Planejar uma implantação de revisões de acesso do Microsoft Entra
As revisões de acesso do Microsoft Entra ajudam a organização a manter a Enterprise mais segura por meio do gerenciamento do ciclo de vida de acesso aos recursos. Com as Revisões de acesso, você pode:
Agendar revisões regulares ou fazer revisões ad hoc para descobrir quem tem acesso a recursos específicos, como aplicativos e grupos.
Acompanhar as revisões para insights, conformidade ou para fins de política.
Delegar revisões a administradores, proprietários de negócios ou usuários finais específicos que possam atestar a necessidade de acesso contínuo.
Usar os insights para determinar com eficiência se os usuários devem continuar a ter acesso.
Automatizar resultados de revisão, como remover o acesso dos usuários aos recursos.
As revisões de acesso são uma funcionalidade do Microsoft Entra ID Governance. Os outros recursos são gerenciamento de direitos, PIM (Privileged Identity Management), fluxo de trabalho do ciclo de vida, provisionamento e termos de uso. Juntos, eles ajudam você a responder a estas quatro perguntas:
- Quais usuários devem ter acesso a quais recursos?
- O que esses usuários estão fazendo com esse acesso?
- Existe um controle organizacional eficaz para gerenciar o acesso?
- Auditores podem verificar se os controles estão funcionando?
Planejar sua implantação de revisões de acesso é essencial para garantir que você atinja a estratégia de governança desejada para os usuários na sua organização.
Principais benefícios
Os principais benefícios de habilitar as revisões de acesso são:
- Colaboração de controle: as revisões de acesso permitem que você gerencie o acesso a todos os recursos de que os usuários precisam. Quando os usuários compartilham e colaboram, você pode ter certeza de que as informações estão apenas entre usuários autorizados.
- Gerenciar riscos: as revisões de acesso oferecem uma maneira de revisar o acesso a dados e aplicativos, o que reduz o risco de vazamento e despejo de dados. Você tem a capacidade de revisar regularmente o acesso de parceiros externos aos recursos corporativos.
- Conformidade de endereço e governança: com as revisões de acesso, você pode reger e reconfirmar o ciclo de vida de acesso para grupos, aplicativos e sites. Você pode controlar e acompanhar as revisões de conformidade ou aplicativos sensíveis a riscos específicos da sua organização.
- Reduzir o custo: as revisões de acesso são criadas na nuvem e funcionam de forma nativa com recursos de nuvem, como grupos, aplicativos e pacotes de acesso. Usar revisões de acesso é menos caro do que criar suas próprias ferramentas ou atualizar seu conjunto de ferramentas local.
Recursos de treinamento
Os seguintes vídeos ajudam você a aprender sobre as revisões de acesso:
- O que são as revisões de acesso no Microsoft Entra ID?
- Como criar revisões de acesso no Microsoft Entra ID
- Como criar revisões de acesso automáticas para todos os usuários convidados com acesso aos grupos do Microsoft 365 no Microsoft Entra ID
- Como habilitar revisões de acesso no Microsoft Entra ID
- Como revisar o acesso usando Meus Acessos
Licenças
Esse recurso exige assinaturas do Microsoft Entra ID Governance ou do Suíte do Microsoft Entra para os usuários da sua organização. Algumas funcionalidades desse recurso podem funcionar com uma assinatura do Microsoft Entra ID P2. Para obter mais informações, confira os artigos de cada funcionalidade e veja mais detalhes. Para encontrar a licença certa para seus requisitos, confira Conceitos básicos de licenciamento do Microsoft Entra ID Governance.
Observação
Para criar uma revisão de usuários inativos e com recomendações de afiliação de uso a grupo requer uma licença do Microsoft Entra ID Governance.
Planejar o projeto de implantação de revisões de acesso
Considere as necessidades organizacionais para determinar a estratégia de implantação das revisões de acesso no ambiente.
