Crie uma revisão de acesso de um pacote de acesso no gerenciamento de direitos
Para reduzir o risco de acesso obsoleto, você deve permitir revisões periódicas de usuários que têm atribuições ativas para um pacote de acesso no gerenciamento de direitos. Você pode habilitar revisões ao criar ou um novo pacote de acesso ou editar uma política de atribuição de pacote de acesso atual. Este artigo descreve como habilitar as revisões de acesso de pacotes de acesso.
Pré-requisitos
Para habilitar revisões de pacotes de acesso, você deve cumprir os pré-requisitos para criar pacotes de acesso:
- Governança do Microsoft Entra ID P2 ou Microsoft Entra ID
- Administrador Global, Administrador de Governança de Identidade, Proprietário de Catálogo ou Gerenciador de Pacotes do Access
Observação
Após o acesso com privilégios mínimos, recomendamos usar a função Administrador do Identity Governance, proprietário do catálogo ou gerenciador de pacotes do Access.
Para obter mais informações, veja Requisitos de licença.
Criar uma revisão de acesso de um pacote de acesso
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Você pode habilitar revisões de acesso ao criar um novo pacote de acesso ou editar a política de um pacote de acesso atual. Se você tiver várias políticas, para diferentes comunidades de usuários solicitarem acesso, você poderá ter agendamentos de revisão de acesso independentes para cada política. Siga estas etapas para habilitar as revisões de acesso das atribuições de pacote de acesso:
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Governança de Identidade.
Navegue até Governança de identidade>Revisões de Acesso>Pacotes de acesso.
Para criar uma nova política de acesso, selecione Novo pacote de acesso.
Para editar uma política de acesso existente, no menu à esquerda, selecione Pacotes de acesso e abra o pacote de acesso que você deseja editar. Em seguida, no menu à esquerda, selecione Políticas e selecione a política que tem as configurações de ciclo de vida que você deseja editar.
Abra a guia Ciclo de vida para obter uma política de atribuição de pacote de acesso para especificar quando expira a atribuição de um usuário ao pacote de acesso. Você também pode especificar se os usuários podem estender suas respectivas atribuições.
Na seção Expiração, defina As atribuições do pacote de acesso expiram como Na data, Número de dias, Número de horas ou Nunca.
Para Na data, selecione uma data de validade futura.
Para Número de dias, especifique um número entre 0 e 3660 dias.
Para Número de horas, especifique o número de horas.
Com base na sua seleção, a atribuição de um usuário ao pacote de acesso expira em uma determinada data, em um número específico de dias após a aprovação ou nunca.
Clique em Mostrar configurações de expiração avançadas para ver outras configurações.
Para permitir que o usuário estenda suas atribuições, defina Permitir que os usuários estendam o acesso como Sim.
Se a política permitir extensões, o usuário receberá um email 14 dias antes de vencer a atribuição de pacote de acesso e outro email um dia antes do vencimento, solicitando que ele estenda a atribuição. O usuário ainda deve estar no escopo da política no momento em que solicita uma extensão. Além disso, se a política tiver uma data de término explícita das atribuições e um usuário enviar uma solicitação de extensão de acesso, a data de extensão na solicitação deverá coincidir com, ou ser anterior a, a data de expiração das atribuições, conforme definido na política de concessão de acesso de usuário ao pacote de acesso. Por exemplo, se a política indicar que as atribuições estão definidas para expirar em 30 de junho, o prazo máximo para solicitação de extensão de um usuário será 30 de junho.
Se o acesso de um usuário for estendido, ele não poderá solicitar o pacote de acesso após a data de extensão especificada (data definida no fuso horário do usuário que criou a política).
Para exigir aprovação para conceder uma extensão, defina Exigir aprovação para conceder a extensão como Sim.
As mesmas configurações de aprovação que foram especificadas na guia Solicitações serão usadas.
Mova a alternância Exigir revisões de acesso para Sim.
Especifique a data em que as revisões começam ao lado de Iniciando em.
Em seguida, defina a Frequência de revisão como Anual, Bianual, Trimestral ou Mensal. Essa configuração determina com que frequência as avaliações de acesso ocorrem.
