Alterar as configurações de aprovação e informações do solicitante para um pacote de acesso no gerenciamento de direitos
Cada pacote de acesso deve ter uma ou mais políticas de atribuição de pacote de acesso, antes que um usuário possa receber acesso. Quando um pacote de acesso é criado no centro de administração do Microsoft Entra, o centro de administração do Microsoft Entra cria automaticamente a política de atribuição do primeiro pacote de acesso para esse pacote de acesso. A política determina quem pode solicitar acesso e quem, se alguém, deve aprovar o acesso.
Como um gerenciador de pacotes de acesso, você pode alterar as configurações de aprovação e informações do solicitante para um pacote de acesso a qualquer momento, editando uma política existente ou adicionando uma nova política extra para solicitar acesso.
Este artigo descreve como alterar as configurações de aprovação e informações do solicitante para um pacote de acesso existente, por meio da política de um pacote de acesso.
Approval
Na seção Aprovação, você especifica se uma aprovação é necessária quando os usuários solicitam esse pacote de acesso. As configurações de aprovação funcionam da seguinte maneira:
- Apenas um dos aprovadores ou aprovadores de fallback selecionados precisa aprovar uma solicitação de aprovação de estágio único.
- Apenas um dos aprovadores selecionados de cada etapa precisa aprovar uma solicitação de aprovação em várias etapas para que a solicitação avance para a próxima etapa.
- Se um dos aprovados selecionados em um estágio negar uma solicitação antes que outro aprovador nessa etapa a aprove, ou se ninguém aprovar, a solicitação será encerrada e o usuário não receberá acesso.
- O aprovador pode ser um usuário ou membro especificado de um grupo, o Gerente do solicitante, o patrocinador interno ou o patrocinador externo, dependendo de quem a política está governando o acesso.
Para obter uma demonstração de como adicionar aprovadores a uma política de solicitação, assista ao seguinte vídeo:
Para obter uma demonstração de como adicionar uma aprovação de vários estágios a uma política de solicitação, assista ao seguinte vídeo:
Nota
Os aprovadores não podem aprovar suas próprias solicitações de pacotes de acesso.
Alterar as configurações de aprovação de uma política de atribuição de pacote de acesso existente
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
Siga estas etapas para especificar as configurações de aprovação para solicitações para o pacote de acesso por meio de uma política:
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.
Gorjeta
Outras funções de menor privilégio que podem concluir essa tarefa incluem o proprietário do Catálogo e o gerenciador de atribuições do Pacote de Acesso.
Navegue até Governança de>identidade, Gerenciamento de direitos,>Pacotes de acesso.
Na página Pacotes do Access, abra um pacote do Access.
Selecione uma política para editar ou adicione uma nova política ao pacote de acesso
- Selecione Políticas e, em seguida, Adicionar política se quiser criar uma nova política.
- Selecione a política que deseja editar e, em seguida, selecione editar.
Vá para a guia Solicitação .
Para exigir aprovação para solicitações dos usuários selecionados, defina a alternância Exigir aprovação como Sim. Ou, para que as solicitações sejam aprovadas automaticamente, defina a alternância como Não. Se a política permitir que usuários externos de fora da sua organização solicitem acesso, você deverá exigir aprovação, para que haja supervisão sobre quem está sendo adicionado ao diretório da sua organização.
Para exigir que os usuários forneçam uma justificativa para solicitar o pacote de acesso, defina a alternância Exigir justificação do solicitante como Sim.
Agora, determine se as solicitações exigem aprovação de um ou vários estágios. Defina Quantos estágios para o número de estágios de aprovação necessários.
Use as seguintes etapas para adicionar aprovadores depois de selecionar quantos estágios você precisa:
Aprovação em fase única
Adicione o Primeiro Aprovador:
Se a política estiver definida para controlar o acesso de usuários em seu diretório, você poderá selecionar Gerente como aprovador. Ou adicione um usuário específico selecionando Adicionar aprovadores depois de selecionar Escolher aprovadores específicos no menu suspenso.
Se essa política estiver definida para controlar o acesso de usuários que não estejam no diretório, você poderá selecionar Patrocinador externo ou Patrocinador interno. Ou adicione um usuário específico clicando em Adicionar aprovadores ou grupos em Escolher aprovadores específicos.
Se você selecionou Gerente como o primeiro aprovador, selecione Adicionar fallback para selecionar um ou mais usuários ou grupos em seu diretório para ser um aprovador de fallback. Os aprovadores de fallback recebem a solicitação se o gerenciamento de direitos não conseguir encontrar o gerente do usuário que solicita acesso.
O gerente é encontrado pelo gerenciamento de direitos usando o atributo Manager . O atributo está no perfil do usuário no Microsoft Entra ID. Para obter mais informações, consulte Adicionar ou atualizar as informações de perfil de um usuário usando a ID do Microsoft Entra.
