Gerenciar o acesso de usuários e convidados com revisões de acesso
Com as revisões de acesso, você pode garantir facilmente que os usuários ou convidados tenham acesso adequado. Você pode pedir aos próprios usuários, ou a um tomador de decisão, que participem de uma revisão de acesso e reconfirmar (ou atestar) o acesso dos usuários. Os avaliadores podem dar sua opinião sobre a necessidade de cada usuário de acesso contínuo com base nas sugestões do Microsoft Entra ID. Quando uma revisão de acesso for finalizada, você poderá alterar e remover o acesso de usuários que não precisam mais dela.
Observação
Este artigo aborda a condução de revisões de acesso para usuários e aplicativos. Para ver informações sobre como conduzir uma revisão de acesso para vários recursos em pacotes de acesso, consulte aqui Revisar o acesso de um pacote de acesso no gerenciamento de direitos do Microsoft Entra. Se você quiser revisar o acesso da entidade de serviço ou usuário às funções de recurso do ID do Microsoft Entra ou do Azure, consulte Iniciar uma revisão de acesso no Microsoft Entra Privileged Identity Management.
Pré-requisitos
- Governança do Microsoft Entra ID P2 ou Microsoft Entra ID
Para obter mais informações, veja Requisitos de licença.
Criar e executar uma revisão de acesso para usuários
Primeiro, você precisa receber uma das seguintes funções:
- Administrador Global
- Administrador de usuários
- Administrador de governança de identidade
- Administrador de função com privilégios (para revisões de grupos atribuíveis a funções apenas)
- (Versão prévia) O proprietário do Grupo de Segurança do Microsoft 365 ou do Microsoft Entra do grupo a ser examinado
Observação
Seguindo o acesso com privilégios mínimos, recomendamos usar o Administrador do Identity Governance ou o Administrador de usuários para essas tarefas.
Em seguida, acesse a página Governança de Identidade para verificar se as revisões de acesso estão prontas para sua organização.
Você pode ter um ou mais usuários como revisores de uma revisão de acesso.
Selecione um grupo no Microsoft Entra ID que tenha um ou mais membros. Ou selecione um aplicativo conectado ao Microsoft Entra ID que tenha um ou mais usuários atribuídos a ele.
Decida se cada usuário revisará o próprio acesso ou se um ou mais usuários revisarão o acesso de todos.
Em uma das funções listadas anteriormente, vá para a página Governança de Identidade.
Crie a revisão de acesso. Para obter mais informações, confira Criar uma revisão de acesso de grupos ou aplicativos.
Quando a revisão de acesso começar, solicite que os revisores enviem opiniões. Por padrão, cada um recebe um email do Microsoft Entra ID com um link para o painel de acesso, onde ele revisará o acesso a grupos ou aplicativos.
Se os revisores não tiverem fornecido uma avaliação, você pode pedir ao Microsoft Entra ID para enviar um lembrete a eles. Por padrão, o ID do Microsoft Entra envia automaticamente um lembrete até a data de término para todos os revisores.
Depois dos revisores enviarem a avaliação, pare a revisão de acesso e aplique as alterações. Para obter mais informações, confira Concluir uma revisão de acesso de grupos ou aplicativos.
Gerenciar acesso do convidado com revisões de acesso do Microsoft Entra
Com o ID do Microsoft Entra, você pode habilitar facilmente a colaboração entre limites organizacionais usando o recurso Microsoft Entra B2B. Usuários convidados de outros locatários podem ser convidados por administradores ou por outros usuários. Isso também se aplica às identidades sociais, como contas da Microsoft.
Criar e executar uma revisão de acesso para convidados
As mesmas funções necessárias para criar uma revisão de acesso para os usuários também são necessárias para criar uma revisão de acesso para convidados. Para obter mais informações, confira Criar e realizar uma revisão de acesso para usuários.
O Microsoft Entra ID habilita vários cenários para revisar usuários convidados.
Você pode revisar uma das seguintes opções:
- Um grupo no Microsoft Entra ID que tem um ou mais convidados como membros.
- Um aplicativo conectado ao Microsoft Entra ID que tenha um ou mais usuários convidados atribuídos a ele.
Ao examinar o acesso de usuário convidado aos grupos do Microsoft 365, você pode criar uma revisão para cada grupo individualmente ou ativar revisões de acesso recorrentes e automáticas de usuários convidados em todos os grupos do Microsoft 365. O seguinte vídeo fornece mais informações sobre as revisões de acesso recorrentes de usuários convidados:
Você pode decidir se deseja pedir que cada convidado revise seu próprio acesso ou solicitar que um ou mais usuários revisem o acesso de cada convidado.
Esses cenários são abordados nas seções a seguir.
Pedir que os convidados revisem suas próprias associações em um grupo
As revisões de acesso podem ser usadas para garantir que usuários convidados e adicionados a um grupo ainda precisam do acesso. Você pode pedir que os convidados revisem suas próprias associações em tal grupo.
Para criar uma revisão de acesso para o grupo, opte pela revisão só incluir os membros usuários convidados e indicar que os membros sejam responsáveis pela própria revisão. Para obter mais informações, confira Criar uma revisão de acesso de grupos ou aplicativos.
Peça que cada convidado revise a própria associação. Por padrão, cada convidado que aceita um convite receberá um email do Microsoft Entra ID com um link para a revisão de acesso. O Microsoft Entra ID tem instruções para convidados sobre como examinar o acesso a grupos ou aplicativos.
Depois dos revisores enviarem a avaliação, pare a revisão de acesso e aplique as alterações. Para obter mais informações, confira Concluir uma revisão de acesso de grupos ou aplicativos.
