Partilhar via

Saiba mais sobre tipos de grupo, tipos de associação e gerenciamento de acesso

  • Artigo

O Microsoft Entra ID fornece várias maneiras de gerenciar o acesso a recursos, aplicativos e tarefas. Com os grupos do Microsoft Entra, você pode conceder acesso e permissões a um grupo de usuários em vez de a cada usuário individual. Limitar o acesso aos recursos do Microsoft Entra apenas aos usuários que precisam de acesso é um dos princípios básicos de segurança do Zero Trust.

Este artigo fornece uma visão geral de como grupos e direitos de acesso podem ser usados juntos para facilitar o gerenciamento de usuários do Microsoft Entra e, ao mesmo tempo, aplicar as práticas recomendadas de segurança.

Nota

Alguns grupos não podem ser gerenciados no portal do Azure ou no centro de administração do Microsoft Entra.

  • Os grupos sincronizados a partir do Ative Directory local só podem ser geridos localmente.
  • As listas de distribuição e os grupos de segurança habilitados para email só podem ser gerenciados no do centro de administração do Exchange ou no do centro de administração do Microsoft 365. Tem de iniciar sessão e ter as permissões adequadas para esse centro de administração gerir esses grupos.

Visão geral dos grupos do Microsoft Entra

O uso eficaz de grupos pode reduzir tarefas manuais, como a atribuição de funções e permissões a usuários individuais. Você pode atribuir funções a um grupo e atribuir membros a um grupo com base em sua função ou departamento. Pode criar uma política de Acesso Condicional que se aplique a um grupo e, em seguida, atribuir a política ao grupo. Devido aos potenciais usos para grupos, é importante entender como eles funcionam e como são gerenciados.

Tipos de grupo

Você pode gerenciar dois tipos de grupos no centro de administração do Microsoft Entra:

  • Grupos de segurança: Usado para gerenciar o acesso a recursos compartilhados.

    • Os membros de um grupo de segurança podem incluir utilizadores, dispositivos, entidades de serviço.
    • Os grupos podem ser membros de outros grupos, às vezes conhecidos como grupos aninhados. Ver nota.
    • Os utilizadores e entidades de serviço podem ser os proprietários de um grupo de segurança.

  • grupos do Microsoft 365: Oferecem oportunidades de colaboração.

    • Os membros de um grupo do Microsoft 365 só podem incluir usuários.
    • Os utilizadores e entidades de serviço podem ser os detentores de um grupo do Microsoft 365.
    • As pessoas fora da sua organização podem ser membros de um grupo.
    • Para obter mais informações, consulte Saiba mais sobre o Microsoft 365 Groups.

Nota

Ao aninhar um grupo de segurança existente dentro de outro grupo de segurança, apenas os membros do grupo principal têm acesso aos recursos e aplicações partilhados. Para saber mais sobre como gerenciar grupos aninhados, veja Como gerenciar grupos.

Tipos de associação

  • Grupos atribuídos: permite adicionar usuários específicos como membros de um grupo e ter permissões exclusivas.
  • Grupo de associação dinâmica para usuários: Permite usar regras para adicionar e remover automaticamente usuários como membros. Se os atributos de um membro forem alterados, o sistema examinará suas regras para grupos dinâmicos de associação para o diretório. O sistema verifica se o membro atende aos requisitos da regra (é adicionado) ou não atende mais aos requisitos das regras (é removido).
  • Grupo de associação dinâmica para dispositivos: Permite usar regras para adicionar e remover automaticamente dispositivos como membros. Se os atributos de um dispositivo forem alterados, o sistema examinará suas regras para grupos de associação dinâmica para o diretório para ver se o dispositivo atende aos requisitos de regra (é adicionado) ou não atende mais aos requisitos de regras (é removido).

Importante

Pode criar um grupo dinâmico para dispositivos ou utilizadores, mas não para ambos. Não é possível criar um grupo de dispositivos com base nos atributos dos proprietários dos dispositivos. As regras de associação de dispositivos só podem referenciar atribuições de dispositivos. Para obter mais informações, consulte Criar um grupo dinâmico.

Gestão de acesso

O Microsoft Entra ID ajuda você a dar acesso aos recursos da sua organização, fornecendo direitos de acesso a um único usuário ou grupo. O uso de grupos permite que o proprietário do recurso ou o proprietário do diretório do Microsoft Entra atribua um conjunto de permissões de acesso a todos os membros do grupo. O proprietário do recurso ou diretório também pode conceder direitos de gerenciamento de grupo a alguém, como um gerente de departamento ou um administrador de suporte técnico, o que permite que essa pessoa adicione e remova membros. Para obter mais informações sobre como gerenciar proprietários de grupos, consulte o artigo Gerenciar grupos .

