Criar um pacote de acesso no gerenciamento de direitos

Um pacote de acesso permite que você faça uma configuração única de recursos e políticas que administram automaticamente o acesso para a vida útil do pacote de acesso. Este artigo descreve como criar um pacote de acesso.

Visão geral

Todos os pacotes de acesso devem estar em um contêiner chamado catálogo. Um catálogo define quais recursos você pode adicionar ao seu pacote de acesso. Se um catálogo não for especificado, seu pacote de acesso ficará no catálogo geral. No momento, não é possível mover um pacote do de acesso existente para um catálogo diferente.

Um pacote de acesso pode ser usado para atribuir acesso a funções de vários recursos que estão no catálogo. Se você for administrador ou proprietário do catálogo, poderá adicionar recursos ao catálogo quando estiver criando um pacote de acesso. Você também pode adicionar recursos depois que o pacote de acesso for criado e os usuários atribuídos ao pacote de acesso também receberão os recursos extras.

Se você for um gerenciador de pacotes do acesso, não poderá adicionar seus recursos a um catálogo. Você pode usar apenas os recursos disponíveis no catálogo. Se precisar adicionar recursos a um catálogo, poderá solicitar ao proprietário.

Todos os pacotes de acesso precisam ter pelo menos uma política para que os usuários sejam atribuídos a eles. As políticas especificam quem pode solicitar o pacote de acesso, junto com as configurações de aprovação e de ciclo de vida, ou como o acesso é atribuído automaticamente. Ao criar um pacote de acesso, você pode criar uma política inicial para os usuários em seu diretório, para os usuários fora do seu diretório ou somente para atribuições diretas de administrador.

Diagrama de um catálogo de marketing de exemplo, incluindo seus recursos e seus pacotes de acesso.

Eis as etapas de alto nível para criar um pacote de acesso com uma política inicial::

  1. No Identity Governance, inicie o processo para criar um pacote de acesso.

  2. Selecione o catálogo no qual colocar o pacote de acesso e certifique-se de que ele tenha os recursos necessários.

  3. Adicione funções de recurso dos recursos no catálogo ao pacote de acesso.

  4. Especifique uma política inicial para os usuários que podem solicitar acesso.

  5. Especifique as configurações de aprovação e as configurações do ciclo de vida nessa política.

Depois que o pacote de acesso for criado, você poderá alterar a configuração oculta, adicionar ou remover funções de recurso e adicionar políticas adicionais.

Começar o processo de criação

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Governança de Identidade.

    Dica

    Outras funções de privilégio mínimo que podem concluir essa tarefa incluem o proprietário do catálogo ou o gerenciador de pacotes do Access.

  2. Navegue até Governança de identidade>Gerenciamento de direitos>Pacote de acesso.

  3. Selecione Novo pacote de acesso.

    Captura de tela mostrando o botão para criar um novo pacote de acesso no centro de Administração do Microsoft Entra.

Configurar os aspectos básicos

Na guia Básico, você dá um nome ao pacote de acesso e especifica em qual catálogo criar o pacote de acesso.

  1. Insira um nome de exibição e uma descrição para o pacote de acesso. Os usuários verão essas informações quando enviarem uma solicitação para o pacote de acesso.

  2. Na lista de seleção Catálogo, selecione o catálogo no qual você deseja colocar o pacote de acesso. Por exemplo, você pode ter um proprietário de catálogo que gerencia todos os recursos de marketing que podem ser solicitados. Nesse caso, você pode selecionar o catálogo de marketing.

    Você vê apenas os catálogos para os quais tem permissão para criar pacotes de acesso. Para criar um pacote de acesso em um catálogo existente, você deve ser pelo menos um Administrador do Identity Governance. Ou você deve ser um proprietário de catálogo ou gerenciador de pacotes de acesso nesse catálogo.

    Captura de tela mostrando informações básicas de um novo pacote de acesso.

    Se você for pelo menos um Administrador do Identity Governance ou criador de catálogo e quiser criar seu pacote de acesso em um novo catálogo que não esteja listado, selecione Criar novo catálogo. Insira o nome e a descrição do catálogo e selecione Criar.

    O pacote de acesso que você está criando e todos os recursos incluídos nele são adicionados ao novo catálogo. Posteriormente, você pode adicionar mais proprietários de catálogo ou adicionar atributos aos recursos que você colocou no catálogo. Para saber mais sobre como editar a lista de atributos de um recurso de catálogo específico e as funções que são pré-requisito, leia Adicionar atributos de recurso no catálogo.

  3. Selecione Avançar: funções de recurso.

Selecionar funções de recurso

Na guia Funções de recurso, você seleciona os recursos para incluir no pacote de acesso. Os usuários que solicitarem e receberem o pacote de acesso receberão todas as funções de recurso, como a associação a um grupo, no pacote de acesso.

