Revisões de quais são o acesso do Azure AD?What are Azure AD access reviews?

As revisões de acesso do Active Directory (Azure AD) do Azure permitem às organizações gerenciar associações de grupo com eficiência, acesso a aplicativos empresariais e atribuições de função.Azure Active Directory (Azure AD) access reviews enable organizations to efficiently manage group memberships, access to enterprise applications, and role assignments. O acesso do usuário pode ser examinado regularmente para garantir que somente as pessoas corretas tenham acesso contínuo.User's access can be reviewed on a regular basis to make sure only the right people have continued access.

Aqui está um vídeo que fornece uma visão geral das revisões de acesso:Here's a video that provides a quick overview of access reviews:

Por que as revisão de acesso são importantes?Why are access reviews important?

O Microsoft Azure Active Directory permite que você colabore internamente em sua organização e com os usuários de organizações externas, como parceiros.Azure AD enables you to collaborate internally within your organization and with users from external organizations, such as partners. Os usuários podem ingressar em grupos, convidar pessoas, conectar-se aos aplicativos de nuvem e trabalhar remotamente com seus dispositivos pessoais ou de trabalho.Users can join groups, invite guests, connect to cloud apps, and work remotely from their work or personal devices. A conveniência de aproveitar o poder do autoatendimento levou a uma necessidade de melhores recursos de gerenciamento de acesso.The convenience of leveraging the power of self-service has led to a need for better access management capabilities.

  • Conforme novos funcionários ingressam, como garantir que eles tenham o acesso correto para serem produtivos?As new employees join, how do you ensure they have the right access to be productive?
  • Quando as pessoas mudam de equipes ou saem da empresa, como garantir que seu antigo acesso seja removido, especialmente quando envolve convidados?As people move teams or leave the company, how do you ensure their old access is removed, especially when it involves guests?
  • Direitos de acesso excessivos podem levar a conclusões e comprometimentos de auditoria pois indicam uma falta de controle de acesso.Excessive access rights can lead to audit findings and compromises as they indicate a lack of control over access.
  • Você tem que se envolver proativamente com os proprietários do recurso para garantir que eles revisam regularmente quem tem acesso a seus recursos.You have to proactively engage with resource owners to ensure they regularly review who has access to their resources.

Quando usar as revisões de acesso?When to use access reviews?

