Descrever a governança do Microsoft Entra ID

  • 4 minutos

O Microsoft Entra ID Governance permite equilibrar a necessidade de segurança e produtividade dos funcionários da sua organização com os processos e a visibilidade certos. À medida que as funções dos funcionários mudam dentro de uma organização, você pode usar a Governança de ID do Microsoft Entra para garantir automaticamente que as pessoas certas tenham o acesso certo aos recursos certos, com automação de processos de identidade e acesso, delegação a grupos de negócios e maior visibilidade.

O ID Governance dá às organizações a capacidade de realizar as seguintes tarefas:

  • Governar o ciclo de vida da identidade.
  • Controlar o ciclo de vida do acesso.
  • Proteja o acesso privilegiado para administração.

Essas ações podem ser concluídas para funcionários, parceiros de negócios e fornecedores, e entre serviços e aplicativos, tanto no local quanto na nuvem.

Destina-se a ajudar as organizações a resolver estas quatro questões-chave:

  • Que utilizadores devem ter acesso a que recursos?
  • O que esses usuários estão fazendo com esse acesso?
  • Existem controles organizacionais eficazes para gerenciar o acesso?
  • Os auditores podem verificar se os controlos estão a funcionar?

Ciclo de vida da identidade

O gerenciamento do ciclo de vida da identidade dos usuários está no centro da governança de identidade.

Ao planejar o gerenciamento do ciclo de vida da identidade para funcionários, por exemplo, muitas organizações modelam o processo de "entrar, mover e sair". Quando um indivíduo entra pela primeira vez em uma organização, uma nova identidade digital é criada, caso ainda não esteja disponível. Quando um indivíduo se move entre os limites organizacionais, mais autorizações de acesso podem precisar ser adicionadas ou removidas à sua identidade digital. Quando uma pessoa sai, o acesso pode ter de ser removido e a identidade pode deixar de ser necessária, exceto para fins de auditoria.

O diagrama a seguir mostra uma versão simplificada do ciclo de vida da identidade.

Diagrama mostrando o ciclo de vida da identidade para funcionários. O ciclo de vida é representado como um círculo que começa sem acesso, seguido pela entrada na organização, depois pela mudança para uma nova função e, em seguida, pela saída da organização. O ciclo repete-se.

Para muitas organizações, esse ciclo de vida de identidade para funcionários está vinculado à representação desse usuário em um sistema de recursos humanos (RH), como Workday ou SuccessFactors. O sistema de RH é autorizado a fornecer a lista atual de funcionários e algumas de suas propriedades, como nome ou departamento. As organizações precisam automatizar o processo de criação de uma identidade para um novo funcionário que seja baseada em um sinal de seu sistema de RH para que o funcionário possa ser produtivo no dia 1.

No Microsoft Entra ID Governance, você pode automatizar o ciclo de vida de identidade dos usuários usando:

  • Provisionamento de entrada das fontes de RH da sua organização, para manter automaticamente as identidades dos usuários no Microsoft Entra ID e no Ative Directory.
  • Fluxos de trabalho de ciclo de vida para automatizar tarefas de fluxo de trabalho que são executadas em determinados eventos importantes, como antes de um novo funcionário ser agendado para começar a trabalhar na organização, à medida que eles mudam de status durante seu tempo na organização e quando saem da organização.
  • Políticas de atribuição automática no gerenciamento de direitos para adicionar e remover associações de grupo, funções de aplicativo e funções de site do SharePoint de um usuário, com base em alterações nos atributos do usuário. As informações sobre a gestão dos direitos são abordadas numa unidade subsequente.
  • Provisionamento de usuários para criar, atualizar e remover contas de usuário em outros aplicativos, com conectores para centenas de aplicativos locais e na nuvem.

Em geral, gerenciar o ciclo de vida de uma identidade consiste em atualizar o acesso de que os usuários precisam, seja por meio da integração com um sistema de RH ou por meio de aplicativos de provisionamento de usuários.

Ciclo de vida do acesso

O ciclo de vida do acesso é o processo de gerenciamento de acesso em toda a vida organizacional do usuário. Os usuários exigem diferentes níveis de acesso desde o ponto em que ingressam em uma organização até quando saem dela. Em vários estágios intermediários, eles precisarão de direitos de acesso a diferentes recursos, dependendo de sua função e responsabilidades.

As organizações precisam de um processo para gerenciar o acesso além do que foi inicialmente provisionado para um usuário quando a identidade desse usuário foi criada. Além disso, as organizações empresariais precisam ser capazes de escalar de forma eficiente para serem capazes de desenvolver e aplicar políticas e controles de acesso de forma contínua.

Com o Microsoft Entra ID Governance, os departamentos de TI podem estabelecer quais direitos de acesso os usuários devem ter em vários recursos e quais verificações de imposição são necessárias.

As organizações podem automatizar o processo do ciclo de vida do acesso por meio de tecnologias como grupos dinâmicos. Os grupos dinâmicos permitem que os administradores criem regras baseadas em atributos para determinar a associação de grupos. Quando quaisquer atributos de um usuário ou dispositivo são alterados, o sistema avalia todas as regras de grupo dinâmico em um diretório para ver se a alteração acionaria algum usuário a ser adicionado ou removido de um grupo. Se um usuário ou dispositivo satisfizer uma regra para um grupo, ele será adicionado como membro desse grupo. Se já não cumprirem a regra, são removidos.

O gerenciamento de direitos permite que as organizações definam como os usuários solicitam acesso entre pacotes de associações de grupo e equipe, funções de aplicativo e funções do SharePoint Online e imponham verificações de separação de tarefas em solicitações de acesso.

As organizações podem revisar regularmente os direitos de acesso usando revisões de acesso recorrentes do Microsoft Entra para recertificação de acesso.

Ciclo de vida de acesso privilegiado

O monitoramento do acesso privilegiado é uma parte fundamental da governança de identidade. Quando funcionários, fornecedores e contratados recebem direitos administrativos, deve haver um processo de governança devido ao potencial de uso indevido.

O Microsoft Entra Privileged Identity Management (PIM) fornece controles extras adaptados para proteger os direitos de acesso. O PIM ajuda a minimizar o número de pessoas que têm acesso a recursos no Microsoft Entra ID, Azure e outros serviços online da Microsoft. O PIM fornece um conjunto abrangente de controles de governança para ajudar a proteger os recursos da sua empresa.

Diagrama mostrando o ciclo de vida dos direitos de acesso à identidade. O ciclo de vida é representado como um círculo que começa com nenhum administrador seguido de uma primeira função de administrador e, em seguida, uma segunda função de administrador e depois deixando a TI.