Saiba mais sobre grupos e direitos de acesso no Microsoft Entra ID

O Microsoft Entra ID fornece diversas maneiras de gerenciar o acesso a recursos, aplicativos e tarefas. Com os grupos do Microsoft Entra, é possível conceder acesso e permissões a um grupo de usuários em vez de para cada usuário individual. Limitar o acesso aos recursos do Microsoft Entra somente aos usuários que precisam dele é um dos princípios de segurança mais importantes da Confiança Zero.

Este artigo fornece uma visão geral de como os grupos e os direitos de acesso podem ser usados juntos para facilitar o gerenciamento dos usuários do Microsoft Entra e ajudar na aplicação das melhores práticas de segurança.

O Microsoft Entra ID permite que você use grupos para gerenciar o acesso a aplicativos, dados e recursos. Os recursos podem:

  • Parte da organização do Microsoft Entra, como permissões para gerenciar objetos por meio de funções no Microsoft Entra ID
  • Ser externos à organização, como aplicativos SaaS (software como serviço)
  • Serviços do Azure
  • Sites do SharePoint
  • Recursos locais

Alguns grupos não podem ser gerenciados no portal do Azure:

  • Os grupos sincronizados do Active Directory local só podem ser gerenciados no Active Directory local.
  • As listas de distribuição e os grupos de segurança habilitados para email são gerenciados somente no centro de administração do Exchange ou do Microsoft 365. Para gerenciá-los, você deve conectar-se ao centro de administração do Exchange ou do Microsoft 365.

O que saber antes de criar um grupo

Há dois tipos de grupo e três tipos de associação de grupo. Analise as opções para encontrar a combinação ideal para o seu cenário.

Tipos de grupo:

Segurança: usado para gerenciar o acesso de usuários e computadores a recursos compartilhados.

Por exemplo, é possível criar um grupo de segurança para que todos os membros dele tenham o mesmo conjunto de permissões de segurança. Os membros de um grupo de segurança podem incluir usuários, dispositivos, entidades de serviço e outros grupos (também conhecidos como grupos aninhados), que definem a política de acesso e as permissões. Os proprietários de um grupo de segurança podem incluir usuários e entidades de serviço.

Observação

Quando um grupo de segurança existente é aninhado em outro grupo de segurança, somente os membros do grupo pai terão acesso aos recursos e aplicativos compartilhados. Os membros do grupo aninhado não têm a mesma subscrição atribuída que os membros do grupo responsável. Para obter mais informações sobre como gerenciar grupos aninhados, confira Como gerenciar grupos.

Microsoft 365: oferece oportunidades de colaboração dando aos membros do grupo acesso a uma caixa de correio, um calendário, arquivos, sites do SharePoint, entre outros itens, compartilhados.

Essa opção também permite dar acesso ao grupo a pessoas fora da sua organização. Os membros de um grupo do Microsoft 365 só podem incluir usuários. Os proprietários de um grupo do Microsoft 365 podem incluir usuários e entidades de serviço. Para saber mais sobre grupos do Microsoft 365, consulte Saiba mais sobre grupos do Microsoft 365.

Tipos de associação:

  • Grupos atribuídos: permite adicionar usuários específicos como membros de um grupo para ter permissões exclusivas.

  • Grupo de associação dinâmica para usuários: permite usar regras de usuários para adicionar e remover usuários como membros automaticamente. Se os atributos de um membro forem alterados, o sistema examinará suas regras de grupos de associação dinâmica para o diretório. O sistema verificará se o membro atende aos requisitos da regra (é adicionado) ou não atende mais aos requisitos das regras (é removido).

  • Grupo de associação dinâmica para dispositivos: permite usar regras de dispositivos para adicionar e remover dispositivos como membros automaticamente. Se os atributos de um dispositivo forem alterados, o sistema examinará as regras de grupos de associação dinâmica do diretório para ver se o dispositivo atende aos requisitos de regra (é adicionado) ou não atende mais aos requisitos de regras (é removido).

