O que são revisões de acesso?
As revisão de acesso do Microsoft Entra ID, parte do Microsoft Entra, permitem que as organizações gerenciem com eficiência as associações a grupos, o acesso a aplicativos empresariais e a atribuições de função. O acesso do usuário pode ser examinado regularmente para garantir que somente as pessoas corretas tenham acesso contínuo.
Aqui está um vídeo que fornece uma visão geral das revisões de acesso:
Por que as revisão de acesso são importantes?
O Microsoft Entra ID habilita você a colaborar com usuários dentro da sua organização e com usuários externos. Os usuários podem ingressar em grupos, convidar pessoas, conectar-se aos aplicativos de nuvem e trabalhar remotamente com seus dispositivos pessoais ou de trabalho. A conveniência de usar o autoatendimento levou a uma necessidade de melhores recursos de gerenciamento de acesso.
- Conforme novos funcionários ingressam, como garantir que eles tenham o acesso de que precisam para serem produtivos?
- Quando as pessoas mudam de equipes ou saem da empresa, como garantir que seu antigo acesso seja removido?
- Direitos de acesso excessivos podem levar a comprometimentos.
- O excesso de direitos de acesso também pode levar a constatações de auditoria, pois indica falta de controle sobre o acesso.
- Você tem que se envolver proativamente com os proprietários do recurso para garantir que eles revisam regularmente quem tem acesso a seus recursos.
Quando usar revisões de acesso?
- Muitos usuários em funções com privilégios: é recomendável verificar quantos usuários têm acesso administrativo, quantos deles são Administradores Globais e se há convidados ou parceiros que não foram removidos após a atribuição para executar uma tarefa administrativa. Você pode recertificar a atribuição de funções de usuários em funções do Microsoft Entra como Administradores Globais ou em funções de recursos do Azure como Administrador de Funções com Privilégios na experiência do Microsoft Entra Privileged Identity Management (PIM).
- Quando a automação não é possível: você pode criar regras para associação dinâmica em grupos de segurança ou grupos do Microsoft 365, mas e se os dados de RH não estiverem no Microsoft Entra ID ou se os usuários ainda precisarem de acesso após deixar o grupo para treinar a substituição deles? Você pode então criar uma revisão nesse grupo para garantir que aqueles que ainda precisam de acesso mantenham o acesso.
- Quando um grupo é usado para uma nova finalidade: se você tiver um grupo que será sincronizado ao Microsoft Entra ID ou se você habilitar o aplicativo Salesforce para qualquer pessoa no grupo de equipe de vendas, peça ao proprietário do grupo para examinar a associação do grupo antes de o grupo ser usado em um conteúdo de risco diferente.
- Acesso a dados comercialmente críticos: para determinados recursos, como aplicativos comercialmente críticos, pode ser necessário, como parte dos processos de conformidade, solicitar que as pessoas se reconfirmem regularmente e forneçam uma justificativa sobre por que precisam de acesso contínuo.
- Para manter a lista de exceções de uma política: em um mundo ideal, todos os usuários seguiriam as políticas de acesso para proteger o acesso aos recursos de sua organização. No entanto, às vezes, há casos comerciais em que é necessário fazer exceções. Como o administrador de TI, você pode gerenciar essa tarefa, evitar supervisão de exceções à política e fornecer os auditores a comprovação de que essas exceções são revisadas regularmente.
- Peça aos proprietários do grupo que confirmem que ainda precisam de convidados em seus grupos: o acesso de funcionários pode ser automatizado com outros recursos de gerenciamento de identidade e acesso, como fluxos de trabalho de ciclo de vida com base em dados de uma fonte de RH, mas não convidados. Se um grupo oferece acesso de convidados para conteúdo confidencial da empresa, em seguida, é responsabilidade do proprietário do grupo se confirmar os convidados ainda terão uma necessidade comercial legítima de acesso.
- Faça revisões periodicamente: você pode configurar revisões de acesso recorrentes de usuários em frequências definidas, como semanal, mensal, trimestral ou anual, e os revisores serão notificados no início de cada revisão. Os revisores podem aprovar ou negar acesso com uma interface amigável e com a ajuda de recomendações inteligentes.
Observação
Se estiver pronto para experimentar as revisões de acesso, dê uma olhada em Criar uma revisão de acesso de grupos ou aplicativos
Onde você cria as revisões?
Dependendo do que deseja revisar, você cria a revisão de acesso em revisões de acesso, nos aplicativos corporativos do Microsoft Entra, no PIM ou no gerenciamento de direitos.
| Direitos de acesso dos usuários | Revisores podem ser | Revisão criada em | Experiência do revisor |
|---|---|---|---|
| Membros do grupo de segurança Membros do grupo do Office | Autorevisão dos proprietários do grupo de revisores especificados | revisões de acesso de grupos do Microsoft Entra | Painel de acesso |
| Atribuído a um aplicativo conectado | Autorevisão de revisores especificados | revisões de acessode aplicativos empresariais do Microsoft Entra | Painel de acesso |
| Função do Microsoft Entra | Autorevisão de revisores especificados | PIM | Centro de administração do Microsoft Entra |
| Função de recurso do Azure | Autorevisão de revisores especificados | PIM | Centro de administração do Microsoft Entra |
| Atribuições de pacote de acesso | Revisores especificadosMembros do grupoAutorrevisão | Gerenciamento de direitos | Painel de acesso |
Requisitos de licença
O uso desse recurso requer assinaturas do Microsoft Entra ID Governance para os usuários da sua organização. Alguns recursos dentro desse recurso podem operar com uma assinatura do Microsoft Entra ID P2; confira os artigos de cada funcionalidade para obter mais detalhes. Para encontrar a licença certa para seus requisitos, confira Conceitos básicos de licenciamento do Microsoft Entra ID Governance.
Observação
A criação de uma revisão sobre usuários inativos e com recomendações de afiliação de uso a grupo requer uma licença do Microsoft Entra ID Governance.
Próximas etapas
- Preparar-se para uma revisão de acesso de usuários a um aplicativo
- Criar uma revisão de acesso de grupos ou aplicativos
- Criar uma revisão de acesso de usuários em uma função administrativa do Microsoft Entra
- Examinar o acesso a grupos ou aplicativos
- Concluir uma revisão de acesso de grupos ou aplicativos