Compartilhar via

Cenário de implantação do Microsoft Entra – Integração da força de trabalho e convidados, identidade e governança do ciclo de vida de acesso em todos os seus aplicativos

  • Artigo

Os cenários de implantação do Microsoft Entra apresentam diretrizes detalhadas sobre como combinar e testar estes produtos da Suíte do Microsoft Entra:

Nestes guias, descrevemos cenários que mostram o valor da Suíte do Microsoft Entra e como as funcionalidades dele trabalham em conjunto.

Visão geral do cenário

Neste guia, descrevemos como configurar os produtos da Suíte do Microsoft Entra para um cenário em que a organização fictícia Contoso deseja contratar novos funcionários remotos e fornecer a eles acesso seguro e contínuo aos aplicativos e recursos necessários. Eles querem convidar usuários externos (como parceiros, fornecedores ou clientes) e colaborar com eles, além de fornecer a eles acesso a aplicativos e recursos relevantes.

A Contoso usa a ID Verificada do Microsoft Entra para emitir e verificar as provas digitais de identidade e status para novos funcionários remotos (com base em dados de recursos humanos) e usuários externos (com base em convites de email). As carteiras digitais armazenam a prova de identidade e o status para permitir o acesso a aplicativos e recursos. Como medida de segurança extra, a Contoso pode verificar a identidade com o reconhecimento do rosto da Verificação Facial com base na imagem que a credencial armazena.

Eles usam o Microsoft Entra ID Governance para criar e conceder pacotes de acesso para funcionários e usuários externos com base em credenciais verificáveis.

  • Para funcionários, eles baseiam os pacotes de acesso em função de trabalho e departamento. Os pacotes de acesso incluem aplicativos e recursos locais e de nuvem aos quais os funcionários precisam ter acesso.
  • Para colaboradores externos, eles baseiam os pacotes de acesso no convite para definir as permissões e as funções de usuário externas. Os pacotes de acesso incluem apenas os aplicativos e os recursos aos quais os usuários externos precisam ter acesso.

Os funcionários e os usuários externos podem solicitar pacotes de acesso por meio de um portal de autoatendimento em que fornecem provas digitais como verificação de identidade. Com o logon único e a autenticação multifator, as contas do Microsoft Entra de funcionários e usuários externos fornecem acesso a aplicativos e recursos que os respectivos pacotes de acesso incluem. A Contoso verifica as credenciais e concede pacotes de acesso sem exigir aprovações manuais ou provisionamento.

A Contoso usa o Microsoft Entra ID Protection e o acesso condicional para monitorar e proteger contas contra entradas e comportamento de usuário de risco. Eles impõem controles de acesso apropriados com base no local, no dispositivo e no nível de risco.

Configurar os pré-requisitos

Para implantar e testar a solução com êxito, configure os pré-requisitos que descrevemos nesta seção.

Configurar a ID verificada do Microsoft Entra

Para esse cenário, conclua estas etapas de pré-requisito para configurar a ID Verificada do Microsoft Entra com a Configuração rápida (versão prévia):

  1. Registre um domínio personalizado (necessário para a Configuração rápida) seguindo as etapas descritas no artigo Adicionar seu domínio personalizado.

  2. Entre no centro de administração do Microsoft Entra como Administrador global.

    • Selecione ID Verificada.
    • Selecione Configuração.
    • Selecione Introdução.

  3. Se você tiver vários domínios registrados em seu locatário do Microsoft Entra, selecione aquele que deseja usar para a ID Verificada.

  4. Depois que o processo de instalação for concluído, você verá uma credencial padrão do local de trabalho disponível para editar e oferecer aos funcionários do seu locatário na página Minha Conta.

    Captura de tela da ID Verificada, Visão geral.

  5. Entre em Minha Conta do usuário de teste com suas credenciais do Microsoft Entra. Selecione Obter minha ID Verificada para emitir uma credencial verificada no local de trabalho.

    Captura de tela de Minha Conta, Visão geral com um contorno em vermelho realçando o controle Obter minha ID Verificada.

Adicionar uma organização externa confiável (B2B)

Siga estas etapas de pré-requisito para adicionar uma organização externa confiável (B2B) ao cenário.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.

  2. Navegue até Identidades>Identidades Externas>Configurações de acesso entre locatários. Escolha Configurações organizacionais.

  3. Selecione Adicionar organização.

  4. Insira o nome de domínio completo da organização (ou a ID do locatário).

  5. Selecione a organização nos resultados da pesquisa. Selecione Adicionar.

  6. Confirme a nova organização (que herda as configurações de acesso das configurações padrão) em Configurações organizacionais.

    Captura de tela de Configurações organizacionais com caixas vermelhas realçando Herdados do padrão nas colunas Acesso de entrada e Acesso de saída.