  • Muitos usuários em funções com privilégios: Ele é uma boa ideia para verificar quantos usuários têm acesso administrativo, quantos deles são administradores globais, e se há alguma convidou convidados ou parceiros não tiverem sido removidos após a que está sendo atribuído para fazer uma tarefa administrativa.Too many users in privileged roles: It's a good idea to check how many users have administrative access, how many of them are Global Administrators, and if there are any invited guests or partners that have not been removed after being assigned to do an administrative task. Você pode renovar os usuários de atribuição de função em funções do Azure AD , como os administradores globais, ou funções de recursos do Azure como o usuário administrador de acesso no do Azure AD Privileged Identity Management (PIM) experiência.You can recertify the role assignment users in Azure AD roles such as Global Administrators, or Azure resources roles such as User Access Administrator in the Azure AD Privileged Identity Management (PIM) experience.
  • Quando a automação é inviável: Você pode criar regras para associação dinâmica em grupos de segurança ou grupos do Office 365, mas e se os dados de RH não estiverem no Azure AD, ou se os usuários ainda precisarem de acesso após deixar o grupo para treinar sua substituição?When automation is infeasible: You can create rules for dynamic membership on security groups or Office 365 groups, but what if the HR data is not in Azure AD or if users still need access after leaving the group to train their replacement? Em seguida, você pode criar uma revisão nesse grupo para garantir que aqueles que ainda precisam de acesso devem ter acesso contínuo.You can then create a review on that group to ensure those who still need access should have continued access.
  • Quando um grupo é usado para uma nova finalidade: Se você tiver um grupo que será sincronizado com o Azure AD, ou se planeja habilitar o aplicativo Salesforce para todos no grupo de equipe de Vendas, será útil solicitar ao proprietário do grupo para revisar a associação ao grupo antes que o grupo seja utilizado em um conteúdo de risco diferente.When a group is used for a new purpose: If you have a group that is going to be synced to Azure AD, or if you plan to enable the application Salesforce for everyone in the Sales team group, it would be useful to ask the group owner to review the group membership prior to the group being used in a different risk content.
  • Acesso de dados críticos de negócios: para certos recursos, talvez seja necessário pedir que as pessoas fora do departamento de TI regularmente, saiam e forneçam uma justificativa sobre por que eles precisam de acesso para fins de auditoria.Business critical data access: for certain resources, it might be required to ask people outside of IT to regularly sign off and give a justification on why they need access for auditing purposes.
  • Para manter a lista de exceções de uma política: Em um mundo ideal, todos os usuários seriam seguem as políticas de acesso para proteger o acesso aos recursos da sua organização.To maintain a policy's exception list: In an ideal world, all users would follow the access policies to secure access to your organization's resources. No entanto, às vezes, há casos comerciais em que é necessário fazer exceções.However, sometimes there are business cases that require you to make exceptions. Como o administrador de TI, você pode gerenciar essa tarefa, evitar supervisão de exceções à política e fornecer os auditores a comprovação de que essas exceções são revisadas regularmente.As the IT admin, you can manage this task, avoid oversight of policy exceptions, and provide auditors with proof that these exceptions are reviewed regularly.
  • Solicite aos proprietários do grupo para confirmar se ainda precisam de convidados em seus grupos: Acesso de funcionários pode ser automatizado com alguns locais IAM, mas não os convidados.Ask group owners to confirm they still need guests in their groups: Employee access might be automated with some on premises IAM, but not invited guests. Se um grupo oferece acesso de convidados para conteúdo confidencial da empresa, em seguida, é responsabilidade do proprietário do grupo se confirmar os convidados ainda terão uma necessidade comercial legítima de acesso.If a group gives guests access to business sensitive content, then it's the group owner's responsibility to confirm the guests still have a legitimate business need for access.
  • Realizar revisões periodicamente: É possível configurar revisões de acesso recorrentes de usuários em frequências definidas como semanal, mensal, trimestral ou anual e os revisores serão notificados no início de cada revisão.Have reviews recur periodically: You can set up recurring access reviews of users at set frequencies such as weekly, monthly, quarterly or annually, and the reviewers will be notified at the start of each review. Os revisores podem aprovar ou negar acesso com uma interface amigável e com a ajuda de recomendações inteligentes.Reviewers can approve or deny access with a friendly interface and with the help of smart recommendations.

Onde você cria as revisões?Where do you create reviews?

Dependendo do que você deseja examinar, você criará sua revisão de acesso no AD do Azure acessar revisões, aplicativos de empresa do Azure AD (em versão prévia) ou Azure AD PIM.Depending on what you want to review, you will create your access review in Azure AD access reviews, Azure AD enterprise apps (in preview), or Azure AD PIM.

Direitos de acesso de usuáriosAccess rights of users Os revisores podem serReviewers can be Revisão criada emReview created in Experiência do revisorReviewer experience
Membros do grupo de segurançaSecurity group members
Membros do grupo do escritórioOffice group members
Revisores especificadosSpecified reviewers
Proprietários do grupoGroup owners
AutorrevisãoSelf-review
Revisões de acesso do Azure ADAzure AD access reviews
Grupos do Azure ADAzure AD groups
Painel de acessoAccess panel
Atribuído a um aplicativo conectadoAssigned to a connected app Revisores especificadosSpecified reviewers
AutorrevisãoSelf-review
Revisões de acesso do Azure ADAzure AD access reviews
Aplicativos corporativos do Azure Active Directory (visualização)Azure AD enterprise apps (in preview)
Painel de acessoAccess panel
Função do AD do AzureAzure AD role Revisores especificadosSpecified reviewers
AutorrevisãoSelf-review
Azure AD PIMAzure AD PIM Portal do AzureAzure portal
Função de recurso do AzureAzure resource role Revisores especificadosSpecified reviewers
AutorrevisãoSelf-review
Azure AD PIMAzure AD PIM Portal do AzureAzure portal

Quais usuários precisam ter licenças?Which users must have licenses?

