Gerenciar o acesso a um aplicativo

  • Artigo

A integração de um aplicativo ao sistema de identidade da sua organização traz desafios no gerenciamento de acesso, avaliação de uso e relatórios. Os administradores de TI ou a equipe de suporte técnico geralmente precisam supervisionar o acesso ao aplicativo. A atribuição de acesso pode caber a uma equipe de TI geral ou divisional, mas, idealmente, os tomadores de decisão de negócios devem estar envolvidos, dando aprovação antes que a TI conclua o processo.

Outras organizações investem na integração com um sistema automatizado de gerenciamento de identidade e acesso existente, como o RBAC (Controle de Acesso Baseado em Função) ou o ABAC (Controle de Acesso Baseado em Atributos). Tanto a integração como o desenvolvimento de regras tendem a ser especializados e dispendiosos. A monitorização ou a elaboração de relatórios sobre qualquer uma das abordagens de gestão tem o seu próprio investimento separado, dispendioso e complexo.

Como o Microsoft Entra ID ajuda?

O Microsoft Entra ID oferece suporte ao gerenciamento de acesso extensivo para aplicativos configurados, permitindo que as organizações alcancem facilmente as políticas de acesso corretas, que vão desde a atribuição automática baseada em atributos (cenários ABAC ou RBAC) até a delegação e incluindo o gerenciamento de administradores. Com o Microsoft Entra ID, você pode facilmente obter políticas complexas, combinando vários modelos de gerenciamento para um único aplicativo e pode até mesmo reutilizar regras de gerenciamento entre aplicativos com os mesmos públicos.

Com o Microsoft Entra ID, os relatórios de uso e atribuição são totalmente integrados, permitindo que os administradores relatem facilmente o estado da atribuição, erros de atribuição e até mesmo o uso.

Atribuir utilizadores e grupos a uma aplicação

A atribuição de aplicativos do Microsoft Entra se concentra em dois modos de atribuição principais:

  • Atribuição individual Um administrador de TI com permissões de administrador de aplicativos de nuvem de diretório pode selecionar contas de usuário individuais e conceder-lhes acesso ao aplicativo.

  • Atribuição baseada em grupo (requer o Microsoft Entra ID P1 ou P2) Um administrador de TI com permissões de aplicativo de nuvem de diretório pode atribuir um grupo ao aplicativo. O acesso de usuários específicos é determinado pelo fato de eles serem membros do grupo no momento em que tentam acessar o aplicativo. Em outras palavras, um administrador pode efetivamente criar uma regra de atribuição informando "qualquer membro atual do grupo atribuído tem acesso ao aplicativo". Com essa opção de atribuição, os administradores podem se beneficiar de qualquer uma das opções de gerenciamento de grupo do Microsoft Entra, incluindo grupos de associação dinâmica baseados em atributos, grupos de sistemas externos (por exemplo, Ative Directory local ou Workday) ou grupos gerenciados pelo administrador ou gerenciados por autoatendimento. Um único grupo pode ser facilmente atribuído a vários aplicativos, certificando-se de que os aplicativos com afinidade de atribuição possam compartilhar regras de atribuição, reduzindo a complexidade geral do gerenciamento.

    Observação

    No momento, não há suporte para associações de grupo aninhadas para atribuição baseada em grupo a aplicativos.

Com esses dois modos de atribuição, os administradores podem alcançar qualquer abordagem desejável de gerenciamento de atribuições.

Exigindo atribuição de usuário para um aplicativo

Com certos tipos de aplicativos, você tem a opção de exigir que os usuários sejam atribuídos ao aplicativo. Ao fazer isso, você impede que todos entrem, exceto os usuários atribuídos explicitamente ao aplicativo. Os seguintes tipos de aplicações suportam esta opção:

  • Aplicativos configurados para logon único federado (SSO) com autenticação baseada em SAML
  • Aplicativos de proxy de aplicativo que usam a pré-autenticação do Microsoft Entra
  • Aplicativos, que são criados na plataforma de aplicativos Microsoft Entra que usam OAuth 2.0 / OpenID Connect Authentication depois que um usuário ou administrador consente com esse aplicativo. Alguns aplicativos corporativos oferecem mais controle sobre quem tem permissão para entrar.

Quando a atribuição de usuário é necessária, somente os usuários atribuídos ao aplicativo (por meio de atribuição direta de usuário ou com base na associação ao grupo) podem entrar. Eles podem acessar o aplicativo no portal Meus Aplicativos ou usando um link direto.