Criar um catálogo

Siga estas etapas para criar um catálogo do gerenciamento de direitos para o cenário.

  1. Entre no centro de administração do Microsoft Entra como no mínimo um Administrador de Governança de Identidade.

  2. Navegue até Governança de identidade>Gerenciamento de direitos>Catálogos.

  3. Selecione +Novo catálogo.

    Captura de tela de Nova revisão de acesso, Aplicativos empresariais, Todos os aplicativos, Governança de Identidade e Novo catálogo.

  4. Insira um nome exclusivo e uma descrição para o catálogo. Os solicitantes veem essas informações nos detalhes de um pacote de acesso.

  5. Para criar pacotes de acesso neste catálogo somente para usuários internos, selecione Habilitado para usuários externos>Não.

    Captura de tela de Novo catálogo com a opção Não selecionada em Habilitado para controle de usuários externos.

  6. Em Catálogo, abra o catálogo ao qual você deseja adicionar recursos. Selecione Recursos>+Adicionar recursos.

  7. Selecione Tipo, Grupos e Equipes, Aplicativos ou Sites do SharePoint.

  8. Selecione um ou mais recursos do tipo que você deseja adicionar ao catálogo. Selecione Adicionar.

Criar pacotes de acesso

Para implantar e testar a solução com êxito, configure os pacotes de acesso que descrevemos nesta seção.

Pacote de acesso para usuários remotos (interno)

Siga estas etapas para criar um pacote de acesso no gerenciamento de direitos com a ID Verificada para usuários remotos (internos).

  1. Entre no centro de administração do Microsoft Entra como, no mínimo Administrador de Governança de identidade.

  2. Navegue até Governança de identidade>Gerenciamento de direitos>Pacote de acesso.

  3. Selecione Novo pacote de acesso.

  4. Em Informações Básicas, dê um nome ao pacote de acesso (como Aplicativos Financeiros para Usuários Remotos). Especifique o catálogo criado anteriormente.

  5. Em Funções de recurso, selecione um tipo de recurso (por exemplo: Grupos e Equipes, Aplicativos, sites do SharePoint). Selecione um ou mais recursos.

  6. Em Função, selecione a função à qual deseja atribuir aos usuários para cada recurso.

    Captura de tela das funções Recursos com uma caixa vermelha realçando a coluna Função.

  7. Em Solicitações, selecione Para usuários em seu diretório.

  8. Em Selecionar usuários e grupos, escolha Para usuários em seu diretório. Selecione + Adicionar usuários e grupos. Escolha um grupo existente que tenha o direito de solicitar o pacote de acesso.

  9. Role a página até IDs verificadas necessárias.

  10. Selecione + Adicionar emissor. Selecione um emissor na rede de ID Verificada do Microsoft Entra. Lembre-se de selecionar um emissor de uma identidade verificada existente na carteira do convidado.

  11. Opcional: em Aprovação, especifique se os usuários precisam de aprovação quando solicitam o pacote de acesso.

  12. Opcional: em Informações do Solicitante, selecione Perguntas. Insira uma pergunta (conhecida como cadeia de caracteres de exibição) que você deseja fazer ao solicitante. Para adicionar opções de localização, selecione Adicionar localização.

  13. Em Ciclo de vida, especifique quando expira a atribuição de um usuário ao pacote de acesso. Especifique se os usuários podem estender as respectivas atribuições. Em Expiração, defina a validade das Atribuições do pacote de acesso como Na data, Número de dias, Número de horas ou Nunca.

  14. Em Revisões de Acesso, selecione Sim.

  15. Em Iniciar em, selecione a data atual. Defina Frequência de Revisão como Trimestral. Defina Duração (em Dias) como 21.

Pacote de acesso para convidados (B2B)

Siga estas etapas para criar um pacote de acesso no gerenciamento de direitos com a ID Verificada para convidados (B2B).

  1. Entre no centro de administração do Microsoft Entra como, no mínimo Administrador de Governança de identidade.

  2. Navegue até Governança de identidade>Gerenciamento de direitos>Pacote de acesso.

  3. Selecione Novo pacote de acesso.

  4. Em Informações Básicas, dê um nome ao pacote de acesso (como Aplicativos Financeiros para Usuários Remotos). Especifique o catálogo criado anteriormente.

  5. Em Funções de recurso, selecione um tipo de recurso (por exemplo: Grupos e Equipes, Aplicativos, sites do SharePoint). Selecione um ou mais recursos.

  6. Em Função, selecione a função à qual deseja atribuir aos usuários para cada recurso.

    Captura de tela das funções Recursos com uma caixa vermelha realçando a coluna Função.

