O que é a gestão de direitos?

O gerenciamento de direitos é um recurso de governança de identidade que permite que as organizações gerenciem o ciclo de vida de identidade e acesso em escala, automatizando fluxos de trabalho de solicitação de acesso, atribuições de acesso, revisões e expiração.

As pessoas nas organizações precisam de acesso a vários grupos, aplicativos e sites do SharePoint Online para executar seu trabalho. Gerenciar esse acesso é um desafio, pois os requisitos mudam. Novos aplicativos são adicionados ou os usuários precisam de mais direitos de acesso. Esse cenário fica mais complicado quando você colabora com organizações externas. Talvez você não saiba quem na outra organização precisa acessar os recursos da sua organização e eles não saberão quais aplicativos, grupos ou sites sua organização está usando.

O gerenciamento de direitos pode ajudá-lo a gerenciar com mais eficiência o acesso a grupos, aplicativos e sites do SharePoint Online para usuários internos e também para usuários fora da sua organização que precisam de acesso a esses recursos.

Porquê utilizar a gestão de direitos?

As organizações empresariais geralmente enfrentam desafios ao gerenciar o acesso da força de trabalho a recursos como:

  • Os utilizadores podem não saber que acesso devem ter e, mesmo que o façam, podem ter dificuldade em localizar as pessoas certas para aprovar o seu acesso
  • Depois que os usuários encontram e recebem acesso a um recurso, eles podem manter o acesso por mais tempo do que o necessário para fins comerciais

Esses problemas são agravados para usuários que precisam de acesso de outra organização, como usuários externos que são de organizações da cadeia de suprimentos ou outros parceiros de negócios. Por exemplo:

  • Nenhuma pessoa pode conhecer todos os indivíduos específicos nos diretórios de outra organização para poder convidá-los
  • Mesmo que eles pudessem convidar esses usuários, ninguém nessa organização pode se lembrar de gerenciar todos os acessos dos usuários de forma consistente

A gestão de direitos pode ajudar a enfrentar esses desafios. Para saber mais sobre como os clientes têm usado o gerenciamento de direitos, você pode ler os estudos de caso da Divisão do Mississippi da Medicaid, Storebrand e Avanade. Este vídeo fornece uma visão geral da gestão de direitos e seu valor:

O que posso fazer com a gestão de direitos?

Aqui estão alguns dos recursos de gerenciamento de direitos:

  • Controle quem pode obter acesso a aplicativos, grupos, equipes e sites do SharePoint, com aprovação de vários estágios, e garanta que os usuários não mantenham o acesso indefinidamente por meio de atribuições limitadas por tempo e revisões de acesso recorrentes.
  • Dê aos usuários acesso automático a esses recursos, com base nas propriedades do usuário, como departamento ou centro de custo, e remova o acesso de um usuário quando essas propriedades forem alteradas.
  • Delegue a não-administradores a capacidade de criar pacotes de acesso. Esses pacotes de acesso contêm recursos que os usuários podem solicitar, e os gerenciadores de pacotes de acesso delegado podem definir políticas com regras para as quais os usuários podem solicitar, quem deve aprovar seu acesso e quando o acesso expira.
  • Selecione organizações conectadas cujos usuários possam solicitar acesso. Quando um usuário que ainda não está em seu diretório solicita acesso e é aprovado, ele é automaticamente convidado para seu diretório e recebe acesso. Quando seu acesso expirar, se eles não tiverem outras atribuições de pacote de acesso, sua conta B2B em seu diretório poderá ser removida automaticamente.

Nota

Se você estiver pronto para experimentar o gerenciamento de direitos, você pode começar com nosso tutorial para criar seu primeiro pacote de acesso.

Você também pode ler os cenários comuns ou assistir a vídeos, incluindo

O que são pacotes de acesso e que recursos posso gerir com eles?

A gestão de direitos introduz o conceito de pacote de acesso. Um pacote de acesso é um pacote de todos os recursos com o acesso que um usuário precisa para trabalhar em um projeto ou executar sua tarefa. Os pacotes de acesso podem ser usados para controlar o acesso para seus funcionários e também para usuários originários de fora da sua organização.

