Conclua uma revisão de acesso de grupos e aplicativos em revisões de acesso

Como administrador, você cria uma revisão de acesso de grupos ou aplicativos e os revisadores realizam a revisão de acesso. Este artigo descreve como conferir os resultados da revisão de acesso e aplicá-los.

Observação

Este artigo mostra as etapas de como excluir dados pessoais do dispositivo ou serviço e pode ser usado para dar suporte às suas obrigações de acordo com o GDPR. Para obter informações gerais sobre o GDPR, confira a seção GDPR da Central de Confiabilidade da Microsoft e a seção GDPR do Portal de Confiança do Serviço.

Pré-requisitos

  • Governança do Microsoft Entra ID P2 ou Microsoft Entra ID
  • Administrador Global, Administrador de Usuário ou Administrador de Governança de Identidade para gerenciar o acesso de revisões em grupos e aplicativos. Os usuários que têm a função de Administrador Global ou a função de Administrador de Função Privilegiada podem gerenciar revisões de grupos atribuíveis a funções, veja Usar grupos Microsoft Entra para gerenciar atribuições de funções
  • Os leitores de segurança têm acesso de leitura.

Para saber mais, confira: Requisitos de licença.

Ver o status de uma revisão de acesso

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Execute as etapas a seguir para acompanhar o progresso das revisões de acesso à medida que são concluídas.

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Governança de Identidade.

  2. Navegue até Governança de identidade>Revisões de Acesso.

  3. Na lista, selecione uma revisão de acesso.

    Na página Visão geral, é possível ver o progresso da instância Atual da revisão. Se não houver uma instância ativa aberta no momento, você verá informações sobre a instância anterior. Nenhum direito de acesso será alterado no diretório até que a revisão seja concluída.

    Revisão de todos os grupos da empresa

    Todas as folhas em Atual só ficam visíveis durante a vigência de cada instância de revisão.

    Observação

    Embora a revisão de acesso Atual mostre apenas informações sobre a instância de revisão ativa, você pode obter informações sobre revisões que ainda vão ocorrer na Série sob a seção Revisão agendada.

    A página Resultados fornece mais informações sobre cada usuário sob revisão na instância, incluindo a capacidade de Interromper, Redefinir e Baixar resultados.

    Examinar o acesso para convidado entre os grupos do Microsoft 365

    Se você estiver visualizando uma revisão de acesso que analisa o acesso de convidados em grupos do Microsoft 365, o painel Visão Geral lista cada grupo na revisão.

    Examinar o acesso para convidado entre os grupos do Microsoft 365

    Selecione um grupo para conferir o andamento da revisão nesse grupo, bem como para Interromper, Redefinir, Aplicar e Excluir.

    Examinar detalhadamente o acesso para convidado entre os grupos do Microsoft 365

  4. Se quiser interromper uma revisão de acesso antes que ela atinja a data de término programada, selecione o botão Parar.

    Ao interromper uma revisão, os revisores não estarão mais disponíveis para fornecer respostas. Não é possível reiniciar uma análise depois de ter sido interrompida.

  5. Se você não estiver mais interessado na revisão de acesso, poderá excluí-la clicando no botão Excluir.

Exibir o status da revisão de vários estágios (versão prévia)

Para ver o status e o estágio de uma revisão de acesso de vários estágios:

  1. Selecione a revisão de vários estágios em que você deseja verificar o status ou veja em qual estágio ela está.

  2. Selecione Resultados no menu de navegação à esquerda em Atual.

  3. Na página de resultados, sob Status, aparecerá em qual estágio a revisão de vários estágios se encontra. A próxima etapa da revisão não ficará ativa até que a duração especificada durante a configuração da revisão de acesso passe.

  4. Se uma decisão for tomada, mas a duração da revisão para essa etapa ainda não tiver expirado, você poderá selecionar o botão Parar etapa atual na página de resultados. Isso disparará o próximo estágio da revisão.

Recuperar os resultados

Para exibir os resultados de uma revisão, selecione a página Resultados. Para exibir o acesso apenas para um usuário, na caixa Pesquisar, digite o nome de exibição ou nome UPN de um usuário cujo acesso foi revisado.

Recuperar resultados de uma revisão de acesso

Para exibir os resultados de uma instância concluída de uma revisão de acesso recorrente, selecione Histórico de revisão, em seguida, selecione a instância específica da lista de instâncias de revisão de acesso concluídas, com base nas datas de início e término da instância. Os resultados dessa instância podem ser obtidos na página Resultados. As revisões de acesso recorrentes permitem que você tenha uma imagem constante do acesso aos recursos que talvez precisem ser atualizados com mais frequência do que as revisões de acesso únicas.

Para recuperar os resultados de uma revisão de acesso, em andamento ou concluídas, selecione o botão Baixar. O arquivo CSV resultante pode ser visualizado no Excel ou em outros programas que abrem arquivos CSV codificados em UTF-8.

Recuperar os resultados programaticamente

Também é possível recuperar os resultados de uma revisão de acesso usando o Microsoft Graph ou o PowerShell.

