Gerencie o acesso externo com o gerenciamento de direitos do Microsoft Entra

Use o recurso de gerenciamento de direitos para gerenciar o ciclo de vida de identidade e acesso. Você pode automatizar fluxos de trabalho de solicitação de acesso, atribuições de acesso, revisões e expiração. Os não-administradores delegados usam o gerenciamento de direitos para criar pacotes de acesso aos quais usuários externos, de outras organizações, podem solicitar acesso. Os fluxos de trabalho de aprovação de um e vários estágios são configuráveis para avaliar solicitações e provisionar os usuários para acesso limitado no tempo com revisões recorrentes. Use o gerenciamento de direitos para provisionamento e desprovisionamento de contas externas com base em políticas.

Saiba mais:

• O que é a gestão de direitos?
• O que são pacotes de acesso e que recursos posso gerir com eles?
• O que é provisionamento?

Antes de começar

Este artigo é o número 6 de uma série de 10 artigos. Recomendamos que você revise os artigos em ordem. Vá para a seção Próximas etapas para ver a série inteira.

Habilitar o gerenciamento de direitos

Os seguintes conceitos-chave são importantes de compreender para a gestão de direitos.

Pacotes de acesso

Um pacote de acesso é a base do gerenciamento de direitos: agrupamentos de recursos controlados por políticas para que os usuários colaborem em um projeto ou realizem outras tarefas. Por exemplo, um pacote de acesso pode incluir:

• Acesso a sites do SharePoint
• Aplicativos corporativos, incluindo seus aplicativos internos personalizados e aplicativos SaaS (software como serviço), como o Salesforce
• Microsoft Stream
• Grupos do Microsoft 365

Catálogos

Os pacotes do Access residem em catálogos. Quando quiser agrupar recursos relacionados e acessar pacotes e delegar seu gerenciamento, crie um catálogo. Primeiro, você adiciona recursos a um catálogo e, em seguida, pode adicionar recursos para acessar pacotes. Por exemplo, você pode criar um catálogo de finanças e delegar seu gerenciamento a um membro da equipe financeira. Essa pessoa pode adicionar recursos, criar pacotes de acesso e gerenciar a aprovação de acesso.

Saiba mais:

• Criar e gerenciar um catálogo de recursos no gerenciamento de direitos
• Delegação e funções na gestão de direitos
• Adicionar recursos a um catálogo

O diagrama a seguir mostra um ciclo de vida típico de governança de um usuário externo obtendo acesso a um pacote de acesso, com uma expiração.

Acesso externo self-service

Você pode disponibilizar pacotes de acesso, através do portal Microsoft Entra My Access, para permitir que usuários externos solicitem acesso. As políticas determinam quem pode solicitar um pacote de acesso. Consulte Solicitar acesso a um pacote de acesso no gerenciamento de direitos.

Você especifica quem tem permissão para solicitar o pacote de acesso:

• Organizações conectadas
  • Consulte Adicionar uma organização conectada no gerenciamento de direitos
• Organizações conectadas configuradas
• Utilizadores de organizações
• Utilizadores membros ou convidados no seu inquilino

Aprovações

Os pacotes de acesso podem incluir aprovação obrigatória para acesso. As aprovações podem ser de estágio único ou múltiplo e são determinadas por políticas. Se os usuários internos e externos precisarem acessar o mesmo pacote, você poderá configurar políticas de acesso para categorias de organizações conectadas e para usuários internos.

Expiração

Os pacotes de acesso podem incluir uma data de expiração ou um número de dias definido para o acesso. Quando o pacote de acesso expira e o acesso termina, o objeto Usuário Convidado B2B que representa o usuário pode ser excluído ou impedido de entrar. Recomendamos que você imponha a expiração em pacotes de acesso para usuários externos. Nem todos os pacotes de acesso têm validade.

Revisões de acesso

Os pacotes de acesso podem exigir revisões periódicas de acesso, que exigem que o proprietário do pacote ou um designado ateste a necessidade contínua de acesso dos usuários. Consulte Gerencie o acesso dos hóspedes com as avaliações de acesso.

