O que são revisões de acesso?
As revisões de acesso no Microsoft Entra ID, parte do Microsoft Entra, permitem que as organizações gerenciem com eficiência associações de grupo, acesso a aplicativos corporativos e atribuições de função. O acesso do usuário pode ser revisado regularmente para garantir que apenas as pessoas certas tenham acesso contínuo.
Aqui está um vídeo que fornece uma visão geral rápida das avaliações de acesso:
Por que as avaliações de acesso são importantes?
O Microsoft Entra ID permite que você colabore com usuários de dentro da sua organização e com usuários externos. Os utilizadores podem participar em grupos, convidar convidados, ligar-se a aplicações na nuvem e trabalhar remotamente a partir dos seus dispositivos pessoais ou profissionais. A conveniência de usar o autosserviço levou à necessidade de melhores recursos de gerenciamento de acesso.
- À medida que novos funcionários se juntam, como você garante que eles tenham o acesso de que precisam para serem produtivos?
- À medida que as pessoas mudam de equipe ou deixam a empresa, como você garante que seu acesso antigo seja removido?
- O excesso de direitos de acesso pode conduzir a compromissos.
- O direito de acesso excessivo também pode conduzir a conclusões de auditoria, uma vez que indicam uma falta de controlo sobre o acesso.
- Você tem que se envolver proativamente com os proprietários de recursos para garantir que eles revisem regularmente quem tem acesso aos seus recursos.
Quando você deve usar as avaliações de acesso?
- Muitos usuários em funções privilegiadas: é uma boa ideia verificar quantos usuários têm acesso administrativo, quantos deles são Administradores Globais e se há convidados ou parceiros que não foram removidos depois de serem atribuídos para executar uma tarefa administrativa. Você pode recertificar os usuários de atribuição de função em funções do Microsoft Entra, como Administradores Globais, ou funções de recursos do Azure, como Administrador de Acesso de Usuário, na experiência de Gerenciamento de Identidades Privilegiadas (PIM) do Microsoft Entra.
- Quando a automação não é possível: você pode criar regras para associação dinâmica em grupos de segurança ou Grupos do Microsoft 365, mas e se os dados de RH não estiverem no ID do Microsoft Entra ou se os usuários ainda precisarem de acesso depois de sair do grupo para treinar sua substituição? Em seguida, você pode criar uma revisão nesse grupo para garantir que aqueles que ainda precisam de acesso mantenham o acesso.
- Quando um grupo é usado para uma nova finalidade: se você tiver um grupo que será sincronizado com o Microsoft Entra ID ou se planeja habilitar o aplicativo Salesforce para todos no grupo da equipe de vendas, será útil solicitar ao proprietário do grupo que revise a associação ao grupo antes que o grupo seja usado em um conteúdo de risco diferente.
- Acesso a dados críticos para os negócios: para determinados recursos, como aplicativos críticos para os negócios, pode ser necessário, como parte dos processos de conformidade, pedir às pessoas que reconfirmem regularmente e forneçam uma justificativa sobre por que precisam de acesso contínuo.
- Para manter a lista de exceções de uma política: em um mundo ideal, todos os usuários seguiriam as políticas de acesso para proteger o acesso aos recursos da sua organização. No entanto, às vezes há casos de negócios que exigem que você faça exceções. Como administrador de TI, você pode gerenciar essa tarefa, evitar a supervisão de exceções de política e fornecer aos auditores provas de que essas exceções são revisadas regularmente.
- Peça aos proprietários de grupos que confirmem que ainda precisam de convidados em seus grupos: o acesso de funcionários pode ser automatizado com outros recursos de gerenciamento de identidade e acesso, como fluxos de trabalho de ciclo de vida com base em dados de uma fonte de RH, mas não convidados convidados. Se um grupo conceder aos hóspedes acesso a conteúdo confidencial da empresa, é responsabilidade do proprietário do grupo confirmar que os hóspedes ainda têm uma necessidade comercial legítima de acesso.
- Fazer com que as revisões se repitam periodicamente: você pode configurar revisões de acesso recorrentes de usuários em frequências definidas, como semanal, mensal, trimestral ou anual, e os revisores são notificados no início de cada avaliação. Os revisores podem aprovar ou negar acesso com uma interface amigável e com a ajuda de recomendações inteligentes.
Nota
Se você estiver pronto para experimentar as revisões do Access, dê uma olhada em Criar uma revisão de acesso de grupos ou aplicativos
Onde você cria avaliações?
Dependendo do que você deseja revisar, crie sua revisão de acesso em revisões de acesso, aplicativos empresariais do Microsoft Entra, PIM, ou gerenciamento de direitos.
| Direitos de acesso dos utilizadores | Os revisores podem ser | Revisão criada em | Experiência do revisor |
|---|---|---|---|
| Membrosdo grupo de segurança Membros do grupo do Office | Revisores especificadosProprietários dogrupo Auto-revisão | acessar avaliaçõesGrupos do Microsoft Entra | Painel de acesso |
| Atribuído a um aplicativo conectado | Revisores especificadosAuto-revisão | acesso a comentáriosMicrosoft Entra aplicações empresariais | Painel de acesso |
| Função do Microsoft Entra | Revisores especificadosAuto-revisão | PIM | Centro de Administração do Microsoft Entra |
| Função de recurso do Azure | Revisores especificadosAuto-revisão | PIM | Centro de Administração do Microsoft Entra |
| Aceder a atribuições de pacotes | Revisores especificadosMembros dogrupo Auto-revisão | Gestão de direitos | Painel de acesso |
Requisitos de licença
O uso desse recurso requer assinaturas do Microsoft Entra ID Governance para os usuários da sua organização. Alguns recursos dentro desse recurso podem operar com uma assinatura do Microsoft Entra ID P2, consulte os artigos de cada recurso para obter mais detalhes. Para encontrar a licença certa para seus requisitos, consulte Fundamentos de licenciamento do Microsoft Entra ID Governance.
Nota
Criar uma revisão sobre usuários inativos e com recomendações de afiliação de usuário para grupo requer uma licença de Governança de ID do Microsoft Entra.
Próximos passos
- Preparar-se para uma revisão de acesso dos usuários a um aplicativo
- Criar uma revisão de acesso de grupos ou aplicativos
- Criar uma revisão de acesso de usuários em uma função administrativa do Microsoft Entra
- Rever o acesso a grupos ou aplicações
- Concluir uma revisão de acesso de grupos ou aplicativos