Envolva os participantes certos
Quando os projetos de tecnologia falham, isso normalmente ocorre devido a expectativas incompatíveis sobre o impacto, os resultados e as responsabilidades. Para evitar essas armadilhas, certifique-se de que você esteja envolvendo as partes interessadas certas e que as funções do projeto sejam claras.
Nas revisões de acesso, provavelmente você incluirá representantes das seguintes equipes da organização:
A Administração de TI gerencia sua infraestrutura de TI e administra seus investimentos em nuvem e aplicativos SaaS (software como serviço). Essa equipe:
- Examina o acesso privilegiado a infraestrutura e aplicativos, incluindo o Microsoft 365 e o Microsoft Entra ID.
- Agenda e executa revisões de acesso em grupos que são usados para manter listas de exceções ou projetos-piloto de TI, para manter listas de acesso atualizadas.
- Verifica se o acesso programático (com script) a recursos por meio de entidades de serviço está controlado e revisado.
- Automatize processos como integração e remoção do usuário, solicitações de acesso e certificações de acesso.
Equipes de segurança certificam-se de que o plano atende aos requisitos de segurança da sua organização e exige a Confiança Zero. Essa equipe:
- Reduz o risco e fortalece a segurança
- Impõe acesso de privilégio mínimo a recursos e aplicativos
- Usa ferramentas para ver uma fonte autoritativa centralizada, de quem tem acesso ao quê e por quanto tempo.
As equipes de desenvolvimento criam e mantêm aplicativos para sua organização. Essa equipe:
- Controla quem pode acessar e gerenciar componentes em SaaS, PaaS (plataforma como serviço) e recursos de IaaS (infraestrutura como serviço) que compõem as soluções desenvolvidas.
- Gerencia grupos que podem acessar aplicativos e ferramentas para o desenvolvimento de aplicativos internos.
- Exige identidades com privilégios que tenham acesso a software de produção ou soluções hospedadas para seus clientes.
As unidades de negócios gerenciam os projetos e aplicativos próprios. Essa equipe:
- Examine e aprova ou nega o acesso a grupos e aplicativos para usuários internos e externos.
- Agenda e realiza revisões para atestar o acesso contínuo a funcionários e identidades externas, como parceiros de negócios.
- Precisa que os funcionários tenham acesso aos aplicativos necessários para seu trabalho.
- Permite que os departamentos gerenciem o acesso para seus usuários.
A governança corporativa garante que a organização siga a política interna e as normas. Essa equipe:
- Solicita ou agenda novas revisões de acesso.
- Avalia processos e procedimentos de revisão de acesso, incluindo manutenção de documentação e de registros para fins de conformidade.
- Examina os resultados das revisões anteriores para obter os recursos mais críticos.
- Valida se os controles certos estão em vigor para atender às políticas de segurança e privacidade obrigatórias.
- Requer processos de acesso repetíveis fáceis de auditar e relatar.
Observação
Para revisões que exigem avaliações manuais, planeja os revisores adequados e os ciclos de revisão que atendem às suas necessidades de política e conformidade. Se os ciclos de revisão são muito frequentes ou há poucos revisores, a qualidade pode ser perdida e muitas ou poucas pessoas podem ter acesso. Recomendamos que você estabeleça responsabilidades claras para os vários stakeholders e departamentos envolvidos nas revisões de acesso. Todas as equipes e indivíduos participantes devem entender suas respectivas funções e obrigações para manter o princípio de privilégios mínimos.
Planejar a comunicação
A comunicação é fundamental para o sucesso de qualquer novo processo de negócios. Comunique proativamente aos usuários como e quando a experiência deles mudará. Avise-os sobre como obter suporte caso eles encontrem problemas.
Comunicar alterações na responsabilidade
Com as revisões de acesso, é possível transferir a proprietários de negócios a responsabilidade de examinar e agir a respeito do acesso contínuo. Desacoplar as decisões de acesso do departamento de TI resulta em decisões de acesso mais precisas. Essa é uma mudança cultural na responsabilidade dos proprietários de recursos. Comunique essa alteração de forma proativa e garanta que os proprietários de recursos sejam treinados e possam usar os insights para tomar boas decisões.