Se você não tiver certeza de quais funções de recurso incluir, ignore a adição delas durante a criação do pacote de acesso e adicione-as posteriormente.

  1. Clique no tipo de recurso que você deseja adicionar (Grupos e Equipes, Aplicativosou sites do SharePoint).

  2. No painel Selecionar aplicativos, selecione um ou mais recursos da lista.

    Captura de tela mostrando o painel de seleção de aplicativos para funções de recurso em um novo pacote de acesso.

    Se você estiver criando o pacote de acesso no catálogo geral ou em um novo catálogo, poderá escolher qualquer recurso do seu diretório. Você deve ser pelo menos um Administrador do Identity Governance ou criador de catálogo.

    Observação

    Você pode adicionar grupos de associação dinâmica a um catálogo e a um pacote de acesso. No entanto, você pode selecionar apenas a função de proprietário ao gerenciar um recurso de grupo dinâmico em um pacote de acesso.

    Se você estiver criando o pacote de acesso em um catálogo existente, poderá selecionar qualquer recurso que já esteja no catálogo sem precisar ser proprietário desse recurso.

    Se você for pelo menos um Administrador do Identity Governance ou proprietário de catálogo, terá a opção adicional de selecionar recursos que possui ou administra, mas que ainda não estão no catálogo. Se você selecionar recursos no diretório, mas que não estão atualmente no catálogo selecionado, esses recursos também serão adicionados ao catálogo para que outros administradores de catálogo criem pacotes de acesso com eles. Para ver todos os recursos no diretório que podem ser adicionados ao catálogo, marque a caixa de seleção Ver tudo na parte superior do painel. Se você quiser selecionar apenas os recursos que estão atualmente no catálogo selecionado, deixe a caixa de seleção Ver tudo desmarcada (estado padrão).

  3. Na lista Função, selecione a função que deseja atribuir aos usuários para o recurso. Para obter mais informações sobre como selecionar as funções apropriadas para um recurso, consulte como determinar quais funções de recurso incluir em um pacote de acesso.

    Captura de tela mostrando a seleção de função de recurso de um novo pacote de acesso.

  4. Selecione Avançar: solicitações.

Criar a política inicial

Na guia Solicitações, você cria a primeira política para especificar quem pode solicitar o pacote de acesso. Você também pode definir as configurações de aprovação dessa política. Posteriormente, depois de criar o pacote de acesso com essa política inicial, você pode adicionar mais políticas para permitir que grupos adicionais de usuários solicitem o pacote de acesso com suas próprias configurações de aprovação ou atribuam acesso automaticamente.

Captura de tela mostrando a guia Solicitações de um novo pacote de acesso.

Dependendo de quais usuários você quer que possam solicitar esse pacote de acesso, execute as etapas em uma das seguintes seções Permitir que os usuários em seu diretório solicitem o pacote de acesso, Permitir que usuários que não estão em seu diretório solicitem o pacote de acesso ou Permitir somente atribuições diretas de administrador. Se você não tiver certeza de quais configurações de solicitação ou aprovação precisará, planeje criar atribuições para usuários que já têm acesso aos recursos subjacentes ou use políticas de atribuição automática de pacote de acesso para automatizar o acesso e, em seguida, escolha a política de atribuição direta como a política inicial.

Permitir que os usuários em seu diretório solicitem o pacote de acesso

Siga estas etapas para permitir que os usuários no seu diretório possam solicitar esse pacote de acesso. Ao definir a política de solicitação, você pode especificar usuários individuais ou grupos de usuários (mais comum). Por exemplo, a organização pode já ter um grupo como Todos os funcionários. Se esse grupo for adicionado na política para usuários que podem solicitar acesso, qualquer membro desse grupo poderá solicitar acesso.

  1. Na seção Usuários que podem solicitar acesso, selecione Para usuários em seu diretório.

    Quando você seleciona essa opção, novas opções aparecem para refinar quem no diretório pode solicitar esse pacote de acesso.

    Captura de tela mostrando a opção de permitir que usuários e grupos no diretório solicitem um pacote de acesso.

  2. Selecione uma das seguintes opções:

    Opção Descrição
    Usuários e grupos específicos Escolha esta opção se quiser que apenas os usuários e grupos no diretório especificados possam solicitar esse pacote de acesso.
    Todos os membros (excluindo os convidados) Escolha esta opção se quiser que todos os usuários membros no seu diretório possam solicitar esse pacote de acesso. Esta opção não inclui nenhum usuário convidado que você tenha convidado para o diretório.
    Todos os usuários (incluindo os convidados) Escolha esta opção se quiser que todos os usuários membros e convidados no seu diretório possam solicitar esse pacote de acesso.

