O que é o Azure AD Identity Governance?

O Azure Ative Directory (Azure AD) A Governação de Identidade permite equilibrar a necessidade de segurança e produtividade dos colaboradores da sua organização com os processos e visibilidade certos. Fornece-lhe capacidades para garantir que as pessoas certas tenham o acesso certo aos recursos certos. Estas funcionalidades de Azure AD e Enterprise Mobility + Security relacionadas permitem-lhe mitigar o risco de acesso protegendo, monitorizando e auditando o acesso a ativos críticos, garantindo ao mesmo tempo a produtividade dos colaboradores e parceiros de negócio.

A Governação da Identidade confere às organizações a capacidade de fazer as seguintes tarefas entre colaboradores, parceiros de negócios e fornecedores, e através de serviços e aplicações tanto no local como em nuvens:

  • Governar o ciclo de vida da identidade
  • Governar o ciclo de vida de acesso
  • Acesso privilegiado seguro para administração

Especificamente, destina-se a ajudar as organizações a abordar estas quatro questões-chave:

  • Que utilizadores devem ter acesso a que recursos?
  • O que é que os utilizadores estão a fazer com esse acesso?
  • Existem controlos organizacionais eficazes para gerir o acesso?
  • Os auditores podem verificar se os controlos estão a funcionar?

Ciclo de vida identitário

A Governação da Identidade ajuda as organizações a alcançar um equilíbrio entre produtividade - Quão rapidamente uma pessoa pode ter acesso aos recursos de que precisa, como quando se junta à minha organização? E segurança - Como deve o seu acesso mudar ao longo do tempo, como devido a alterações ao estatuto laboral dessa pessoa? A gestão do ciclo de vida identitária é a base para a Governança identitária, e uma governação eficaz em escala requer a modernização da infraestrutura de gestão do ciclo de vida identitária para aplicações.

Ciclo de vida identitário

Para muitas organizações, o ciclo de vida identitário dos colaboradores está ligado à representação desse utilizador num sistema HCM (gestão de capital humano). Azure AD Premium mantém automaticamente as identidades dos utilizadores para pessoas representadas no Workday e no SuccessFactors tanto no Ative Directory como no Azure Ative Directory, conforme descrito na aplicação de HR em nuvem para o guia de planeamento de provisionamento de utilizadores do Azure Ative Directory. Azure AD Premium também inclui Microsoft Identity Manager, que pode importar registos de sistemas HCM no local, tais como SAP HCM, Oracle eBusiness e Oracle PeopleSoft.

Cada vez mais, os cenários requerem colaboração com pessoas fora da sua organização. Azure AD colaboração B2B permite-lhe partilhar de forma segura as aplicações e serviços da sua organização com utilizadores convidados e parceiros externos de qualquer organização, mantendo o controlo sobre os seus dados corporativos. Azure AD gestão de direitos permite-lhe selecionar quais os utilizadores da organização que podem solicitar acesso e ser adicionados como hóspedes B2B ao diretório da sua organização, e garante que estes hóspedes são removidos quando já não precisam de acesso.

As organizações são capazes de automatizar o processo de gestão do ciclo de vida de identidade utilizando fluxos de trabalho do ciclo de vida. Os fluxos de trabalho podem ser criados para executar automaticamente tarefas para um utilizador antes de entrarem na organização, uma vez que mudam de estado durante o seu tempo na organização, e à medida que saem da organização. Por exemplo, um fluxo de trabalho pode ser configurado para enviar um e-mail com uma senha temporária para o gestor de um novo utilizador, ou um e-mail de boas-vindas ao utilizador no primeiro dia.

Aceder ao ciclo de vida

As organizações precisam de um processo para gerir o acesso para além do que foi inicialmente previsto para um utilizador quando a identidade desse utilizador foi criada. Além disso, as organizações empresariais devem ser capazes de escalar eficazmente para poderem desenvolver e impor a política e os controlos de acesso numa base contínua.

Aceder ao ciclo de vida

Normalmente, os delegados de TI acedem a decisões de aprovação aos decisores empresariais. Além disso, as TI podem envolver os próprios utilizadores. Por exemplo, os utilizadores que acedam a dados confidenciais dos clientes na aplicação de marketing de uma empresa na Europa precisam de conhecer as políticas da empresa. Os utilizadores convidados podem desconhecer os requisitos de tratamento dos dados numa organização para a qual foram convidados.

