Alterar as configurações de solicitação de um pacote de acesso no gerenciamento de direitos
Como gerenciador de pacotes de acesso, você pode alterar os usuários que podem solicitar um pacote de acesso a qualquer momento editando uma política para solicitações de atribuição de pacote de acesso ou adicionando uma nova política ao pacote de acesso. Este artigo descreve como alterar as configurações de solicitação para uma política de atribuição de pacote de acesso existente.
Escolher entre uma ou várias políticas
A forma de especificar quem pode solicitar um pacote de acesso é com uma política. Antes de criar uma nova política ou editar uma política existente em um pacote de acesso, você precisa determinar quantas políticas o pacote de acesso precisa.
Ao criar um pacote de acesso, é possível especificar as configurações de solicitação, aprovação e ciclo de vida, que são armazenadas na primeira política do pacote de acesso. A maioria dos pacotes de acesso terá uma única política para os usuários solicitarem acesso, mas um único pacote de acesso pode ter várias políticas. Você pode criar várias políticas para um pacote de acesso se quiser permitir que diferentes conjuntos de usuários recebam atribuições com diferentes configurações de solicitação e aprovação.
Por exemplo, uma única política não pode ser usada para atribuir usuários internos e externos ao mesmo pacote de acesso. No entanto, você pode criar duas políticas no mesmo pacote de acesso, uma para usuários internos e outra para usuários externos. Se houver várias políticas que se aplicam a um usuário para solicitação, eles serão solicitadas no momento da solicitação a selecionar a política à qual desejam ser atribuídos. O diagrama a seguir mostra um pacote de acesso com duas políticas.
Além das políticas para que os usuários solicitem acesso, você também pode ter políticas para atribuição automática e políticas para atribuição direta por administradores ou proprietários de catálogo.
Quantas políticas serão necessárias?
Cenário | Número de políticas |
---|---|
Quero que todos os usuários no diretório tenham as mesmas configurações de solicitação e aprovação para um pacote de acesso | Um |
Quero que todos os usuários em determinadas organizações conectadas possam solicitar um pacote de acesso | Um |
Quero permitir que usuários dentro e fora do diretório possam solicitar um pacote de acesso | Dois |
Quero especificar configurações de aprovação diferentes para alguns usuários | Um para cada grupo de usuários |
Quero que as atribuições de pacote de acesso de alguns usuários sejam expiradas e prolongar o acesso a outros usuários | Um para cada grupo de usuários |
Quero que alguns usuários solicitem acesso e que outros tenham acesso atribuído por um administrador | Dois |
Quero que alguns usuários da minha organização recebam acesso automaticamente, outros usuários da minha organização possam solicitar e outros usuários tenham acesso atribuído por um administrador | Três |
Para obter informações sobre a lógica de prioridade que é usada quando várias políticas se aplicam, confira Várias políticas.
Abrir um pacote de acesso existente e adicionar uma nova política com configurações de solicitação diferentes
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Se tiver um conjunto de usuários que deve ter diferentes configurações de solicitação e aprovação, é provável que você precise criar uma nova política. Siga estas etapas para começar a adicionar uma nova política a um pacote de acesso existente:
Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Governança de Identidade.
Dica
Outras funções de privilégio mínimo que podem concluir essa tarefa incluem o proprietário do catálogo e o gerenciador de pacotes do Access.
Navegue até Governança de identidade>Gerenciamento de direitos>Pacote de acesso.
Na página Pacotes de acesso, abra o pacote de acesso cujas solicitações você quer editar.
Selecione Políticas e Adicionar política.
Na guia Básicos, digite um nome e uma descrição para a política.
Selecione Avançar para abrir a guia Solicitações.
Altere a configuração Usuários que podem solicitar acesso. Use as etapas nas seguintes seções para alterar a configuração para uma das seguintes opções:
Para usuários no seu diretório
Siga estas etapas para permitir que os usuários no seu diretório possam solicitar esse pacote de acesso. Ao definir a política de solicitação, você pode especificar usuários individuais ou grupos de usuários mais comuns. Por exemplo, a organização poderia já ter um grupo como Todos os funcionários. Se esse grupo for adicionado na política para usuários que podem solicitar acesso, então qualquer membro desse grupo poderá solicitar acesso.
