Tutorial: Gerenciar o acesso a recursos no gerenciamento de direitos

Gerenciar o acesso a todos os recursos que os funcionários precisam, como grupos, aplicativos e sites, é uma função importante para as organizações. Você quer conceder aos funcionários o nível certo de acesso de que eles precisam para serem produtivos e remover o acesso deles quando ele não for mais necessário.

Neste tutorial, você trabalha para o Woodgrove Bank como administrador de TI. Você foi solicitado a criar um pacote de recursos para uma campanha de marketing que os usuários internos podem usar para solicitar autoatendimento. As solicitações não exigem aprovação e o acesso do usuário expira após 30 dias. Para este tutorial, os recursos da campanha de marketing são apenas membros de um único grupo, mas podem ser uma coleção de grupos, aplicativos ou sites do SharePoint Online.

Diagrama que mostra a visão geral do cenário.

Neste tutorial, irá aprender a:

  • Criar um pacote de acesso com um grupo como recurso
  • Permitir que um usuário em seu diretório solicite acesso
  • Demonstrar como um usuário interno pode solicitar o pacote de acesso

Para obter uma demonstração passo a passo do processo de implantação do gerenciamento de direitos do Microsoft Entra, incluindo a criação do seu primeiro pacote de acesso, veja o seguinte vídeo:

Este restante deste artigo usa o centro de administração do Microsoft Entra para configurar e demonstrar o gerenciamento de direitos.

Pré-requisitos

Para usar o gerenciamento de direitos, você deve ter uma das seguintes licenças:

  • Governança do Microsoft Entra ID P2 ou Microsoft Entra ID
  • Licença E5 do Enterprise Mobility + Security (EMS)

Para obter mais informações, consulte Requisitos de licença.

Etapa 1: configurar usuários e grupo

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Um diretório de recursos tem um ou mais recursos para compartilhar. Nesta etapa, você cria um grupo chamado Recursos de marketing no diretório do Woodgrove Bank que é o recurso de destino para o gerenciamento de direitos. Você também configura um solicitante interno.

Diagrama que mostra os usuários e grupos para este tutorial.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.

  2. Navegue até Governança de>identidade, Gerenciamento de direitos,>Pacotes de acesso.

  3. Crie dois usuários. Use os seguintes nomes ou nomes diferentes.

    Nome Função de diretório
    Admin1 Pelo menos um Administrador de Governança de Identidade. Esse usuário pode ser o usuário no qual você está conectado no momento.
    Solicitante1 User
  4. Crie um grupo de segurança do Microsoft Entra chamado Recursos de marketing com um tipo de associação atribuído. Este grupo é o recurso de destino para a gestão de direitos. O grupo deve estar vazio de membros para começar.

Etapa 2: Criar um pacote de acesso

Um pacote de acesso é um pacote de recursos que uma equipe ou projeto precisa e é regido por políticas. Os pacotes do Access são definidos em contêineres chamados catálogos. Nesta etapa, você cria um pacote de acesso à Campanha de Marketing no catálogo Geral .

Diagrama que descreve a relação entre os elementos do pacote de acesso.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.

    Gorjeta

    Outras funções de menor privilégio que podem concluir essa tarefa incluem o proprietário do catálogo e o gerenciador de pacotes do Access.

  2. Navegue até Governança de>identidade, Gerenciamento de direitos>, Pacote de acesso.

  3. Na página Pacotes do Access, abra um pacote do Access.

  4. Ao abrir o pacote de acesso, se você vir Acesso negado, verifique se uma licença do Microsoft Entra ID P2 ou do Microsoft Entra ID Governance está presente no diretório.

  5. Selecione Novo pacote de acesso.

    Capturas de tela que mostram como criar um pacote de acesso.

  6. Na guia Noções básicas, digite o nome Pacote de acesso à campanha de marketing e a descrição Acesso aos recursos da campanha.

  7. Deixe a lista suspensa Catálogo definida como Geral.

    Captura de tela mostrando como definir o básico da política de acesso.

  8. Selecione Avançar para abrir a guia Funções de recurso. Nesta guia, selecione os recursos e a função de recurso a serem incluídos no pacote de acesso. Você pode optar por gerenciar o acesso a grupos e equipes, aplicativos e sites do SharePoint Online. Nesse cenário, selecione Grupos e Equipes.

    Captura de ecrã a mostrar como selecionar grupos e equipas.

  9. No painel Selecionar grupos, localize e selecione o grupo de recursos de Marketing criado anteriormente.

    Por padrão, você vê grupos dentro do catálogo Geral. Quando você seleciona um grupo fora do catálogo Geral, que você pode ver se marcar a caixa de seleção Ver tudo , ele é adicionado ao catálogo Geral.

