Use revisões de acesso para gerenciar usuários excluídos das políticas de acesso condicional
Em um mundo ideal, todos os usuários seguem as políticas de acesso para proteger o acesso aos recursos de sua organização. No entanto, às vezes, há casos comerciais em que é necessário fazer exceções. Este artigo aborda alguns exemplos de situações nas quais podem ser necessárias exclusões. Você, como administrador de TI, pode gerenciar essa tarefa, evitar negligência com relação às exceções à política e fornecer aos auditores comprovação de que essas exceções são revisadas regularmente usando as revisões de acesso do Microsoft Entra.
Observação
É necessária uma licença válida do Microsoft Entra ID P2 ou Microsoft Entra ID Governance, Enterprise Mobility + Security E5 paga ou de avaliação para usar as revisões de acesso do Microsoft Entra. Para obter mais informações, consulte Edições do Microsoft Entra.
Por que excluir usuários das políticas?
Digamos que, como administrador, você decida usar o Acesso Condicional do Microsoft Entra para exigir a autenticação multifator (MFA) e limitar as solicitações de autenticação a redes ou dispositivos específicos. Durante o planejamento da implantação, você percebe que nem todos os usuários podem atender a esses requisitos. Por exemplo, você pode ter usuários que trabalham em escritórios remotos e que não fazem parte da sua rede interna. Também pode ser necessário acomodar os usuários que se conectam usando dispositivos sem suporte enquanto aguardam a substituição desses dispositivos. Em suma, a empresa precisa que esses usuários entrem e realizem o trabalho deles para que você os exclua das políticas de Acesso Condicional.
Em outro exemplo, você pode usar localizações nomeadas no Acesso Condicional para especificar um conjunto de países e regiões dos quais não deseja permitir que os usuários acessem seu locatário.
Infelizmente, alguns usuários ainda podem ter um motivo válido para entrar nesses países/regiões bloqueados. Por exemplo, os usuários podem estar viajando a trabalho e precisam acessar recursos corporativos. Nesse caso, a política de Acesso Condicional para bloquear esses países/essas regiões poderia usar um grupo de segurança de nuvem para os usuários excluídos da política. Usuários que precisam de acesso quando estão viajando podem adicionar a si mesmos ao grupo usando o Gerenciamento de Grupos de Autoatendimento do Microsoft Entra.
Outro exemplo pode ser quando você tem uma política de acesso condicional bloqueando a autenticação herdada para a maioria dos usuários. No entanto, se você tiver alguns usuários que precisem usar métodos de autenticação herdados para acessar recursos específicos, poderá excluir esses usuários da política que bloqueia os métodos de autenticação herdados.
Observação
A Microsoft recomenda enfaticamente que você bloqueie o uso de protocolos herdados em seu locatário para melhorar sua postura de segurança.
Por que as exclusões são um desafio?
No Microsoft Entra ID, é possível definir o escopo de uma política de Acesso Condicional como um conjunto de usuários. Você também pode configurar exclusões selecionando funções, usuários individuais ou convidados do Microsoft Entra. Você deve ter em mente que, quando as exclusões são configuradas, a intenção da política não pode ser imposta a usuários excluídos. Se as exclusões forem configuradas usando uma lista de usuários ou grupos de segurança locais herdados, você terá visibilidade limitada sobre elas. Como resultado:
Os usuários podem não saber que foram excluídos.
Os usuários podem entrar no grupo de segurança para ignorar a política.
Os usuários excluídos podem ter se qualificado para a exclusão antes, mas podem não ser mais qualificados para ela.
Geralmente, quando você configura uma exclusão pela primeira vez, há uma pequena lista de usuários que ignoram a política. Com o passar do tempo, cada vez mais usuários são adicionados à exclusão e a lista aumenta. Em algum ponto, você precisa examinar a lista e confirmar se cada um desses usuários ainda se qualifica para a exclusão. Do ponto de vista técnico, o gerenciamento da lista de exclusões pode até ser fácil, mas quem toma as decisões de negócios e como garantir que todo o processo seja auditável? No entanto, se você configurar a exclusão usando um grupo do Microsoft Entra, poderá usar revisões de acesso como um controle de compensação, para aumentar a visibilidade e reduzir o número de usuários excluídos.
Como criar um grupo de exclusão em uma política de Acesso Condicional
Siga essas etapas para criar um grupo do Microsoft Entra e uma política de acesso condicional que não se aplica a esse grupo.
Criar um grupo de exclusão
Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Usuários.
