Compartilhar via

Saiba mais sobre tipos de grupo, tipos de associação e gerenciamento de acesso

  • Artigo

O Microsoft Entra ID fornece diversas maneiras de gerenciar o acesso a recursos, aplicativos e tarefas. Com os grupos do Microsoft Entra, você pode conceder acesso e permissões a um grupo de usuários em vez de a cada usuário individual. Limitar o acesso aos recursos do Microsoft Entra somente aos usuários que precisam dele é um dos princípios de segurança mais importantes da Confiança Zero.

Este artigo fornece uma visão geral de como grupos e direitos de acesso podem ser usados em conjunto para facilitar o gerenciamento dos usuários do Microsoft Entra e, ao mesmo tempo, aplicar as práticas recomendadas de segurança.

Observação

Alguns grupos não podem ser gerenciados no portal do Azure ou no Centro de administração do Microsoft Entra.

  • Os grupos sincronizados do Active Directory local só podem ser gerenciados localmente.
  • Listas de distribuição e grupos de segurança habilitados para email só podem ser gerenciados no centro de administração do Exchange ou no centro de administração do Microsoft 365. Você deve entrar e ter as permissões apropriadas para que o centro de administração gerencie esses grupos.

Visão geral dos grupos do Microsoft Entra

O uso efetivo de grupos pode reduzir tarefas manuais, como atribuir funções e permissões a usuários individuais. Você pode atribuir funções a um grupo e atribuir membros a um grupo com base em sua função de trabalho ou departamento. Você pode criar uma política de Acesso Condicional que se aplique a um grupo e, em seguida, atribuir a política ao grupo. Devido aos possíveis usos para grupos, é importante entender como eles funcionam e como eles são gerenciados.

Tipos de grupo

Você pode gerenciar dois tipos de grupos no Centro de administração do Microsoft Entra:

  • Grupos de segurança: usado para gerenciar o acesso aos recursos compartilhados.

    • Os membros de um grupo de segurança podem incluir usuários, dispositivos, entidades de serviço.
    • Os grupos podem ser membros de outros grupos, às vezes conhecidos como grupos aninhados. Veja a nota.
    • Usuários e entidades de serviço podem ser os proprietários de um grupo de segurança.

  • grupos do Microsoft 365: Fornecer oportunidades de colaboração.

    • Os membros de um grupo do Microsoft 365 só podem incluir usuários.
    • Usuários quanto entidades de serviço podem ser proprietários de um grupo do Microsoft 365.
    • Pessoas fora de sua organização podem ser membros de um grupo.
    • Para obter mais informações, consulte Saiba mais sobre Grupos do Microsoft 365.

Observação

Quando um grupo de segurança existente é aninhado em outro grupo de segurança, somente os membros do grupo pai terão acesso aos recursos e aplicativos compartilhados. Para obter mais informações sobre como gerenciar grupos aninhados, confira Como gerenciar grupos.

Tipos de associação

  • Grupos atribuídos: permite adicionar usuários específicos como membros de um grupo para ter permissões exclusivas.
  • grupo de associação dinâmica para usuários: Permite que você use regras para adicionar e remover automaticamente usuários como membros. Se os atributos de um membro forem alterados, o sistema examinará suas regras de grupos de associação dinâmica para o diretório. O sistema verificará se o membro atende aos requisitos da regra (é adicionado) ou não atende mais aos requisitos das regras (é removido).
  • grupo de associação dinâmica para dispositivos: Permite que você use regras para adicionar e remover dispositivos automaticamente como membros. Se os atributos de um dispositivo forem alterados, o sistema examinará as regras de grupos de associação dinâmica do diretório para ver se o dispositivo atende aos requisitos de regra (é adicionado) ou não atende mais aos requisitos de regras (é removido).

Importante

Você pode criar um grupo dinâmico para dispositivos ou usuários, mas não para ambos. Você não pode criar um grupo de dispositivos com base em atributos os proprietários do dispositivo. Regras de associação de dispositivo só podem fazer referência a atributos do dispositivo. Para obter mais informações, consulte Criar um grupo dinâmico.

Gerenciamento de acesso

A ID do Microsoft Entra ajuda você a dar acesso aos recursos da sua organização fornecendo direitos de acesso a um único usuário ou grupo. O uso de grupos permite que o proprietário do recurso ou o proprietário do diretório do Microsoft Entra atribua um conjunto de permissões de acesso a todos os membros do grupo. O proprietário do recurso ou diretório também pode conceder direitos de gerenciamento de grupo a alguém, como um gerente de departamento ou um administrador de suporte técnico, o que permite que essa pessoa adicione e remova membros. Para saber como gerenciar proprietários de grupos, confira o artigo Gerenciar grupos.