As organizações podem automatizar o processo de ciclo de vida de acesso através de tecnologias como grupos dinâmicos, juntamente com o fornecimento de utilizadores a aplicações SaaS ou apps integradas com o SCIM. As organizações também podem controlar quais os utilizadores convidados que têm acesso a aplicações no local. Estes direitos de acesso podem então ser regularmente revistos utilizando avaliações de acesso Azure AD recorrentes. Azure AD gestão de direitos também permite definir como os utilizadores solicitam acesso através de pacotes de membros de grupo e de equipa, funções de aplicação e funções SharePoint Online. Para mais informações, consulte as tarefas de governação de identidade simplificadoras com a secção de automação abaixo para selecionar as funcionalidades de Azure AD adequadas para os cenários de automatização do ciclo de vida de acesso.

O acesso ao ciclo de vida pode ser automatizado utilizando fluxos de trabalho. Os fluxos de trabalho podem ser criados para adicionar automaticamente o utilizador a grupos, onde o acesso a aplicações e recursos é concedido. Os utilizadores também podem ser movidos quando a sua condição dentro da organização muda para diferentes grupos, e podem até ser removidos inteiramente de todos os grupos.

Quando um utilizador tenta aceder a aplicações, Azure AD aplica políticas de Acesso Condicional. Por exemplo, as políticas de Acesso Condicional podem incluir a exibição de um termos de uso e garantir que o utilizador concordou com esses termos antes de poder aceder a uma aplicação. Para mais informações, consulte o regulador de acesso a aplicações no seu ambiente.

Ciclo de vida de acesso privilegiado

Historicamente, o acesso privilegiado tem sido descrito por outros fornecedores como uma capacidade separada da Governação da Identidade. No entanto, na Microsoft, pensamos que o acesso privilegiado é uma parte fundamental da Governação da Identidade, especialmente dado o potencial de uso indevido associado a esses direitos de administrador pode causar a uma organização. Os empregados, vendedores e empreiteiros que assumam direitos administrativos têm de ser governados.

Ciclo de vida de acesso privilegiado

Azure AD Privileged Identity Management (PIM) fornece controlos adicionais adaptados para garantir direitos de acesso a recursos, em todo Azure AD, Azure e outros Serviços Microsoft Online. O acesso just-in-time e as capacidades de alerta de mudança de função fornecidas pela Azure AD PIM, além da autenticação multi-factor e do Acesso Condicional, fornecem um conjunto abrangente de controlos de governação para ajudar a garantir os recursos da sua empresa (diretório, Microsoft 365 e funções de recursos Azure). À medida que outras formas de acesso, as organizações podem usar revisões de acesso para configurar a recertificação de acesso recorrente para todos os utilizadores em funções de administrador.

Capacidades de governação noutras funcionalidades Azure AD

Além das características acima enumeradas, as funcionalidades adicionais Azure AD frequentemente utilizadas para fornecer cenários de governação de identidade incluem:

Funcionalidade Scenario Funcionalidade
Ciclo de vida identitário (colaboradores) Os administradores podem permitir o fornecimento de conta de utilizador a partir de Workday ou SuccessFactors cloud HR, ou no local HR. HR em nuvem para Azure AD fornecimento de utilizadores
Ciclo de vida identitário (convidados) Os administradores podem permitir o acesso de um cliente de autosserviço a partir de outra Azure AD inquilino, federação direta, Código de Uma Hora (OTP) ou contas do Google. Os utilizadores convidados são automaticamente aprovisionados e desprovisionados, sujeitos às políticas de ciclo de vida. Gestão de direitos utilizando B2B
Gestão de direitos Os proprietários de recursos podem criar pacotes de acesso contendo apps, equipas, Azure AD e os sites Doepoint Online e SharePoint. Gestão de direitos
Fluxos de trabalho do ciclo de vida Os administradores podem permitir a automatização das condições de utilizador baseadas no processo de ciclo de vida. Fluxos de trabalho do ciclo de vida
Pedidos de acesso Os utilizadores finais podem solicitar a adesão ao grupo ou o acesso à aplicação. Os utilizadores finais, incluindo hóspedes de outras organizações, podem solicitar acesso a pacotes de acesso. Gestão de direitos
Fluxo de trabalho Os proprietários de recursos podem definir os aprovadores e aprovadores de escalada para pedidos de acesso e aprovadores para pedidos de ativação de funções. Gestão de direitos e PIM
Política e gestão de funções Administração pode definir políticas de acesso condicional para acesso a aplicações em tempo de execução. Os proprietários de recursos podem definir políticas de acesso do utilizador através de pacotes de acesso. Políticas de acesso condicional e gestão de direitos
Certificação de acesso Os administradores podem permitir a recertificação de acesso recorrente para: aplicações SaaS, aplicações no local, membros do grupo cloud, Azure AD ou atribuições de funções de Recursos Azure. Remova automaticamente o acesso a recursos, bloqueie o acesso ao hóspede e elimine as contas dos hóspedes. Comentários de acesso, também surgiram em PIM
Cumprimento e provisionamento Provisão automática e desprovisionamento em aplicações Azure AD conectadas, incluindo via SCIM, LDAP, SQL e em sites SharePoint Online. fornecimento de utilizadores
Reportagem e análise Os administradores podem recuperar registos de auditoria de fornecimentos recentes de utilizadores e assinar em atividade. Integração com o Azure Monitor e "quem tem acesso" através de pacotes de acesso. relatórios Azure AD e monitorização
Acesso privilegiado Acesso just-in-time e programado, alerta, fluxos de trabalho de aprovação para funções Azure AD (incluindo funções personalizadas) e funções de Recursos Azure. PIM Azure AD
Auditoria Os administradores podem ser alertados para a criação de contas de administração. alertas pim Azure AD