Estabeleça a Duração para definir por quantos dias cada avaliação da série recorrente estará aberta para comentários dos revisores. Por exemplo, você pode agendar uma revisão anual que comece no dia 1º de janeiro e fique aberta por 30 dias para que os revisores possam responder até o fim do mês.
Ao lado de Revisores, selecione Autorrevisão se quiser que os usuários façam a própria revisão de acesso ou selecione Revisores específicos se quiser designar um revisor. Você também pode selecionar Gerente para designar o gerente do revisor como o revisor. Se você selecionar essa opção, precisará adicionar um fallback para o qual encaminhar a revisão caso o gerente não seja encontrado no sistema.
Se você selecionou Revisores específicos, especifique quais usuários fazem a revisão de acesso:
- Selecione Adicionar revisores.
- No painel Selecionar revisores, pesquise e selecione os usuários que você deseja que sejam revisores.
- Depois de selecionar os revisores, clique no botão Selecionar.
Se você selecionou Gerente, especifique o revisor de fallback:
- Selecione Adicionar revisores de fallback.
- No painel Selecionar revisores de fallback, procure e selecione os usuários que devem ser os revisores de fallback do gerente do revisor.
- Depois de selecionar os revisores de fallback, clique no botão Selecionar.
Há outras configurações avançadas que você pode definir. Para definir outras configurações avançadas de revisão de acesso, clique em Mostrar configurações avançadas de revisão de acesso:
Se você quiser especificar o que acontece com o acesso dos usuários quando um revisor não responde, clique em Se os revisores não responderem e escolha uma das seguintes opções:
- Nenhuma alteração se você não quiser que uma decisão seja tomada no acesso dos usuários.
- Remover acesso se quiser que o acesso dos usuários seja removido.
- Receber recomendações se quiser que uma decisão seja tomada com base nas recomendações do MyAccess.
Se você quiser ver as recomendações do sistema, clique em Mostrar auxiliares de decisão do revisor. As recomendações do sistema têm base na atividade do usuário. Os revisores veem uma das seguintes recomendações:
- aprovar a revisão se o usuário tiver entrado pelo menos uma vez durante os últimos 30 dias.
- negar a revisão se o usuário não tiver entrado durante os últimos 30 dias.
Se você quiser que o revisor compartilhe os motivos da decisão de aprovação, clique em Exigir justificativa do revisor. A justificativa é visível para outros revisores e o solicitante.
Selecione Examinar + Criar ou Avançar se estiver criando um pacote de acesso. Clique em Atualizar se estiver editando um pacote de acesso, na parte inferior da página.
Ver o status da revisão de acesso
Após a data de início, a revisão de acesso aparecerá na seção Revisões de acesso. Siga estas etapas para ver o status de uma revisão de acesso:
Em Identity Governance, clique em Pacotes de acesso e selecione o pacote de acesso com o status de revisão de acesso que você quer verificar.
Na visão geral do pacote de acesso, clique em Revisões de acesso no menu à esquerda.
É exibida a lista de todas as políticas que têm revisões de acesso associadas. Clique na revisão para ver o relatório dela.
Quando você exibe o relatório, ele mostra o número de usuários analisados e as ações tomadas pelo revisor neles.
Notificações por email de revisões de acesso
Você pode designar revisores ou os usuários podem examinar o próprio acesso. Por padrão, o Microsoft Entra ID envia um email aos revisores ou autorrevisores logo após o início da análise.
O email inclui instruções para examinar o acesso aos pacotes de acesso. Se os usuários estão examinando o próprio acesso, mostre a eles as instruções para realizar a autorrevisão dos pacotes de acesso.
Se você atribuiu usuários convidados como revisores e eles não aceitaram o convite de convidados do Microsoft Entra, eles não receberão emails de revisões de acesso. Eles devem aceitar o convite e criar uma conta com o Microsoft Entra ID para receber os emails.
Observação
Enquanto o ciclo de revisão estiver aberto, os revisores sempre poderão alterar suas decisões de revisão de acesso. Na metade da sua revisão de acesso, mesmo que o revisor tenha tomado uma decisão anteriormente, um email de lembrete ainda será enviado aos revisores, notificando-os de que o ciclo de revisão de acesso ainda está aberto.