Gerenciar o acesso a um aplicativo

A integração de um aplicativo ao sistema de identidade da sua organização impõe desafios ao gerenciamento de acesso, à avaliação de uso e à emissão de relatórios. Os administradores de TI ou a equipe de suporte técnico geralmente precisam supervisionar o acesso ao aplicativo. A atribuição de acesso pode ser concedida a uma equipe de TI geral ou divisional, mas, idealmente, os tomadores de decisões de negócios devem ser envolvidos e dar sua aprovação antes de a TI concluir o processo.

Outras organizações investem na integração a um sistema de gerenciamento de identidade e acesso automatizado existente, como RBAC (controle de acesso baseado em função) ou ABAC (controle de acesso baseado em atributo). A integração e o desenvolvimento de regras tendem a ser especializados e caros. O monitoramento e a emissão de relatórios de cada abordagem de gerenciamento requerem seus próprios investimentos separados, que são caros e complexos.

Como o Microsoft Entra ID ajuda?

O Microsoft Entra ID oferece suporte a gerenciamento de acesso abrangente para aplicativos configurados, permitindo que as organizações obtenham facilmente as políticas de acesso corretas desde a atribuição automática, com base em atributo (cenários de ABAC ou RBAC) por meio da delegação e incluindo gerenciamento de administradores. Com o Microsoft Entra ID, você pode facilmente obter políticas complexas, combinando vários modelos de gerenciamento de um único aplicativo e pode até reutilizar regras de gerenciamento entre aplicativos com o mesmo público.

Com o Microsoft Entra ID, relatórios de atribuição e uso são totalmente integrados, permitindo que os administradores facilmente criem relatórios sobre estado da atribuição, erros de atribuição e até mesmo uso.

Atribuição de usuários e grupos a um aplicativo

A atribuição de aplicativo do Microsoft Entra se concentra em dois modos de atribuição principais:

  • Atribuição individual Um administrador de TI com permissões de Administrador de aplicativo de nuvem de diretório pode selecionar as contas de usuário individuais e conceder a elas acesso ao aplicativo.

  • Atribuição baseada em grupo (requer o Microsoft Entra ID P1 ou P2) Um administrador de TI com permissões de Administrador de aplicativo de nuvem de diretório pode atribuir um grupo ao aplicativo. O acesso de usuários específicos é determinado pelo fato de serem ou não membros do grupo no momento em que tentam acessar o aplicativo. Em outras palavras, um administrador pode criar com eficácia uma regra de atribuição afirmando que "qualquer membro atual do grupo atribuído tem acesso ao aplicativo". Usando essa opção de atribuição, os administradores podem se beneficiar de todas as opções de gerenciamento de grupo do Microsoft Entra, incluindo grupos de associação dinâmica com base em atributos, grupos de sistemas externos (por exemplo, Active Directory local ou Workday) ou grupos gerenciados por autoatendimento ou pelo administrador. Um único grupo pode ser atribuído facilmente a vários aplicativos, garantindo que os aplicativos com afinidade de atribuição possam compartilhar as regras de atribuição, reduzindo a complexidade do gerenciamento geral.

    Nota

    Associações de grupo aninhadas não têm suporte para atribuição com base em grupo para aplicativos atualmente.

Usando esses dois modos de atribuição, os administradores podem alcançar qualquer abordagem de gerenciamento de atribuições que quiserem.

Exigência de atribuição de usuário a um aplicativo

Com determinados tipos de aplicativos, você tem a opção de exigir que os usuários sejam atribuídos ao aplicativo. Fazendo isso, você impede qualquer usuário de fazer logon, exceto os usuários atribuídos explicitamente ao aplicativo. Os seguintes tipos de aplicativos dão suporte a essa opção:

  • Aplicativos configurados para logon único (SSO) federado com autenticação baseada em SAML
  • Aplicativos de proxy de aplicativo que usam a pré-autenticação do Microsoft Entra
  • Aplicativos que são criados na plataforma de aplicativos do Microsoft Entra usando autenticação OAuth 2.0/OpenID Connect após um usuário ou administrador darem seu consentimento ao aplicativo em questão. Determinados aplicativos empresariais oferecem mais controle sobre quem tem permissão para entrar.

Quando a atribuição de usuário é necessária, somente aqueles atribuídos ao aplicativo (por meio da atribuição de usuário direta ou com base na associação de grupo) poderão entrar. Eles podem acessar o aplicativo na portal Meus Aplicativos ou usando um link direto.