Na seção Usuários que podem solicitar acesso, selecione Para usuários em seu diretório.
Quando você seleciona essa opção, novas opções aparecem para refinar ainda mais quem no diretório pode solicitar esse pacote de acesso.
Selecione uma das seguintes opções:
Descrição Usuários e grupos específicos Escolha esta opção se quiser que apenas os usuários e grupos no diretório especificados possam solicitar esse pacote de acesso. Todos os membros (excluindo os convidados) Escolha esta opção se quiser que todos os usuários membros no seu diretório possam solicitar esse pacote de acesso. Esta opção não inclui nenhum usuário convidado que você tenha convidado para o diretório. Todos os usuários (incluindo os convidados) Escolha esta opção se quiser que todos os usuários membros e convidados no seu diretório possam solicitar esse pacote de acesso. Os usuários convidados são usuários externos que foram convidados no seu diretório com o B2B do Microsoft Entra. Para saber mais sobre as diferenças entre usuários membros e convidados, consulte Quais são as permissões de usuário padrão na ID do Microsoft Entra?.
Se você selecionou Usuários e grupos específicos,selecione Adicionar usuários e grupos.
No painel Selecionar usuários e grupos, selecione os usuários e grupos que deseja adicionar.
Escolha Selecionar para adicionar os usuários e grupos.
Para exigir aprovação, use as etapas em Alterar as configurações de aprovação de um pacote de acesso no gerenciamento de direitos para definir as configurações de aprovação.
Vá para a seção Habilitar solicitações.
Para usuários que não estão no seu diretório
Usuários que não estão no diretório são os usuários que estão em outro diretório ou domínio do Microsoft Entra. Esses usuários poderiam ainda não ter sido convidados para seu diretório. Os diretórios do Microsoft Entra devem ser configurados para permitir convites nas Restrições de colaboração. Para obter mais informações, confira Definir configurações de colaboração externa.
Observação
Uma conta de usuário convidado será criada para um usuário que ainda não está no diretório cuja solicitação foi aprovada ou aprovada automaticamente. O convidado será convidado, mas não receberá um email de convite. Em vez disso, ele receberá um email quando a atribuição de pacote de acesso for entregue. Por padrão, quando o usuário convidado não tiver mais nenhuma atribuição de pacote de acesso, porque sua última atribuição expirou ou foi cancelada, essa conta de usuário convidado terá o acesso bloqueado e será excluída subsequentemente. Se quiser que os usuários convidados permaneçam no diretório indefinidamente, mesmo que eles não tenham atribuições de pacote de acesso, você poderá alterar as configurações da definição de gerenciamento de direitos. Para obter informações sobre o objeto do usuário convidado, consulte Propriedades de um usuário de colaboração B2B do Microsoft Entra.
Siga estas etapas para permitir que os usuários que não estão no seu diretório solicitem esse pacote de acesso:
Na seção Usuários que podem solicitar acesso, selecione Para usuários que não estão em seu diretório.
Ao selecionar essa opção, novas opções são exibidas.
