Criar revisões de acesso para grupos e aplicativos

  • 12 minutos

O acesso a grupos e aplicativos para funcionários e convidados muda ao longo do tempo. Para reduzir o risco associado a atribuições de acesso obsoletas, os administradores podem usar o Microsoft Entra ID para criar revisões de acesso para membros do grupo ou acesso a aplicativos. Se precisar de rever rotineiramente o acesso, também pode criar revisões de acesso recorrentes.

Assista a este vídeo para saber mais sobre como implantar e criar revisões de acesso.

Pré-requisitos

  • Microsoft Entra ID Premium P2
  • Administrador Global ou Administrador de Usuários

Criar uma ou mais avaliações de acesso

  1. Entre no portal do Azure e abra a página Governança de Identidade.

  2. No menu à esquerda, selecione Acessar avaliações.

  3. Selecione Nova revisão de acesso para criar uma nova revisão de acesso.

    Screenshot of the Access reviews pane in Identity Governance.

  4. Na Etapa 1: selecione o que revisar , selecione o recurso que você gostaria de revisar.

    Screenshot of the Create an access review - Review name and description dialog.

  5. Se selecionou Equipas + Grupos no Passo 1, tem duas opções no Passo 2:

    • Todos os grupos do Microsoft 365 com usuários convidados. Selecione essa opção se quiser criar avaliações recorrentes em todos os usuários convidados em todos os grupos do Microsoft Teams e do Microsoft 365 em sua organização. Você pode optar por excluir determinados grupos selecionando "Selecionar grupo(s) a ser excluído(s)".

    • Selecione equipas + grupos. Selecione esta opção se quiser especificar um conjunto finito de equipas e/ou grupos para rever. Depois de selecionar essa opção, você verá uma lista de grupos à direita para escolher.

      Screenshot of the Teams and groups settings. Pick your groups to exclude.Screenshot of the Teams and groups chosen in the user interface. Selected items are excluded.

  6. Se você selecionou Aplicativos na Etapa 1, poderá selecionar um ou mais aplicativos na Etapa 2.

    Screenshot of The interface displayed if you chose applications rather than groups.

  7. Em seguida, na Etapa 3, você pode selecionar um escopo para a revisão. As suas opções:

    • Somente usuários convidados. Selecionar essa opção limita a revisão de acesso apenas aos usuários convidados do Microsoft Entra B2B em seu diretório.

    • Todos. A seleção dessa opção define o escopo da revisão de acesso a todos os objetos de usuário associados ao recurso.

      Nota

      Se você selecionou Todos os grupos do Microsoft 365 com usuários convidados na Etapa 2, sua única opção é revisar os usuários convidados na Etapa 3.

  8. Selecione em Próximo: Comentários

  9. Na seção Selecionar revisores, selecione uma ou mais pessoas para realizar as revisões de acesso. Pode escolher entre:

    • Proprietário(s) do grupo (disponível apenas ao realizar uma avaliação em uma equipe ou grupo)
    • Utilizador(es) ou grupo(s) selecionado(s)
    • Os usuários analisam o próprio acesso
    • (Pré-visualização) Gestores de utilizadores. Se você escolher Gerentes de usuários ou Proprietários de grupo, também terá a opção de especificar um revisor de fallback. Os revisores de fallback são solicitados a fazer uma revisão quando o usuário não tem um gerente especificado no diretório ou o grupo não tem um proprietário.

  10. Na seção Especificar recorrência de revisão, você pode especificar uma frequência como Semanal, Mensal, Trimestral, Semestral, Anual. Em seguida, você especifica uma Duração, que define por quanto tempo uma revisão ficará aberta para entrada dos revisores. Por exemplo, a duração máxima que você pode definir para uma avaliação mensal é de 27 dias para evitar a sobreposição de avaliações. Talvez você queira reduzir a duração para garantir que a entrada dos revisores seja aplicada mais cedo. Em seguida, você pode selecionar uma Data de início e uma Data de término.

    Screenshot of the Choose how often the review should happen. Admins should set a reasonable timeline.

  11. Selecione o botão Next: Settings na parte inferior da página.

  12. Nas configurações Após a conclusão, você pode especificar o que acontece após a conclusão da revisão.

    Screenshot of the Create an access review - upon completion settings.

    Se você quiser remover automaticamente o acesso para usuários negados, defina Auto apply results to resource como Enable. Se quiser aplicar manualmente os resultados quando a revisão for concluída, defina a opção como Desativar. Use a lista Se os revisores não responderem para especificar o que acontece com os usuários que não são revisados pelo revisor dentro do período de revisão. Essa configuração não afeta os usuários que foram revisados pelos revisores manualmente. Se a decisão do revisor final for Negar, o acesso do usuário será removido.

    • Sem alteração - Deixe o acesso do usuário inalterado
    • Remover acesso - Remover acesso do usuário
    • Aprovar acesso - Aprovar acesso do usuário
    • Tome recomendações - Siga a recomendação do sistema sobre como negar ou aprovar o acesso contínuo do usuário

    Use a Ação para aplicar em usuários convidados negados para especificar o que acontece com os usuários convidados se eles forem negados.