O departamento de TI quer permanecer no controle de todas as decisões de acesso relacionadas à infraestrutura e atribuições de funções privilegiadas.
Personalizar a comunicação por email
Ao agendar uma revisão, você nomeia os usuários que farão essa revisão. Em seguida, esses revisores recebem uma notificação por email de novas revisões atribuídas a eles e lembretes antes que elas expirem.
O email enviado aos revisores pode ser personalizado para incluir uma breve mensagem que os incentiva a tomar medidas quanto à revisão. Use o texto extra para:
Incluir uma mensagem pessoal aos revisores para que eles entendam que ela é enviada por seu departamento de conformidade ou de TI.
Incluir uma referência a informações internas sobre quais são as expectativas da revisão e material de treinamento ou referência extra.
Depois de selecionar Iniciar revisão, os revisores serão direcionados para o portal Meus Acessos para revisões de acesso de grupo e aplicativo. O portal fornece uma visão geral de todos os usuários que têm acesso ao recurso revisado e as recomendações do sistema com base nas informações da última entrada e do último acesso.
Planejar um piloto
Incentivamos os clientes a inicialmente testar as revisões de acesso com um pequeno grupo e direcionar recursos não críticos. O teste piloto pode ajudar você a ajustar processos e comunicações conforme necessário. Ele pode ajudar a aumentar a capacidade dos usuários e revisores de atender aos requisitos de segurança e conformidade.
No piloto, é recomendável que você:
- Comece com revisões em que os resultados não são aplicados automaticamente e você possa controlar as implicações.
- Verifique se todos os usuários têm endereços de email válidos listados no Microsoft Entra ID. Confirme se eles recebem comunicação por email para realizar a ação apropriada.
- Documente qualquer acesso removido como parte do piloto, caso você precise restaurá-lo rapidamente.
- Monitore os logs de auditoria para garantir que todos os eventos sejam auditados corretamente.
Para obter mais informações, confira as Melhores práticas para um piloto.
Introdução às revisões de acesso
Esta seção apresenta os conceitos de revisão de acesso que você deve conhecer antes de planejar suas revisões.
Quais tipos de recursos podem ser examinados?
Depois de integrar os recursos da sua organização ao Microsoft Entra ID, como usuários, aplicativos e grupos, eles poderão ser gerenciados e revisados.
Os destinos típicos de revisão incluem:
- Aplicativos integrados ao Microsoft Entra ID para logon único, como SaaS e linha de negócios.
- Associação de grupo sincronizada com Microsoft Entra ID ou criada em Microsoft Entra ID ou Microsoft 365, incluindo o Microsoft Teams.
- Pacote de acesso que agrupa recursos como grupos, aplicativos e sites em um único pacote para gerenciar o acesso.
- Funções do Microsoft Entra e funções de recurso do Azure, conforme definido no PIM.
Quem irá criar e gerenciar as revisões de acesso?
A função administrativa necessária para criar, gerenciar ou ler uma revisão de acesso depende do tipo de recurso cuja subscrição está sendo revisada. A tabela a seguir indica as funções necessárias para cada tipo de recurso.
Tipo de recurso | Criar e gerenciar revisões de acesso (criadores) | Ler os resultados da revisão de acesso |
---|---|---|
Grupo ou aplicativo | Administrador Global Administrador de usuários Administrador de governança de identidade Administrador de função com privilégios (só faz revisões para grupos atribuíveis a funções do Microsoft Entra) Proprietário do grupo (caso habilitado por um administrador) |
Administrador Global Leitor global Administrador de usuários Administrador de governança de identidade Administrador de função com privilégios Leitor de segurança Proprietário do grupo (caso habilitado por um administrador) |
Funções do Microsoft Entra | Administrador Global Administrador de funções com privilégios |
Administrador Global Leitor global Administrador de usuários Administrador de função com privilégios
Leitor de segurança |
Funções de recurso do Azure | Administrador de acesso do usuário (para o recurso) Proprietário do recurso Funções personalizadas com permissão Microsoft.Authorization/*. |
Administrador de acesso do usuário (para o recurso) Proprietário do recurso Leitor (para o recurso) Funções personalizadas com permissões Microsoft.Authorization/*/read. |
Pacote de acesso | Administrador Global Administrador de governança de identidade Proprietário do catálogo (para o pacote de acesso) Gerenciador de pacotes de acesso (para o pacote de acesso) |
Administrador Global Leitor global Administrador de usuários Administrador de governança de identidade Proprietário do catálogo (para o pacote de acesso) Gerenciador de pacotes de acesso (para o pacote de acesso) Leitor de segurança |
Para obter mais informações, consulte Permissões da função de administrador no Microsoft Entra ID.
