Partilhar via

Configurar uma política de atribuição automática para um pacote de acesso no gerenciamento de direitos

  • Artigo

Você pode usar regras para determinar a atribuição de pacotes de acesso com base nas propriedades do usuário no Microsoft Entra ID, parte do Microsoft Entra. No Gerenciamento de direitos, um pacote de acesso pode ter várias políticas, e cada política estabelece como os usuários obtêm uma atribuição ao pacote de acesso e por quanto tempo. Como administrador, você pode estabelecer uma política para atribuições automáticas fornecendo uma regra de associação, que o Gerenciamento de Direitos segue para criar e remover atribuições automaticamente. Semelhante a um grupo dinâmico, quando uma política de atribuição automática é criada, os atributos do usuário são avaliados quanto às correspondências com a regra de associação da política. Quando um atributo é alterado para um usuário, essas regras de política de atribuição automática nos pacotes de acesso são processadas para alterações de associação. As atribuições aos usuários são então adicionadas ou removidas, dependendo se eles atendem aos critérios da regra.

Você pode ter no máximo uma política de atribuição automática em um pacote de acesso, e a política só pode ser criada por um administrador. (Os proprietários de catálogos e os gerentes de pacotes de acesso não podem criar políticas de atribuição automática.)

Este artigo descreve como criar uma política de atribuição automática de pacote de acesso para um pacote de acesso existente.

Antes de começar

Você precisa ter atributos preenchidos nos usuários que estarão no escopo para receber acesso. Os atributos que você pode usar nos critérios de regras de uma política de atribuição de pacote de acesso são os atributos listados em propriedades suportadas, juntamente com atributos de extensão e propriedades de extensão personalizadas. Esses atributos podem ser trazidos para o Microsoft Entra ID ao atualizar o utilizador, um sistema de RH como o SuccessFactors, ou pela sincronização da nuvem Microsoft Entra Connect cloud sync ou Microsoft Entra Connect Sync. As regras podem incluir até 15.000 utilizadores por política.

Requisitos de licença

O uso desse recurso requer licenças do Microsoft Entra ID Governance ou do Microsoft Entra Suite. Para encontrar a licença certa para seus requisitos, consulte Fundamentos de licenciamento do Microsoft Entra ID Governance.

Criar uma política de atribuição automática

Para criar uma política para um pacote de acesso, você precisa começar na guia de política do pacote de acesso. Siga estas etapas para criar uma nova política de atribuição automática para um pacote de acesso.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.

  2. Navegue até Governação de identidade>Gestão de direitos>Pacote de acesso.

  3. Na página Pacotes de acesso, abra um pacote de acesso.

  4. Selecione Políticas e, em seguida, Adicionar política de atribuição automática para criar uma nova política.

  5. Na primeira guia, tu especificas a regra. Selecione Editar.

  6. Forneça uma regra para grupos dinâmicos de associação usando o construtor de regras de associação ou clicando em Editar na caixa de texto da sintaxe da regra.

    Nota

    O construtor de regras pode não conseguir exibir algumas regras construídas na caixa de texto, e validar uma regra atualmente exige que você esteja na função de Administrador de Grupos. Para obter mais informações, consulte Construtor de regras no Centro de administração do Microsoft Entra.

    Captura de ecrã da configuração de uma regra de política de atribuição automática do pacote de acesso.

  7. Selecione Salvar para fechar o editor de regras para grupos dinâmicos de associação.

  8. Por padrão, as caixas de seleção para criar e remover atribuições automaticamente devem permanecer marcadas.

  9. Se desejar que os usuários mantenham o acesso por um tempo limitado depois que saírem do escopo, você poderá especificar uma duração em horas ou dias. Por exemplo, quando um funcionário deixa o departamento de vendas, você pode permitir que ele continue a manter o acesso por sete dias para permitir que ele use aplicativos de vendas e transfira a propriedade de seus recursos nesses aplicativos para outro funcionário.

  10. Selecione Avançar para abrir o separador Extensões Personalizadas.

  11. Se você tiver extensões personalizadas em seu catálogo que deseja executar quando a política atribui ou remove acesso, você pode adicioná-las a essa política. Em seguida, selecione "Próximo" para abrir a guia Revisão.

  12. Digite um nome e uma descrição para a política.

    Captura de ecrã do separador de revisão da política de atribuição automática de pacotes de acesso.

  13. Selecione Criar para salvar a política.

    Nota

    Neste momento, a gestão de direitos criará automaticamente um grupo de segurança dinâmico correspondente a cada política, a fim de avaliar os utilizadores abrangidos. Este grupo não deve ser modificado, exceto pela própria gestão de direitos. Esse grupo também pode ser modificado ou excluído automaticamente pelo Gerenciamento de direitos, portanto, não use esse grupo para outros aplicativos ou cenários.

  14. O Microsoft Entra ID avalia os usuários na organização que estão no escopo desta regra e cria atribuições para os usuários que ainda não têm atribuições para o pacote de acesso. Uma política pode incluir no máximo 15.000 usuários em sua regra. Pode levar vários minutos para que a avaliação ocorra ou para que atualizações subsequentes nos atributos do usuário sejam refletidas nas atribuições do pacote de acesso.

Criar uma política de atribuição automática programaticamente

Há duas maneiras de criar uma política de atribuição de pacote de acesso para atribuição automática, programaticamente, por meio do Microsoft Graph e dos cmdlets do PowerShell para Microsoft Graph.

Criar uma política de atribuição de pacote de acesso através do Graph

Você pode criar uma política usando o Microsoft Graph. Um utilizador numa função apropriada com uma aplicação que tenha a permissão delegada EntitlementManagement.ReadWrite.All, ou uma aplicação numa função de catálogo ou com a permissão EntitlementManagement.ReadWrite.All, pode chamar a API create an assignmentPolicy. Na carga útil da solicitação, inclua as propriedades displayName, description, specificAllowedTargets, automaticRequestSettings e accessPackage da política.

Criar uma política de atribuição de pacote de acesso por meio do PowerShell

Você também pode criar uma política no PowerShell com os cmdlets do módulo Microsoft Graph PowerShell para Governança de Identidade, versão 1.16.0 ou posterior.

O seguinte script ilustra o uso do perfil v1.0 para criar uma política de atribuição automática para um pacote de acesso. Consulte Criar uma atribuiçãoPolítica e Criar um pacote de acesso no gerenciamento de direitos para um aplicativo com uma única função usando o PowerShell para obter mais exemplos.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"

$pparams = @{
	DisplayName = "Sales department users"
	Description = "All users from sales department"
	AllowedTargetScope = "specificDirectoryUsers"
	SpecificAllowedTargets = @( @{
        "@odata.type" = "#microsoft.graph.attributeRuleMembers"
        description = "All users from sales department"
        membershipRule = '(user.department -eq "Sales")'
	} )
	AutomaticRequestSettings = @{
        RequestAccessForAllowedTargets = $true
	}
    AccessPackage = @{
      Id = $apid
    }
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams

Próximos passos