Configurar as verificações de separação de funções para um pacote de acesso no gerenciamento de direitos

No gerenciamento de direitos, é possível configurar várias políticas, com configurações diferentes para cada comunidade de usuários que precisará de acesso por meio de um pacote de acesso. Por exemplo, os funcionários podem precisar apenas de aprovação do gerente para obter acesso a certos aplicativos, mas os convidados provenientes de outras organizações podem exigir a aprovação de um responsável e um gerente do departamento da equipe de recursos. Em uma política para usuários que já estão no diretório, você pode especificar um grupo específico de usuários que podem solicitar acesso. No entanto, você pode ter um requisito para evitar que um usuário obtenha acesso excessivo. Para atender a esse requisito, você precisará restringir ainda mais quem pode solicitar acesso, com base no acesso que o solicitante já tem.

Com as configurações de separação de funções em um pacote de acesso, você pode configurar que um usuário que seja membro de um grupo ou que já tenha uma atribuição a um pacote de acesso não possa solicitar outro pacote de acesso.

experiência myaccess para tentar solicitar acesso incompatível

Cenários para separação de verificações de tarefas

Por exemplo, você tem um pacote de acesso, Campanha de Marketing, que as pessoas em sua organização e outras organizações possam solicitar acesso a ele para trabalhar com o departamento de marketing da sua organização durante essa campanha. Como os funcionários do departamento de marketing já devem ter acesso ao material dessa campanha, você não quer que eles solicitem acesso a esse pacote de acesso. Ou talvez você já tenha um grupo de associação dinâmica dos Funcionários do departamento de marketing, com todos os funcionários de marketing nele. Você pode indicar que o pacote de acesso é incompatível com o grupo de associação dinâmica. Em seguida, se um funcionário do departamento de marketing estiver procurando um pacote de acesso para solicitar, ele não poderá solicitar acesso ao pacote de acesso da campanha de marketing.

Da mesma forma, é possível ter um aplicativo com duas funções de aplicativo, Vendas no Ocidente e Vendas no Oriente, representando o territórios de vendas, e precisar assegurar que um usuário tenha acesso a apenas um território de vendas por vez. Se você tiver dois pacotes de acesso, um pacote de acesso Território Ocidental que oferece a função Vendas Ocidentais e outro pacote de acesso Território Oriental que oferece a função Vendas Orientais, então você pode configurar:

  • o pacote de acesso Região Ocidental tem o pacote Região Oriental como incompatível e o
  • pacote de acesso Região Oriental tem o pacote Região Ocidental como incompatível.

Se você usar o Microsoft Identity Manager ou outros sistemas de gerenciamento de identidades locais para automatizar o acesso aos aplicativos locais, também será possível integrar esses sistemas ao gerenciamento de direitos. Se você estiver controlando o acesso aos aplicativos integrados do Microsoft Entra por meio do gerenciamento de direitos e quiser evitar que os usuários tenham acesso incompatível, poderá configurar que um pacote de acesso seja incompatível com um grupo. Pode ser um grupo, que seu sistema de gerenciamento de identidades local envia para o Microsoft Entra ID por meio do Microsoft Entra Connect. Essa verificação garante que um usuário não poderá solicitar um pacote de acesso que dê acesso incompatível com o acesso que o usuário tem em aplicativos locais.

Pré-requisitos

Para usar o gerenciamento de direitos e atribuir usuários a pacotes de acesso, você deve ter uma das seguintes licenças:

  • Governança do Microsoft Entra ID P2 ou Microsoft Entra ID
  • Licença do Enterprise Mobility + Security (EMS) E5

Configurar outro pacote de acesso ou associação de grupo como incompatível para solicitar acesso a um pacote de acesso

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Siga estas etapas para mudar a lista de grupos incompatíveis ou outros pacotes de acesso para um pacote de acesso existente:

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Governança de Identidade.

    Dica

    Outras funções de privilégio mínimo que podem concluir essa tarefa incluem o proprietário do catálogo e o gerenciador de pacotes do Access.