Quem irá revisar o acesso ao recurso?
O criador da revisão de acesso decide no momento da criação quem fará a revisão. Essa configuração não pode ser alterada depois que a revisão é iniciada. Os revisores são representados por:
- Proprietários de recursos que são os proprietários de negócios do recurso.
- Delegados selecionados individualmente conforme escolhido pelo administrador de revisões de acesso.
- Usuários que atestam a necessidade de acesso contínuo.
- Os gerentes revisam o acesso de seus subordinados diretos ao recurso.
Observação
Quando você seleciona proprietários de recursos ou gerentes, os administradores designam revisores de fallback, que são contatados se o contato primário não estiver disponível.
Quando você cria uma revisão de acesso, os administradores podem escolher um ou mais revisores. Todos os revisores podem iniciar e executar uma revisão escolhendo usuários para acesso contínuo a um recurso ou removê-los.
Componentes de uma revisão de acesso
Antes de implementar suas revisões de acesso, planeje os tipos de revisões relevantes para sua organização. Para isso, você precisa tomar decisões de negócios sobre o que deseja analisar e as ações a serem tomadas com base nessas análises.
Para criar uma política de revisão de acesso, você deve ter as seguintes informações:
Quais são recursos devem ser revisados?
Cujo acesso está sendo examinado?
Com que frequência a revisão deve ocorrer?
Quem fará a revisão?
- Como eles serão notificados sobre a revisão?
- Quais são as linhas do tempo a serem aplicadas para revisão?
Quais ações automáticas devem ser aplicadas com base na revisão?
- O que acontece se o revisor não responder no prazo?
Quais ações manuais são tomadas como resultado com base na revisão?
Quais comunicações devem ser enviadas com base nas ações realizadas?
Exemplo de plano de revisão de acesso
Componente | Valor |
---|---|
Recursos a serem examinados | Acesso ao Microsoft Dynamics. |
Frequência da revisão | Mensalmente. |
Quem faz a revisão | Gerentes de Programas do grupo de negócios do Dynamics. |
Notification | O email é enviado no início de uma revisão para o alias Dynamics-Pms. Inclua uma mensagem personalizada incentivando os revisores a garantir a adesão. |
Linha do tempo | 48 horas após a notificação. |
Ações automáticas | Remova o acesso de qualquer conta que não tenha nenhuma entrada interativa dentro de 90 dias removendo o usuário do grupo de segurança dynamics-access. Realize as ações se não foram examinadas na linha do tempo. |
Ações manuais | Os revisores podem aprovar remoções antes da ação automatizada, caso queiram. |
Automatizar ações com base em revisões de acesso
Você pode optar por ter a remoção de acesso automatizada definindo a opção Aplicar resultados automaticamente ao recurso como Habilitada.
Depois que a revisão for concluída e finalizada, os usuários que não foram aprovados pelo revisor serão removidos automaticamente do recurso ou mantidos com o acesso contínuo. As opções podem significar a remoção de sua associação de grupo ou de sua atribuição de aplicativo ou revogação do direito de elevação para uma função privilegiada.
Obter as recomendações
As recomendações são exibidas para os revisores como parte da experiência do revisor e indicam a última entrada de uma pessoa no locatário ou o último acesso a um aplicativo. Essas informações ajudam os revisores a tomar a decisão de acesso certa. A seleção de Obter recomendações segue as recomendações da revisão de acesso. No final de uma revisão de acesso, o sistema aplica essas recomendações automaticamente aos usuários para os quais os revisores não responderam.