    Os usuários convidados são usuários externos que foram convidados para seu diretório por meio do Microsoft Entra B2B. Para saber mais sobre as diferenças entre usuários membros e convidados, consulte Quais são as permissões de usuário padrão na ID do Microsoft Entra?.

  3. Se você selecionou Usuários e grupos específicos,selecione Adicionar usuários e grupos.

  4. No painel Selecionar usuários e grupos, selecione os usuários e grupos que deseja adicionar.

    Captura de tela mostrando o painel de seleção de usuários e grupos para um pacote de acesso.

  5. Escolha Selecionar para adicionar os usuários e grupos.

  6. Navegue até a seção Especificar configurações de aprovação.

Permitir que os usuários fora do seu diretório solicitem o pacote de acesso

Os usuários que estão em outro domínio ou diretório do Microsoft Entra podem ainda não ter sido convidados para seu diretório. Os diretórios do Microsoft Entra devem ser configurados para permitir convites nas Restrições de colaboração. Para obter mais informações, confira Definir configurações de colaboração externa.

Uma conta de usuário convidado será criada para um usuário que ainda não está no diretório cuja solicitação foi aprovada ou que não necessita de aprovação. O convidado será convidado, mas não receberá um email de convite. Em vez disso, ele receberá um email quando a atribuição do pacote de acesso for entregue. Posteriormente, quando o usuário convidado não tiver mais nenhuma atribuição de pacote de acesso, porque sua última atribuição expirou ou foi cancelada, essa conta terá o acesso bloqueado e será excluída subsequentemente. O bloqueio e a exclusão ocorrem por padrão.

Se quiser que os usuários convidados permaneçam no diretório indefinidamente, mesmo que eles não tenham atribuições de pacote de acesso, você poderá alterar as configurações de gerenciamento de direitos. Para obter informações sobre o objeto do usuário convidado, consulte Propriedades de um usuário de colaboração B2B do Microsoft Entra.

Siga estas etapas para permitir que os usuários fora do seu diretório solicitem esse pacote de acesso:

  1. Na seção Usuários que podem solicitar acesso, selecione Para usuários que não estão em seu diretório.

    Ao selecionar essa opção, novas opções são exibidas.

    Captura de tela mostrando a opção de permitir que usuários e grupos fora do diretório solicitem um pacote de acesso.

  2. Selecione uma das seguintes opções:

    Opção Descrição
    Organizações conectadas específicas Escolha esta opção se quiser selecionar a partir de uma lista de organizações que o administrador adicionou anteriormente. Todos os usuários das organizações selecionadas podem solicitar esse pacote de acesso.
    Todas as organizações conectadas Escolha esta opção se todos os usuários de todas as organizações conectadas configuradas podem solicitar esse pacote de acesso.
    Todos os usuários (Todas as organizações conectadas + novos usuários externos) Escolha essa opção se qualquer usuário puder solicitar esse pacote de acesso e se as configurações de lista de permitidos ou de bloqueados B2B devem ter precedência para qualquer usuário externo novo.

    Uma organização conectada é um diretório ou domínio externo do Microsoft Entra com o qual você tem uma relação.

  3. Se você selecionou Organizações conectadas específicas, selecione Adicionar diretórios para selecionar a partir de uma lista de organizações conectadas que o administrador adicionou anteriormente.

  4. Insira o nome ou nome de domínio para procurar uma organização conectada anteriormente.

    Captura de tela mostrando a caixa de pesquisa para selecionar um diretório para solicitações a um pacote de acesso.

    Se a organização com a qual você deseja colaborar não estiver na lista, você poderá pedir que o administrador adicione-a como uma organização conectada. Para mais informações, confira Adicionar uma organização conectada.

  5. Se você selecionou Todas as organizações conectadas, deverá confirmar a lista de organizações conectadas que estão atualmente configuradas e planejadas para estar no escopo.

  6. Se você selecionou Todos os usuários, precisará configurar aprovações na seção de aprovações, pois esse escopo permitirá que qualquer identidade na Internet solicite acesso.

  7. Depois de selecionar todas as suas organizações conectadas, escolha Selecionar.

    Todos os usuários das organizações conectadas selecionadas poderão solicitar esse pacote de acesso. Isso inclui os usuários no Microsoft Entra ID de todos os subdomínios associados à organização, a menos que a lista de permitidos ou de bloqueados B2B do Azure bloqueie esses domínios. Se você especificar um domínio de provedor de identidade social, como live.com, qualquer usuário do provedor de identidade social poderá solicitar esse pacote de acesso. Para obter mais informações, consulte Permitir ou bloquear convites para usuários B2B de organizações específicas.

  8. Navegue até a seção Especificar configurações de aprovação.

Permitir somente atribuições diretas do administrador

Siga estas etapas se quiser ignorar as solicitações de acesso e permitir que os administradores atribuam usuários específicos diretamente a esse pacote de acesso. Os usuários não precisarão solicitar o pacote de acesso. Você ainda pode definir as configurações do ciclo de vida, mas não há configurações de solicitação.