Quando a atribuição de usuário não é necessária, os usuários não atribuídos não veem o aplicativo em seus Meus Aplicativos, mas ainda podem entrar no próprio aplicativo (também conhecido como logon iniciado por SP) ou podem usar a URL de Acesso do Usuário na página Propriedades do aplicativo (também conhecida como logon iniciado pelo IDP). Para obter mais informações sobre como exigir configurações de atribuição de usuário, consulte Configurar um aplicativo

Esta definição não afeta se uma aplicação aparece ou não em As Minhas Aplicações. Os aplicativos aparecem no portal Meus Aplicativos dos usuários depois que você atribui um usuário ou grupo ao aplicativo.

Observação

Quando um aplicativo requer atribuição, o consentimento do usuário para esse aplicativo não é permitido. Isso é verdade mesmo se o consentimento dos usuários para esse aplicativo teria sido permitido de outra forma. Certifique-se de conceder consentimento de administrador em todo o locatário para aplicativos que exigem atribuição.

Para alguns aplicativos, a opção de exigir atribuição de usuário não está disponível nas propriedades do aplicativo. Nesses casos, você pode usar o PowerShell para definir a propriedade appRoleAssignmentRequired na entidade de serviço.

Determinando a experiência do usuário para acessar aplicativos

O Microsoft Entra ID fornece várias maneiras personalizáveis de implantar aplicativos para usuários finais em sua organização:

  • Microsoft Entra Meus Aplicativos
  • Iniciador de aplicações Microsoft 365
  • Início de sessão direto para aplicações federadas (service-pr)
  • Links diretos para aplicativos federados, baseados em senha ou existentes

Você pode determinar se os usuários atribuídos a um aplicativo corporativo podem vê-lo em Meus Aplicativos e no inicializador de aplicativos do Microsoft 365.

Exemplo: atribuição de aplicativo complexo com o Microsoft Entra ID

Considere um aplicativo como o Salesforce. Em muitas organizações, o Salesforce é usado principalmente pelas equipes de marketing e vendas. Muitas vezes, os membros da equipe de marketing têm acesso altamente privilegiado ao Salesforce, enquanto os membros da equipe de vendas têm acesso limitado. Em muitos casos, uma ampla população de profissionais da informação obtém acesso restrito ao aplicativo. As exceções a estas regras complicam as coisas. Muitas vezes, é prerrogativa das equipes de marketing ou liderança de vendas conceder acesso a um usuário ou alterar suas funções independentemente dessas regras genéricas.

Com o Microsoft Entra ID, aplicativos como o Salesforce podem ser pré-configurados para logon único (SSO) e provisionamento automatizado. Depois que o aplicativo estiver configurado, um administrador poderá executar a ação única para criar e atribuir os grupos apropriados. Neste exemplo, um administrador pode executar as seguintes atribuições:

  • Os grupos dinâmicos podem ser definidos para representar automaticamente todos os membros das equipes de marketing e vendas usando atributos como departamento ou função:

    • Todos os membros de grupos de marketing seriam atribuídos à função de "marketing" no Salesforce
    • Todos os membros dos grupos da equipe de vendas seriam atribuídos à função "vendas" no Salesforce. Um aperfeiçoamento adicional poderia usar vários grupos que representam equipes de vendas regionais atribuídas a diferentes funções do Salesforce.

  • Para habilitar o mecanismo de exceção, um grupo de autoatendimento pode ser criado para cada função. Por exemplo, o grupo "Exceção de marketing do Salesforce" pode ser criado como um grupo de autoatendimento. O grupo pode ser atribuído à função de marketing do Salesforce e a equipe de liderança de marketing pode se tornar proprietária. Os membros da equipe de liderança de marketing podem adicionar ou remover usuários, definir uma política de ingresso ou até mesmo aprovar ou negar solicitações de usuários individuais para participar. Este mecanismo é apoiado através de uma experiência apropriada do profissional da informação que não requer formação especializada para proprietários ou membros.

Nesse caso, todos os usuários atribuídos seriam automaticamente provisionados para o Salesforce. À medida que são adicionados a grupos diferentes, a atribuição de função é atualizada no Salesforce. Os usuários podem descobrir e acessar o Salesforce por meio de Meus Aplicativos, clientes Web do Office ou navegando até a página de login organizacional do Salesforce. Os administradores podem visualizar facilmente o status de uso e atribuição usando o relatório de ID do Microsoft Entra.

