do Access

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.

2. Navegue até Governança de>identidade, Gerenciamento de direitos>, Pacote de acesso.

3. Na página Pacotes do Access, abra o pacote de acesso cujas configurações de solicitação de política você deseja editar.

4. Selecione Políticas e, em seguida, clique na política que pretende editar.

   O painel Detalhes da política é aberto na parte inferior da página.

   

5. Selecione Editar para editar a política.

   

6. Selecione a guia Solicitações para abrir as configurações de solicitação.

7. Use as etapas nas seções anteriores para alterar as configurações de solicitação conforme necessário.

8. Vá para a seção Habilitar solicitações .

Ativar solicitações

1. Se desejar que o pacote de acesso seja disponibilizado imediatamente para que os usuários na política de solicitação solicitem, mova a alternância Habilitar para Sim.

   Você sempre pode habilitá-lo no futuro depois de terminar de criar o pacote de acesso.

   Se você selecionou Nenhum (somente atribuições diretas do administrador) e definiu habilitar como Não, os administradores não poderão atribuir diretamente esse pacote de acesso.

   

2. Selecione Seguinte.

3. Se você quiser exigir que os solicitantes forneçam informações adicionais ao solicitar acesso a um pacote de acesso, use as etapas em Alterar configurações de aprovação e informações do solicitante para um pacote de acesso no gerenciamento de direitos para configurar as informações do solicitante.

4. Defina as configurações do ciclo de vida.

5. Se estiver editando uma política, selecione Atualizar. Se estiver adicionando uma nova política, selecione Criar.

Criar uma política de atribuição de pacote de acesso programaticamente

Há duas maneiras de criar uma política de atribuição de pacote de acesso programaticamente, por meio do Microsoft Graph e dos cmdlets do PowerShell para o Microsoft Graph.

Criar uma política de atribuição de pacote de acesso através do Graph

Você pode criar uma política usando o Microsoft Graph. Um usuário em uma função apropriada com um aplicativo que tenha a permissão delegada EntitlementManagement.ReadWrite.All , ou um aplicativo em uma função de catálogo ou com a EntitlementManagement.ReadWrite.All permissão, pode chamar a API create an assignmentPolicy .

Criar uma política de atribuição de pacote de acesso por meio do PowerShell

Você também pode criar um pacote de acesso no PowerShell com os cmdlets dos cmdlets do Microsoft Graph PowerShell para o módulo de Governança de Identidade versão 2.1.x ou versão posterior do módulo.

Este script abaixo ilustra a criação de uma política para atribuição direta a um pacote de acesso. Nesta política, apenas o administrador pode atribuir acesso e não há aprovações ou revisões de acesso. Consulte Criar uma política de atribuição automática para obter um exemplo de como criar uma política de atribuição automática e criar uma assignmentPolicy para obter mais exemplos.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$apid = "cdd5f06b-752a-4c9f-97a6-82f4eda6c76d"

$params = @{
    displayName = "New Policy"
    description = "policy for assignment"
    allowedTargetScope = "notSpecified"
    specificAllowedTargets = @(
    )
    expiration = @{
        endDateTime = $null
        duration = $null
        type = "noExpiration"
    }
    requestorSettings = @{
        enableTargetsToSelfAddAccess = $false
        enableTargetsToSelfUpdateAccess = $false
        enableTargetsToSelfRemoveAccess = $false
        allowCustomAssignmentSchedule = $true
        enableOnBehalfRequestorsToAddAccess = $false
        enableOnBehalfRequestorsToUpdateAccess = $false
        enableOnBehalfRequestorsToRemoveAccess = $false
        onBehalfRequestors = @(
        )
    }
    requestApprovalSettings = @{
        isApprovalRequiredForAdd = $false
        isApprovalRequiredForUpdate = $false
        stages = @(
        )
    }
    accessPackage = @{
        id = $apid
    }
}

New-MgEntitlementManagementAssignmentPolicy -BodyParameter $params

Impedir solicitações de usuários com acesso incompatível

Além das verificações da política sobre quem pode solicitar, você pode querer restringir ainda mais o acesso, a fim de evitar que um usuário que já tenha algum acesso - por meio de um grupo ou outro pacote de acesso - obtenha acesso excessivo.

Se você quiser configurar que um usuário não pode solicitar um pacote de acesso, se ele já tiver uma atribuição a outro pacote de acesso ou for membro de um grupo, use as etapas em Configurar verificações de separação de funções para um pacote de acesso.

Próximos passos

• Alterar as configurações de aprovação de um pacote de acesso
• Alterar as configurações do ciclo de vida de um pacote de acesso
• Ver pedidos para um pacote de acesso