Selecione se os usuários que podem solicitar acesso devem ser afiliados a uma organização conectada existente ou se podem ser qualquer pessoa na Internet. Uma organização conectada é aquela com a qual você tem uma relação pré-existente que pode ter um diretório do Microsoft Entra externo ou outro provedor de identidade. Selecione uma das seguintes opções:
Descrição Organizações conectadas específicas Escolha esta opção se quiser selecionar a partir de uma lista de organizações que o administrador adicionou anteriormente. Todos os usuários das organizações selecionadas podem solicitar esse pacote de acesso. Todas as organizações conectadas configuradas Escolha esta opção se todos os usuários de todas as organizações conectadas configuradas podem solicitar esse pacote de acesso. Somente usuários de organizações conectadas configuradas podem solicitar pacotes de acesso, portanto, se um usuário não for de um locatário, domínio ou provedor de identidade do Microsoft Entra associado a uma organização conectada existente, ele não poderá solicitar. Todos os usuários (Todas as organizações conectadas + novos usuários externos) Escolha esta opção se qualquer usuário na Internet puder solicitar esse pacote de acesso. Se eles não pertencerem a uma organização conectada no seu diretório, uma organização conectada será criada automaticamente para eles quando solicitarem o pacote. A organização conectada criada automaticamente está em um estado proposto. Para obter mais informações sobre o estado proposto, confira Propriedades de estado das organizações conectadas. Se você selecionou Organizações conectadas específicas, selecione Adicionar diretórios para selecionar a partir de uma lista de organizações conectadas que o administrador adicionou anteriormente.
Digite o nome ou nome de domínio para procurar uma organização conectada anteriormente.
Se a organização com a qual você deseja colaborar não estiver na lista, você poderá pedir que o administrador adicione-a como uma organização conectada. Para mais informações, confira Adicionar uma organização conectada.
Depois de selecionar todas as organizações conectadas, escolha Selecionar.
Observação
Todos os usuários das organizações conectadas selecionadas podem solicitar esse pacote de acesso. Para uma organização conectada que tem um diretório do Microsoft Entra, os usuários de todos os domínios verificados associados ao diretório do Microsoft Entra podem solicitar, a menos que esses domínios sejam bloqueados pela lista de permissões ou negações do Azure B2B. Para obter mais informações, consulte Permitir ou bloquear convites para usuários B2B de organizações específicas.
Em seguida, use as etapas em Alterar as configurações de aprovação de um pacote de acesso no gerenciamento de direitos para definir as configurações de aprovação para especificar quem deve aprovar solicitações de usuários que não estão em sua organização.
Vá para a seção Habilitar solicitações.
Nenhum (somente as atribuições diretas do administrador)
Siga estas etapas se quiser ignorar as solicitações de acesso e permitir que os administradores atribuam usuários específicos diretamente a esse pacote de acesso. Os usuários não precisarão solicitar o pacote de acesso. Você ainda pode definir as configurações do ciclo de vida, mas não há configurações de solicitação.
Na seção Usuários que podem solicitar acesso, selecione Nenhum (somente atribuições diretas do administrador).
Depois de criar o pacote de acesso, você pode atribuir diretamente usuários internos e externos específicos ao pacote de acesso. Se especificar um usuário externo, uma conta de usuário convidado será criada no diretório. Para obter informações sobre como atribuir um usuário diretamente, confira Exibir, adicionar e remover atribuições para um pacote de acesso.
Vá para a seção Habilitar solicitações.
Observação
Ao atribuir usuários a um pacote de acesso, os administradores precisarão verificar se os usuários estão qualificados para esse pacote de acesso com base nos requisitos de política existentes. Caso contrário, os usuários não serão atribuídos com êxito ao pacote de acesso. Se o pacote de acesso contiver uma política que exija que as solicitações do usuário sejam aprovadas, os usuários não poderão ser atribuídos diretamente ao pacote as sem aprovações necessárias dos aprovadores atribuídos.
Abrir e editar as configurações de solicitação de uma política existente
Para alterar as configurações de solicitação e aprovação de um pacote de acesso, você precisa abrir a política correspondente com aquelas configurações. Siga estas etapas para abrir e editar as configurações de solicitação para uma política de atribuição de pacote de acesso:
Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Governança de Identidade.
Dica
Outras funções de privilégio mínimo que podem concluir essa tarefa incluem o proprietário do catálogo e o gerenciador de pacotes do Access.
Navegue até Governança de identidade>Gerenciamento de direitos>Pacote de acesso.
Na página Pacotes de acesso, abra o pacote de acesso cujas configurações de solicitação de política você deseja editar.