Os recursos aos quais os grupos do Microsoft Entra podem gerenciar o acesso podem ser:

  • Parte da sua organização do Microsoft Entra, como permissões para gerenciar usuários, aplicativos, cobrança e outros objetos.
  • Externo à sua organização, como aplicativos SaaS (software como serviço) que não são da Microsoft.
  • Serviços do Azure
  • Sites do SharePoint
  • Recursos locais

Cada aplicativo, recurso e serviço que requer permissões de acesso precisa ser gerenciado separadamente porque as permissões para um podem não ser iguais às outras. Conceda acesso usando o princípio de privilégio mínimo para ajudar a reduzir o risco de ataque ou de violação de segurança.

Tipos de atribuição

Depois de criar um grupo, você precisa decidir como gerenciar seu acesso.

  • Atribuição direta. O proprietário do recurso atribui diretamente o usuário ao recurso.

  • Atribuição de grupo. O proprietário do recurso atribui um grupo do Microsoft Entra ao recurso, que fornece automaticamente a todos os membros do grupo acesso ao recurso. A associação de grupo é gerenciada pelo proprietário do grupo e pelo proprietário do recurso, permitindo que ambos os proprietários adicionem ou removam membros do grupo. Para saber como gerenciar a associação ao grupo, confira o artigo Grupos gerenciados.

  • Atribuição baseada em regra. O proprietário do recurso cria um grupo e usa uma regra para definir quais usuários são atribuídos a um recurso específico. A regra é baseada em atributos designados a usuários individuais. O proprietário do recurso gerencia a regra, determinando quais atributos e valores são necessários para permitir o acesso ao recurso. Para obter mais informações, consulte Criar um grupo dinâmico.

  • Atribuição de autoridade externa. Acesso proveniente de uma fonte externa, como um diretório local ou um aplicativo SaaS. Nessa situação, o proprietário do recurso atribui um grupo para fornecer acesso ao recurso e, em seguida, a fonte externa gerencia os membros do grupo.

Práticas recomendadas para gerenciar grupos na nuvem

Veja a seguir as práticas recomendadas para gerenciar grupos na nuvem:

  • Habilitar o gerenciamento de grupo de autoatendimento: Permitir que os usuários pesquisem e ingressem em grupos ou criem e gerenciem seus próprios grupos do Microsoft 365.
    • Capacita as equipes a se organizarem enquanto reduzem a carga administrativa sobre a TI.
    • Aplique uma política de nomenclatura de grupo para bloquear o uso de palavras restritas e garantir a consistência.
    • Impedir que grupos inativos permaneçam habilitando políticas de expiração de grupo, que exclui automaticamente grupos não utilizados após um período especificado, a menos que seja renovado por um proprietário de grupo.
    • Configure grupos para aceitar automaticamente todos os usuários que ingressarem ou exigirem aprovação.
    • Para obter mais informações, confira Configurar o gerenciamento de grupos de autoatendimento no Microsoft Entra ID.
  • Aproveite os rótulos de confidencialidade: Use rótulos de confidencialidade para classificar e governar grupos do Microsoft 365 com base em suas necessidades de segurança e conformidade.
  • Automatizar a associação com grupos dinâmicos: Implementar regras de associação dinâmica para adicionar ou remover automaticamente usuários e dispositivos de grupos com base em atributos como departamento, local ou cargo.
    • Minimiza as atualizações manuais e reduz o risco de acesso persistente.
    • Esse recurso se aplica a grupos e grupos de segurança do Microsoft 365.
  • realizar revisões periódicas de acesso: usar os recursos de Governança de Identidade do Microsoft Entra para agendar revisões de acesso regulares.
  • Gerenciar associação com pacotes de acesso: Criar pacotes de acesso com o Microsoft Entra Identity Governance para simplificar o gerenciamento de várias associações de grupo. Os pacotes de acesso podem:
    • Incluir fluxos de trabalho de aprovação para associação
    • Definir critérios para expiração de acesso
    • Fornecer uma maneira centralizada de conceder, examinar e revogar o acesso entre grupos e aplicativos
    • Para obter mais informações, consulte Criar um pacote de acesso no gerenciamento de direitos
  • Atribuir vários proprietários de grupo: Atribuir pelo menos dois proprietários a um grupo para garantir a continuidade e reduzir as dependências de um único indivíduo.
  • Usar o licenciamento baseado em grupo: licenciamento baseado em grupo simplifica o provisionamento de usuários e garante atribuições de licença consistentes.
  • Aplicar RBAC (Controles de Acesso Baseados em Funções): Atribuir funções para controlar quem pode gerenciar os grupos.

Conteúdo relacionado