Primeiro você precisará localizar a instância da revisão de acesso. Se accessReviewScheduleDefinition for uma revisão de acesso recorrente, as instâncias representarão cada recorrência. Uma revisão que não se repete tem exatamente uma instância. Instâncias também representam cada grupo exclusivo que está sendo revisado na definição de agendamento. Se uma definição de planejamento revisar vários grupos, cada grupo terá uma instância exclusiva para cada recorrência. Cada instância contém uma lista de decisões sobre as quais os revisores podem agir, com uma decisão por identidade que está sendo revisada.

Depois de identificar a instância, para recuperar as decisões usando o Graph, chame a API do Graph para listar as decisões de uma instância. Se a instância for uma revisão em vários estágios, chame a API do Graph para listar decisões de uma revisão de acesso em vários estágios. O chamador deve ser um usuário em uma função apropriada com um aplicativo que tenha a permissão AccessReview.Read.All ou AccessReview.ReadWrite.All delegada ou um aplicativo com a permissão de aplicativo AccessReview.Read.All ou AccessReview.ReadWrite.All. Para obter mais informações, consulte o tutorial sobre como revisar um grupo de segurança.

Você também pode recuperar as decisões no PowerShell com o cmdlet Get-MgIdentityGovernanceAccessReviewDefinitionInstanceDecision do módulo cmdlets do PowerShell do Microsoft Graph para Governança de Identidade. O tamanho de página padrão dessa API é de 100 itens de decisão.

Aplicar as alterações

Se Aplicar resultados automaticamente ao recurso tiver sido habilitado com base em suas seleções em Configurações após a conclusão, a aplicação automática será executada assim que uma instância de revisão for concluída ou antes, se você interromper manualmente a revisão.

Se a Aplicação automática dos resultados ao recurso não foi habilitada para a revisão, navegue até o Histórico de Revisão em Série após o fim da vigência da revisão ou se a revisão for interrompida no início e selecione a instância da revisão que você gostaria de aplicar.

Aplicar alterações à revisão de acesso

Selecione Aplicar para aplicar as alterações manualmente. Se o acesso do usuário foi negado na revisão, ao selecionar Aplicar, o Microsoft Entra remove a associação ou atribuição do aplicativo.

Botão Aplicar alterações à revisão de acesso

O status da revisão é alterado de Concluído para estados intermediários, como Em aplicação e, por fim, para o estado Resultado aplicado. É necessário esperar que os usuários negados, se houver algum, sejam removidos da associação do grupo ou da atribuição do aplicativo em alguns minutos.

A aplicação manual ou automática dos resultados não afeta um grupo gerado em um diretório local. Se você quiser alterar um grupo que se origina localmente, baixe os resultados e aplique essas alterações para a representação do grupo neste diretório.

Observação

Alguns usuários negados não podem receber a aplicação dos resultados. Os cenários em que isso pode acontecer incluem:

  • Revisão de membros de um grupo sincronizado do Windows Server AD local: se o grupo for sincronizado de um Windows Server AD local, o grupo não poderá ser gerenciado no Microsoft Entra ID e, portanto, a associação não poderá ser alterada.
  • Revisão de um recurso (função, grupo, aplicativo) com grupos aninhados atribuídos: para usuários que têm associação por meio de um grupo aninhado, não removeremos a associação ao grupo aninhado e, portanto, eles manterão o acesso ao recurso que está sendo revisado.
  • Usuário não encontrado/outros erros também podem ocorrer devido a não compatibilidade de um resultado de aplicação.
  • Examinando os membros do grupo habilitado para email: o grupo não pode ser gerenciado no Microsoft Entra ID e, portanto, a associação não pode ser alterada.
  • A revisão de um aplicativo que usa atribuição de grupo não removerá os membros desses grupos. Portanto, eles manterão o acesso existente da relação de grupo para a atribuição do aplicativo

Ações executadas em usuários convidados negados em uma revisão de acesso

Na criação da revisão, o criador pode escolher entre duas opções para usuários convidados negados em uma revisão de acesso.

  • Usuários convidados negados podem ter o acesso ao recurso removido. Esse é o padrão.
  • O usuário convidado negado pode ser impedido de entrar por 30 dias e, em seguida, excluído do locatário. Durante o período de 30 dias, um administrador pode restaurar o acesso do usuário convidado ao locatário. Após o término do período de 30 dias, se o usuário convidado não tiver acesso ao recurso concedido a ele novamente, ele será removido do locatário permanentemente. Além disso, usando o Centro de administração do Microsoft Entra, um Administrador Global pode explicitamente excluir de forma permanente um usuário excluído recentemente antes de atingir o período de tempo. Depois que um usuário é excluído permanentemente, os dados sobre esse usuário convidado são removidos das avaliações de acesso ativo. Auditar informações sobre usuários excluídos na trilha de auditoria.

Ações executadas em usuários negados da conexão direta de B2B

Os usuários e equipes negados da conexão direta de B2B perdem o acesso a todos os canais compartilhados na Equipe.

Próximas etapas