As recomendações são baseadas nos critérios da revisão de acesso. Por exemplo, caso você configure a revisão para remover o acesso sem entrada interativa por 90 dias, a recomendação é que todos os usuários que se encaixam nos critérios devem ser removidos. A Microsoft trabalha continuamente para aprimorar as recomendações.
Examinar o acesso dos usuários convidados
Use as revisões de acesso para examinar e limpar identidades de parceiros de colaboração de organizações externas. A configuração de uma revisão por parceiro pode atender aos requisitos de conformidade.
Identidades externas podem receber acesso aos recursos da empresa. Eles podem ser:
- Adição a um grupo.
- Convite para as equipes.
- Atribuição a um aplicativo empresarial ou a um pacote de acesso.
- Atribuição de uma função com privilégios no Microsoft Entra ID ou em uma assinatura do Azure.
Para obter mais informações, confira o script de exemplo. O script mostra onde as identidades externas convidadas para o locatário são usadas. Você pode ver a associação de grupo, as atribuições de função e as atribuições de aplicativo de um usuário externo no Microsoft Entra ID. O script não mostrará as atribuições fora do Microsoft Entra ID, como atribuição de direitos diretos aos recursos do SharePoint, sem o uso de grupos.
Ao criar uma revisão de acesso para grupos ou aplicativos, você pode optar por permitir que o revisor se concentre em Todos com acesso ou Somente usuários convidados. Ao selecionar Somente usuários convidados, os revisores recebem uma lista focada de identidades externas do B2B (business to business) do Microsoft Entra que têm acesso ao recurso.
Importante
Essa lista não incluirá membros externos que tenham um userType de membro. Essa lista também não incluirá usuários convidados fora da colaboração B2B do Microsoft Entra. Um exemplo são os usuários que têm acesso ao conteúdo compartilhado diretamente por meio do SharePoint.
Planejar as revisões de acesso para pacotes de acesso
Os pacotes de acesso podem simplificar muito a estratégia de governança e de revisão de acesso. Um pacote de acesso é um pacote de todos os recursos com o acesso de que um usuário precisa para trabalhar em um projeto ou executar sua tarefa. Por exemplo, talvez você queira criar um pacote de acesso que inclua todos os aplicativos de que os desenvolvedores de sua organização precisam ou todos os aplicativos aos quais os usuários externos devem ter acesso. Um administrador ou gerenciador de pacotes de acesso delegado agrupa os recursos (grupos ou aplicativos) e as funções de que os usuários precisam para esses recursos.
Ao criar um pacote de acesso, você pode desenvolver uma ou mais políticas de pacote de acesso que definam as condições em que os usuários podem solicitar um pacote de acesso, a aparência do processo de aprovação e a frequência com que uma pessoa teria que solicitar acesso novamente ou ter o acesso revisado. As revisões de acesso são configuradas enquanto você cria ou edita essas políticas de pacote de acesso.
Selecione a guia Ciclo de vida e role para baixo até revisões de acesso.
Planejar as revisões de acesso para grupos
Além de pacotes de acesso, a revisão da associação de grupo é a maneira mais eficiente de controlar o acesso. Atribua acesso a recursos por meio de Grupos de segurança ou grupos do Microsoft 365. Adicione usuários a esses grupos para obter acesso.
Um único grupo pode receber acesso a todos os recursos apropriados. Você pode atribuir o acesso de grupo a recursos individuais ou a um pacote de acesso que agrupa aplicativos e outros recursos. Com esse método, é possível examinar o acesso ao grupo em vez do acesso de um indivíduo a cada aplicativo.
A associação de grupo pode ser examinada por:
- Administradores.
- Proprietários de grupo.
- Usuários selecionados que são delegados examinam a funcionalidade quando a revisão é criada.
- Membros do grupo que atestam por si mesmos.