  2. Navegue até Governança de identidade>Gerenciamento de direitos>Pacote de acesso.

  3. Na página Pacotes de acesso, abra o pacote de acesso solicitado pelos usuários.

  4. No menu à esquerda, selecione Separação de tarefas.

  5. A lista na guia Pacotes de acesso incompatíveis é de outros pacotes de acesso. Se um utilizador já tiver uma atribuição a um pacote de acesso nessa lista, não lhe será permitido solicitar esse pacote de acesso.

  6. Se você quiser impedir que os usuários com outra atribuição de pacote de acesso solicitem esse pacote de acesso, selecione Adicionar pacote de acesso e escolha o pacote de acesso que o usuário já teria sido atribuído. Aquele pacote de acesso será, a seguir, adicionado à lista de pacotes de acesso na guia Pacotes de acesso incompatíveis.

    configuração de pacotes de acesso incompatíveis

  7. Se você quiser impedir que os usuários que têm uma associação de grupo existente solicitem esse pacote de acesso, selecione Adicionar grupo e escolha o grupo em que o usuário já estaria. Aquele grupo será, a seguir, adicionado à lista de grupos na guia Grupos incompatíveis.

  8. Se você quiser que os usuários atribuídos a este pacote de acesso não possam solicitar aquele pacote de acesso, já que cada relação de pacote de acesso incompatível é unidirecional, altere para aquele pacote de acesso e adicione este pacote de acesso como incompatível. Por exemplo, você deseja que os usuários com o pacote de acesso Território Ocidental não possam solicitar o pacote de acesso Território Oriental, e os usuários com o pacote de acesso Território Oriental não possam solicitar o pacote de acesso Território Ocidental pacote de acesso. Se, em primeiro lugar, no pacote de acesso Território Ocidental você adicionou o pacote de acesso Território Oriental como incompatível, em seguida altere para o pacote de acesso Território Oriental e adicione o pacote de acesso Território Ocidental como incompatível.

Configurar pacotes de acesso incompatíveis programaticamente por meio do Graph

É possível usar o Microsoft Graph para configurar os grupos e outros pacotes de acesso incompatíveis com um específico. Um usuário em uma função apropriada com um aplicativo que tenha a permissão delegada EntitlementManagement.ReadWrite.All, ou um aplicativo com a permissão de aplicativo EntitlementManagement.ReadWrite.All pode chamar a API para adicionar, remover e listar os grupos incompatíveis e os pacotes de acesso de um pacote de acesso.

Configurar pacotes de acesso incompatíveis por meio do Microsoft PowerShell

Também é possível usar o PowerShell para configurar os grupos e outros pacotes de acesso incompatíveis com um específico por meio do uso de cmdlets do módulo Cmdlets do PowerShell do Microsoft Graph para governança de identidade versão 1.16.0 ou posterior.

O script a seguir ilustra o uso do perfil v1.0 do Graph para criar um relacionamento para indicar outro pacote de acesso como incompatível.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"
$otherapid = "11112222-bbbb-3333-cccc-4444dddd5555"

$params = @{
   "@odata.id" = "https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/accessPackages/" + $otherapid
}
New-MgEntitlementManagementAccessPackageIncompatibleAccessPackageByRef -AccessPackageId $apid -BodyParameter $params

Exibir outros pacotes de acesso configurados como incompatíveis com este

Siga estas etapas para exibir a lista de outros pacotes de acesso que indicaram ser incompatíveis com um pacote de acesso existente:

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Governança de Identidade.

    Dica

    Outras funções de privilégio mínimo que podem concluir essa tarefa incluem o proprietário do catálogo e o gerenciador de pacotes do Access.

  2. Navegue até Governança de identidade>Gerenciamento de direitos>Pacote de acesso.

  3. Na página Pacotes de acesso, abra o pacote de acesso.

  4. No menu à esquerda, selecione Separação de tarefas.

  5. Selecione Incompatível com.

Identificar usuários que já têm acesso incompatível a outro pacote de acesso (versão prévia)

Se você definiu configurações de acesso incompatíveis em um pacote de acesso que já possui usuários atribuídos a ele, poderá baixar uma lista dos usuários que têm esse acesso extra. Esses usuários não poderão solicitar acesso novamente.

Siga estas etapas para exibir a lista de usuários que têm atribuições a dois pacotes de acesso.

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Governança de Identidade.