Aqui estão os tipos de recursos aos quais você pode gerenciar o acesso do usuário, com gerenciamento de direitos:

  • Associação de grupos de segurança do Microsoft Entra
  • Associação de Grupos e Equipas do Microsoft 365
  • Atribuição a aplicações empresariais Microsoft Entra, incluindo aplicações SaaS e aplicações integradas personalizadas que suportam federação/início de sessão único e/ou aprovisionamento
  • Associação de sites do SharePoint Online

Você também pode controlar o acesso a outros recursos que dependem de grupos de segurança do Microsoft Entra ou Grupos do Microsoft 365. Por exemplo:

  • Você pode conceder licenças de usuários para o Microsoft 365 usando um grupo de segurança do Microsoft Entra em um pacote de acesso e configurando o licenciamento baseado em grupo para esse grupo.
  • Você pode conceder aos usuários acesso para gerenciar recursos do Azure usando um grupo de segurança do Microsoft Entra em um pacote de acesso e criando uma atribuição de função do Azure para esse grupo.
  • Você pode conceder aos usuários acesso para gerenciar funções do Microsoft Entra usando grupos atribuíveis a funções do Microsoft Entra em um pacote de acesso e atribuindo uma função do Microsoft Entra a esse grupo.

Como posso controlar quem obtém acesso?

Com um pacote de acesso, um administrador ou gerente de pacotes de acesso delegado lista os recursos (grupos, aplicativos e sites) e as funções que os usuários precisam para esses recursos.

Os pacotes de acesso também incluem uma ou mais políticas. Uma política define as regras ou guarda-corpos para atribuição ao pacote de acesso. Cada política pode ser usada para garantir que apenas os usuários apropriados possam ter atribuições de acesso, e o acesso é limitado no tempo e expirará se não for renovado.

Diagram of access package and policies.

Você pode ter políticas para que os usuários solicitem acesso. Nesses tipos de políticas, um administrador ou gerenciador de pacotes de acesso define

  • Os usuários já existentes (normalmente funcionários ou convidados já convidados) ou as organizações parceiras de usuários externos qualificados para solicitar acesso
  • O processo de aprovação e os usuários que podem aprovar ou negar acesso
  • A duração da atribuição de acesso de um usuário, uma vez aprovada, antes que a atribuição expire

Você também pode ter políticas para que os usuários recebam acesso, seja por um administrador, automaticamente com base em regras ou por meio de fluxos de trabalho do ciclo de vida.

O diagrama seguinte mostra um exemplo dos diferentes elementos na gestão de direitos. Ele mostra um catálogo com dois pacotes de acesso de exemplo.

  • O pacote do Access 1 inclui um único grupo como recurso. O acesso é definido com uma política que permite que um conjunto de usuários no diretório solicite acesso.
  • O pacote do Access 2 inclui um grupo, um aplicativo e um site do SharePoint Online como recursos. O acesso é definido com duas políticas diferentes. A primeira política permite que um conjunto de usuários no diretório solicite acesso. A segunda política permite que os usuários em um diretório externo solicitem acesso.

Entitlement management overview diagram

Quando devo usar os pacotes de acesso?

Os pacotes de acesso não substituem outros mecanismos de atribuição de acesso. Eles são mais apropriados em situações como:

  • Migrando definições de política de acesso de um gerenciamento de função corporativa de terceiros para o Microsoft Entra ID.
  • Os usuários precisam de acesso limitado no tempo para uma tarefa específica. Por exemplo, você pode usar o licenciamento baseado em grupo e um grupo dinâmico para garantir que todos os funcionários tenham uma caixa de correio do Exchange Online e, em seguida, usar pacotes de acesso para situações em que os funcionários precisam de mais direitos de acesso. Por exemplo, direitos para ler recursos departamentais de outro departamento.
  • Acesso que requer a aprovação do gerente de uma pessoa ou de outras pessoas designadas.
  • Acesso que deve ser atribuído automaticamente a pessoas em uma parte específica de uma organização durante seu tempo nessa função de trabalho, mas também disponível para pessoas em outros lugares da organização, ou em uma organização parceira de negócios, solicitar.
  • Os departamentos desejam gerenciar suas próprias políticas de acesso para seus recursos sem o envolvimento de TI.
  • Duas ou mais organizações estão colaborando em um projeto e, como resultado, vários usuários de uma organização precisarão ser trazidos via Microsoft Entra B2B para acessar os recursos de outra organização.