Navegue atéIdentidade>Grupos>Todos os grupos.
Selecione Novo grupo.
Na lista Tipo de grupo, selecione Segurança. Especifique um nome e uma descrição.
Certifique-se de definir o tipo de Associação como Atribuído.
Selecione os usuários que devem fazer parte do grupo de exclusão e clique em Criar.
Criar uma política de Acesso Condicional que exclui o grupo
Agora, você pode criar uma política de Acesso Condicional que usa esse grupo de exclusão.
Entre no centro de administração do Microsoft Entra como pelo menos Administrador de acesso condicional.
Navegue até Proteção>Acesso Condicional.
Selecione Criar nova política.
Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
Em Atribuições, selecione Usuários e grupos.
Na guia Incluir, selecione Todos os Usuários.
Em Excluir, selecione Usuários e grupos e escolha o grupo de exclusão que você criou.
Observação
Como melhor prática, é recomendável excluir pelo menos uma conta de administrador da política ao fazer testes para garantir que você não esteja bloqueado de seu locatário.
Continue configurando a política de Acesso Condicional com base nos requisitos da organização.
Vamos abordar dois exemplos em que você pode usar as revisões de acesso para gerenciar exclusões nas políticas de Acesso Condicional.
Exemplo 1: Revisão de acesso para usuários que acessam em regiões/países bloqueados
Digamos que você tenha uma política de Acesso Condicional que bloqueia o acesso de certos países/regiões. Ela inclui um grupo que é excluído da política. Esta é uma revisão de acesso recomendada em que os membros do grupo são revisados.
Observação
É necessário ter a função Administrador de Identidade de Governança ou Administrador de Usuário para criar revisões de acesso. Para ver um guia passo a passo sobre como criar uma revisão de acesso, confira: Criar uma revisão de acesso de grupos e aplicativos.
A revisão acontece toda semana.
A revisão nunca termina para garantir que você mantenha esse grupo de exclusão o mais atualizado possível.
Todos os membros do grupo estão no escopo da revisão.
Cada usuário precisa atestar que ainda precisa de acesso desses países/regiões bloqueados e, portanto, eles ainda precisam ser membros do grupo.
Se o usuário não responder à solicitação de revisão, ele será removido automaticamente do grupo e não terá mais acesso ao locatário quando estiver viajando para esses países/regiões.
Habilite as notificações por email para informar os usuários sobre o início e a conclusão da revisão de acesso.
Exemplo 2: Revisão de acesso para usuários que acessam com a autenticação herdada
Digamos que você tenha uma política de acesso condicional que bloqueia o acesso para usuários que usam autenticação herdada e versões de cliente mais antigas e que ela inclua um grupo excluído da política. Esta é uma revisão de acesso recomendada em que os membros do grupo são revisados.
Essa revisão precisaria ser recorrente.
Todos no grupo precisam passar por ela.
Ela poderia ser configurada para listar os proprietários das unidades de negócios como revisores selecionados.
Aplique os resultados automaticamente e remova usuários que não foram aprovados para continuar usando métodos de autenticação herdados.
Pode ser útil habilitar as recomendações para que os revisores de grandes grupos possam tomar decisões com facilidade.
Habilite as notificações por email para que os usuários sejam notificados do início e da conclusão da revisão de acesso.
Importante
Se você tem vários grupos de exclusão e, portanto, precisa criar várias revisões de acesso, o Microsoft Graph permite criar e gerenciá-los de forma programática. Para começar, confira a referência de API de revisões de acesso e tutorial usando a API de revisões de acesso no Microsoft Graph.
Resultados e logs de auditoria da revisão de acesso
Agora que está tudo pronto: grupo, política de acesso condicional e revisões de acesso, chegou a hora de monitorar e acompanhar os resultados dessas revisões.
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Governança de Identidade.
Navegue até Governança de identidade>Revisões de acesso.
Selecione a revisão de acesso que você está usando com o grupo para o qual você criou uma política de exclusão.
Clique em Resultados para ver quem foi aprovado para permanecer na lista e quem foi removido.
Escolha Logs de auditoria para ver as ações que foram executadas durante essa revisão.
Como administrador de TI, você sabe que o gerenciamento de grupos de exclusão de suas políticas, às vezes, é inevitável. No entanto, a manutenção desses grupos, a revisão regular pelo proprietário da empresa ou pelos próprios usuários e a auditoria dessas alterações podem ser facilitadas com as revisões de acesso.