Gerir o acesso a uma aplicação
O gerenciamento contínuo de acesso, a avaliação de uso e os relatórios continuam a ser um desafio depois que um aplicativo é integrado ao sistema de identidade da sua organização. Em muitos casos, os administradores de TI ou o suporte técnico têm de assumir um papel ativo contínuo na gestão do acesso às suas aplicações. Às vezes, a atribuição é realizada por uma equipe de TI geral ou divisional. Muitas vezes, a decisão de atribuição destina-se a ser delegada ao tomador de decisões de negócios, exigindo sua aprovação antes que a TI faça a atribuição.
Outras organizações investem na integração com um sistema automatizado de gerenciamento de identidade e acesso existente, como o RBAC (Controle de Acesso Baseado em Função) ou o ABAC (Controle de Acesso Baseado em Atributos). Tanto a integração como o desenvolvimento de regras tendem a ser especializados e dispendiosos. Monitorar ou relatar qualquer uma das abordagens de gestão é seu próprio investimento separado, dispendioso e complexo.
Como o Microsoft Entra ID ajuda?
O Microsoft Entra ID oferece suporte ao gerenciamento de acesso extensivo para aplicativos configurados, permitindo que as organizações alcancem facilmente as políticas de acesso corretas, que vão desde a atribuição automática baseada em atributos (cenários ABAC ou RBAC) até a delegação e incluindo o gerenciamento de administradores. Com o Microsoft Entra ID, você pode facilmente obter políticas complexas, combinando vários modelos de gerenciamento para um único aplicativo e pode até mesmo reutilizar regras de gerenciamento entre aplicativos com os mesmos públicos.
Com o Microsoft Entra ID, os relatórios de uso e atribuição são totalmente integrados, permitindo que os administradores relatem facilmente o estado da atribuição, erros de atribuição e até mesmo o uso.
Atribuir utilizadores e grupos a uma aplicação
A atribuição de aplicativos do Microsoft Entra se concentra em dois modos de atribuição principais:
Atribuição individual Um administrador de TI com permissões de Administrador Global de diretório pode selecionar contas de usuário individuais e conceder-lhes acesso ao aplicativo.
Atribuição baseada em grupo (requer o Microsoft Entra ID P1 ou P2) Um administrador de TI com permissões de Administrador Global de diretório pode atribuir um grupo ao aplicativo. O acesso de usuários específicos é determinado pelo fato de eles serem membros do grupo no momento em que tentam acessar o aplicativo. Em outras palavras, um administrador pode efetivamente criar uma regra de atribuição informando "qualquer membro atual do grupo atribuído tem acesso ao aplicativo". Usando essa opção de atribuição, os administradores podem se beneficiar de qualquer uma das opções de gerenciamento de grupo do Microsoft Entra, incluindo grupos dinâmicos baseados em atributos, grupos de sistemas externos (por exemplo, Ative Directory local ou Workday) ou grupos gerenciados pelo administrador ou gerenciados por autoatendimento. Um único grupo pode ser facilmente atribuído a vários aplicativos, certificando-se de que os aplicativos com afinidade de atribuição possam compartilhar regras de atribuição, reduzindo a complexidade geral do gerenciamento.
Nota
No momento, não há suporte para associações de grupo aninhadas para atribuição baseada em grupo a aplicativos.
Usando esses dois modos de atribuição, os administradores podem alcançar qualquer abordagem desejável de gerenciamento de atribuições.
Exigindo atribuição de usuário para um aplicativo
Com certos tipos de aplicativos, você tem a opção de exigir que os usuários sejam atribuídos ao aplicativo. Ao fazer isso, você impede que todos entrem, exceto os usuários atribuídos explicitamente ao aplicativo. Os tipos de aplicações que se seguem suportam esta opção:
- Aplicativos configurados para logon único federado (SSO) com autenticação baseada em SAML
- Aplicativos de proxy de aplicativo que usam a pré-autenticação do Microsoft Entra
- Aplicações que são desenvolvidas na plataforma de aplicações do Microsoft Entra e utilizam a Autenticação OpenID Connect/OAuth 2.0 após o consentimento de um utilizador ou administrador. Alguns aplicativos corporativos oferecem mais controle sobre quem tem permissão para entrar.
Quando a atribuição do utilizador é necessária, apenas os utilizadores que atribua à aplicação (seja através da atribuição direta do utilizador ou com base na associação ao grupo) podem iniciar sessão. Eles podem acessar o aplicativo no portal Meus Aplicativos ou usando um link direto.
Quando a atribuição de usuário não é necessária, os usuários não atribuídos não veem o aplicativo em seus Meus Aplicativos, mas ainda podem entrar no próprio aplicativo (também conhecido como logon iniciado por SP) ou podem usar a URL de Acesso do Usuário na página Propriedades do aplicativo (também conhecida como logon iniciado pelo IDP). Para obter mais informações sobre como exigir configurações de atribuição de usuário, consulte Configurar um aplicativo
Esta definição não afeta se uma aplicação aparece ou não em As Minhas Aplicações. Os aplicativos aparecem nos painéis de acesso Meus Aplicativos dos usuários depois que você atribui um usuário ou grupo ao aplicativo.
Nota
Quando um aplicativo requer atribuição, o consentimento do usuário para esse aplicativo não é permitido. Isto aplica-se mesmo que o consentimento do utilizador seja permitido. Confirme que concede consentimento administrativo a todos os inquilinos para as aplicações que exigem atribuição.