  1. Na seção Usuários que podem solicitar acesso, selecione Nenhum (somente atribuições diretas do administrador).

    Captura de tela mostrando a opção para permitir apenas atribuições diretas do administrador para um pacote de acesso.

    Depois de criar o pacote de acesso, você pode atribuir diretamente usuários internos e externos específicos a ele. Se especificar um usuário externo, uma conta de usuário convidado será criada no diretório. Para obter informações sobre como atribuir um usuário diretamente, confira Exibir, adicionar e remover atribuições para um pacote de acesso.

  2. Pule para a seção Habilitar solicitações.

Especificar configurações de aprovação

Na seção Aprovação, você especificará se uma aprovação é necessária quando os usuários solicitam esse pacote de acesso. As configurações de aprovação funcionam da seguinte maneira:

  • Somente um dos aprovadores selecionados ou aprovadores de fallback precisa aprovar uma solicitação de aprovação de fase única.
  • Somente um dos aprovadores selecionados de cada fase precisa aprovar uma solicitação de aprovação de duas fases.
  • Um aprovador pode ser um gerente, um responsável de um usuário, um responsável interno ou um responsável externo, dependendo da governança de acesso da política.
  • A aprovação de cada aprovador selecionado não é necessária para a aprovação de uma ou duas fases.
  • A decisão de aprovação é tomada por qualquer aprovador que examine a solicitação primeiro.

Para ver uma demonstração de como adicionar aprovadores a uma política de solicitação, assista ao vídeo a seguir:

Para ver uma demonstração de como adicionar uma aprovação de várias fases a uma política de solicitação, assista ao vídeo a seguir:

Siga estas etapas para especificar as configurações de aprovação das solicitações para o pacote de acesso:

  1. Para exigir aprovação para solicitações dos usuários selecionados, defina a opção Exigir aprovação como Sim. Ou, para que as solicitações sejam aprovadas automaticamente, defina como Não. Se a política permitir que usuários externos de fora da sua organização solicitem acesso, você deverá exigir aprovação para que haja supervisão sobre quem está sendo adicionado ao diretório da sua organização.

  2. Para exigir que os usuários forneçam uma justificativa para solicitar o pacote de acesso, defina Exigir justificativa do solicitante como Sim.

  3. Determine se as solicitações exigirão a aprovação de uma ou duas fases. Defina o Número de fases como 1 para aprovação de fase única, como 2 para aprovação de duas fases ou como 3 para aprovação de três fases.

    Captura de tela mostrando as configurações de aprovação para solicitações para um pacote de acesso.

Use as etapas a seguir para adicionar aprovadores depois de selecionar o número de fases.

Aprovação de fase única

  1. Adicione as informações do Primeiro Aprovador:

    • Se a política estiver definida como Para usuários em seu diretório, você poderá selecionar Gerente como aprovador ou Responsáveis como aprovadores. Ou você pode adicionar um usuário específico selecionando Escolher aprovadores específicos e, em seguida, selecionar Adicionar aprovadores.

      Para usar Responsáveis como aprovadores para Aprovação, você deve ter uma licença do Microsoft Entra ID Governance. Para obter mais informações, consulteComparar recursos do Microsoft Entra ID em disponibilidade geral.

      Captura de tela mostrando as opções para um primeiro aprovador se a política estiver definida como usuários no seu diretório.

    • Se essa política estiver definida como Para usuários fora do seu diretório selecione Responsável externo ou Responsável interno. Ou você pode adicionar um usuário específico selecionando Escolher aprovadores específicos e, em seguida, selecionar Adicionar aprovadores.

      Captura de tela mostrando as opções para um primeiro aprovador se a política estiver definida como usuários fora do seu diretório.

  2. Se você selecionou Gerente como o primeiro aprovador, selecione Adicionar fallback para selecionar um ou mais usuários ou grupos em seu diretório para serem aprovadores de fallback. Os aprovadores de fallback receberão a solicitação se o gerenciamento de direitos não conseguir localizar o gerente para o usuário que solicitou acesso.

    O gerenciamento de direitos encontra o gerente usando o atributo Gerente. O atributo está no perfil do usuário no ID do Microsoft Entra. Para obter mais informações, consulte Adicionar ou atualizar as informações e configurações do perfil do usuário.

  3. Se você selecionou Responsável como o primeiro aprovador, selecione Adicionar fallback para selecionar um ou mais usuários ou grupos em seu diretório para serem aprovadores de fallback. Os aprovadores de fallback receberão a solicitação se o gerenciamento de direitos não conseguir localizar o responsável pelo usuário que solicitou acesso.