    Importante

    Você pode criar um grupo dinâmico para dispositivos ou usuários, mas não para ambos. Você não pode criar um grupo de dispositivos com base em atributos os proprietários do dispositivo. Regras de associação de dispositivo só podem fazer referência a atributos do dispositivo. Para obter mais informações sobre como criar um grupo dinâmico para usuários e dispositivos, confira Criar um grupo dinâmico e verificar o status.

O que saber antes de adicionar direitos de acesso a um grupo

Depois de criar um grupo do Microsoft Entra, é necessário conceder a ele o acesso apropriado. Cada aplicativo, recurso e serviço que requer permissões de acesso precisa ser gerenciado separadamente porque as permissões para um podem não ser iguais às outras. Conceda acesso usando o princípio de privilégio mínimo para ajudar a reduzir o risco de ataque ou de violação de segurança.

Como funciona o gerenciamento de acesso no Microsoft Entra ID

O Microsoft Entra ID ajuda a dar acesso aos recursos da sua organização fornecendo direitos de acesso a um único usuário ou a um grupo do Microsoft Entra inteiro. O uso de grupos permite que o proprietário do recurso ou do diretório do Microsoft Entra atribua um conjunto de permissões de acesso a todos os membros do grupo. O proprietário do recurso ou do diretório também pode conceder direitos de gerenciamento a alguém, como um gerente de departamento ou um administrador de suporte técnico, a fim de que essa pessoa adicione e remova membros. Para saber como gerenciar proprietários de grupos, confira o artigo Gerenciar grupos.

Captura de tela de um diagrama de gerenciamento de acesso do Microsoft Entra ID.

Maneiras de atribuir direitos de acesso

Depois de criar um grupo, é necessário decidir como atribuir direitos de acesso a ele. Explore as maneiras de atribuir direitos de acesso a fim de determinar o melhor processo para o seu cenário.

  • Atribuição direta. O proprietário do recurso atribui diretamente o usuário ao recurso.

  • Atribuição de grupo. O proprietário do recurso atribui um grupo do Microsoft Entra ao recurso, que fornece automaticamente a todos os membros do grupo acesso ao recurso. A associação de grupo é gerenciada pelo proprietário do grupo e pelo proprietário do recurso, permitindo que ambos os proprietários adicionem ou removam membros do grupo. Para saber como gerenciar a associação ao grupo, confira o artigo Grupos gerenciados.

  • Atribuição baseada em regra. O proprietário do recurso cria um grupo e usa uma regra para definir quais usuários são atribuídos a um recurso específico. A regra é baseada em atributos designados a usuários individuais. O proprietário do recurso gerencia a regra, determinando quais atributos e valores são necessários para permitir o acesso ao recurso. Para obter mais informações, consulte Criar um grupo dinâmico e verificar o status.

  • Atribuição de autoridade externa. Acesso proveniente de uma fonte externa, como um diretório local ou um aplicativo SaaS. Nessa situação, o proprietário do recurso atribui um grupo para fornecer acesso ao recurso e, em seguida, a fonte externa gerencia os membros do grupo.

    Captura de tela de um diagrama de visão geral do gerenciamento de acesso.

Os usuários podem ingressar em grupos sem serem atribuídos?

O proprietário do grupo pode permitir que os usuários localizem seus próprios grupos para ingressar, em vez de atribuí-los. O proprietário também pode configurar o grupo para aceitar automaticamente todos os usuários que entram ou exigir aprovação.

Depois que um usuário solicitar o ingresso em um grupo, a solicitação será encaminhada para o proprietário do grupo. Se necessário, o proprietário poderá aprovar a solicitação e o usuário receberá uma notificação sobre a associação de grupo. Se você tiver diversos proprietários e um deles for reprovado, o usuário será notificado, mas não será adicionado ao grupo. Para obter mais informações e instruções sobre como permitir que os usuários solicitem o ingresso em grupos, veja Configurar o Microsoft Entra ID para que os usuários possam solicitar o ingresso em grupos.

Próximas etapas