Governança de usuários convidados do Microsoft Teams

Este cenário de exemplo ajuda os usuários a colaborar com outras organizações, fornecendo controles de identidade e governança para usuários externos ao usar a colaboração B2B do Microsoft Entra.

Arquitetura

Transfira um ficheiro do Visio desta arquitetura.

Fluxo de trabalho

1. Diretório de recursos - Este é o diretório do Microsoft Entra que contém recursos, que são grupos e equipes do Microsoft 365. Neste exemplo, o recurso é uma equipe de projeto que é adicionada ao pacote de acesso, para que usuários externos à organização possam solicitar acesso a ele.

2. Diretório externo (Organização conectada) - Este é o diretório externo do Microsoft Entra que contém usuários externos da organização conectada. Esses usuários podem ser permitidos por uma política para solicitar acesso à equipe do projeto.

3. Catálogo 1 - Um catálogo é um contêiner para recursos relacionados e pacotes de acesso. O catálogo 1 contém a equipe do projeto e seu pacote de acesso.

   Os catálogos permitem a delegação, para que os não-administradores possam criar pacotes de acesso. Os proprietários de catálogos podem adicionar recursos de sua propriedade a um catálogo.

4. Recursos - Estes são os recursos que aparecem nos pacotes de acesso. Eles podem incluir grupos de segurança, aplicativos e sites do SharePoint Online. Neste exemplo, é a equipe do projeto.

5. Acesso 1 - Um pacote de acesso é uma coleção de recursos com tipos de acesso para cada um. Os pacotes de acesso são usados para controlar o acesso de usuários internos e externos. Neste exemplo, a equipe do projeto é o recurso com uma única política que permite que usuários externos solicitem acesso. Os usuários internos neste exemplo não precisam usar o gerenciamento de direitos do Microsoft Entra. Eles são adicionados à equipe do projeto usando o Microsoft Teams.

6. Função de recurso do Grupo 1 - As funções de recurso são permissões associadas e definidas por um recurso. Um grupo tem duas funções: membro e proprietário. Os sites do SharePoint normalmente têm três funções, mas podem ter funções personalizadas adicionais. Os aplicativos podem ter funções personalizadas.

7. Política de acesso externo - Esta é a política que define as regras para atribuição a um pacote de acesso. Uma política é usada neste exemplo para garantir que os usuários de organizações conectadas possam solicitar acesso à equipe do projeto. Depois que uma solicitação é feita, é necessária a aprovação dos aprovadores, conforme definido na política. A política também especifica limites de tempo e configurações de renovação.

8. Aprovador - Um aprovador aprova a solicitação de acesso. Pode ser um utilizador interno ou externo.

9. Solicitante - É o usuário externo que solicita acesso por meio do portal Meu Acesso. O portal mostra apenas os pacotes de acesso que o solicitante tem permissão para solicitar.

Solicitando acesso a um recurso para usuários externos ao fluxo da organização

Aqui está um fluxo de trabalho de alto nível que mostra como o acesso ao grupo ou equipe do Microsoft 365 é concedido a usuários externos. Inclui a remoção de uma conta de convidado quando o acesso não é mais necessário ou um limite de tempo é atingido.

Componentes

• O Microsoft Entra ID oferece serviços de gerenciamento de identidade e acesso baseados em nuvem que fornecem uma maneira para os usuários entrarem e acessarem recursos. Tem as seguintes características e capacidades:
  • O gerenciamento de direitos do Microsoft Entra é um recurso de governança de identidade que permite que as organizações gerenciem ciclos de vida de identidade e acesso em escala, automatizando fluxos de trabalho de solicitação de acesso, atribuições de acesso, revisões e expiração.
  • A colaboração B2B (business-to-business) do Microsoft Entra é usada pelo gerenciamento de direitos do Microsoft Entra para compartilhar acesso, para que usuários internos possam colaborar com usuários externos.
  • As revisões de acesso do Microsoft Entra permitem que as organizações gerenciem com eficiência associações de grupo, acesso a aplicativos corporativos e atribuições de funções. O acesso do usuário pode ser revisado regularmente para garantir que apenas as pessoas certas tenham acesso contínuo.
  • O acesso de convidado do Microsoft Teams permite que usuários externos acessem equipes, canais, recursos, bate-papos e aplicativos, enquanto você mantém o controle sobre seus recursos corporativos.
  • O Acesso Condicional do Microsoft Entra reúne sinais para tomar decisões e aplicar políticas organizacionais. O Acesso Condicional nesta solução foi utilizado para aplicar os contratos de Termos de Utilização e a autenticação multifator, bem como para definir tempos limite de sessão para contas de convidados.

