Partilhar via


Controlar o acesso migrando um modelo de função organizacional para o Microsoft Entra ID Governance

O controle de acesso baseado em função (RBAC) fornece uma estrutura para classificar usuários e recursos de TI. Essa estrutura permite que você explicite seu relacionamento e os direitos de acesso que são apropriados de acordo com essa classificação. Por exemplo, atribuindo a um usuário atributos que especificam o título do trabalho do usuário e as atribuições do projeto, o usuário pode ter acesso às ferramentas necessárias para o trabalho do usuário e aos dados que o usuário precisa para contribuir com um projeto específico. Quando o usuário assume um trabalho diferente e atribuições de projeto diferentes, alterar os atributos que especificam o título do trabalho e os projetos do usuário bloqueia automaticamente o acesso aos recursos necessários apenas para a posição anterior do usuário.

No Microsoft Entra ID, você pode usar modelos de função de várias maneiras para gerenciar o acesso em escala por meio da governança de identidade.

  • Você pode usar pacotes de acesso para representar funções organizacionais em sua organização, como "representante de vendas". Um pacote de acesso que represente essa função organizacional incluiria todos os direitos de acesso que um representante de vendas normalmente precisa, em vários recursos.
  • Os aplicativos podem definir suas próprias funções. Por exemplo, se você tivesse um aplicativo de vendas e esse aplicativo incluísse a função de aplicativo "vendedor" em seu manifesto, você poderia incluir essa função do manifesto do aplicativo em um pacote de acesso. Os aplicativos também podem usar grupos de segurança em cenários em que um usuário pode ter várias funções específicas do aplicativo simultaneamente.
  • Você pode usar funções para delegar acesso administrativo. Se você tiver um catálogo para todos os pacotes de acesso necessários para as vendas, poderá atribuir alguém para ser responsável por esse catálogo, atribuindo-lhe uma função específica do catálogo.

Este artigo descreve como modelar funções organizacionais, usando pacotes de acesso de gerenciamento de direitos, para que você possa migrar suas definições de função para o Microsoft Entra ID para impor o acesso.

Migrando um modelo de função organizacional

A tabela a seguir ilustra como os conceitos nas definições de função organizacional com os quais você pode estar familiarizado em outros produtos correspondem aos recursos no gerenciamento de direitos.

Conceito em modelagem de papéis organizacionais Representação na Gestão de Direitos
Gerenciamento de funções delegadas Delegar a criadores de catálogo
Coleção de permissões em um ou mais aplicativos Criar um pacote de acesso com funções de recurso
Restringir a duração do acesso que uma função fornece Definir as configurações do ciclo de vida da política de um pacote de acesso para ter uma data de expiração
Atribuição individual a uma função Criar uma atribuição direta a um pacote de acesso
Atribuição de funções a usuários com base em propriedades (como seu departamento) Estabelecer atribuição automática a um pacote de acesso
Os usuários podem solicitar e ser aprovados para uma função Definir configurações de política para quem pode solicitar um pacote de acesso
Recertificação de acesso de membros da função Definir configurações de revisão de acesso recorrente em uma política de pacote de acesso
Separação de funções entre funções Definir dois ou mais pacotes de acesso como incompatíveis

Por exemplo, uma organização pode ter um modelo de função organizacional existente semelhante à tabela a seguir.

Nome da Função Permissões que a função fornece Atribuição automática à função Atribuição baseada em solicitação à função Controlo da separação de funções
Vendedor Membro da Equipa Comercial Sim No Nenhuma
Gerente de Soluções de Vendas As permissões do aplicativo Vendedor e Gerenciador de soluções no aplicativo Vendas Nenhuma Um vendedor pode solicitar, requer aprovação do gerente e revisão trimestral O solicitante não pode ser um Gerente de Conta de Vendas
Gerente de Contas de Vendas As permissões de Vendedor e a função do aplicativo Gerenciador de conta no aplicativo Vendas Nenhuma Um vendedor pode solicitar, requer aprovação do gerente e revisão trimestral A solicitação não pode ser um Gerente de Soluções de Vendas
Suporte de vendas Mesmas permissões que um vendedor Nenhuma Qualquer não vendedor pode solicitar, requer aprovação do gerente e revisão trimestral O solicitante não pode ser um vendedor

Isso pode ser representado no Microsoft Entra ID Governance como um catálogo de pacotes de acesso contendo quatro pacotes de acesso.

Pacote de acesso Funções do recurso Políticas Pacotes de acesso incompatíveis
Vendedor Membro da Equipa Comercial Atribuição automática
Gerente de Soluções de Vendas Função do aplicativo gerenciador de soluções no aplicativo Sales Baseado em solicitação Gerente de Contas de Vendas
Gerente de Contas de Vendas Função do aplicativo Gerenciador de contas no aplicativo Vendas Baseado em solicitação Gerente de Soluções de Vendas
Suporte de vendas Membro da Equipa Comercial Baseado em solicitação Vendedor

As próximas seções descrevem o processo de migração, criando os artefatos Microsoft Entra ID e Microsoft Entra ID Governance para implementar o acesso equivalente de um modelo de função organizacional.

