O que são revisões de acesso?

As revisão de acesso do Microsoft Entra ID, parte do Microsoft Entra, permitem que as organizações gerenciem com eficiência as associações a grupos, o acesso a aplicativos empresariais e a atribuições de função. O acesso do usuário pode ser examinado regularmente para garantir que somente as pessoas corretas tenham acesso contínuo.

Aqui está um vídeo que fornece uma visão geral das revisões de acesso:

Por que as revisão de acesso são importantes?

O Microsoft Entra ID habilita você a colaborar com usuários dentro da sua organização e com usuários externos. Os usuários podem ingressar em grupos, convidar pessoas, conectar-se aos aplicativos de nuvem e trabalhar remotamente com seus dispositivos pessoais ou de trabalho. A conveniência de usar o autoatendimento levou a uma necessidade de melhores recursos de gerenciamento de acesso.

  • Conforme novos funcionários ingressam, como garantir que eles tenham o acesso de que precisam para serem produtivos?
  • Quando as pessoas mudam de equipes ou saem da empresa, como garantir que seu antigo acesso seja removido?
  • Direitos de acesso excessivos podem levar a comprometimentos.
  • O excesso de direitos de acesso também pode levar a constatações de auditoria, pois indica falta de controle sobre o acesso.
  • Você tem que se envolver proativamente com os proprietários do recurso para garantir que eles revisam regularmente quem tem acesso a seus recursos.

Quando usar revisões de acesso?

  • Muitos usuários em funções com privilégios: é recomendável verificar quantos usuários têm acesso administrativo, quantos deles são Administradores Globais e se há convidados ou parceiros que não foram removidos após a atribuição para executar uma tarefa administrativa. Você pode recertificar a atribuição de funções de usuários em funções do Microsoft Entra como Administradores Globais ou em funções de recursos do Azure como Administrador de Funções com Privilégios na experiência do Microsoft Entra Privileged Identity Management (PIM).
  • Quando a automação não é possível: você pode criar regras para grupos de associação dinâmica, grupos de segurança ou grupos do Microsoft 365, mas e se os dados de RH não estiverem no Microsoft Entra ID ou se os usuários ainda precisarem de acesso após deixar o grupo para treinar a substituição deles? Você pode então criar uma revisão nesse grupo para garantir que aqueles que ainda precisam de acesso mantenham o acesso.
  • Quando um grupo é usado para uma nova finalidade: se você tiver um grupo que será sincronizado ao Microsoft Entra ID ou se você planeja habilitar o aplicativo Salesforce para qualquer pessoa no grupo da equipe de vendas, é útil pedir ao proprietário do grupo para examinar o grupo de associação dinâmica antes de o grupo ser usado em um conteúdo de risco diferente.
  • Acesso a dados comercialmente críticos: para determinados recursos, como aplicativos comercialmente críticos, pode ser necessário, como parte dos processos de conformidade, solicitar que as pessoas se reconfirmem regularmente e forneçam uma justificativa sobre por que precisam de acesso contínuo.
  • Para manter a lista de exceções de uma política: em um mundo ideal, todos os usuários seguiriam as políticas de acesso para proteger o acesso aos recursos de sua organização. No entanto, às vezes, há casos comerciais em que é necessário fazer exceções. Como o administrador de TI, você pode gerenciar essa tarefa, evitar supervisão de exceções à política e fornecer os auditores a comprovação de que essas exceções são revisadas regularmente.
  • Peça aos proprietários do grupo que confirmem que ainda precisam de convidados em seus grupos: o acesso de funcionários pode ser automatizado com outros recursos de gerenciamento de identidade e acesso, como fluxos de trabalho de ciclo de vida com base em dados de uma fonte de RH, mas não convidados. Se um grupo oferece acesso de convidados para conteúdo confidencial da empresa, em seguida, é responsabilidade do proprietário do grupo se confirmar os convidados ainda terão uma necessidade comercial legítima de acesso.
  • Faça revisões periodicamente: você pode configurar revisões de acesso recorrentes de usuários em frequências definidas, como semanal, mensal, trimestral ou anual, e os revisores serão notificados no início de cada revisão. Os revisores podem aprovar ou negar acesso com uma interface amigável e com a ajuda de recomendações inteligentes.

Observação

Se estiver pronto para experimentar as revisões de acesso, dê uma olhada em Criar uma revisão de acesso de grupos ou aplicativos

Onde você cria as revisões?

Dependendo do que deseja revisar, você cria a revisão de acesso em revisões de acesso, nos aplicativos corporativos do Microsoft Entra, no PIM ou no gerenciamento de direitos.

Direitos de acesso dos usuários Revisores podem ser Revisão criada em Experiência do revisor
Membros do grupo de segurança
Membros do grupo do Office
Autorevisão dos
proprietários do grupo de revisores especificados
revisões de acesso
de grupos do Microsoft Entra
Painel de acesso
Atribuído a um aplicativo conectado Autorevisão de revisores especificados
revisões de acesso
de aplicativos empresariais do Microsoft Entra
Painel de acesso
Função do Microsoft Entra Autorevisão de revisores especificados
PIM Centro de administração do Microsoft Entra
Função de recurso do Azure Autorevisão de revisores especificados
PIM Centro de administração do Microsoft Entra
Atribuições de pacote de acesso Revisores especificados
Membros do grupo
Autorrevisão
Gerenciamento de direitos Painel de acesso

Requisitos de licença

Esse recurso exige assinaturas do Microsoft Entra ID Governance ou do Suíte do Microsoft Entra para os usuários da sua organização. Algumas funcionalidades desse recurso podem funcionar com uma assinatura do Microsoft Entra ID P2. Para obter mais informações, confira os artigos de cada funcionalidade e veja mais detalhes. Para encontrar a licença certa para seus requisitos, confira Conceitos básicos de licenciamento do Microsoft Entra ID Governance.

Observação

A criação de uma revisão sobre usuários inativos e com recomendações de afiliação de uso a grupo requer uma licença do Microsoft Entra ID Governance.

Próximas etapas