Os recursos aos quais os grupos do Microsoft Entra podem gerenciar o acesso podem ser:

  • Parte da sua organização do Microsoft Entra, como permissões para gerir utilizadores, aplicações, faturação e outros objetos.
  • Externos à sua organização, como aplicativos SaaS (Software as a Service) que não são da Microsoft.
  • Serviços do Azure
  • Sites SharePoint
  • Recursos no local

Cada aplicativo, recurso e serviço que requer permissões de acesso precisa ser gerenciado separadamente porque as permissões para um podem não ser as mesmas que para outro. Conceda acesso usando o princípio de menor privilégio para ajudar a reduzir o risco de ataque ou violação de segurança.

Tipos de atribuição

Depois de criar um grupo, você precisa decidir como gerenciar seu acesso.

  • Atribuição direta. O proprietário do recurso atribui diretamente o usuário ao recurso.

  • Atribuição de grupo. O proprietário do recurso atribui um grupo do Microsoft Entra ao recurso, que dá automaticamente a todos os membros do grupo acesso ao recurso. Tanto o proprietário do grupo quanto o proprietário do recurso gerenciam a associação ao grupo, permitindo que o proprietário adicione ou remova membros do grupo. Para obter mais informações sobre como gerenciar a associação a grupos, consulte o artigo Grupos gerenciados.

  • Atribuição baseada em regras. O proprietário do recurso cria um grupo e usa uma regra para definir quais usuários são atribuídos a um recurso específico. A regra é baseada em atributos atribuídos a usuários individuais. O proprietário do recurso gerencia a regra, determinando quais atributos e valores são necessários para permitir o acesso ao recurso. Para obter mais informações, consulte Criar um grupo dinâmico.

  • Atribuição de autoridade externa. O acesso vem de uma fonte externa, como um diretório local ou um aplicativo SaaS. Nessa situação, o proprietário do recurso atribui um grupo para fornecer acesso ao recurso e, em seguida, a fonte externa gerencia os membros do grupo.

Práticas recomendadas para gerenciar grupos na nuvem

Veja a seguir as práticas recomendadas para gerenciar grupos na nuvem:

  • Habilitar o gerenciamento de grupos de autoatendimento: Permitir que os usuários pesquisem e participem de grupos ou criem e gerenciem seus próprios grupos do Microsoft 365.
    • Capacita as equipas a organizarem-se e, ao mesmo tempo, reduz a carga administrativa sobre as TI.
    • Aplique uma política de nomenclatura de grupo para bloquear o uso de palavras restritas e garantir a consistência.
    • Impeça que grupos inativos permaneçam habilitando políticas de expiração de grupo, que excluem automaticamente grupos não utilizados após um período especificado, a menos que sejam renovados por um proprietário do grupo.
    • Configure grupos para aceitar automaticamente todos os usuários que ingressam ou exigem aprovação.
    • Para obter mais informações, consulte Configurar o gerenciamento de grupo de autoatendimento no Microsoft Entra ID.
  • Aproveite os rótulos de sensibilidade: Use rótulos de sensibilidade para classificar e governar grupos do Microsoft 365 com base em suas necessidades de segurança e conformidade.
  • Automatize a associação com grupos dinâmicos: Implemente regras de associação dinâmica para adicionar ou remover automaticamente usuários e dispositivos de grupos com base em atributos como departamento, local ou cargo.
    • Minimiza as atualizações manuais e reduz o risco de acesso persistente.
    • Esta funcionalidade aplica-se a grupos do Microsoft 365 e Grupos de Segurança.
  • Realizar revisões periódicas de acesso: Use os recursos de Governança de Identidade do Microsoft Entra para agendar revisões regulares de acesso.
  • Gerenciar associação com pacotes de acesso: Crie pacotes de acesso com o Microsoft Entra Identity Governance para simplificar o gerenciamento de várias associações de grupo. Os pacotes de acesso podem:
    • Incluir fluxos de trabalho de aprovação para associação
    • Definir critérios para expiração de acesso
    • Fornecer uma maneira centralizada de conceder, revisar e revogar o acesso entre grupos e aplicativos
    • Para obter mais informações, consulte Criar um pacote de acesso na gestão de direitos.
  • Atribuir vários proprietários de grupo: Atribua pelo menos dois proprietários a um grupo para garantir a continuidade e reduzir as dependências de um único indivíduo.
  • Usar licenciamento baseado em grupo: licenciamento baseado em grupo simplifica o provisionamento de usuários e garante atribuições de licença consistentes.
  • Impor controles de acesso baseados em função (RBAC): Atribua funções para controlar quem pode gerenciar grupos.

Conteúdo relacionado