Os administradores podem empregar o Acesso Condicional do Microsoft Entra para definir políticas de acesso para funções específicas. Essas políticas podem incluir se o acesso é permitido fora do ambiente corporativo e até mesmo a autenticação multifator ou os requisitos do dispositivo para obter acesso em vários casos.

Acesso a aplicações Microsoft

Os aplicativos da Microsoft (como Exchange, SharePoint, Yammer e assim por diante) são atribuídos e gerenciados de forma um pouco diferente dos aplicativos SaaS que não são da Microsoft ou outros aplicativos, que você integra ao Microsoft Entra ID para logon único.

Há três maneiras principais de um usuário obter acesso a um aplicativo publicado pela Microsoft.

  • Para aplicativos no Microsoft 365 ou em outros pacotes pagos, os usuários recebem acesso por meio de atribuição de licença diretamente à sua conta de usuário ou por meio de um grupo usando nosso recurso de atribuição de licença baseado em grupo.

  • Para aplicativos que a Microsoft ou uma organização que não seja da Microsoft publica livremente para qualquer pessoa usar, os usuários podem ter acesso por meio do consentimento do usuário. Os usuários entram no aplicativo com sua conta corporativa ou de estudante do Microsoft Entra e permitem que ele tenha acesso a algum conjunto limitado de dados em sua conta.

  • Para aplicativos que a Microsoft ou uma organização que não seja da Microsoft publica livremente para qualquer pessoa usar, os usuários também podem receber acesso por meio do consentimento do administrador. Isso significa que um administrador determinou que o aplicativo pode ser usado por todos na organização, para que eles entrem no aplicativo com uma função de Administrador de Função Privilegiada e concedam acesso a todos na organização.

Algumas aplicações combinam estes métodos. Por exemplo, determinados aplicativos da Microsoft fazem parte de uma assinatura do Microsoft 365, mas ainda exigem consentimento.

Os usuários podem acessar aplicativos do Microsoft 365 por meio de seus portais do Office 365. Você também pode mostrar ou ocultar aplicativos do Microsoft 365 em Meus Aplicativos com a alternância de visibilidade do Office 365 nas configurações de usuário do diretório.

Tal como acontece com as aplicações empresariais, pode atribuir utilizadores a determinadas aplicações Microsoft através do centro de administração do Microsoft Entra ou utilizando o PowerShell.

Impedindo o acesso ao aplicativo por meio de contas locais

O Microsoft Entra ID permite que sua organização configure o logon único para proteger como os usuários se autenticam em aplicativos com acesso condicional, autenticação multifator, etc. Alguns aplicativos historicamente têm seu próprio armazenamento de usuário local e permitem que os usuários entrem no aplicativo usando credenciais locais ou um método de autenticação de backup específico do aplicativo, em vez de usar o logon único. Esses recursos de aplicativo podem ser usados indevidamente e permitir que os usuários mantenham o acesso aos aplicativos mesmo depois que eles não são mais atribuídos ao aplicativo no Microsoft Entra ID ou não podem mais entrar no Microsoft Entra ID, e podem permitir que invasores tentem comprometer o aplicativo sem aparecer nos logs do Microsoft Entra ID. Para garantir que os inícios de sessão nestas aplicações estão protegidos pelo Microsoft Entra ID:

  • Identifique quais aplicativos conectados ao seu diretório para logon único permitem que os usuários finais ignorem o logon único com uma credencial de aplicativo local ou um método de autenticação de backup. Você precisará revisar a documentação fornecida pelo provedor do aplicativo para entender se isso é possível e quais configurações estão disponíveis. Em seguida, nesses aplicativos, desative as configurações que permitem que os usuários finais ignorem o SSO. Teste que a experiência do usuário final foi protegida abrindo um navegador no InPrivate, conectando-se à página de entrada dos aplicativos, fornecendo a identidade de um usuário em seu locatário e verifique se não há nenhuma opção para entrar além do Microsoft Entra.
  • Se seu aplicativo fornecer uma API para gerenciar senhas de usuário, remova as senhas locais ou defina uma senha exclusiva para cada usuário usando as APIs. Isso impedirá que os usuários finais entrem no aplicativo com credenciais locais.
  • Se seu aplicativo fornecer uma API para gerenciar usuários, configure o provisionamento de usuários do Microsoft Entra para esse aplicativo para desabilitar ou excluir contas de usuário quando os usuários não estiverem mais no escopo do aplicativo ou do locatário.

Próximos passos