Cada usuário que interage com revisões de acesso deve ter uma licença paga do Azure AD Premium P2.Each user who interacts with access reviews must have a paid Azure AD Premium P2 license. Os exemplos incluem:Examples include:

  • Administradores que criam uma revisão de acessoAdministrators who create an access review
  • Examine os proprietários do grupo que executam acesso a umGroup owners who perform an access review
  • Usuários designados como revisoresUsers assigned as reviewers
  • Usuários que executam a autorrevisãoUsers who perform a self-review

Você também pode solicitar que usuários convidados revisem o próprio acesso.You can also ask guest users to review their own access. Para cada licença paga do Azure AD Premium P2 que você atribui a um dos usuários da sua organização, você pode usar o AD do Azure business-to-business (B2B) para convidar até cinco usuários sob a provisão de usuário externo.For each paid Azure AD Premium P2 license that you assign to one of your own organization's users, you can use Azure AD business-to-business (B2B) to invite up to five guest users under the External User Allowance. Esses usuários convidados também poderão usar os recursos do Azure AD Premium P2.These guest users can also use Azure AD Premium P2 features. Para obter mais informações, consulte diretrizes de licenciamento de colaboração de B2B do Azure AD.For more information, see Azure AD B2B collaboration licensing guidance.

Aqui estão alguns cenários de exemplo para ajudá-lo a determinar o número de licenças que você deve ter.Here are some example scenarios to help you determine the number of licenses you must have.

CenárioScenario CálculoCalculation Número necessário de licençasRequired number of licenses
Um administrador cria uma revisão de acesso de um grupo com 500 usuários.An administrator creates an access review of Group A with 500 users.
Atribui os proprietários do grupo 3 como revisores.Assigns 3 group owners as reviewers.
administrador de 1 + 3 proprietários do grupo1 administrator + 3 group owners 44
Um administrador cria uma revisão de acesso de um grupo com 500 usuários.An administrator creates an access review of Group A with 500 users.
Torna a autorrevisão.Makes it a self-review.
administrador de 1 + 500 usuários como revisores Self1 administrator + 500 users as self-reviewers 501501
Um administrador cria uma revisão de acesso de um grupo com 5 usuários e 25 usuários convidados.An administrator creates an access review of Group A with 5 users and 25 guest users.
Torna a autorrevisão.Makes it a self-review.
administrador de 1 + 5 usuários como revisores Self1 administrator + 5 users as self-reviewers
(os usuários convidados são abordados na proporção 1 necessária: 5)(guest users are covered in the required 1:5 ratio)
66
Um administrador cria uma revisão de acesso de um grupo com 5 usuários e 28 usuários convidados.An administrator creates an access review of Group A with 5 users and 28 guest users.
Torna a autorrevisão.Makes it a self-review.
administrador de 1 + 5 usuários como revisores Self + 1 usuário para incluir os convidados na proporção 1 necessária: 51 administrator + 5 users as self-reviewers + 1 user to cover guest users in the required 1:5 ratio 77

Para obter informações sobre como atribuir licenças a seus usos, confira Atribuir ou remover licenças usando o portal do Azure Active Directory.For information about how to assign licenses to your uses, see Assign or remove licenses using the Azure Active Directory portal.

Saiba mais sobre as revisões de acessoLearn about access reviews

Para saber mais sobre como criar e executar as revisões de acesso, assista a este breve demonstração:To learn more about creating and performing access reviews, watch this short demo:

Se você estiver pronto para implantar as revisões de acesso em sua organização, siga estas etapas no vídeo para integrar, treinar seus administradores e criar sua primeira revisão de acesso!If you are ready to deploy access reviews in your organization, follow these steps in the video to onboard, train your administrators, and create your first access review!

Requisitos de licençaLicense requirements

Para usar esse recurso, é necessária uma licença do Azure AD Premium P2.Using this feature requires an Azure AD Premium P2 license. Para localizar a licença correta para satisfazer seus requisitos, confira  Comparar recursos geralmente disponíveis nas edições Gratuita, Básica e Premium.To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

Próximas etapasNext steps