    O gerenciamento de direitos localiza responsáveis usando o atributo Responsáveis . O atributo está no perfil do usuário no ID do Microsoft Entra. Para obter mais informações, consulte Adicionar ou atualizar as informações e configurações do perfil do usuário.

  4. Se você selecionou Escolher aprovadores específicos, selecione Adicionar aprovadores para selecionar um ou mais usuários ou grupos em seu diretório para serem aprovadores.

  5. Na caixa A decisão deve ser tomada em quantos dias?, especifique o número de dias que um aprovador tem para examinar uma solicitação para esse pacote de acesso.

    Se uma solicitação não for aprovada dentro desse período de tempo, ela será negada automaticamente. O usuário deverá enviar outra solicitação para o pacote de acesso.

  6. Para exigir que os aprovadores forneçam uma justificativa para sua decisão, defina Exigir justificativa do aprovador como Sim.

    A justificativa é visível para outros Aprovadores e o solicitante.

Aprovação de duas fases

Se você selecionou uma aprovação de duas fases, precisará adicionar um segundo aprovador:

  1. Adicione as informações do Segundo Aprovador:

    • Se os usuários estiverem em seu diretório, você poderá selecionar Responsáveis como aprovadores. Ou adicione um usuário específico selecionando Escolher aprovadores específicos no menu suspenso e depois selecione Adicionar aprovadores.

      Captura de tela mostrando as opções para um segundo aprovador se a política estiver definida como usuários no seu diretório.

    • Se os usuários não estiverem em seu diretório, selecione Patrocinador interno ou Patrocinador externo como o segundo aprovador. Depois de selecionar o aprovador, adicione os aprovadores de fallback.

      Captura de tela mostrando as opções para um segundo aprovador se a política estiver definida como usuários fora do seu diretório.

  2. Na caixa em A decisão deve ser tomada em quantos dias?, especifique o número de dias que o segundo aprovador tem para aprovar a solicitação.

  3. Defina Exibir justificativa do aprovador como Sim ou Não.

Aprovação de três fases

Se você selecionou uma aprovação de três fases, precisará adicionar um terceiro aprovador:

  1. Adicione as informações do Terceiro Aprovador:

    Se os usuários estiverem em seu diretório, adicione um usuário específico como o terceiro aprovador clicando em Selecionar aprovadores específicos>Adicionar aprovadores.

    Captura de tela mostrando as opções para um terceiro aprovador se a política estiver definida como usuários no seu diretório.

  2. Na caixa em A decisão deve ser tomada em quantos dias?, especifique o número de dias que o segundo aprovador tem para aprovar a solicitação.

  3. Defina Exibir justificativa do aprovador como Sim ou Não.

Aprovadores alternativos

Você pode especificar aprovadores alternativos, de forma semelhante à especificação do primeiro e do segundo aprovadores que podem aprovar solicitações. Ter aprovadores alternativos ajudará a garantir que as solicitações sejam aprovadas ou negadas antes de expirarem (tempo limite). Você pode listar aprovadores alternativos para o primeiro aprovador e o segundo aprovador em aprovação de duas fases.

Ao especificar aprovadores alternativos, no caso de o primeiro ou segundo aprovador não conseguir aprovar ou negar a solicitação, a solicitação pendente é encaminhada para os aprovadores alternativos. A solicitação é enviada de acordo com o agendamento de encaminhamento especificado durante a configuração da política. Os aprovadores recebem um email para aprovar ou negar a solicitação pendente.

Depois que a solicitação é encaminhada para os aprovadores alternativos, o primeiro ou o segundo aprovador ainda pode aprovar ou negar a solicitação. Os aprovadores alternativos usam o mesmo site Meus Acessos para aprovar ou negar a solicitação pendente.

Você pode listar pessoas ou grupos de pessoas para serem aprovadores e aprovadores alternativos. Liste conjuntos diferentes de pessoas para serem primeiro aprovador, segundo aprovador e aprovador alternativo. Por exemplo, se você listou Alice e Pedro como os primeiros aprovadores, liste Clara e Eduardo como aprovadores alternativos.

Use as etapas a seguir para adicionar aprovadores alternativos a um pacote de acesso:

  1. Em Primeiro Aprovador, Segundo Aprovador, ou ambos, selecione Mostrar configurações avançadas de solicitação.

    Captura de tela da seleção para mostrar configurações avançadas de solicitação.

  2. Defina Se nenhuma ação for realizada, encaminhar para aprovadores alternativos? como Sim.

  3. Selecione Adicionar aprovadores alternativos e selecione os aprovadores alternativos na lista.

    Captura de tela mostrando as configurações avançadas de solicitação, incluindo o link para adicionar aprovadores alternativos.