- Gerentes que revisam o acesso de subordinados diretos.
Propriedade do grupo
Os proprietários de grupo examinam a associação porque são mais bem qualificados para saber quem precisa de acesso. A propriedade dos grupos é diferente de acordo com o tipo de grupo:
Os grupos criados no Microsoft 365 e no Microsoft Entra ID têm um ou mais proprietários bem definidos. Na maioria dos casos, esses proprietários se tornam os revisores perfeitos para seus próprios grupos, pois sabem quem deve ter acesso.
Por exemplo, o Microsoft Teams usa os grupos do Microsoft 365 como modelo de autorização subjacente para conceder aos usuários o acesso a recursos no SharePoint, Exchange, OneNote ou em outros serviços do Microsoft 365. O criador da equipe automaticamente se torna proprietário e deve ser responsável por atestar a associação do grupo.
Os grupos criados manualmente no centro de administração do Microsoft Entra ou por meio de scripts do Microsoft Graph podem não ter necessariamente proprietários definidos. Defina-os por meio do centro de administração do Microsoft Entra na seção Proprietários do grupo ou por meio do Microsoft Graph.
Os grupos que são sincronizados do Active Directory local não podem ter um proprietário no Microsoft Entra ID. Ao criar uma revisão de acesso para eles, selecione pessoas que são mais adequadas para decidir sobre a associação a eles.
Observação
Defina as políticas de negócios que determinam como os grupos são criados para garantir uma propriedade de grupo clara e responsabilidade pela revisão regular da associação.
Examinar a associação de grupos de exclusão em políticas de Acesso condicional
Para saber como revisar a associação de grupos excluídos, confira Usar revisões de acesso do Microsoft Entra para gerenciar usuários excluídos das políticas de acesso condicional.
Revisar as associações de grupo de usuários convidados
Para saber como revisar o acesso de usuários convidados a associações de grupo, confira Gerenciar o acesso de convidado com revisões de acesso do Microsoft Entra.
Examinar o acesso a grupos locais
As revisões de acesso não podem alterar a associação dos grupos que você sincroniza no AD local com o Microsoft Entra Connect. Essa restrição ocorre porque a origem da autoridade de um grupo originário do AD é o AD local. Para controlar o acesso a aplicativos baseados em grupo do AD, use write-back de grupo do Microsoft Entra Cloud Sync.
Até que você tenha migrado para grupos do Microsoft Entra com write-back de grupo, você ainda pode usar revisões de acesso para agendar e manter revisões regulares de grupos locais existentes. Nesse caso, os administradores realizarão uma ação no grupo local após a conclusão de cada revisão. Essa estratégia mantém as revisões de acesso como ferramenta para todas as revisões.
Você pode usar os resultados de uma revisão de acesso em grupos locais e processá-los ainda mais, seja ao:
- Fazer download do relatório CSV da revisão de acesso e tomar medidas manualmente.
- Usar o Microsoft Graph para recuperar programaticamente os resultados de decisões em revisões de acesso concluídas.
Por exemplo, para recuperar os resultados de um grupo gerenciado pelo Windows Server AD, use este script de amostra do PowerShell. O script descreve as chamadas do Microsoft Graph necessárias e exporta os comandos Windows Server AD-PowerShell para realizar as alterações.
Planejar as revisões de acesso para aplicativos
Ao revisar todos os itens atribuídos ao aplicativo, você está revisando os usuários, incluindo funcionários e identidades externas, que podem se autenticar nesse aplicativo usando sua identidade do Microsoft Entra. Escolha examinar um aplicativo quando precisar saber quem tem acesso a um aplicativo específico, em vez de um pacote de acesso ou um grupo.
Planeje revisões para aplicativos nos seguintes cenários quando:
- Os usuários recebem acesso direto ao aplicativo (fora de um grupo ou pacote de acesso).
- O aplicativo expõe informações críticas ou confidenciais.
- O aplicativo tem requisitos de conformidade específicos, os quais você deve atestar.
- Você suspeita de acesso inadequado.