Para alguns aplicativos, a opção de exigir atribuição de usuário não está disponível nas propriedades do aplicativo. Nesses casos, você pode usar o PowerShell para definir a propriedade appRoleAssignmentRequired na entidade de serviço.
Determinando a experiência do usuário para acessar aplicativos
O Microsoft Entra ID fornece várias maneiras personalizáveis de implantar aplicativos para usuários finais em sua organização:
- Microsoft Entra Meus Aplicativos
- Iniciador de aplicações Microsoft 365
- Início de sessão direto para aplicações federadas (service-pr)
- Ligações avançadas para aplicações federadas, baseadas em palavras-passe ou existentes
Você pode determinar se os usuários atribuídos a um aplicativo corporativo podem vê-lo em Meus Aplicativos e no inicializador de aplicativos do Microsoft 365.
Exemplo: atribuição de aplicativo complexo com o Microsoft Entra ID
Considere um aplicativo como o Salesforce. Em muitas organizações, o Salesforce é usado principalmente pelas equipes de marketing e vendas. Muitas vezes, os membros da equipe de marketing têm acesso altamente privilegiado ao Salesforce, enquanto os membros da equipe de vendas têm acesso limitado. Em muitos casos, uma ampla população de profissionais da informação restringiu o acesso ao aplicativo. As exceções a estas regras complicam as coisas. Muitas vezes, é prerrogativa das equipes de marketing ou liderança de vendas conceder acesso a um usuário ou alterar suas funções independentemente dessas regras genéricas.
Com o Microsoft Entra ID, aplicativos como o Salesforce podem ser pré-configurados para logon único (SSO) e provisionamento automatizado. Depois que o aplicativo estiver configurado, um administrador poderá executar a ação única para criar e atribuir os grupos apropriados. Neste exemplo, um administrador pode executar as seguintes atribuições:
Os grupos dinâmicos podem ser definidos para representar automaticamente todos os membros das equipes de marketing e vendas usando atributos como departamento ou função:
- Todos os membros de grupos de marketing seriam atribuídos à função de "marketing" no Salesforce
- Todos os membros dos grupos da equipe de vendas seriam atribuídos à função "vendas" no Salesforce. Um aperfeiçoamento adicional poderia usar vários grupos que representam equipes de vendas regionais atribuídas a diferentes funções do Salesforce.
Para habilitar o mecanismo de exceção, um grupo de autoatendimento pode ser criado para cada função. Por exemplo, o grupo "Exceção de marketing do Salesforce" pode ser criado como um grupo de autoatendimento. O grupo pode ser atribuído à função de marketing do Salesforce e a equipe de liderança de marketing pode se tornar proprietária. Os membros da equipe de liderança de marketing podem adicionar ou remover usuários, definir uma política de ingresso ou até mesmo aprovar ou negar solicitações de usuários individuais para participar. Este mecanismo é apoiado através de uma experiência adequada do profissional da informação que não requer formação especializada para proprietários ou membros.
Nesse caso, todos os usuários atribuídos seriam automaticamente provisionados para o Salesforce. À medida que são adicionados a grupos diferentes, sua atribuição de função é atualizada no Salesforce. Os usuários podem descobrir e acessar o Salesforce por meio de Meus Aplicativos, clientes Web do Office ou navegando até a página de login organizacional do Salesforce. Os administradores podem visualizar facilmente o status de uso e atribuição usando o relatório de ID do Microsoft Entra.
Os administradores podem empregar o Acesso Condicional do Microsoft Entra para definir políticas de acesso para funções específicas. Essas políticas podem incluir se o acesso é permitido fora do ambiente corporativo e até mesmo a autenticação multifator ou os requisitos do dispositivo para obter acesso em vários casos.
Acesso a aplicações Microsoft
Os aplicativos da Microsoft (como Exchange, SharePoint, Yammer, etc.) são atribuídos e gerenciados de forma um pouco diferente dos aplicativos SaaS de terceiros ou outros aplicativos que você integra ao Microsoft Entra ID para logon único.
Há três maneiras principais de um usuário obter acesso a um aplicativo publicado pela Microsoft.
Para aplicativos no Microsoft 365 ou em outros pacotes pagos, os usuários recebem acesso por meio de atribuição de licença diretamente à sua conta de usuário ou por meio de um grupo usando nosso recurso de atribuição de licença baseado em grupo.
Para aplicativos que a Microsoft ou um terceiro publica livremente para qualquer pessoa usar, os usuários podem ter acesso por meio do consentimento do usuário. Os usuários entram no aplicativo com sua conta corporativa ou de estudante do Microsoft Entra e permitem que ele tenha acesso a algum conjunto limitado de dados em sua conta.
Para aplicativos que a Microsoft ou um terceiro publica livremente para qualquer pessoa usar, os usuários também podem receber acesso por meio do consentimento do administrador. Isso significa que um administrador determinou que o aplicativo pode ser usado por todos na organização, para que eles entrem no aplicativo com uma conta de Administrador Global e concedam acesso a todos na organização.
Algumas aplicações combinam estes métodos. Por exemplo, determinados aplicativos da Microsoft fazem parte de uma assinatura do Microsoft 365, mas ainda exigem consentimento.
Os usuários podem acessar aplicativos do Microsoft 365 por meio de seus portais do Office 365. Você também pode mostrar ou ocultar aplicativos do Microsoft 365 em Meus Aplicativos com a alternância de visibilidade do Office 365 nas configurações de usuário do diretório.
Tal como acontece com as aplicações empresariais, pode atribuir utilizadores a determinadas aplicações Microsoft através do centro de administração do Microsoft Entra ou utilizando o PowerShell.