Além daqueles usuários que negaram a necessidade de continuar com o acesso, convém também remover os usuários que não responderam.
Se o grupo não estiver sendo usado para gerenciamento de acesso, você também poderá remover usuários que não foram selecionados para participar da revisão por não terem aceitado o convite. Caso o usuário não aceite, isso pode indicar que o endereço de email do usuário convidado continha um erro de digitação. Se um grupo for usado como uma lista de distribuição, talvez alguns usuários convidados não tenham sido selecionados para participarem por serem objetos de contato.
Pedir que um responsável revise a associação de um convidado em um grupo
Você pode pedir a um responsável, como o proprietário de um grupo, que revise a necessidade do convidado de continuar com a associação em um grupo.
Para criar uma revisão de acesso para o grupo, opte pela revisão só incluir os membros usuários convidados. Em seguida, especifique um ou mais revisores. Para obter mais informações, confira Criar uma revisão de acesso de grupos ou aplicativos.
Solicite que os revisores forneçam a entrada. Por padrão, cada um recebe um email do Microsoft Entra ID com um link para o painel de acesso, onde ele revisará o acesso a grupos ou aplicativos.
Depois dos revisores enviarem a avaliação, pare a revisão de acesso e aplique as alterações. Para obter mais informações, confira Concluir uma revisão de acesso de grupos ou aplicativos.
Observação
Você pode bloquear identidades externas de entrar em seu locatário e excluir as identidades externas do seu locatário após 30 dias. Durante esse período, as configurações, os resultados, os revisores ou os logs de auditoria na revisão atual não poderão ser exibidos nem configurados. Para obter mais informações, consulte Desabilitar e excluir identidades externas com revisões de acesso do Microsoft Entra.
Pedir que os convidados revisem seus próprios acessos a um aplicativo
As revisões de acesso podem ser usadas para garantir que os usuários convidados de um aplicativo específico ainda precisam do acesso. Você pode pedir que os próprios convidados revisem suas necessidades de acesso.
Para criar uma revisão de acesso para o aplicativo, opte pela revisão só incluir os convidados e indicar que os usuários sejam responsáveis pela própria revisão de acesso. Para obter mais informações, confira Criar uma revisão de acesso de grupos ou aplicativos.
Peça que cada convidado revise seu próprio acesso ao aplicativo. Por padrão, cada convidado que aceita um convite receberá um email do Microsoft Entra ID. Esse o email tem um link para a revisão de acesso no painel de acesso da sua organização. O Microsoft Entra ID tem instruções para convidados sobre como revisar o acesso a grupos ou aplicativos.
Depois dos revisores enviarem a avaliação, pare a revisão de acesso e aplique as alterações. Para obter mais informações, confira Concluir uma revisão de acesso de grupos ou aplicativos.
Além dos usuários que negaram a necessidade de continuar com o acesso, convém também remover os usuários convidados que não responderam. Você também pode remover usuários convidados que não foram selecionados para participar, especialmente se eles não foram convidados recentemente. Tais usuários não aceitaram o convite e, portanto, não tiveram acesso ao aplicativo.
Pedir que um responsável revise o acesso de um convidado a um aplicativo
Você pode pedir a um responsável, como o proprietário de um aplicativo, que analise a necessidade do convidado de continuar com o acesso ao aplicativo.
Para criar uma revisão de acesso para o aplicativo, opte pela revisão só incluir os convidados. Em seguida, especifique um ou mais usuários como revisores. Para obter mais informações, confira Criar uma revisão de acesso de grupos ou aplicativos.
Solicite que os revisores forneçam a entrada. Por padrão, cada um recebe um email do Microsoft Entra ID com um link para o painel de acesso, onde ele revisará o acesso a grupos ou aplicativos.
Depois dos revisores enviarem a avaliação, pare a revisão de acesso e aplique as alterações. Para obter mais informações, confira Concluir uma revisão de acesso de grupos ou aplicativos.
Pedir que os convidados revisem a própria necessidade de acesso em geral
Em algumas organizações, talvez os convidados não estejam cientes de suas associações de grupo.
Crie um grupo de segurança no Microsoft Entra ID com os convidados como membros, caso um grupo adequado ainda não exista. Por exemplo, você pode criar um grupo com uma associação de convidados mantida manualmente. Ou, criar um grupo dinâmico com um nome como "Convidados da Contoso" para usuários no locatário Contoso que têm o valor do atributo UserType de Convidado. Além disso, tenha em mente que um usuário convidado que é um membro do grupo pode ver os outros membros do grupo.
Para criar uma revisão de acesso para esse grupo, opte pelos revisores serem os próprios membros. Para obter mais informações, confira Criar uma revisão de acesso de grupos ou aplicativos.
Peça que cada convidado revise a própria associação. Por padrão, cada convidado que aceita um convite receberá um email do Microsoft Entra ID com um link para a revisão de acesso no painel de acesso de sua organização. O Microsoft Entra ID tem instruções para convidados sobre como revisar o acesso a grupos ou aplicativos.
Depois dos revisores enviarem a avaliação, pare a revisão de acesso. Para obter mais informações, confira Concluir uma revisão de acesso de grupos ou aplicativos.
Remova o acesso de convidado para convidados que foram negados, não completaram a revisão ou não tinham aceito o convite anteriormente. Se alguns dos convidados forem contatos selecionados para participar da revisão ou não aceitarem um convite anteriormente, você poderá desabilitar as contas deles usando o centro de administração do Microsoft Entra ou PowerShell. Se o convidado não precisar mais de acesso e não for um contato, você poderá remover o objeto de usuário do diretório usando o centro de administração do Microsoft Entra ou o PowerShell para excluir o objeto de usuário convidado.