Quando a atribuição de usuário não é necessária, os usuários não atribuídos não enxergam o aplicativo em Meus Aplicativos, mas podem entrar no aplicativo propriamente dito (também conhecido como logon iniciado pelo SP) ou usar a URL de Acesso do Usuário na página Propriedades do aplicativo (também conhecido como logon iniciado pelo IDP). Para obter mais informações sobre como exigir configurações de atribuição de usuário, consulte Configurar um aplicativo

Essa configuração não interfere na exibição de um aplicativo no painel Meus Aplicativos. Os aplicativos aparecem no portal Meus Aplicativos dos usuários após você atribuir um usuário ou grupo ao aplicativo.

Nota

Quando um aplicativo exige atribuição, o consentimento do usuário não é permitido para esse aplicativo. Isso é verdadeiro mesmo que o consentimento do usuário para esse aplicativo tenha sido permitido de outra forma. Lembre-se de conceder consentimento do administrador em todo o locatário aos aplicativos que exigem atribuição.

Para alguns aplicativos, a opção de exigir a atribuição de usuário não está disponível entre as propriedades do aplicativo. Nesses casos, use o PowerShell para definir a propriedade appRoleAssignmentRequired na entidade de serviço.

Determinar a experiência do usuário para acessar aplicativos

O Microsoft Entra ID fornece várias maneiras personalizáveis de implantar aplicativos para usuários finais em sua organização:

  • Meus aplicativos do Microsoft Entra
  • Iniciador de aplicativos do Microsoft 365
  • Logon direto a aplicativos federados (provedor de serviços)
  • Links profundos a aplicativos federados, baseados em senha ou existentes

Você pode determinar se os usuários atribuídos a um aplicativo empresarial podem vê-lo em Meus Aplicativos e no iniciador de aplicativos Microsoft 365.

Exemplo: atribuição de aplicativo complexo com o Microsoft Entra ID

Considere um aplicativo como o Salesforce. Em muitas organizações, o Salesforce é usado principalmente pelas equipes de marketing e vendas. Geralmente, os membros da equipe de marketing têm um acesso altamente privilegiado ao Salesforce, enquanto os membros da equipe de vendas têm um acesso limitado. Em muitos casos, uma ampla população de profissionais de informática obtém acesso restrito ao aplicativo. Exceções a essas regras complicam as coisas. Geralmente é privilégio das equipes de liderança de marketing ou vendas conceder acesso a um usuário ou alterar suas funções independentemente dessas regras genéricas.

Com o Microsoft Entra ID, aplicativos como o Salesforce podem ser pré-configurados para logon único (SSO) e provisionamento automatizado. Quando o aplicativo é configurado, um administrador pode realizar a ação única de criar e atribuir os grupos apropriados. Neste exemplo, um administrador pode executar as atribuições a seguir:

  • Grupos dinâmicos podem ser definidos para representar automaticamente todos os membros das equipes de marketing e vendas usando atributos como o departamento ou a função:

    • Todos os membros de grupos de marketing seriam atribuídos à função de "marketing" no Salesforce
    • Todos os membros dos grupos da equipe de vendas seriam atribuídos à função de "vendas" no Salesforce. Um ajuste adicional poderia usar vários grupos que representam equipes de vendas regionais que são atribuídos a funções diferentes no Salesforce.
  • Para habilitar o mecanismo de exceção, um grupo de autoatendimento poderia ser criado para cada função. Por exemplo, o grupo "exceção de marketing do Salesforce" pode ser criado como um grupo de autoatendimento. O grupo pode ser atribuído à função de marketing do Salesforce e a equipe de liderança de marketing pode ser definida como proprietária. Membros da equipe de liderança de marketing podem adicionar ou remover usuários, definir uma política de associação ou até mesmo aprovar ou negar as solicitações de usuários individuais para ingressar. Esse mecanismo é respaldado pela experiência adequada de um profissional de informática e não requer treinamento especializado para proprietários ou membros.

Nesse caso, todos os usuários atribuídos seriam provisionados automaticamente para o Salesforce. À medida que são adicionados aos diferentes grupos, sua atribuição de função é atualizada no Salesforce. Os usuários poderiam descobrir e acessar o Salesforce por meio de Meus Aplicativos, clientes do Office na Web ou até mesmo navegando para sua página de logon organizacional do Salesforce. Os administradores poderiam exibir facilmente o status de atribuição e uso usando os relatórios do Microsoft Entra.