    Captura de tela que mostra como selecionar os grupos

  10. Escolha Selecionar para adicionar o grupo à lista.

  11. Na lista suspensa Função, selecione Membro. Se você selecionar a função Proprietário, ela permitirá que os usuários adicionem ou removam outros membros ou proprietários. Para obter mais informações sobre como selecionar as funções apropriadas para um recurso, leia adicionar funções de recurso.

    A captura de tela mostra como selecionar a função de membro.

    Importante

    Os grupos atribuíveis a funções adicionados a um pacote de acesso serão indicados usando o Subtipo atribuível a funções. Para obter mais informações, consulte o artigo Criar um grupo atribuível de função. Lembre-se de que, quando um grupo atribuível por função estiver presente em um catálogo de pacotes de acesso, os usuários administrativos que puderem gerenciar no gerenciamento de direitos, incluindo usuários na função Administrador Global, usuários na função Administrador de Governança de Identidade e proprietários de catálogo do catálogo, poderão controlar os pacotes de acesso no catálogo, permitindo-lhes escolher quem pode ser adicionado a esses grupos. Se você não vir um grupo atribuível de função que deseja adicionar ou não conseguir adicioná-lo, verifique se você tem a função necessária do Microsoft Entra e a função de gerenciamento de direitos para executar essa operação. Talvez seja necessário pedir a alguém com as funções necessárias para adicionar o recurso ao catálogo. Para obter mais informações, consulte Funções necessárias para adicionar recursos a um catálogo.

    Nota

    Ao usar grupos dinâmicos de associação, você não verá nenhuma outra função disponível além de proprietário. Esta ação é propositada. Capturas de tela que mostram um grupo dinâmico de funções disponíveis.

  12. Selecione Avançar para abrir a guia Solicitações . Na guia Solicitações, você cria uma política de solicitação. Uma política define as regras ou guarda-corpos para acessar um pacote de acesso. Você cria uma política que permite que um usuário específico no diretório de recursos solicite esse pacote de acesso.

  13. Na seção Usuários que podem solicitar acesso, selecione Para usuários em seu diretório e, em seguida, selecione Usuários e grupos específicos.

    Captura de ecrã do separador pedidos de pacotes de acesso.

  14. Selecione Adicionar usuários e grupos.

  15. No painel Selecionar usuários e grupos, selecione o usuário Requestor1 criado anteriormente.

    Captura de ecrã de utilizadores e grupos selecionados.

  16. Escolha Selecionar para adicionar o usuário à lista.

  17. Role para baixo até as seções Aprovar e Habilitar solicitações .

  18. Deixar Exigir aprovação definido como Não.

  19. Em Habilitar solicitações, selecione Sim para permitir que este pacote de acesso seja solicitado assim que for criado.

  20. Se sua organização estiver configurada para receber IDs verificadas, há uma opção para configurar um pacote de acesso para exigir que os solicitantes forneçam uma ID verificada. Para saber mais, consulte: Definir configurações de ID verificada para um pacote de acesso no gerenciamento de direitos (Visualização)

    Captura de tela da seleção do seletor de ID verificado.

  21. Selecione Avançar para abrir a guia Informações do solicitante .

    Capturas de tela da guia solicitações aprovação e ativar configurações de solicitações.

  22. Na guia Informações do solicitante , você pode fazer perguntas para coletar mais informações do solicitante. As perguntas são apresentadas no formulário de pedido e podem ser obrigatórias ou opcionais. Você também pode especificar se o gerente de um funcionário pode ou não solicitar em seu nome e se a aprovação é necessária se ele fizer isso. Se a política permitir que os gerentes solicitem em nome de um funcionário, o gerente estará respondendo a perguntas em nome do funcionário, e não em nome deles. Para obter mais informações sobre essa opção, consulte: Solicitar pacote de acesso em nome de outros usuários(Visualização). Nesse cenário, você não foi solicitado a incluir informações do solicitante para o pacote de acesso, portanto, você pode deixar essas caixas vazias. Selecione Avançar para abrir a guia Ciclo de vida .

  23. Na guia Ciclo de vida, você especifica quando a atribuição de um usuário ao pacote de acesso expira. Você também pode especificar se os usuários podem estender suas atribuições. Na seção Expiração:

    1. Defina as atribuições do pacote do Access expiram como Número de dias.
    2. Defina que as Atribuições expiram após 30 dias.
    3. Deixe que os usuários possam solicitar o valor padrão específico da linha do tempo, Sim.
    4. Defina Exigir revisões de acesso como Não.