Selecione Políticas e depois a política que você deseja editar.
O painel de detalhes da Política será aberto na parte inferior da página.
Selecione Editar para editar a política.
Selecione a guia Solicitações para abrir as configurações de solicitação.
Use as etapas nas seções anteriores para alterar as configurações de solicitação conforme necessário.
Vá para a seção Habilitar solicitações.
Habilitar solicitações
Se quiser que a solicitação do pacote de acesso seja disponibilizada imediatamente para os usuários na política de solicitação, mova o botão de alternância Habilitar para Sim.
Você poderá habilitá-la futuramente depois de concluir a criação do pacote de acesso.
Se selecionou Nenhum (somente atribuições diretas do administrador) e definir habilitar como Não, os administradores não poderão atribuir diretamente este pacote de acesso.
Selecione Avançar.
Para exigir que os solicitantes forneçam informações adicionais ao solicitar acesso a um pacote de acesso, siga as etapas em Alterar as configurações de informações de aprovação e do solicitante de um pacote de acesso no gerenciamento de direitos para configurar as informações do solicitante.
Defina as configurações do ciclo de vida.
Se você estiver editando uma política, selecione Atualizar. Se você estiver adicionando uma nova política, selecione Criar.
Criar uma política de atribuição de pacote de acesso programaticamente
Há duas maneiras de criar uma política de atribuição de pacote de acesso programaticamente, por meio do Microsoft Graph e por meio dos cmdlets do PowerShell para Microsoft Graph.
Criar uma política de atribuição de pacote de acesso por meio do Graph
É possível criar uma política usando o Microsoft Graph. Um usuário em uma função apropriada com um aplicativo que tem a permissão EntitlementManagement.ReadWrite.All
delegada, ou um aplicativo em uma função de catálogo ou com a permissão EntitlementManagement.ReadWrite.All
, pode chamar a API create an assignmentPolicy.
Criar uma política de atribuição de pacote de acesso por meio do PowerShell
Você também pode criar um pacote de acesso no PowerShell com os cmdlets do módulo Cmdlets do PowerShell do Microsoft Graph para Governança de Identidade versão 2.1 ou posterior.
O script seguinte ilustra a criação de uma política de atribuição direta para um pacote de acesso. Nessa política, somente o administrador pode atribuir acesso e não existem aprovações ou revisões de acesso. Consulte Criar uma política de atribuição automática para obter um exemplo de como criar uma política de atribuição automática e create an assignmentPolicy para obter mais exemplos.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"
$params = @{
displayName = "New Policy"
description = "policy for assignment"
allowedTargetScope = "notSpecified"
specificAllowedTargets = @(
)
expiration = @{
endDateTime = $null
duration = $null
type = "noExpiration"
}
requestorSettings = @{
enableTargetsToSelfAddAccess = $false
enableTargetsToSelfUpdateAccess = $false
enableTargetsToSelfRemoveAccess = $false
allowCustomAssignmentSchedule = $true
enableOnBehalfRequestorsToAddAccess = $false
enableOnBehalfRequestorsToUpdateAccess = $false
enableOnBehalfRequestorsToRemoveAccess = $false
onBehalfRequestors = @(
)
}
requestApprovalSettings = @{
isApprovalRequiredForAdd = $false
isApprovalRequiredForUpdate = $false
stages = @(
)
}
accessPackage = @{
id = $apid
}
}
New-MgEntitlementManagementAssignmentPolicy -BodyParameter $params
Impedir solicitações de usuários com acesso incompatível
Além das verificações de política sobre quem pode solicitar, você pode restringir ainda mais o acesso, a fim de evitar que um usuário que já tem algum acesso – por meio de um grupo ou de outro pacote de acesso – obtenha acesso excessivo.
Se você quiser configurar que um usuário não pode solicitar um pacote de acesso se ele já tiver uma atribuição para outro pacote de acesso ou for membro de um grupo, use as etapas em Configurar verificações de separação de tarefas para um pacote de acesso.