    • Remover a associação do usuário do recurso removerá o acesso negado do usuário ao grupo ou aplicativo que está sendo revisado, ele ainda poderá entrar no locatário.
    • Bloquear usuário de entrar por 30 dias e, em seguida, remover usuário do locatário bloqueará os usuários negados de entrar no locatário, independentemente de terem acesso a outros recursos. Se houve um erro ou se um administrador decidir reativar o acesso, ele pode fazê-lo dentro de 30 dias após o usuário ter sido desativado. Se não houver nenhuma ação executada nos usuários desabilitados, eles serão excluídos do locatário.
    • A ação a ser aplicada a usuários convidados negados não é configurável em avaliações com escopo superior a usuários convidados. Também não é configurável para avaliações de todos os grupos do Microsoft 365 com usuários convidados. Quando não é configurável, a opção padrão de remover a associação do usuário do recurso é usada em usuários negados.

  13. Em Ativar decisão de revisão, os auxiliares escolhem se você deseja que o revisor receba recomendações durante o processo de revisão.

    Screenshot of the Enable decision helpers options. Offer recommendations to the reviewers.

  14. Na seção Configurações avançadas, você pode escolher o seguinte

    • Defina Justificação necessária para Permitir para exigir que o revisor forneça um motivo para a aprovação.
    • Defina as notificações por email como Habilitar para que o Microsoft Entra ID envie notificações por email aos revisores quando uma revisão de acesso for iniciada e aos administradores quando uma revisão for concluída.
    • Defina Lembretes como Habilitado para que a ID do Microsoft Entra envie lembretes de revisões de acesso em andamento para revisores que não concluíram a avaliação. Esses lembretes serão feitos na metade da duração da revisão.
    • O conteúdo do e-mail enviado aos revisores é gerado automaticamente com base nos detalhes da revisão, como nome da revisão, nome do recurso, data de vencimento, etc. Se precisar de uma maneira de comunicar informações adicionais, como instruções adicionais ou informações de contato, especifique esses detalhes na seção Conteúdo adicional para e-mail do revisor. As informações inseridas são incluídas nos e-mails de convite e lembrete enviados aos revisores atribuídos. A seção destacada na imagem abaixo mostra onde essas informações são exibidas.

  15. Selecione Seguinte: Rever + Criar para ir para a página seguinte.

  16. Nomeie a revisão de acesso. Opcionalmente, dê uma descrição à avaliação. O nome e a descrição são mostrados aos revisores.

  17. Reveja as informações e selecione Criar.

    Screenshot of the create review screen. Overview of the access review that has just finished creation.

Iniciar a revisão de acesso

Depois de especificar as configurações para uma revisão de acesso, selecione Iniciar. A revisão de acesso aparecerá na sua lista com um indicador do seu estado.

Screenshot of the List of access reviews and their status. Review the status of each item.

Por padrão, o Microsoft Entra ID envia um e-mail aos revisores logo após o início da revisão. Se você optar por não fazer com que o Microsoft Entra ID envie o email, certifique-se de informar aos revisores que uma revisão de acesso está aguardando sua conclusão. Pode mostrar-lhes as instruções sobre como rever o acesso a grupos ou aplicações. Se a avaliação for para que os hóspedes avaliem o próprio acesso, mostre-lhes as instruções de como avaliar o acesso de si mesmo a grupos ou aplicativos.

Se você tiver atribuído hóspedes como revisores e eles não aceitarem o convite, eles não receberão um e-mail das avaliações de acesso, pois primeiro devem aceitar o convite antes de fazer a avaliação.

Acessar tabela de status de revisão

Estado Definição
NotStarted A revisão foi criada, a descoberta do usuário está aguardando para começar.
A inicializar A descoberta de usuários está em andamento para identificar todos os usuários que fazem parte da revisão.
A iniciar A revisão está começando. Se as notificações por e-mail estiverem ativadas, os e-mails serão enviados aos revisores.
InProgress A revisão já começou. Se as notificações por e-mail estiverem ativadas, os e-mails serão enviados aos revisores. Os revisores podem submeter decisões até à data prevista.
A Concluir A revisão está sendo concluída e os e-mails estão sendo enviados para o proprietário da avaliação.
Revisão automática A revisão está em um estágio de revisão do sistema. O sistema está registrando decisões para usuários que não foram revisados com base em recomendações ou decisões pré-configuradas.
Revisado automaticamente As decisões foram registradas pelo sistema para todos os usuários que não foram revisados. A revisão está pronta para prosseguir para Aplicar se a Opção de Candidatura Automática estiver ativada.
Candidatura Não haverá alteração no acesso para os usuários que foram aprovados.
Aplicado Os usuários negados, se houver, foram removidos do recurso ou diretório.
Com Falha A revisão não pôde progredir. Este erro pode estar relacionado com a eliminação do inquilino, uma alteração nas licenças ou outras alterações internas do inquilino.

Crie avaliações por meio de APIs

Você também pode criar revisões de acesso usando APIs. O que você faz para gerenciar revisões de acesso de grupos e usuários de aplicativos no portal do Azure também pode ser feito usando APIs do Microsoft Graph.