Antes de configurar a revisão, determine os seguintes critérios:

• Quem
  • Critérios para a continuação do acesso
  • Revisores
• Com que frequência
  • As opções incorporadas são mensais, trimestrais, bianuais ou anuais
  • Recomendamos revisões trimestrais, ou mais frequentes, para pacotes que suportam acesso externo

Saiba mais: Planejar uma implantação de revisões de acesso do Microsoft Entra.

Usando a automação do gerenciamento de direitos

• Trabalhar com a API de gestão de direitos do Microsoft Entra
• accessPackage Tipo de recurso
• Análises de acesso do Microsoft Entra
• connectedOrganization Tipo de recurso
• entitlementManagementSettings Tipo de recurso

Recomendações sobre a governação do acesso externo

Melhores práticas

Recomendamos as seguintes práticas para governar o acesso externo com o gerenciamento de direitos.

• Para projetos com um ou mais parceiros de negócios, crie e use pacotes de acesso para integrar e fornecer acesso a recursos.
  • Criar um novo pacote de acesso no gerenciamento de direitos
• Se você tiver usuários B2B em seu diretório, poderá atribuí-los para acessar pacotes.
• Você pode atribuir acesso no portal do Azure ou com o Microsoft Graph
  • Exibir, adicionar e remover atribuições para um pacote de acesso no gerenciamento de direitos
  • Criar um novo pacote de acesso no gerenciamento de direitos

Governança de identidade - Configurações

Use Governança de identidade - Configurações para remover usuários do diretório quando os pacotes de acesso expirarem. As configurações a seguir se aplicam aos usuários integrados com o gerenciamento de direitos.

Delegar catálogo e gerenciamento de pacotes

Você pode delegar o gerenciamento de catálogos e pacotes aos proprietários de empresas, que têm mais informações sobre quem deve acessar. Ver, Delegação e funções na gestão de direitos

Impor a expiração do pacote de acesso

Você pode impor a expiração de acesso para usuários externos. Consulte Alterar configurações do ciclo de vida de um pacote de acesso no gerenciamento de direitos.

• Para a data final de um pacote de acesso baseado em projeto, use Em data para definir a data.
  • Caso contrário, recomendamos que a expiração não seja mais de 365 dias, a menos que seja um projeto plurianual
• Permitir que os usuários estendam o acesso
  • Requer aprovação para conceder a extensão

Impor avaliações de pacotes de acesso de hóspedes

Você pode impor avaliações de pacotes de acesso de hóspedes para evitar acesso inadequado para os hóspedes. Consulte Gerencie o acesso dos hóspedes com as avaliações de acesso.

• Impor revisões trimestrais
• Para projetos relacionados à conformidade, defina os revisores como revisores, em vez de auto-revisão para usuários externos.
  • Você pode usar gerenciadores de pacotes de acesso como revisores
• Para projetos menos sensíveis, a autorevisão dos usuários reduz a carga para remover o acesso de usuários que não estão mais na organização.

Saiba mais: Controlar o acesso de usuários externos no gerenciamento de direitos

Próximos passos

Use a série de artigos a seguir para saber como proteger o acesso externo aos recursos. Recomendamos que siga a ordem listada.

1. Determine sua postura de segurança para acesso externo com o Microsoft Entra ID

2. Descubra o estado atual da colaboração externa na sua organização

3. Criar um plano de segurança para acesso externo a recursos

4. Acesso externo seguro com grupos no Microsoft Entra ID e Microsoft 365

5. Transição para colaboração governada com colaboração B2B do Microsoft Entra

6. Gerencie o acesso externo com o gerenciamento de direitos do Microsoft Entra (Você está aqui)

7. Gerencie o acesso externo a recursos com políticas de Acesso Condicional

8. Controle o acesso externo a recursos no Microsoft Entra ID com rótulos de sensibilidade

9. Proteja o acesso externo ao Microsoft Teams, SharePoint e OneDrive for Business com o Microsoft Entra ID

10. Converter contas de convidado locais em contas de convidado B2B do Microsoft Entra