    Se você selecionar Gerente como o primeiro aprovador, uma opção extra será exibida na caixa Aprovador Alternativo: Gerente de segundo nível como aprovador alternativo. Se você selecionar essa opção, será necessário adicionar um aprovador de fallback para encaminhar a solicitação caso o sistema não possa encontrar o gerente de segundo nível.

  4. Na caixa Encaminhar para aprovadores alternativos após a quantidade de dias, insira o número de dias que os aprovadores têm para aprovar ou negar uma solicitação. Se nenhum aprovador tiver aprovado ou negado a solicitação antes da duração da solicitação, a solicitação expirará (atingiu o tempo limite). O usuário deverá enviar outra solicitação para o pacote de acesso.

As solicitações só podem ser encaminhadas para aprovadores alternativos um dia depois que a duração atingir metade do ciclo de vida. A decisão dos aprovadores principais deve atingir o tempo limite após pelo menos quatro dias. Se o tempo limite da solicitação for menor ou igual a três dias, não haverá tempo suficiente para encaminhar a solicitação para os aprovadores alternativos.

Neste exemplo, a duração da solicitação é de 14 dias. A duração da solicitação atinge a metade do ciclo de vida no dia 7. Sendo assim, a solicitação não pode ser encaminhada antes do dia 8.

Além disso, as solicitações não podem ser encaminhadas no último dia da duração da solicitação. Portanto, no exemplo, o último dia em que solicitação pode ser encaminhada é o dia 13.

Habilitar solicitações

  1. Se quiser que o pacote de acesso seja disponibilizado imediatamente para os usuários solicitarem na política de solicitação, alterne o botão Habilitar novas solicitações e atribuições para Sim.

    Você poderá habilitá-la futuramente depois de concluir a criação do pacote de acesso.

    Se selecionou Nenhum (somente atribuições diretas do administrador) e definir Habilitar novas solicitações e atribuições como Não, os administradores não poderão atribuir diretamente este pacote de acesso.

    Captura de tela que mostra a opção de habilitar novas solicitações e atribuições.

  2. Vá para a próxima seção para saber como adicionar um requisito de ID verificada ao pacote de acesso. Caso contrário, selecione Avançar.

Adicionar um requisito de ID verificada

Siga estas etapas se quiser adicionar um requisito de ID verificada à política de pacote de acesso. Os usuários que solicitam acesso ao pacote de acesso precisarão apresentar as IDs verificadas necessárias antes de enviar a solicitação com êxito. Para saber como configurar seu locatário com o serviço de ID Verificada do Microsoft Entra, consulte Introdução à ID Verificada do Microsoft Entra.

Você precisará de uma função Administrador global para adicionar requisitos de ID verificada a um pacote de acesso em uma política de solicitação. O Administrador do Identity Governance, o administrador do usuário, o proprietário do catálogo ou o gerenciador de pacotes de acesso não poderão adicionar requisitos de ID verificada.

  1. Clique em + Adicionar emissor e depois selecione um emissor na rede de ID Verificada do Microsoft Entra. Se você quiser emitir suas próprias credenciais para os usuários, confira as instruções em Emitir credenciais de ID Verificada do Microsoft Entra a partir de um aplicativo.

    Captura de tela mostrando o painel de seleção de um emissor para um pacote de acesso.

  2. Selecione os tipos de credenciais que você deseja que os usuários apresentem durante o processo de solicitação.

    Captura de tela mostrando a área de seleção de tipos de credenciais para um pacote de acesso.

    Se você selecionar vários tipos de credencial de um emissor, os usuários precisarão apresentar credenciais de todos os tipos selecionados. Da mesma forma, se você incluir vários emissores, os usuários precisarão apresentar credenciais de cada um dos emissores incluídos na política. Para dar aos usuários a opção de apresentar credenciais diferentes de vários emissores, configure políticas separadas para cada tipo de emissor ou credencial que você aceitará.

  3. Selecione Adicionar para adicionar o requisito de ID verificada à política de pacote de acesso.

Adicionar informações do solicitante a um pacote de acesso

  1. Acesse a guia Informações do solicitante e selecione a guia Perguntas.

  2. Na caixa Pergunta , insira uma pergunta que você deseja fazer ao solicitante. Essa pergunta também é conhecida como a cadeia de caracteres de exibição.

  3. Se você quiser adicionar suas próprias opções de localização, selecione adicionar localização.

    Captura de tela mostrando a caixa para inserir uma pergunta ao solicitante.

    No painel Adicionar localizações para perguntas:

    1. Em Código de idioma, selecione o código de idioma para o idioma de localização da pergunta.
    2. Na caixa Texto localizado, insira a pergunta no idioma configurado.
    3. Quando terminar de adicionar todas as localizações necessárias, selecione Salvar.

    Captura de tela mostrando as seleções de localização de uma pergunta.