    Captura de ecrã do separador ciclo de vida do pacote de acesso

  24. Ignore a etapa Extensões personalizadas.

  25. Selecione Avançar para abrir a guia Revisão + Criar.

  26. No separador Rever + Criar, selecione Criar. Depois de alguns momentos, você verá uma notificação de que o pacote de acesso foi criado com êxito.

  27. No menu esquerdo do pacote de acesso à Campanha de Marketing, selecione Visão geral.

  28. Copie o link do portal Meu Acesso.

    Você usará este link para a próxima etapa.

    Captura de tela que demonstra como copiar o link para a política de acesso.

Passo 3: Solicitar acesso

Nesta etapa, você executa as etapas como solicitante interno e solicita acesso ao pacote de acesso. Os solicitantes enviam suas solicitações usando um site chamado portal Meu Acesso. O portal Meu Acesso permite que os solicitantes enviem solicitações de pacotes de acesso, vejam os pacotes de acesso aos quais já têm acesso e visualizem seu histórico de solicitações. Quando um novo hóspede solicita um pacote de acesso no MyAccess, seu idioma preferido é carimbado com base no idioma do navegador MyAccess no momento da solicitação. Isso permite que os novos hóspedes recebam comunicações por e-mail em um idioma que eles entendam.

Função de pré-requisito: Solicitante interno

  1. Saia do centro de administração do Microsoft Entra.

  2. Em uma nova janela do navegador, navegue até o link do portal Meu Acesso copiado na etapa anterior.

  3. Inicie sessão no portal O Meu Acesso como Requerente1.

    Deverá ver o pacote de acesso à Campanha de Marketing .

  4. Na caixa Justificação comercial, digite a justificativa em que estou trabalhando na nova campanha de marketing.

    Captura de ecrã do portal My Access que lista os pacotes de acesso.

  5. Selecione Submeter.

  6. No menu à esquerda, selecione Histórico de solicitações para verificar se sua solicitação foi entregue. Para obter mais detalhes, selecione Exibir.

    Captura de ecrã do histórico de pedidos do portal O Meu Acesso.

Etapa 4: Validar que o acesso foi atribuído

Nesta etapa, você confirma que o solicitante interno recebeu o pacote de acesso e que agora é membro do grupo de recursos de Marketing.

  1. Saia do portal Meu Acesso.

  2. Entre no centro de administração do Microsoft Entra como Admin1, que é pelo menos um Administrador de Governança de Identidade.

    Gorjeta

    Outras funções de menor privilégio que podem concluir essa tarefa incluem o proprietário do catálogo e o gerenciador de pacotes do Access.

  3. Navegue até Governança de>identidade, Gerenciamento de direitos,>Pacotes de acesso.

  4. Encontre e selecione Pacote de acesso à Campanha de Marketing .

  5. No menu à esquerda, selecione Solicitações.

    Você deve ver Solicitante1 e a política Inicial com o status Entregue.

  6. Selecione a solicitação para ver os detalhes da solicitação.

    Captura de ecrã dos detalhes do pedido de pacote de acesso.

  7. Na navegação à esquerda, selecione Identidade.

  8. Selecione Grupos e abra o grupo Recursos de marketing .

  9. Selecione Membros.

    Você deve ver Requestor1 listado como membro.

    A captura de tela mostra que o solicitante foi adicionado ao grupo de recursos de marketing.

Etapa 5: Limpar recursos

Nesta etapa, você remove as alterações feitas e exclui o pacote de acesso à Campanha de Marketing .

  1. No centro de administração do Microsoft Entra, como pelo menos um Administrador de Governança de Identidade , selecione Governança de Identidade.

  2. Abra o pacote de acesso à Campanha de Marketing .

  3. Selecione Tarefas.

  4. Para Requestor1, selecione as reticências (...) e, em seguida, selecione Remover acesso. Na mensagem exibida, selecione Sim.

    Após alguns momentos, o status mudará de Entregue para Expirado.

  5. Selecione Funções de recurso.

  6. Para Recursos de marketing, selecione as reticências (...) e, em seguida, selecione Remover função de recurso. Na mensagem exibida, selecione Sim.

  7. Abra a lista de pacotes de acesso.

  8. Para Campanha de Marketing, selecione as reticências (...) e, em seguida, selecione Excluir. Na mensagem exibida, selecione Sim.

  9. Em Identidade, exclua todos os usuários criados, como Requestor1 e Admin1.

  10. Exclua o grupo de recursos de Marketing.

Próximos passos

Avance para o próximo artigo para saber mais sobre as etapas comuns do cenário no gerenciamento de direitos.