O que é o Microsoft Entra ID Governance?

  • Artigo

O Microsoft Entra ID Governance é uma solução de governança de identidade que permite que as organizações melhorem a produtividade, fortaleçam a segurança e atendam mais facilmente aos requisitos de conformidade e regulamentação. Você pode usar a Governança de ID do Microsoft Entra para garantir automaticamente que as pessoas certas tenham o acesso certo aos recursos certos, com automação de processos de identidade e acesso, delegação a grupos de negócios e maior visibilidade. Com os recursos incluídos no Microsoft Entra ID Governance, juntamente com os dos produtos relacionados Microsoft Entra, Microsoft Security e Microsoft Azure, você pode reduzir os riscos de identidade e acesso protegendo, monitorando e auditando o acesso a ativos críticos.

Especificamente, o Microsoft Entra ID Governance ajuda as organizações a resolver estas quatro questões-chave, para acesso entre serviços e aplicativos locais e em nuvens:

  • Que utilizadores devem ter acesso a que recursos?
  • O que esses usuários estão fazendo com esse acesso?
  • Existem controles organizacionais para gerenciar o acesso?
  • Os auditores podem verificar se os controlos estão a funcionar eficazmente?

Com o Microsoft Entra ID Governance, você pode implementar os seguintes cenários para funcionários, parceiros de negócios e fornecedores:

  • Governe o ciclo de vida de identidade
  • Controlar o ciclo de vida do acesso
  • Acesso privilegiado seguro para administração

Ciclo de vida da identidade

A Governança de Identidade ajuda as organizações a alcançar um equilíbrio entre produtividade - Com que rapidez uma pessoa pode ter acesso aos recursos de que precisa, como quando ingressa na minha organização? E segurança - Como deve mudar o seu acesso ao longo do tempo, por exemplo, devido a alterações no estatuto laboral dessa pessoa? O gerenciamento do ciclo de vida da identidade é a base para a governança de identidade, e uma governança eficaz em escala requer a modernização da infraestrutura de gerenciamento do ciclo de vida da identidade para aplicativos.

Ciclo de vida da identidade

Para muitas organizações, o ciclo de vida da identidade para funcionários e outros trabalhadores está vinculado à representação dessa pessoa em um HCM (gerenciamento de capital humano) ou sistema de RH. As organizações precisam automatizar o processo de criação de uma identidade para um novo funcionário que seja baseada em um sinal desse sistema para que o funcionário possa ser produtivo no dia 1. E as organizações precisam garantir que essas identidades e acesso sejam removidos quando o funcionário deixar a organização.

No Microsoft Entra ID Governance, você pode automatizar o ciclo de vida da identidade para essas pessoas usando:

  • provisionamento de entrada das fontes de RH da sua organização, incluindo a recuperação do Workday e do SuccessFactors, para manter automaticamente as identidades dos usuários no Ative Directory e no Microsoft Entra ID.
  • fluxos de trabalho do ciclo de vida para automatizar tarefas de fluxo de trabalho que são executadas em determinados eventos-chave, como antes de um novo funcionário ser agendado para começar a trabalhar na organização, à medida que eles mudam de status durante seu tempo na organização e quando saem da organização. Por exemplo, um fluxo de trabalho pode ser configurado para enviar um e-mail com um passe de acesso temporário para o gerente de um novo usuário, ou um e-mail de boas-vindas para o usuário, no primeiro dia.
  • políticas de atribuição automática no gerenciamento de direitos para adicionar e remover associações de grupo, funções de aplicativo e funções de site do SharePoint de um usuário, com base em alterações nos atributos do usuário.
  • provisionamento de usuários para criar, atualizar e remover contas de usuário em outros aplicativos, com conectores para centenas de aplicativos locais e na nuvem via SCIM, LDAP e SQL.

As organizações também precisam de identidades adicionais, para parceiros, fornecedores e outros convidados, para permitir que colaborem ou tenham acesso a recursos.

No Microsoft Entra ID Governance, você pode habilitar grupos empresariais para determinar quais desses convidados devem ter acesso e por quanto tempo, usando:

  • Gerenciamento de direitos no qual você pode especificar as outras organizações cujos usuários têm permissão para solicitar acesso aos recursos da sua organização. Quando uma solicitação desses usuários é aprovada, eles são automaticamente adicionados pelo gerenciamento de direitos como convidado B2B ao diretório da sua organização e recebem o acesso apropriado. E o gerenciamento de direitos remove automaticamente o usuário convidado B2B do diretório da sua organização quando seus direitos de acesso expiram ou são revogados.
  • Acesse avaliações que automatizam avaliações recorrentes de hóspedes existentes que já estão no diretório da sua organização e remove esses usuários do diretório da sua organização quando eles não precisam mais de acesso.