  4. Em Formato de resposta, selecione o formato no qual você deseja que os solicitantes respondam. Os formatos de resposta incluem Texto curto, Múltipla escolha e Texto longo.

  5. Ao selecionar Múltipla escolha, selecione o botão Editar e localizar para configurar as opções de resposta.

    Captura de tela mostrando múltipla escolha selecionada como formato de resposta, junto com o botão para edição e localização de opções de resposta.

    No painel Exibir/editar pergunta:

    1. Nas caixas Valores de resposta, insira as opções de resposta que você deseja oferecer quando o solicitante estiver respondendo à pergunta.
    2. Nas caixas Idioma, selecione o idioma para as opções de resposta. Você pode localizar opções de resposta se escolher mais idiomas.
    3. Clique em Salvar.

    Captura de tela mostrando as opções para edição e localização de respostas de múltipla escolha.

  6. Para exigir que os solicitantes respondam a essa pergunta ao solicitar acesso a um pacote de acesso, marque a caixa de seleção Obrigatório.

  7. Selecione a guia Atributos para exibir os atributos associados aos recursos adicionados ao pacote de acesso.

    Observação

    Para adicionar ou atualizar atributos de recursos de um pacote de acesso, acesse Catálogos e localize o catálogo associado ao pacote de acesso. Para saber mais sobre como editar a lista de atributos de um recurso de catálogo específico e as funções que são pré-requisito, leia Adicionar atributos de recurso no catálogo.

  8. Selecione Avançar.

Especificar um ciclo de vida

Na guia Ciclo de vida, você especifica quando expira a atribuição de um usuário ao pacote de acesso. Você também pode especificar se os usuários podem estender suas respectivas atribuições.

  1. Na seção Expiração, defina as Atribuições do pacote de acesso expiram como Data de término, Número de dias, Número de horas ou Nunca.

    • Para Na data, selecione uma data de validade futura.
    • Para Número de dias, especifique um número de 0 a 3.660 dias.
    • Em Número de horas, especifique a quantidade de horas.

    De acordo com a sua seleção, a atribuição de um usuário ao pacote de acesso vence em determinada data, alguns dias após a aprovação ou nunca.

  2. Se você deseja que o usuário solicite uma data de início e término específica para seu acesso, selecione Sim para a alternância Os usuários podem solicitar uma linha do tempo específica.

  3. Escolha Mostrar configurações de vencimento avançadas para mostrar mais configurações.

    Captura de tela mostrando as configurações de expiração do ciclo de vida de um pacote de acesso.

  4. Para permitir que o usuário estenda suas atribuições, defina Permitir que os usuários estendam o acesso como Sim.

    Se as prorrogações forem permitidas na política, o usuário receberá um email 14 dias antes e um dia antes da data que a atribuição do pacote de acesso estiver definida para expirar. O email solicitará que o usuário estenda a atribuição. O usuário ainda deve estar no escopo da política no momento em que solicitar uma prorrogação.

    Além disso, se a política tiver uma data de término explícita para atribuições e um usuário enviar uma solicitação para estender o acesso, a data de prorrogação na solicitação deverá ser igual ou anterior à expiração das atribuições. A política que você usou para conceder ao usuário acesso ao pacote de acesso define se a data de prorrogação é igual ou anterior à expiração da atribuição. Por exemplo, se a política indicar que as atribuições estão definidas para expirar em 30 de junho, a prorrogação máxima que um usuário poderá solicitar será 30 de junho.

    Se o acesso de um usuário for estendido, ele não poderá solicitar o pacote de acesso após a data de prorrogação especificada (a data definida no fuso horário do usuário que criou a política).

  5. Para exigir aprovação para conceder uma extensão, defina Exigir aprovação para conceder a extensão como Sim.

    Essa aprovação usará as mesmas configurações de aprovação especificadas na guia Solicitações.

  6. Selecione Avançar ou Atualizar.

Revisar e criar o pacote de acesso

Na guia Revisar + criar, você pode examinar as configurações e verificar se há erros de validação.

  1. Revise as configurações do pacote de acesso.

    Captura de tela mostrando um resumo da configuração do pacote de acesso.

  2. Clique em Criar para criar o pacote de acesso e sua política inicial.

    O novo pacote de acesso aparece na lista de pacotes de acesso.

  3. Se o pacote de acesso for destinado a ser visível para todos no escopo das políticas, deixe a configuração Oculto do pacote de acesso em Não. Opcionalmente, se você pretende permitir que apenas usuários com o link direto solicitem o pacote de acesso, edite o pacote de acesso para alterar a configuração Oculto para Sim. Em seguida, copie o link para solicitar o pacote de acesso e compartilhá-lo com os usuários que precisam de acesso.

  4. Em seguida, você pode adicionar mais políticas ao pacote de acesso, configurar verificações de separação de tarefas ou atribuir diretamente um usuário.