Se você selecionou Escolher aprovadores específicos, selecione Adicionar aprovadores para escolher um ou mais usuários ou grupos em seu diretório para serem aprovadores.
Na caixa em Decisão deve ser feita em quantos dias?, especifique o número de dias que um aprovador tem para analisar uma solicitação para este pacote de acesso.
Se uma solicitação não for aprovada dentro desse período, ela será automaticamente negada. O usuário tem que enviar outra solicitação para o pacote de acesso.
Para exigir que os aprovadores forneçam uma justificativa para sua decisão, defina Exigir justificativa do aprovador como Sim.
A justificação é visível para os outros aprovadores e para o requerente.
Homologação em várias fases
Se você selecionou uma aprovação de vários estágios, precisará adicionar um aprovador para cada estágio extra.
Adicione o segundo aprovador:
Se os usuários estiverem em seu diretório, adicione um usuário específico como o segundo aprovador selecionando Adicionar aprovadores em Escolher aprovadores específicos.
Se os usuários não estiverem no seu diretório, selecione Patrocinador interno ou Patrocinador externo como o segundo aprovador. Depois de selecionar o aprovador, adicione os aprovadores de fallback.
Especifique o número de dias que o segundo aprovador tem para aprovar o pedido na caixa em Decisão deve ser feita em quantos dias?.
Defina o botão Exigir justificação do aprovador para Sim ou Não.
Você também pode adicionar um estágio extra para um processo de aprovação de três estágios. Por exemplo, você pode querer que o gerente de um funcionário seja o aprovador do primeiro estágio de um pacote de acesso. Mas, um dos recursos do pacote de acesso contém informações confidenciais. Nesse caso, você pode designar o proprietário do recurso como um segundo aprovador e um revisor de segurança como o terceiro aprovador. Isso permite que uma equipe de segurança tenha supervisão do processo e a capacidade de, por exemplo, rejeitar uma solicitação com base em critérios de risco desconhecidos pelo proprietário do recurso.
Adicione o Terceiro Aprovador:
Se os usuários estiverem em seu diretório, adicione um usuário específico como o terceiro aprovador clicando em Adicionar aprovadores em Escolher aprovadores específicos.
Se os usuários não estiverem no seu diretório, você também poderá selecionar Patrocinador interno ou Patrocinador externo como terceiro aprovador. Depois de selecionar o aprovador, adicione os aprovadores de fallback.
Nota
- Como no segundo estágio, se os usuários estiverem em seu diretório e **Manager as approver** for selecionado no primeiro ou no segundo estágio de aprovação, você verá apenas uma opção para selecionar aprovadores específicos para o terceiro estágio de aprovação.
- Se quiser designar o gerente como um terceiro aprovador, você pode ajustar suas seleções nos estágios de aprovação anteriores para garantir que **Gerente como aprovador** não seja selecionado. Em seguida, você deve ver **Manager como aprovador** como uma opção no menu suspenso.
- Se os usuários não estiverem no seu diretório e você não tiver selecionado **Patrocinador interno** ou **Patrocinador externo** como aprovadores em etapas anteriores, você os verá como opções para **Terceiro aprovador**. Caso contrário, você só poderá selecionar **Escolher aprovadores específicos**.
Especifique o número de dias que o terceiro aprovador tem para aprovar o pedido na caixa em Decisão deve ser feita em quantos dias?.
Defina o botão Exigir justificação do aprovador para Sim ou Não.
Aprovadores suplentes
Você pode especificar aprovadores alternativos, semelhante a especificar os aprovadores principais que podem aprovar solicitações em cada estágio. Ter aprovadores alternativos ajuda a garantir que as solicitações sejam aprovadas ou negadas antes de expirarem (tempo limite). Você pode listar aprovadores alternativos ao lado do aprovador principal em cada estágio.
Ao especificar aprovadores alternativos em um estágio, se os aprovadores principais não puderem aprovar ou negar a solicitação, a solicitação pendente será encaminhada para os aprovadores alternativos, de acordo com o cronograma de encaminhamento especificado durante a configuração da política. Eles recebem um e-mail para aprovar ou negar a solicitação pendente.
Depois que a solicitação é encaminhada para os aprovadores alternativos, os aprovadores principais ainda podem aprovar ou negar a solicitação. Os aprovadores alternativos usam o mesmo site Meu Acesso para aprovar ou negar a solicitação pendente.
Você pode listar pessoas ou grupos de pessoas para serem aprovadores e aprovadores alternativos. Certifique-se de listar diferentes conjuntos de pessoas para serem o primeiro, o segundo e os aprovadores alternativos. Por exemplo, se você listou Alice e Bob como os aprovadores do primeiro estágio, liste Carol e Dave como os aprovadores alternativos. Use as seguintes etapas para adicionar aprovadores alternativos a um pacote de acesso:
Sob o aprovador em um palco, selecione Mostrar configurações avançadas de solicitação.