Para obter mais informações, consulte O que é o gerenciamento do ciclo de vida da identidade.

Ciclo de vida do acesso

As organizações precisam de um processo para gerenciar o acesso além do que foi inicialmente provisionado para um usuário quando a identidade desse usuário foi criada. Além disso, as organizações empresariais precisam ser capazes de escalar de forma eficiente para serem capazes de desenvolver e aplicar políticas e controles de acesso de forma contínua.

Ciclo de vida do acesso

Com o Microsoft Entra ID Governance, os departamentos de TI podem estabelecer quais direitos de acesso os usuários devem ter em vários recursos e quais verificações de aplicação, como separação de tarefas ou remoção de acesso na mudança de trabalho, são necessárias. O Microsoft Entra ID tem conectores para centenas de aplicativos locais e na nuvem, e você pode integrar outros aplicativos da sua organização que dependem de grupos AD, outros diretórios ou bancos de dados locais, que têm uma API SOAP ou REST, incluindo SAP, ou que implementam padrões como SCIM, SAML ou OpenID Connect. Quando um usuário tenta entrar em um desses aplicativos, o Microsoft Entra ID impõe políticas de Acesso Condicional. Por exemplo, as políticas de Acesso Condicional podem incluir a exibição de termos de uso e a garantia de que o usuário concordou com esses termos antes de poder acessar um aplicativo. Para obter mais informações, consulte Controlar o acesso a aplicativos em seu ambiente, incluindo como definir políticas organizacionais para controlar o acesso a aplicativos, integrar aplicativos e implantar políticas.

As alterações de acesso entre aplicativos e grupos podem ser automatizadas com base em alterações de atributos. Os fluxos de trabalho do ciclo de vida do Microsoft Entra e o gerenciamento de direitos do Microsoft Entra adicionam e removem automaticamente os usuários em grupos ou pacotes de acesso, para que o acesso a aplicativos e recursos seja atualizado. Os usuários também podem ser movidos quando sua condição dentro da organização muda para grupos diferentes, e podem até mesmo ser removidos inteiramente de todos os grupos ou pacotes de acesso.

As organizações que anteriormente usavam um produto de governança de identidade local podem migrar seu modelo de função organizacional para o Microsoft Entra ID Governance.

Além disso, a TI pode delegar decisões de gerenciamento de acesso aos tomadores de decisões de negócios. Por exemplo, os funcionários que desejam acessar dados confidenciais de clientes no aplicativo de marketing de uma empresa na Europa podem precisar da aprovação de seu gerente, um líder de departamento ou proprietário de recursos e um oficial de risco de segurança. O gerenciamento de direitos permite definir como os usuários solicitam acesso entre pacotes de associações de grupo e equipe, funções de aplicativo e funções do SharePoint Online e impor verificações de separação de tarefas em solicitações de acesso.

As organizações também podem controlar quais usuários convidados têm acesso, inclusive a aplicativos locais. Esses direitos de acesso podem ser revisados regularmente usando revisões recorrentes de acesso do Microsoft Entra para recertificação de acesso.

Ciclo de vida de acesso privilegiado

Controlar o acesso privilegiado é uma parte fundamental da Governança de Identidade moderna, especialmente dado o potencial de uso indevido associado aos direitos de administrador que pode causar a uma organização. Os funcionários, fornecedores e contratados que assumem direitos administrativos precisam ter suas contas e direitos de acesso privilegiados governados.

Ciclo de vida de acesso privilegiado

O Microsoft Entra Privileged Identity Management (PIM) fornece controles adicionais adaptados para proteger direitos de acesso a recursos, no Microsoft Entra, Azure, outros Microsoft Online Services e outros aplicativos. O acesso just-in-time e os recursos de alerta de alteração de função fornecidos pelo Microsoft Entra PIM, além da autenticação multifator e do Acesso Condicional, fornecem um conjunto abrangente de controles de governança para ajudar a proteger os recursos da sua organização (funções de diretório, funções do Microsoft 365, funções de recursos do Azure e associações de grupo). Como acontece com outras formas de acesso, as organizações podem usar revisões de acesso para configurar a recertificação de acesso recorrente para todos os usuários em funções de administrador privilegiadas.