Introdução

Consulte o separador 'Iniciar a Gestão de Identidade' no portal do Azure começar a utilizar a gestão de direitos, as análises de acesso, Privileged Identity Management e termos de utilização, e ver alguns casos de uso comum.

Governação da Identidade começa

Existem também tutoriais para gerir o acesso a recursos na gestão de direitos, a bordo de utilizadores externos para Azure AD através de um processo de aprovação, que rege o acesso às suas aplicações e aos utilizadores existentes da aplicação.

Se tiver algum feedback sobre as funcionalidades de Governação de Identidade, clique em Obter feedback na portal do Azure para submeter o seu feedback. A equipa revê regularmente o seu feedback.

Embora não exista uma solução ou recomendação perfeita para cada cliente, os seguintes guias de configuração também fornecem as políticas de base que a Microsoft recomenda que siga para garantir uma mão-de-obra mais segura e produtiva.

Simplificar tarefas de governação de identidade com automação

Uma vez que você tenha começado a usar estas características de governação de identidade, você pode facilmente automatizar cenários comuns de governação de identidade. A tabela que se segue mostra como começar para cada cenário:

Cenário para automatizar Guia de automação
Criar, atualizar e eliminar as contas de utilizadores de AD e Azure AD automaticamente para os colaboradores Planeie o RH em nuvem para Azure AD o fornecimento de utilizadores
Atualizar a adesão de um grupo, com base em alterações aos atributos do utilizador membro Criar um grupo dinâmico
Atribuição de licenças licenciamento baseado em grupo
Adicionar e remover as filiações do grupo de um utilizador, funções de aplicação e funções do site SharePoint, com base em alterações nos atributos do utilizador Configure uma política de atribuição automática para um pacote de acesso na gestão de direitos (pré-visualização)
Adicionar e remover as filiações do grupo de um utilizador, funções de aplicação e funções do site SharePoint, numa data específica Configurar as definições do ciclo de vida para um pacote de acesso na gestão de direitos
Executar fluxos de trabalho personalizados quando um utilizador solicita ou recebe acesso, ou o acesso é removido Trigger Logic Apps na gestão de direitos (pré-visualização)
Regularmente tendo membros de convidados em grupos e equipas da Microsoft revistos, e removendo membros de hóspedes que são negados Criar uma revisão de acesso
Remoção de contas de hóspedes que foram negadas por um revisor Reveja e remova utilizadores externos que já não têm acesso a recursos
Remover contas de hóspedes que não têm atribuição de pacotes de acesso Gerir o ciclo de vida dos utilizadores externos
Provisionar os utilizadores em aplicações no local e aplicações em nuvem que tenham os seus próprios diretórios ou bases de dados Configure o fornecimento automático do utilizador com atribuição de atribuições ao utilizador ou filtros de deteção
Outras tarefas programadas Automatizar tarefas de governação de identidade com Automatização do Azure e Gráfico microsoft através do módulo Microsoft.Graph.Identity.Identity.Governance PowerShell

Apêndice - funções menos privilegiadas para gerir funcionalidades de Governação de Identidade

É uma boa prática usar o papel menos privilegiado para desempenhar tarefas administrativas na Governação da Identidade. Recomendamos que utilize Azure AD PIM para ativar uma função necessária para executar estas tarefas. Seguem-se os papéis de diretório menos privilegiados para configurar as características de Governação da Identidade:

Funcionalidade Papel menos privilegiado
Gestão de direitos Administrador de Governação de Identidade
Revisões de acesso Administrador do utilizador (com exceção das revisões de acesso das funções Azure ou Azure AD, que requerem Administrador de Função Privilegiada)
Privileged Identity Management Administrador de Funções com Privilégios
Termos de utilização Administrador de Segurança ou Administrador de Acesso Condicional

Nota

O papel menos privilegiado para a gestão de direitos passou do papel de Administrador de Utilizador para o cargo de Administrador de Governação de Identidade.

Passos seguintes