Antes de você criar revisões de acesso para um aplicativo, este precisa ser integrado ao Microsoft Entra ID como um aplicativo no seu locatário, com usuários atribuídos às funções do aplicativo e a opção Atribuição de usuário necessária? no aplicativo definida como Sim. Se ela estiver definida como Não, todos os usuários em seu diretório, incluindo identidades externas, poderão acessar o aplicativo e você não poderá revisar o acesso ao aplicativo.
Depois, atribua os usuários e grupos cujo acesso você quer revisar.
Leia mais sobre como se preparar para uma revisão de acesso de usuários a um aplicativo.
Revisores de um aplicativo
As revisões de acesso podem ser de membros de um grupo ou usuários que foram atribuídos a um aplicativo. Os aplicativos no Microsoft Entra ID não necessariamente têm um proprietário, por isso, a opção de selecionar o proprietário do aplicativo como revisor não é possível. Você pode definir o escopo de uma revisão para examinar somente os usuários convidados atribuídos ao aplicativo, em vez de examinar todos os acessos.
Planejar a revisão das funções do Microsoft Entra ID e recursos do Azure
O Privileged Identity Management simplifica o modo como as empresas gerenciam o acesso com privilégios a recursos no Microsoft Entra ID. O uso do PIM mantém a lista de funções privilegiadas no Microsoft Entra ID e nos recursos do Azure menores. Ele também aumenta a segurança geral do diretório.
As análises de acesso permitem que os revisores atestem se os usuários ainda precisam estar em uma função. Assim como as revisões de acesso para pacotes de acesso, as revisões para funções do Microsoft Entra e recursos do Azure são integradas à experiência do usuário de administrador do PIM.
Examine as seguintes atribuições de função regularmente:
- Administrador Global
- Administrador de usuários
- Administrador de Autenticação Privilegiada
- Administrador de Acesso Condicional
- Administrador de Segurança
- Todas as funções de administração de Serviço Microsoft 365 e Dynamics
As funções revisadas incluem atribuições permanentes e qualificadas.
Na seção Revisores, selecione uma ou mais pessoas para examinar todos os usuários no escopo. Ou você pode selecionar Gerente, para que um gerente revise o acesso das pessoas que ele gerencia, ou Membros (auto) para que os membros revisem seu próprio acesso.
Implantar as revisões de acesso
Depois de preparar uma estratégia e um plano para revisar o acesso aos recursos integrados ao Microsoft Entra ID, implante e gerencie as revisões usando os recursos a seguir.
Examinar os pacotes de acesso
Para reduzir o risco de acesso obsoleto, os administradores podem habilitar as revisões periódicas dos usuários que têm atribuições ativas para um pacote de acesso. Siga as instruções nos artigos listados na tabela.
Artigos de instruções | Descrição |
---|---|
Criar revisões de acesso | Habilite revisões de um pacote de acesso. |
Fazer revisões de acesso | Faça as revisões de acesso para outros usuários atribuídos a um pacote do acesso. |
Revisar por conta própria os pacotes de acesso atribuídos | Examine por conta própria os pacotes de acesso atribuídos. |
Observação
Os usuários que revisam e dizem que não precisam mais de acesso não são removidos imediatamente do pacote de acesso. Eles são removidos do pacote de acesso quando a revisão termina ou se um administrador a interrompe.
Examinar os grupos e aplicativos
As necessidades de acesso a grupos e aplicativos para funcionários e convidados provavelmente mudam com o tempo. Para reduzir os riscos associados às atribuições de acesso obsoletas, os administradores podem criar revisões de acesso para membros do grupo ou usuários atribuídos a um aplicativo. Siga as instruções nos artigos listados na tabela.