Conectar aplicativos cujas permissões são referenciadas nas funções organizacionais à ID do Microsoft Entra

Se suas funções organizacionais forem usadas para atribuir permissões que controlam o acesso a aplicativos SaaS que não sejam da Microsoft, aplicativos locais ou seus próprios aplicativos na nuvem, você precisará conectar seus aplicativos ao Microsoft Entra ID.

Para que um pacote de acesso que representa uma função organizacional possa se referir às funções de um aplicativo como as permissões a serem incluídas na função, para um aplicativo que tenha várias funções e ofereça suporte a padrões modernos, como SCIM, você deve integrar o aplicativo com o ID do Microsoft Entra e garantir que as funções do aplicativo estejam listadas no manifesto do aplicativo.

Se o aplicativo tiver apenas uma única função, você ainda deverá integrá-lo ao Microsoft Entra ID. Para aplicativos que não oferecem suporte a SCIM, a ID do Microsoft Entra pode gravar usuários no diretório ou banco de dados SQL existente de um aplicativo ou adicionar usuários do AD a um grupo do AD.

Preencher o esquema do Microsoft Entra usado por aplicativos e para regras de escopo do usuário nas funções organizacionais

Se suas definições de função incluírem instruções do formulário "todos os usuários com esses valores de atributo são atribuídos à função automaticamente" ou "usuários com esses valores de atributo têm permissão para solicitar", você precisará garantir que esses atributos estejam presentes no ID do Microsoft Entra.

Você pode estender o esquema do Microsoft Entra e, em seguida, preencher esses atributos do AD local, via Microsoft Entra Connect ou de um sistema de RH, como Workday ou SuccessFactors.

Criar catálogos para delegação

Se a manutenção contínua de funções for delegada, você poderá delegar a administração de pacotes de acesso criando um catálogo para cada parte da organização à qual estará delegando.

Se você tiver vários catálogos para criar, poderá usar um script do PowerShell para criar cada catálogo.

Se você não estiver planejando delegar a administração dos pacotes de acesso, poderá manter os pacotes de acesso em um único catálogo.

Adicionar recursos aos catálogos

Agora que você identificou os catálogos, adicione os aplicativos, grupos ou sites incluídos nos pacotes de acesso que representam as funções da organização aos catálogos.

Se você tiver muitos recursos, poderá usar um script do PowerShell para adicionar cada recurso a um catálogo. Para obter mais informações, consulte Criar um pacote de acesso no gerenciamento de direitos para um aplicativo com uma única função usando o PowerShell.

Criar pacotes de acesso correspondentes às definições de função organizacional

Cada definição de função organizacional pode ser representada com um pacote de acesso nesse catálogo.

Você pode usar um script do PowerShell para criar um pacote de acesso em um catálogo.

Depois de criar um pacote de acesso, vincule uma ou mais das funções dos recursos no catálogo ao pacote de acesso. Isso representa as permissões da função organizacional.

Além disso, você criará uma política para atribuição direta, como parte desse pacote de acesso que pode ser usado para controlar os usuários que já têm atribuições de função organizacional individuais.

Criar atribuições de pacote de acesso para atribuições de função organizacional individuais existentes

Se alguns de seus usuários já tiverem associações de função organizacional, que eles não receberiam por meio de atribuição automática, você deverá criar atribuições diretas para esses usuários para os pacotes de acesso correspondentes.

Se você tiver muitos usuários que precisam de atribuições, poderá usar um script do PowerShell para atribuir cada usuário a um pacote de acesso. Isso vincularia os usuários à política de atribuição direta.

Adicionar políticas a esses pacotes de acesso para atribuição automática

Se sua definição de função organizacional incluir uma regra baseada nos atributos do usuário para atribuir e remover o acesso automaticamente com base nesses atributos, você poderá representar isso usando uma política de atribuição automática. Um pacote de acesso pode ter, no máximo, uma política de atribuição automática.

Se você tiver muitas definições de função que cada uma tem uma definição de função, você pode usar um script do PowerShell para criar cada política de atribuição automática em cada pacote de acesso.

Definir pacotes de acesso como incompatíveis para separação de funções

Se você tiver restrições de separação de tarefas que impeçam um usuário de assumir uma função organizacional quando já tiver outra, poderá impedir que o usuário solicite acesso no gerenciamento de direitos marcando essas combinações de pacotes de acesso como incompatíveis.

Para cada pacote de acesso a ser marcado como incompatível com outro, você pode usar um script do PowerShell para configurar pacotes de acesso como incompatíveis.

Adicionar políticas para acessar pacotes para que os usuários possam solicitar

Se os usuários que ainda não têm uma função organizacional tiverem permissão para solicitar e ser aprovados para assumir uma função, você também poderá configurar o gerenciamento de direitos para permitir que os usuários solicitem um pacote de acesso. Você pode adicionar políticas adicionais a um pacote de acesso e, em cada política, especificar quais usuários podem solicitar e quem deve aprovar.

Configurar revisões de acesso em políticas de atribuição de pacotes de acesso

Se suas funções organizacionais exigirem revisão regular de suas associações, você poderá configurar revisões de acesso recorrentes nas políticas de atribuição direta e baseadas em solicitação.

Próximos passos