Os administradores podem usar o Acesso Condicional do Microsoft Entra para definir políticas de acesso para funções específicas. Em vários casos, essas políticas podem indicar se o acesso é permitido fora do ambiente corporativo e até mesmo incluir requisitos de dispositivo ou autenticação multifator para obter o acesso.

Acesso a aplicativos Microsoft

Os aplicativos da Microsoft (como Exchange, SharePoint, Yammer etc.) são atribuídos e gerenciados de forma um pouco diferente dos aplicativos SaaS que não são da Microsoft ou outros aplicativos, que você integra ao Microsoft Entra ID para fins de logon único.

Há três principais maneiras que um usuário pode obter acesso a um aplicativo publicado pela Microsoft.

  • Para aplicativos no Microsoft 365 ou em outros conjuntos de aplicativos pagos, os usuários têm acesso através de atribuição de licença diretamente à sua conta de usuário ou através de um grupo que usa nosso recurso de atribuição de licenças baseada em grupo.

  • Para aplicativos que a Microsoft ou uma organização que não seja a Microsoft publicam livremente para qualquer pessoa usar, o acesso pode ser concedido aos usuários por meio do consentimento do usuário. Isso significa que o usuário se conecta ao aplicativo usando a conta corporativa ou de estudante do Microsoft Entra e permite acesso a um conjunto limitado de dados em sua conta.

  • Para aplicativos que a Microsoft ou outra organização publica livremente para qualquer pessoa usar, o acesso também pode ser concedido aos usuários por meio do consentimento do administrador. Isso significa que um administrador determinou que o aplicativo pode ser usado por todos na organização, então ele entra no aplicativo com uma função Administrador de Funções com Privilégios e concede acesso a todos na organização.

Alguns aplicativos combinam esses métodos. Por exemplo, alguns aplicativos Microsoft fazem parte de uma assinatura do Microsoft 365, mas ainda exigem consentimento.

Os usuários podem acessar aplicativos do Microsoft 365 através de seus portais do Office 365. Você também pode mostrar ou ocultar aplicativos do Microsoft 365 em Meus Aplicativos com a Alternância de visibilidade do Office 365 nas Configurações de usuário do seu diretório.

Assim como é feito com os aplicativos empresariais, você pode atribuir usuários a determinados aplicativos Microsoft através do centro de administração do Microsoft Entra ou usando o PowerShell.

Como impedir o acesso ao aplicativo por meio de contas locais

O Microsoft Entra ID permite que sua organização configure o logon único para proteger a autenticação dos usuários em aplicativos com acesso condicional, autenticação multifator etc. Alguns aplicativos historicamente têm seu próprio repositório local de usuários, permitindo que os usuários entrem no aplicativo usando credenciais locais ou um método de autenticação de backup específico do aplicativo, em vez de usar o logon único. Esses recursos do aplicativo podem ser mal utilizados e permitir que os usuários mantenham o acesso aos aplicativos mesmo depois de não serem mais atribuídos ao aplicativo no Microsoft Entra ID ou não puderem mais entrar no Microsoft Entra ID, e podem permitir que invasores tentem comprometer o aplicativo sem aparecer nos logs do Microsoft Entra ID. Para garantir que as entradas nesses aplicativos sejam protegidas pelo Microsoft Entra ID:

  • Identifique quais aplicativos conectados ao seu diretório para logon único permitem que os usuários finais ignorem o logon único com uma credencial de aplicativo local ou um método de autenticação de backup. Você precisará examinar a documentação fornecida pelo provedor do aplicativo para entender se isso é possível e quais configurações estão disponíveis. Em seguida, nesses aplicativos, desative as configurações que permitem que os usuários finais ignorem o SSO. Teste se a experiência do usuário final foi protegida abrindo um navegador no InPrivate, conectando-se à página de entrada dos aplicativos, fornecendo a identidade de um usuário em seu locatário e verifique se não há nenhuma opção para entrar que não seja pelo Microsoft Entra.
  • Se o aplicativo fornecer uma API para gerenciar senhas de usuário, remova as senhas locais ou defina uma senha exclusiva para cada usuário usando as APIs. Isso impedirá que os usuários finais entrem no aplicativo com credenciais locais.
  • Se o aplicativo fornecer uma API para gerenciar usuários, configure o provisionamento de usuário do Microsoft Entra para esse aplicativo para desabilitar ou excluir contas de usuário quando os usuários não estiverem mais no escopo do aplicativo ou do locatário.

Próximas etapas