Criar um pacote de acesso programaticamente

Há duas maneiras de criar um pacote de acesso programaticamente: através do Microsoft Graph e através dos cmdlets do PowerShell para Microsoft Graph.

Criar um pacote de acesso usando o Microsoft Graph

Você pode criar um pacote de acesso usando o Microsoft Graph. Um usuário em uma função adequada com um aplicativo que tenha a permissão delegada EntitlementManagement.ReadWrite.All pode chamar a API para:

  1. Liste os recursos no catálogo e crie um accessPackageResourceRequest para todos os recursos que ainda não estão no catálogo.
  2. Recuperar as funções e os escopos de cada recurso no catálogo. Essa lista de funções será usada para selecionar uma função, ao criar subsequentemente um resourceRoleScope.
  3. Criar um accessPackage.
  4. Criar um resourceRoleScope para cada função de recurso necessária no pacote de acesso.
  5. Crie uma assignmentPolicy para cada política necessária no pacote de acesso.

Criar um pacote de acesso usando o Microsoft PowerShell

Você também pode criar um pacote de acesso no PowerShell usando os cmdlets do módulo Cmdlets do PowerShell do Microsoft Graph para Identity Governance.

Primeiro, recupere a ID do catálogo e do recurso nesse catálogo e seu escopo e funções que você quer incluir no pacote de acesso. Use um script semelhante ao exemplo a seguir:

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$catalog = Get-MgEntitlementManagementCatalog -Filter "displayName eq 'Marketing'" -All
if ($catalog -eq $null) { throw "catalog not found" }
$rsc = Get-MgEntitlementManagementCatalogResource -AccessPackageCatalogId $catalog.id -Filter "originSystem eq 'AadApplication'" -ExpandProperty scopes
if ($rsc -eq $null) { throw "resource not found" }
$filt = "(id eq '" + $rsc.Id + "')"
$rrs = Get-MgEntitlementManagementCatalogResourceRole -AccessPackageCatalogId $catalog.id -Filter $filt -ExpandProperty roles,scopes

Em seguida, crie o pacote de acesso:


$params = @{
    displayName = "sales reps"
    description = "outside sales representatives"
    catalog = @{
        id = $catalog.id
    }
}
$ap = New-MgEntitlementManagementAccessPackage -BodyParameter $params

Depois de criar o pacote de acesso, atribua as funções de recurso a ele. Por exemplo, se você quiser incluir a primeira função de recurso do recurso retornado anteriormente como uma função de recurso do novo pacote de acesso, poderá usar um script semelhante a este:


$rparams = @{
    role = @{
        id =  $rrs.Roles[0].Id
        displayName =  $rrs.Roles[0].DisplayName
        description =  $rrs.Roles[0].Description
        originSystem =  $rrs.Roles[0].OriginSystem
        originId =  $rrs.Roles[0].OriginId
        resource = @{
            id = $rrs.Id
            originId = $rrs.OriginId
            originSystem = $rrs.OriginSystem
        }
    }
    scope = @{
        id = $rsc.Scopes[0].Id
        originId = $rsc.Scopes[0].OriginId
        originSystem = $rsc.Scopes[0].OriginSystem
    }
}

New-MgEntitlementManagementAccessPackageResourceRoleScope -AccessPackageId $ap.Id -BodyParameter $rparams

Por fim, crie as políticas. Nessa política, somente os administradores ou os gerentes de atribuições do pacote de acesso pode atribuir acesso e não há revisões de acesso. Para obter mais exemplos, consulte Criar uma política de atribuição por meio do PowerShell e Criar um assignmentPolicy.



$pparams = @{
    displayName = "New Policy"
    description = "policy for assignment"
    allowedTargetScope = "notSpecified"
    specificAllowedTargets = @(
    )
    expiration = @{
        endDateTime = $null
        duration = $null
        type = "noExpiration"
    }
    requestorSettings = @{
        enableTargetsToSelfAddAccess = $false
        enableTargetsToSelfUpdateAccess = $false
        enableTargetsToSelfRemoveAccess = $false
        allowCustomAssignmentSchedule = $true
        enableOnBehalfRequestorsToAddAccess = $false
        enableOnBehalfRequestorsToUpdateAccess = $false
        enableOnBehalfRequestorsToRemoveAccess = $false
        onBehalfRequestors = @(
        )
    }
    requestApprovalSettings = @{
        isApprovalRequiredForAdd = $false
        isApprovalRequiredForUpdate = $false
        stages = @(
        )
    }
    accessPackage = @{
        id = $ap.Id
    }
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $pparams

Para obter mais informações, confira Criar um pacote de acesso no gerenciamento de direitos de um aplicativo com uma só função usando o PowerShell.

Próximas etapas