Artigos de instruções | Descrição |
---|---|
Criar revisões de acesso | Crie uma ou mais revisões de acesso para membros do grupo ou acesso ao aplicativo. |
Fazer revisões de acesso | Fazer uma revisão de acesso para membros de um grupo ou usuários com acesso a um aplicativo. |
Revisar seu acesso por conta própria | Permita que os membros revisem seu próprio acesso a um grupo ou a um aplicativo. |
Concluir a análise de acesso | Exiba uma revisão de acesso e aplique os resultados. |
Tomar medidas para grupos locais | Use uma amostra de script do PowerShell a fim de tomar medidas em revisões de acesso para grupos locais. |
Revisar funções do Microsoft Entra
Para reduzir o risco associado a atribuições de função obsoletas, examine regularmente o acesso de funções privilegiadas do Microsoft Entra.
Siga as instruções nos artigos listados na tabela.
Artigos de instruções | Descrição |
---|---|
Criar revisões de acesso | Criar Revisões de acesso para funções com privilégios do Microsoft Entra no PIM. |
Revisar seu acesso por conta própria | Se você recebeu uma função administrativa, aprove ou negue o acesso à sua função. |
Concluir uma revisão de acesso | Exiba uma revisão de acesso e aplique os resultados. |
Examinar as funções de recurso do Azure
Para reduzir o risco associado a atribuições de função obsoletas, examine regularmente o acesso de funções privilegiadas de recursos do Azure.
Siga as instruções nos artigos listados na tabela.
Artigos de instruções | Descrição |
---|---|
Criar revisões de acesso | Crie revisões de acesso para funções de recursos do Azure com privilégios no PIM. |
Revisar seu acesso por conta própria | Se você recebeu uma função administrativa, aprove ou negue o acesso à sua função. |
Concluir uma revisão de acesso | Exiba uma revisão de acesso e aplique os resultados. |
Usar a API de Revisões de acesso
Para interagir com recursos revisáveis e gerenciá-los, confira Métodos da API do Microsoft Graph e verificações de autorização de permissão de aplicativo e função. Os métodos de revisões de acesso na API do Microsoft Graph estão disponíveis para contextos de aplicativo e de usuário. Ao executar scripts no contexto do aplicativo, a conta usada para executar a API (o princípio de serviço) deve receber a permissão AccessReview.Read.All para consultar as informações das revisões de acesso.
Tarefas populares das revisões de acesso para automatizar o uso da API do Microsoft Graph em revisões de acesso incluem:
- Criar e iniciar uma revisão de acesso.
- Encerrar manualmente uma revisão de acesso antes do encerramento agendado.
- Listar todas as revisões de acesso em execução e o status delas.
- Conferir o histórico de uma série de revisões e as decisões e ações tomadas em cada revisão.
- Coletar as decisões de uma revisão de acesso.
- Coletar decisões de revisões concluídas em que o revisor tomou uma decisão diferente daquela que o sistema recomenda.
Ao criar consultas da API do Microsoft Graph para automação, use o Explorador do Graph para desenvolver e explorar as consultas do Microsoft Graph antes de colocá-las em scripts e códigos. Essa etapa pode ajudar você a iterar sua consulta com rapidez para que obtenha exatamente os resultados que está procurando, sem alterar o código do script.
Monitorar as revisões de acesso
As atividades de Revisões de acesso são registradas e disponibilizadas nos logs de auditoria do Microsoft Entra. Você pode filtrar os dados de auditoria de acordo com a categoria, o tipo de atividade e o intervalo de datas. Aqui está um exemplo de consulta.
Categoria | Política |
---|---|
Tipo de atividade | Criar a revisão de acesso |
Atualizar a revisão de acesso | |
Revisão de acesso encerrada | |
Excluir revisão de acesso | |
Aprovar a decisão | |
Negar a decisão | |
Redefinir a decisão | |
Aplicar a decisão | |
Intervalo de datas | Sete dias |
Para consultas mais avançadas e análise de revisões de acesso e para controlar as alterações e a conclusão das revisões, exporte os logs de auditoria do Microsoft Entra para o Azure Log Analytics ou os Hubs de Eventos do Azure. Quando os logs de auditoria são armazenados no Log Analytics, você pode usar a linguagem de análise avançada e criar seus próprios painéis.
Próximas etapas
Saiba mais sobre as seguintes tecnologias relacionadas: