Descrever o Microsoft Entra ID Governance

  • 4 minutos

O Microsoft Entra ID Governance permite que você equilibre a necessidade de segurança e produtividade dos funcionários da sua organização com os processos e a visibilidade certas. À medida que as funções dos funcionários mudam dentro de uma organização, você poderá usar o Microsoft Entra ID Governance para garantir automaticamente que as pessoas certas tenham o acesso aos recursos certos, com automação de processo de identidade e acesso, delegação a grupos empresariais e maior visibilidade.

O ID Governance oferece às organizações a capacidade de realizar as seguintes tarefas:

  • Controlar o ciclo de vida de identidade.
  • Controlar o ciclo de vida de acesso.
  • Proteger o acesso privilegiado para a administração.

Essas ações podem ser concluídas para funcionários, parceiros de negócios e fornecedores e entre serviços e aplicativos, tanto localmente quanto na nuvem.

Elas se destinam a ajudar as organizações a lidar com estas quatro perguntas principais:

  • Quais usuários devem ter acesso a quais recursos?
  • O que esses usuários estão fazendo com esse acesso?
  • Existem controles organizacionais em vigor para gerenciar o acesso?
  • Auditores podem verificar se os controles estão funcionando?

Ciclo de vida de identidade

O gerenciamento do ciclo de vida de identidade dos usuários é a essência do controle de identidade.

Ao planejar o gerenciamento do ciclo de vida de identidades para funcionários, por exemplo, muitas organizações seguem como modelo o processo de "ingresso, transferência e saída". Quando uma pessoa ingressa pela primeira vez em uma organização, uma nova identidade digital é criada, caso uma já não esteja disponível. Quando uma pessoa é transferida entre fronteiras organizacionais, pode ser preciso adicionar ou remover autorizações de acesso na identidade digital dela. Quando um indivíduo sai da organização, pode ser preciso remover o acesso, e a identidade pode não ser mais necessária, exceto para fins de auditoria.

O seguinte diagrama mostra uma versão simplificada do ciclo de vida da identidade.

Diagrama mostrando o ciclo de vida da identidade dos funcionários. O ciclo de vida é representado como um círculo que começa sem acesso, seguido pela adesão à organização, passando para uma nova função e saindo da organização. O ciclo se repete.

Em muitas organizações, esse ciclo de vida de identidades para os funcionários está vinculado à representação desses usuários em um sistema de RH (recursos humanos), como Workday ou SuccessFactors. O sistema de RH tem autoridade para fornecer a lista atual de funcionários e algumas de suas propriedades, como nome ou departamento. As organizações precisam automatizar o processo de criação de uma identidade para um novo funcionário que se baseia em um sinal de seu sistema de RH, para que o funcionário possa ser produtivo no primeiro dia.

No Microsoft Entra ID Governance, você poderá automatizar o ciclo de vida de identidade dos usuários usando:

  • Provisionamento de entrada das fontes de RH da sua organização, para manter automaticamente as identidades de usuário no Microsoft Entra ID e no Active Directory.
  • Fluxos de trabalho de ciclo de vida para automatizar tarefas de fluxo de trabalho executadas em determinados eventos importantes, como antes que um novo funcionário seja agendado para iniciar o trabalho na organização, pois eles alteram o status durante seu tempo na organização e quando saem da organização.
  • Políticas de atribuição automática no gerenciamento de direitos para adicionar e remover associações de grupo, funções de aplicativo e funções de site do SharePoint, com base em alterações nos atributos do usuário. As informações sobre o gerenciamento de direitos são abordadas em uma unidade subsequente.
  • Provisionamento de usuário para criar, atualizar e remover contas de usuário em outros aplicativos, com conectores para centenas de aplicativos locais e de nuvem.

Em geral, gerenciar o ciclo de vida de uma identidade envolve atualizar o acesso que os usuários precisam, seja por meio da integração com um sistema de RH, seja por meio de aplicativos de provisionamento de usuários.

Ciclo de vida de acesso

O ciclo de vida do acesso é o processo de gerenciamento de acesso ao longo a vida do usuário na organização. Os usuários exigem diferentes níveis de acesso desde o momento em que eles ingressam em uma organização até o momento em que saem dela. Nos vários estágios entre esses dois pontos, eles precisarão de direitos de acesso a diferentes recursos, dependendo de sua função e responsabilidades.

As organizações precisam de um processo para gerenciar o acesso além do que foi inicialmente provisionado para um usuário quando a identidade do usuário foi criada. Além disso, organizações empresariais precisam ser capazes de dimensionar com eficiência para poderem desenvolver e impor política de acesso e controles continuamente.

Com o Microsoft Entra ID Governance, os departamentos de TI podem estabelecer quais direitos de acesso os usuários devem ter em vários recursos e quais verificações de imposição são necessárias.

As organizações podem automatizar o processo de ciclo de vida do acesso por meio de tecnologias como grupos dinâmicos. Os grupos dinâmicos permitem que os administradores criem regras baseadas em atributos para determinar a associação de grupos. Quando qualquer atributo de um usuário ou dispositivo mudar, o sistema avaliará todas as regras de grupo dinâmico em um diretório para ver se a mudança dispararia a adição ou remoção de quaisquer usuários de um grupo. Se um usuário ou dispositivo atender a uma regra de um grupo, ele será adicionado como membro desse grupo. Se ele não atender mais à regra, ele será removido.

O gerenciamento de direitos permite que as organizações definam como os usuários solicitam acesso entre pacotes de associações de grupo e equipe, funções de aplicativo e funções do SharePoint Online e impõem a separação de verificações de tarefas em solicitações de acesso.

As organizações podem examinar regularmente os direitos de acesso usando revisões de acesso recorrentes do Microsoft Entra para uma nova certificação de acesso.

Ciclo de vida de acesso privilegiado

O monitoramento do acesso privilegiado é uma parte fundamental do controle de identidade. Quando funcionários, fornecedores e prestadores de serviço recebem direitos administrativos, deve haver um processo de governança devido ao potencial de uso indevido.

O Microsoft Entra Privileged Identity Manager (PIM) fornece controles extras personalizados para proteger os direitos de acesso. O PIM ajuda a minimizar o número de pessoas que têm acesso aos recursos no Microsoft Entra ID, no Azure e em outros serviços online da Microsoft. O PIM fornece um conjunto abrangente de controles de governança para ajudar a proteger os recursos da sua empresa.

Diagrama mostrando o ciclo de vida dos direitos de acesso à identidade. O ciclo de vida é representado como um círculo que começa sem nenhum administrador, seguido por uma primeira função de administrador, depois por uma segunda função de administrador e saindo da TI.