    Dica

    Outras funções de privilégio mínimo que podem concluir essa tarefa incluem o proprietário do catálogo e o gerenciador de pacotes do Access.

  2. Navegue até Governança de identidade>Gerenciamento de direitos>Pacote de acesso.

  3. Na página Pacotes de acesso, abra o pacote de acesso onde você configurou outro pacote de acesso como incompatível.

  4. No menu à esquerda, selecione Separação de tarefas.

  5. Na tabela, se houver um valor diferente de zero na coluna Acesso adicional para o segundo pacote de acesso, isso indica que há um ou mais utilizadores com atribuições.

    Captura de tela de um pacote de acesso marcado como incompatível com as atribuições de acesso existentes.

  6. Selecione essa contagem para exibir a lista de atribuições incompatíveis.

  7. Se desejar, clique no botão Baixar para salvar essa lista de atribuições como um arquivo CSV.

Identificar usuários que terão acesso incompatível a outro pacote de acesso

Se você estiver definindo configurações de acesso incompatíveis em um pacote de acesso que já tenha usuários atribuídos a ela, qualquer um desses usuários que também tenham uma atribuição para o pacote ou grupos de acesso incompatível não poderá solicitar o acesso novamente.

Siga estas etapas para exibir a lista de usuários que têm atribuições a dois pacotes de acesso.

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Governança de Identidade.

    Dica

    Outras funções de privilégio mínimo que podem concluir essa tarefa incluem o proprietário do catálogo e o gerenciador de pacotes do Access.

  2. Navegue até Governança de identidade>Gerenciamento de direitos>Pacote de acesso.

  3. Abra o pacote de acesso onde você está configurando atribuições incompatíveis.

  4. No menu à esquerda, selecione Atribuições.

  5. No campo status, verifique se o status entregue está selecionado.

  6. Clique no botão Baixar e salve o arquivo CSV resultante como o primeiro arquivo com uma lista de atribuições.

  7. Na barra de navegação, selecione Governança de Identidade.

  8. No menu à esquerda, selecione Pacotes de acesso e abra o pacote de acesso no qual você planeja indicar como incompatível.

  9. No menu à esquerda, selecione Atribuições.

  10. No campo status, verifique se o status entregue está selecionado.

  11. Clique no botão Baixar e salve o arquivo CSV resultante como o segundo arquivo com uma lista de atribuições.

  12. Use um programa de planilhas como Excel para abrir os dois arquivos.

  13. Os usuários listados em ambos os arquivos já possuem atribuições incompatíveis.

Identificando usuários que já têm acesso incompatível programaticamente

Usando o Microsoft Graph, é possível recuperar atribuições para um pacote de acesso que têm como escopo apenas os usuários que também têm uma atribuição para outro pacote de acesso. Um usuário em uma função administrativa com um aplicativo que tenha a permissão EntitlementManagement.Read.All ou EntitlementManagement.ReadWrite.All delegada pode chamar a API para listar o acesso adicional.

Identificação de usuários que já têm acesso incompatível usando o PowerShell

Você também pode consultar os usuários que têm atribuições a um pacote de acesso com o Get-MgEntitlementManagementAssignmentcmdlet do módulo Cmdlets do PowerShell do Microsoft Graph para Governança de Identidade versão 2.1.0 ou posterior.

Por exemplo, se você tiver dois pacotes de acesso, um com ID00aa00aa-bb11-cc22-dd33-44ee44ee44ee e outro com ID 11bb11bb-cc22-dd33-ee44-55ff55ff55ff, poderá recuperar os usuários que têm atribuições para o primeiro pacote de acesso e, em seguida, compará-los aos usuários que têm atribuições para o segundo pacote de acesso. Você também pode relatar os usuários que têm atribuições entregues a ambos, usando um script do PowerShell semelhante ao seguinte:

$c = Connect-MgGraph -Scopes "EntitlementManagement.Read.All"