  7. Em Solicitações, selecione Para usuários que não estão em seu diretório.

  8. Selecione Organizações conectadas específicas. Para selecionar uma opção em uma lista de organizações conectadas que você adicionou anteriormente, selecione Adicionar diretório.

  9. Insira o nome ou nome de domínio para procurar uma organização conectada anteriormente.

  10. Role a página até IDs verificadas necessárias.

  11. Selecione + Adicionar emissor. Selecione um emissor na rede de ID Verificada do Microsoft Entra. Lembre-se de selecionar um emissor de uma identidade verificada existente na carteira do convidado.

  12. Opcional: em Aprovação, especifique se os usuários precisam de aprovação quando solicitam o pacote de acesso.

  13. Opcional: em Informações do Solicitante, selecione Perguntas. Insira uma pergunta (conhecida como cadeia de caracteres de exibição) que você deseja fazer ao solicitante. Para adicionar opções de localização, selecione Adicionar localização.

  14. Em Ciclo de vida, especifique quando expira a atribuição de um usuário ao pacote de acesso. Especifique se os usuários podem estender as respectivas atribuições. Em Expiração, defina a validade das Atribuições do pacote de acesso como Na data, Número de dias, Número de horas ou Nunca.

  15. Em Revisões de Acesso, selecione Sim.

  16. Em Iniciar em, selecione a data atual. Defina Frequência de Revisão como Trimestral. Defina Duração (em Dias) como 21.

  17. Selecione Revisores específicos. Escolha Autorrevisão.

    Captura de tela de Novo pacote de acesso.

Criar uma política de acesso condicional baseada em risco de entrada

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de acesso condicional.

  2. Navegar para Proteção> de acesso condicional de >Políticas.

  3. Selecione Nova política.

  4. Insira um nome de política, como Proteger aplicativos para usuários remotos de entrada de alto risco.

  5. Em Atribuições, selecione Usuários.

    1. Em Incluir, selecione um grupo de usuários remotos ou selecione todos os usuários.
    2. Em Excluir, escolha Usuários e grupos. Escolha o acesso ou as contas de emergência da sua organização.
    3. Selecione Concluído.

  6. Em Aplicativos de nuvem ou ações>Incluir, selecione os aplicativos a serem direcionados a essa política.

  7. Em Condições>Risco de entrada, defina Configurar como Sim. Em Selecionar o nível de risco de entrada ao qual esta política se aplicará, selecione Alto e Médio.

    1. Selecione Concluído.

  8. Em Controles de acesso>Conceder.

    1. Selecione Permitir acesso>Exigir a autenticação multifator.

  9. Em Sessão, escolha Frequência de entrada. Escolha Todas as vezes.

  10. Confirme as configurações. Selecione Habilitar política.

    Captura de tela de Políticas de Acesso Condicional, Novo e Risco de entrada. Uma caixa vermelha enfatiza o risco do usuário e o risco de entrada.

Solicitar um pacote de acesso

Depois que você configurar um pacote de acesso com um requisito de ID Verificada, os usuários finais que estiverem dentro do escopo da política poderão solicitar acesso no portal Meus Acessos. Embora os aprovadores revisem as solicitações de aprovação, eles podem ver as declarações das credenciais verificadas que os solicitantes apresentam.

  1. Como usuário remoto ou convidado, entre em myaccess.microsoft.com.

  2. Procure o pacote de acesso que você criou anteriormente (como Aplicativos Financeiros para Usuários Remotos). Você pode navegar pelos pacotes listados ou usar a barra de pesquisa. Escolha Solicitar.

  3. O sistema exibirá uma barra de notificação de informações com uma mensagem como Para solicitar acesso a esse pacote de acesso, você precisa apresentar suas Credenciais Verificáveis. Selecione Solicitar Acesso. Para iniciar o Microsoft Authenticator, digitalize o QR Code com seu telefone. Compartilhe suas credenciais.

    Captura de tela de Meus Acessos, Disponíveis, Pacotes de Acesso, Apresentar a ID Verificada e QR Code.

  4. Depois de compartilhar suas credenciais, continue com o fluxo de trabalho de aprovação.

  5. Opcional: siga as instruções em Como simular detecções de risco no Microsoft Entra ID Protection. Talvez seja necessário repetir a operação várias vezes para aumentar o risco do usuário para médio ou alto.

  6. Tente acessar o aplicativo criado anteriormente para o cenário para confirmar o acesso bloqueado. Talvez seja necessário esperar até uma hora para a imposição do bloco.

  7. Use os logs de entrada para validar o acesso bloqueado pela política de acesso condicional que você criou anteriormente. Abra os logs de entrada não interativos por meio do aplicativo Cliente de Acesso à Rede ZTNA – Privado. Veja os logs no nome do aplicativo acesso privado que você criou anteriormente como o Nome do recurso.

Conteúdo relacionado