Alternativas

Uma solução alternativa ao gerenciamento de direitos do Microsoft Entra é permitir que usuários internos convidem usuários externos para uma equipe. Um usuário convidado pode então criar uma conta de convidado no diretório de recursos.

Essa alternativa não fornece os controles de identidade e governança que o cliente exigia. As deficiências em comparação com a gestão dos direitos AD são as seguintes:

• Os usuários externos não podem solicitar acesso — deve haver um convite. O usuário externo tem que saber como solicitar um convite, um processo que pode variar de acordo com a equipe, e mudar ao longo do tempo.
• Não há justificativas comerciais, notificações por e-mail, processos de revisão ou processos de aprovação, o que é um problema de auditoria.
• O acesso a recursos específicos não pode ser gerenciado, removido ou atualizado facilmente. Como é provável que os recursos do projeto mudem, essa é uma questão de eficiência.
• Se um usuário externo for convidado, mas a organização do usuário não for permitida, o acesso será negado ao usuário, causando confusão.
• As contas de convidado não são removidas automaticamente e não há um conjunto de expiração. Um processo manual para lidar com a expiração é propenso a erros e menos eficiente do que um processo automático que requer limites a serem definidos na criação da conta. Trata-se de uma questão de segurança e de eficiência.

É improvável que a criação de uma solução personalizada para lidar com esses problemas seja competitiva em termos de custos ou de recursos com o gerenciamento de direitos do AD.

Detalhes do cenário

Este cenário de exemplo foi construído durante a pandemia de COVID-19, quando um cliente tinha uma necessidade imediata de colaborar com outras organizações. Isso significava fornecer controles de identidade e governança para usuários externos.

O Microsoft Teams era a principal ferramenta do cliente para as comunicações da empresa. Os usuários colaboraram usando o bate-papo, reuniões e chamadas do Teams. Os canais do Teams forneciam acesso a arquivos e conversas.

As reuniões de equipas proporcionaram uma forma eficaz de se reunir com utilizadores externos. No entanto, os usuários externos não podiam acessar as equipes e canais, então colaborar com eles era desajeitado e a produtividade era prejudicada. O cliente precisava de algo melhor.

O Teams oferece duas opções para se comunicar e colaborar com usuários externos:

• Acesso externo - Um tipo de federação que permite que usuários internos localizem, liguem e conversem com usuários externos. Os usuários de acesso externo não podem ser adicionados às equipes, a menos que sejam convidados como convidados usando o acesso de convidado.
• Acesso de convidado - Permite que usuários internos convidem usuários externos para participar de uma equipe. Os usuários convidados recebem uma conta de convidado na ID do Microsoft Entra. O acesso de convidado permite que usuários externos sejam convidados para equipes e fornece acesso a documentos em canais e a recursos, chats e aplicativos. O cliente mantém o controle sobre os dados corporativos, conforme necessário.

O acesso de convidados atendeu aos requisitos de colaboração do cliente, mas gerou preocupações de segurança e governança:

• Os hóspedes só devem ter acesso a equipas específicas, conforme necessário, e apenas durante o tempo necessário. Quando um projeto é concluído, a conta de convidado deve ser removida.
• Deve haver um processo de aprovação para criar contas de convidado que satisfaça os requisitos de auditoria. Os usuários internos devem analisar as solicitações e aprová-las conforme apropriado.
• Deve ser possível construir e automatizar a solução rapidamente. Nenhuma conta de convidado pode ser criada até que os controles de segurança e governança apropriados estejam em vigor.

O gerenciamento de direitos do Microsoft Entra foi a principal ferramenta para satisfazer os requisitos de segurança e governança:

• Ele ajuda a gerenciar com eficiência o acesso a grupos do Microsoft 365, incluindo equipes, aplicativos e sites online do SharePoint, para usuários internos e externos.
• Ele fornece a capacidade de automatizar fluxos de trabalho de solicitação de acesso, atribuições de acesso, revisões e expiração.

O acesso de convidado e o direito ao Microsoft Entra juntos atenderam aos requisitos de colaboração do cliente. Os utilizadores externos podem juntar-se a equipas selecionadas e o acesso é gerido. Além disso, o gerenciamento de direitos do Microsoft Entra oferece funcionalidades para possível uso futuro, como o gerenciamento de acesso a recursos que não sejam equipes.

Potenciais casos de utilização

Essa solução se aplica a qualquer situação que exija o gerenciamento de acesso — para os usuários internos e externos que precisam dele, para grupos, aplicativos e sites do SharePoint Online. O gerenciamento de direitos do Microsoft Entra tem estes recursos e vantagens:

• Há integração e gerenciamento simplificados para o acesso dos funcionários a recursos como:
  • Grupos de segurança do Microsoft Entra.
  • Grupos do Microsoft 365.
  • Equipas do Microsoft 365.
  • Aplicações, incluindo aplicações SaaS.
  • Aplicativos personalizados que implementam medidas de segurança apropriadas.
  • Sites do SharePoint Online.
• Existem procedimentos simplificados para que os utilizadores externos tenham acesso aos recursos de que necessitam.
• Você pode designar quais organizações conectadas têm permissão para fornecer usuários externos que podem solicitar acesso.
• Um usuário que solicita acesso e é aprovado é automaticamente convidado para o diretório da equipe e recebe acesso aos recursos.
• Um limite de tempo pode ser definido no acesso de um usuário aos recursos, com remoção automática quando o limite é atingido.
• Quando o acesso expira para um usuário externo que não tem outras atribuições de pacote de acesso, a conta do usuário pode ser removida automaticamente.
• Você pode garantir que os usuários não tenham mais acesso do que o necessário.
• Há um processo de aprovação para solicitações de acesso que inclui a aprovação por indivíduos designados, como gerentes.
• Você pode gerenciar o acesso a outros recursos que dependem de grupos de segurança do Microsoft Entra ou grupos do Microsoft 365. Um exemplo é a concessão de licenças aos usuários usando o licenciamento baseado em grupo.
• Você pode delegar a não-administradores a capacidade de criar pacotes de acesso que contenham recursos que os usuários podem solicitar.

Considerações

Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que podem ser usados para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Microsoft Azure Well-Architected Framework.

Uma etapa de implementação importante é definir as configurações do locatário para permitir usuários externos.

1. Habilitar catálogo para usuários externos - Verifique se o catálogo tem Habilitado para usuários externos definido como Sim. Por padrão, quando você cria um novo catálogo no gerenciamento de direitos do Microsoft Entra, ele é habilitado para permitir que usuários externos solicitem acesso a pacotes no catálogo.
2. Configurações de colaboração externa do Microsoft Entra B2B - As configurações de colaboração externa do Azure B2B podem afetar se você pode usar o gerenciamento de direitos do Microsoft Entra para convidar usuários externos para recursos. Verifique estas configurações:
   • Verifique se os hóspedes podem convidar outros convidados para o seu diretório. Recomendamos definir que os hóspedes podem convidar para Não para permitir apenas convites controlados.
   • Certifique-se de que está a permitir ou bloquear convites de forma adequada. Para obter mais informações, consulte Permitir ou bloquear convites para usuários B2B de organizações específicas.
3. Reveja as suas políticas de Acesso Condicional - Verifique o Acesso Condicional para se certificar de que os utilizadores convidados são excluídos de quaisquer políticas de Acesso Condicional que não possam satisfazer. Caso contrário, eles não poderão entrar no seu diretório e não terão acesso ao recurso.
4. Rever as definições de partilha externa do SharePoint Online - Se incluir sites do SharePoint Online num pacote de acesso para utilizadores externos, certifique-se de que define a definição de partilha externa ao nível da organização. Defina como Qualquer pessoa se o início de sessão não for necessário ou Convidados existentes para utilizadores convidados. Para obter mais informações, consulte Alterar a configuração de compartilhamento externo no nível da organização.
5. Rever as definições de partilha de grupos do Microsoft 365 - Se incluir grupos ou equipas do Microsoft 365 num pacote de acesso para utilizadores externos, certifique-se de que Permitir que os utilizadores adicionem novos convidados à organização está definido como Ativado para permitir o acesso de convidados.
6. Rever a definição de partilha do Teams - Se incluir equipas num pacote de acesso para utilizadores externos, certifique-se de que Permitir acesso de convidado no Microsoft Teams está definido como Ativado para permitir acesso de convidado. Além disso, verifique se as configurações de Acesso de Convidado do Teams estão definidas.
7. Gerenciar o ciclo de vida de usuários externos - Você pode selecionar o que acontece quando um usuário externo não tem mais atribuições de pacote de acesso. Isso acontece quando todas as atribuições são abandonadas pelo usuário ou expiradas. Por padrão, o usuário é impedido de entrar no diretório. Após 30 dias, a conta de usuário convidado é removida do diretório.

Considerações adicionais:

• Atribuição de acesso - Os pacotes de acesso não substituem outros mecanismos de atribuição de acesso. Eles são mais apropriados em situações como:
  • Os funcionários precisam de acesso limitado no tempo para uma tarefa específica.
  • O acesso requer a aprovação de um gerente ou outra pessoa designada.
  • Os departamentos querem gerenciar seus recursos sem o envolvimento de TI.
  • Duas ou mais organizações estão colaborando em um projeto, portanto, vários usuários de uma organização precisam ser convidados a acessar os recursos de outra organização.
• Atualizando recursos - Com o gerenciamento de direitos do Microsoft Entra, você pode alterar os recursos em um pacote de acesso a qualquer momento. Os usuários do pacote têm seu acesso aos recursos ajustado automaticamente para corresponder ao pacote alterado.

Otimização de custos

A otimização de custos consiste em procurar formas de reduzir despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, consulte Visão geral do pilar de otimização de custos.

• O uso do gerenciamento de direitos do Microsoft Entra requer uma licença P2 do Microsoft Entra ID.
• O acesso de convidado pode ser usado com todas as assinaturas do Microsoft 365 Business Standard, Microsoft 365 Business Premium e Microsoft 365 Education. Nenhuma licença adicional do Microsoft 365 é necessária.
• O modelo de cobrança do Microsoft Entra External ID aplica-se a convidados no Microsoft 365. Apenas utilizadores externos podem ser convidados como convidados.

Contribuidores

Este artigo é mantido pela Microsoft. Foi originalmente escrito pelos seguintes contribuidores.

Autor principal:

• Martin Boam - Brasil | Arquiteto Associado

Próximos passos

• Visão geral de equipes e canais no Microsoft Teams
• Compreender as equipas e os canais no Microsoft Teams
• Utilizar o acesso de convidado e o acesso externo para colaborar com pessoas que não pertencem à sua organização
• Criar um novo pacote de acesso no gerenciamento de direitos do Microsoft Entra
• Tutorial: Gerenciar o acesso a recursos no gerenciamento de direitos do Microsoft Entra
• O que é o gerenciamento de direitos do Microsoft Entra?
• O que é o Microsoft Entra ID Governance?
• O que são revisões de acesso do Microsoft Entra?
• Cenários comuns no gerenciamento de direitos do Microsoft Entra
• Controlar o acesso de usuários externos no gerenciamento de direitos do Microsoft Entra
• Controlar o acesso de usuários externos à sua organização
• Colabore com convidados em uma equipe
• Use o acesso de convidado e o acesso externo para colaborar com pessoas externas à sua organização
• Colaborar com pessoas fora da sua organização
• O que é o Acesso Condicional?

Recursos relacionados

• Criar uma floresta de recursos do AD DS no Azure
• Implantar o AD DS em uma rede virtual do Azure
• Identidade híbrida
• Integrar domínios do AD locais com o Microsoft Entra ID
• Gerenciamento de identidades e acesso do Microsoft Entra para AWS