Como delegar o acesso?

Os pacotes do Access são definidos em contêineres chamados catálogos. Você pode ter um único catálogo para todos os seus pacotes de acesso ou pode designar indivíduos para criar e possuir seus próprios catálogos. Um administrador pode adicionar recursos a qualquer catálogo, mas um não-administrador só pode adicionar a um catálogo os recursos que possui. Um proprietário de catálogo pode adicionar outros usuários como coproprietários de catálogo ou como gerenciadores de pacotes de acesso. Esses cenários são descritos mais detalhadamente no artigo delegação e funções no gerenciamento de direitos.

Resumo da terminologia

Para entender melhor o gerenciamento de direitos e sua documentação, consulte a seguinte lista de termos.

Termo Description
pacote de acesso Um pacote de recursos que uma equipe ou projeto precisa e é regido por políticas. Um pacote de acesso está sempre contido em um catálogo. Você criaria um novo pacote de acesso para um cenário no qual os usuários precisam solicitar acesso.
pedido de acesso Uma solicitação para acessar os recursos em um pacote de acesso. Uma solicitação normalmente passa por um fluxo de trabalho de aprovação. Se aprovado, o usuário solicitante recebe uma atribuição de pacote de acesso.
Atribuição Uma atribuição de um pacote de acesso a um usuário garante que o usuário tenha todas as funções de recurso desse pacote de acesso. As atribuições de pacotes de acesso normalmente têm um limite de tempo antes de expirarem.
catálogo Um contêiner de recursos relacionados e pacotes de acesso. Os catálogos são usados para delegação, para que os não-administradores possam criar seus próprios pacotes de acesso. Os proprietários de catálogos podem adicionar recursos de sua propriedade a um catálogo.
criador de catálogos Uma coleção de usuários autorizados a criar novos catálogos. Quando um usuário não administrador autorizado a ser um criador de catálogo cria um novo catálogo, ele se torna automaticamente o proprietário desse catálogo.
organização conectada Um diretório ou domínio externo do Microsoft Entra com o qual você tem um relacionamento. Os usuários de uma organização conectada podem ser especificados em uma política como tendo permissão para solicitar acesso.
política Um conjunto de regras que define o ciclo de vida do acesso, como como os usuários obtêm acesso, quem pode aprovar e por quanto tempo os usuários têm acesso por meio de uma atribuição. Uma política está ligada a um pacote de acesso. Por exemplo, um pacote de acesso pode ter duas políticas - uma para os funcionários solicitarem acesso e uma segunda para usuários externos solicitarem acesso.
recurso Um ativo, como um grupo do Office, um grupo de segurança, um aplicativo ou um site do SharePoint Online, com uma função para a qual um usuário pode receber permissões.
Diretório de Recursos Um diretório que tem um ou mais recursos para compartilhar.
função de recurso Uma coleção de permissões associadas e definidas por um recurso. Um grupo tem duas funções - membro e proprietário. Os sites do SharePoint normalmente têm três funções, mas podem ter outras funções personalizadas. Os aplicativos podem ter funções personalizadas.

Requisitos da licença

O uso desse recurso requer assinaturas do Microsoft Entra ID Governance para os usuários da sua organização. Alguns recursos dentro desse recurso podem operar com uma assinatura do Microsoft Entra ID P2, consulte os artigos de cada recurso para obter mais detalhes. Para encontrar a licença certa para seus requisitos, consulte Fundamentos de licenciamento do Microsoft Entra ID Governance.

Próximos passos