$ap_w_id = "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
$ap_e_id = "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
$apa_w_filter = "accessPackage/id eq '" + $ap_w_id + "' and state eq 'Delivered'"
$apa_e_filter = "accessPackage/id eq '" + $ap_e_id + "' and state eq 'Delivered'"
$apa_w = @(Get-MgEntitlementManagementAssignment -Filter $apa_w_filter -ExpandProperty target -All)
$apa_e = @(Get-MgEntitlementManagementAssignment -Filter $apa_e_filter -ExpandProperty target -All)
$htt = @{}; foreach ($e in $apa_e) { if ($null -ne $e.Target -and $null -ne $e.Target.Id) {$htt[$e.Target.Id] = $e} }
foreach ($w in $apa_w) { if ($null -ne $w.Target -and $null -ne $w.Target.Id -and $htt.ContainsKey($w.Target.Id)) { write-output $w.Target.Email } }

Configurando vários pacotes de acesso para cenários de substituição

Se um pacote de acesso tiver sido configurado como incompatível, um usuário que tenha uma atribuição para esse pacote de acesso incompatível não poderá solicitar o pacote de acesso, nem um administrador poderá criar uma nova atribuição que seria incompatível.

Por exemplo, se o pacote de acesso ao ambiente de produção tiver marcado o pacote de ambiente de desenvolvimento como incompatível, e um usuário tiver uma atribuição para o pacote de acesso ao ambiente de desenvolvimento, então o gerenciador de pacotes de acesso para o ambiente de produção não poderá criar uma atribuição para esse usuário para o ambiente de produção. Para prosseguir com essa atribuição, a atribuição existente do usuário para o pacote de acesso ao ambiente de desenvolvimento deve primeiro ser removida.

Se houver uma situação excecional em que as regras de separação de funções possam ter de ser substituídas, a configuração de um pacote de acesso adicional para capturar os utilizadores que têm direitos de acesso sobrepostos deixa claro aos aprovadores, revisores e auditores a natureza excecional dessas atribuições.

Por exemplo, se houvesse um cenário para que alguns usuários precisem ter acesso aos ambientes de produção e de implantação ao mesmo tempo, você poderia criar um novo pacote de acesso aos ambientes de produção e desenvolvimento. Esse pacote de acesso pode ter como suas funções de recurso algumas das funções de recurso do pacote de acesso do ambiente de produção e algumas das funções de recurso do pacote de acesso ao ambiente de desenvolvimento.

Se a motivação do acesso incompatível for que as funções de um recurso sejam problemáticas, então esse recurso poderá ser omitido do pacote de acesso combinado e exigir a atribuição explícita de administrador de um usuário à função do recurso. Se esse for um aplicativo de terceiros ou seu próprio aplicativo, você poderá garantir a supervisão monitorando essas atribuições de função usando a pasta de trabalho deatividade de atribuição de função de aplicativo descrita na próxima seção.

Dependendo dos processos de governança, esse pacote de acesso combinado poderia ter uma política:

  • uma política de atribuições diretas, para que apenas um Gerenciador de pacotes do Access possa interagir com o pacote de acesso ou
  • os usuários podem solicitar a política de acesso, para que um usuário possa solicitar, com potencialmente um estágio de aprovação adicional

Essa política pode ter como configurações de ciclo de vida um número de dias de expiração mais curto do que uma política em outros pacotes de acesso, ou exigir revisões de acesso mais frequentes, com supervisão regular para que os usuários não mantenham o acesso por mais tempo do que o necessário.

Monitorar e relatar atribuições de acesso

Você pode usar os workbooks do Azure Monitor para obter informações sobre como os usuários recebem o acesso.

  1. Configure o Microsoft Entra ID para enviar eventos de auditoria ao Azure Monitor.

  2. O workbook Atividade de pacote de acesso mostra cada evento relacionado a um pacote de acesso específico.

    Exibir eventos do pacote de acesso

  3. Para ver se houve alterações nas atribuições de função de aplicativo para um aplicativo que não foram criadas devido a atribuições de pacote de acesso, você pode selecionar a guia de trabalho chamada Atividade de atribuição de função de aplicativo. Se você selecionar omitir a atividade de direito, somente as alterações nas funções de aplicativo que não foram feitas pelo gerenciamento de direitos serão mostradas. Por exemplo, você veria uma linha se um Administrador Global tivesse atribuído diretamente um usuário a uma função de aplicativo.

    Visualizar atribuições de função do aplicativo

Próximas etapas