Requisitos de licença

O uso desse recurso requer licenças do Microsoft Entra ID Governance. Para encontrar a licença certa para seus requisitos, consulte Fundamentos de licenciamento do Microsoft Entra ID Governance.

Introdução

Confira os Pré-requisitos antes de configurar o Microsoft Entra ID para governança de identidade. Em seguida, visite o painel Governança no centro de administração do Microsoft Entra para começar a usar o gerenciamento de direitos, as revisões de acesso, os fluxos de trabalho do ciclo de vida e o Gerenciamento Privilegiado de Identidades.

Há também tutoriais para gerenciar o acesso a recursos no gerenciamento de direitos, integrar usuários externos ao Microsoft Entra ID por meio de um processo de aprovação, controlar o acesso aos seus aplicativos e aos usuários existentes do aplicativo.

Embora cada organização possa ter seus próprios requisitos exclusivos, os guias de configuração a seguir também fornecem as políticas de linha de base que a Microsoft recomenda que você siga para garantir uma força de trabalho mais segura e produtiva.

Você também pode querer se envolver com um dos serviços e parceiros de integração da Microsoft para planejar sua implantação ou integrar com os aplicativos e outros sistemas em seu ambiente.

Se você tiver algum feedback sobre os recursos de Governança de Identidade, selecione Tem comentários? no centro de administração do Microsoft Entra para enviar seus comentários. A equipa analisa regularmente os seus comentários.

Simplificando tarefas de governança de identidade com automação

Depois de começar a usar esses recursos de governança de identidade, você pode automatizar facilmente cenários comuns de governança de identidade. A tabela a seguir mostra como começar a usar a automação para cada cenário:

Cenário para automatizar Guia de automação
Criar, atualizar e excluir contas de usuário do AD e do Microsoft Entra automaticamente para funcionários Planejar o RH na nuvem para o provisionamento de usuários do Microsoft Entra
Atualizando a associação de um grupo, com base em alterações nos atributos do usuário membro Criar um grupo dinâmico
Atribuição de licenças Licenciamento baseado em grupo
Adicionar e remover associações de grupo, funções de aplicativo e funções de site do SharePoint de um usuário, com base em alterações nos atributos do usuário Configurar uma política de atribuição automática para um pacote de acesso no gerenciamento de direitos
Adicionar e remover associações de grupo, funções de aplicativo e funções de site do SharePoint de um usuário em uma data específica Definir configurações de ciclo de vida para um pacote de acesso no gerenciamento de direitos
Executar fluxos de trabalho personalizados quando um usuário solicita ou recebe acesso ou o acesso é removido Acionar aplicativos lógicos no gerenciamento de direitos
Ter regularmente as associações de convidados em grupos da Microsoft e no Teams revisadas e remover associações de convidados que são negadas Criar uma revisão de acesso
Remover contas de hóspedes que foram negadas por um colaborador Revisar e remover usuários externos que não têm mais acesso a recursos
Removendo contas de convidado que não têm atribuições de pacote de acesso Gerenciar o ciclo de vida de usuários externos
Provisionamento de usuários em aplicativos locais e na nuvem que têm seus próprios diretórios ou bancos de dados Configurar o provisionamento automático de usuários com atribuições de usuário ou filtros de escopo
Outras tarefas agendadas Automatize tarefas de governança de identidade com a Automação do Azure e o Microsoft Graph por meio do módulo PowerShell Microsoft.Graph.Identity.Governance

Apêndice - funções menos privilegiadas para gerenciamento em recursos de Governança de Identidade

É uma prática recomendada usar a função menos privilegiada para executar tarefas administrativas na Governança de Identidade. Recomendamos que você use o Microsoft Entra PIM para ativar uma função conforme necessário para executar essas tarefas. A seguir estão as funções de diretório menos privilegiadas para configurar os recursos de Governança de Identidade:

Caraterística Função com menos privilégios
Gestão de direitos Administrador de Governança de Identidade
Revisões de acesso Administrador de Usuário (exceto para revisões de acesso de funções do Azure ou do Microsoft Entra, que exigem Administrador de Função Privilegiada)
Privileged Identity Management Administrador de Funções com Privilégios
Termos de utilização Administrador de Segurança ou Administrador de Acesso Condicional

Nota

A função menos privilegiada para o gerenciamento de direitos foi alterada da função Administrador de Usuário para a função de Administrador de Governança de Identidade.

Próximos passos