Definir Se nenhuma ação for tomada, encaminhe para aprovadores alternativos? alterne para Sim.
Selecione Adicionar aprovadores alternativos e selecione o(s) aprovador(es) alternativo(s) na lista.
Se você selecionar Gerente como aprovador para o Primeiro Aprovador, terá uma opção extra, Gerente de segundo nível como aprovador alternativo, disponível para escolha no campo Aprovador alternativo. Se você selecionar essa opção, precisará adicionar um aprovador de fallback para encaminhar a solicitação caso o sistema não consiga encontrar o gerente de segundo nível.
Na caixa Encaminhar para aprovador alternativo após quantos dias, coloque o número de dias que os aprovadores têm para aprovar ou negar uma solicitação. Se nenhum aprovador tiver aprovado ou negado a solicitação antes da duração da solicitação, a solicitação expirará (tempo limite) e o usuário terá que enviar outra solicitação para o pacote de acesso.
Os pedidos só podem ser encaminhados para aprovadores alternativos um dia após o seu início. Para usar a aprovação alternativa, o tempo limite da solicitação precisa ser de pelo menos quatro dias.
Ativar solicitações
Se desejar que o pacote de acesso seja disponibilizado imediatamente para que os usuários na política de solicitação solicitem, mova a alternância Habilitar para Sim.
Você sempre pode habilitá-lo no futuro depois de terminar de criar o pacote de acesso.
Se você selecionou Nenhum (somente atribuições diretas do administrador) e definiu habilitar como Não, os administradores não poderão atribuir diretamente esse pacote de acesso.
Quando novas solicitações são habilitadas, você pode especificar se deseja permitir que os gerentes solicitem em nome de seus funcionários (visualização).
Selecione Seguinte.
Coletar informações adicionais do solicitante para aprovação
Para garantir que os usuários tenham acesso aos pacotes de acesso corretos, você pode exigir que os solicitantes respondam a perguntas de campo de texto personalizado ou de múltipla escolha no momento da solicitação. As perguntas serão então mostradas aos aprovadores para ajudá-los a tomar uma decisão.
Vá para a guia Informações do solicitante e selecione a subguia Perguntas .
Digite o que você deseja perguntar ao solicitante, também conhecido como cadeia de caracteres de exibição, para a pergunta na caixa Pergunta .
Se a comunidade de usuários que precisam acessar o pacote de acesso não tiver um idioma preferencial comum, você poderá melhorar a experiência dos usuários que solicitam acesso no myaccess.microsoft.com. Para melhorar a experiência, você pode fornecer cadeias de caracteres de exibição alternativas para diferentes idiomas. Por exemplo, se o navegador da Web de um usuário estiver definido como espanhol e você tiver cadeias de caracteres de exibição em espanhol configuradas, essas cadeias de caracteres serão exibidas para o usuário solicitante. Para configurar a localização de solicitações, selecione adicionar localização.
- No painel Adicionar localizações para perguntas, selecione o código do idioma para o idioma no qual você está localizando a pergunta.
- No idioma que você configurou, digite a pergunta na caixa Texto Localizado.
- Depois de adicionar todas as localizações necessárias, selecione Salvar.
Selecione o formato de resposta no qual você gostaria que os solicitantes respondessem. Os formatos de resposta incluem: texto curto, escolha múltipla e texto longo.
Se selecionar Múltipla escolha, selecione no botão Editar e localizar para configurar as opções de resposta.
- Depois de selecionar Editar e localizar, o painel de perguntas Exibir/editar é aberto.
- Digite as opções de resposta que deseja dar ao solicitante ao responder à pergunta nas caixas Valores de resposta.
- Digite quantas respostas precisar.
- Se você quiser adicionar sua própria localização para as opções de múltipla escolha, selecione o código de idioma opcional para o idioma no qual você deseja localizar uma opção específica.
- No idioma configurado, digite a opção na caixa de texto Localizado.
- Depois de adicionar todas as localizações necessárias para cada opção de múltipla escolha, selecione Salvar.
Se quiser incluir uma verificação de sintaxe para respostas de texto a perguntas, você também pode especificar um padrão regex personalizado.
Se quiser incluir uma verificação de sintaxe para respostas de texto a perguntas, você também pode especificar um padrão regex personalizado.Para exigir que os solicitantes respondam a essa pergunta ao solicitar acesso a um pacote de acesso, marque a caixa de seleção em Obrigatório.
Preencha os separadores restantes (por exemplo, Ciclo de vida) com base nas suas necessidades.
Depois de configurar as informações do solicitante na política do seu pacote de acesso, pode exibir as respostas do solicitante às perguntas. Para obter orientação sobre como ver as informações do solicitante, consulte Exibir as respostas do solicitante às perguntas.