Concluir uma revisão de acesso de grupos e aplicativos nas revisões de acesso do Azure AD
Como administrador, você cria uma revisão de acesso de grupos ou aplicativos e os revisadores realizam a revisão de acesso. Este artigo descreve como conferir os resultados da revisão de acesso e aplicá-los.
Observação
Este artigo mostra as etapas de como excluir dados pessoais do dispositivo ou serviço e pode ser usado para dar suporte às suas obrigações de acordo com o GDPR. Para obter informações gerais sobre o GDPR, confira a seção GDPR da Central de Confiabilidade da Microsoft e a seção GDPR do Portal de Confiança do Serviço.
Pré-requisitos
- Azure AD Premium P2
- Administrador global, administrador de usuário ou administrador de governança de identidade para gerenciar o acesso de revisões em grupos e aplicativos. Administradores globais e administradores de função com privilégios podem gerenciar revisões em grupos atribuíveis a funções. Confira Usar grupos do Azure Active Directory para gerenciar atribuições de função
- Os leitores de segurança têm acesso de leitura.
Para obter mais informações, veja Requisitos de licença.
Ver o status de uma revisão de acesso
Você pode rastrear o progresso das revisões de acesso conforme elas são concluídas.
Entre no portal do Azure e abra a página do Identity Governance.
No menu esquerdo, clique em Revisões de Acesso.
Na lista, clique em uma revisão de acesso.
Na página Visão geral, é possível ver o progresso da instância Atual da revisão. Se não houver uma instância ativa aberta no momento, você verá informações sobre a instância anterior. Nenhum direito de acesso será alterado no diretório até que a revisão seja concluída.
Todas as folhas em Atual só ficam visíveis durante a vigência de cada instância de revisão.
Observação
Embora a revisão de acesso Atual mostre apenas informações sobre a instância de revisão ativa, você pode obter informações sobre revisões que ainda vão ocorrer na Série sob a seção Revisão agendada.
A página Resultados fornece mais informações sobre cada usuário sob revisão na instância, incluindo a capacidade de Interromper, Redefinir e Baixar resultados.
Se você estiver exibindo uma revisão de acesso que examina o acesso para convidado entre os grupos do Microsoft 365, a folha Visão Geral listará cada grupo na revisão.
Clique em um grupo para conferir o andamento da revisão nesse grupo, bem como para Interromper, Redefinir, Aplicar e Excluir.
Se você quiser interromper uma revisão de acesso antes de atingir a data de término agendada, clique no botão Interromper.
Ao interromper uma revisão, os revisores não estarão mais disponíveis para fornecer respostas. Não é possível reiniciar uma análise depois de ter sido interrompida.
Se você não estiver mais interessado na revisão de acesso, poderá excluí-la clicando no botão Excluir.
Exibir o status da revisão de vários estágios (versão prévia)
Para ver o status e o estágio de uma revisão de acesso de vários estágios:
Selecione a revisão de vários estágios em que você deseja verificar o status ou veja em qual estágio ela está.
Clique em Resultados no menu de navegação à esquerda em Atual.
Ao estar na página de resultados, em Status, ele lhe dirá em qual estágio a revisão de vários estágios está. O próximo estágio da revisão não ficará ativo até que a duração especificada durante a instalação da revisão de acesso tenha passado.
Se uma decisão tiver sido tomada, mas a duração da revisão desse estágio ainda não tiver expirado, você poderá selecionar o botão Parar estágio atual na página de resultados. Isso disparará o próximo estágio da revisão.
Recuperar os resultados
Para exibir os resultados de uma revisão, clique na página Resultados. Para exibir o acesso apenas para um usuário, na caixa Pesquisar, digite o nome de exibição ou nome UPN de um usuário cujo acesso foi revisado.
Para exibir os resultados de uma instância concluída de uma revisão de acesso recorrente, clique em Histórico de revisão, em seguida, selecione a instância específica na lista de instâncias de revisão de acesso concluídas de acordo com as datas de início e término da instância. Os resultados dessa instância podem ser obtidos na página Resultados. As revisões de acesso recorrentes permitem que você tenha uma noção constante do acesso aos recursos que podem precisar de atualização com mais frequência do que as revisões de acesso únicas.
Para recuperar os resultados de uma revisão de acesso, em andamento ou concluídas, clique no botão Baixar. O arquivo CSV resultante pode ser visualizado no Excel ou em outros programas que abrem arquivos CSV codificados em UTF-8.
Aplicar as alterações
Se a Aplicação automática dos resultados ao recurso tiver sido habilitada de acordo com as seleções nas configurações de Após a conclusão, a aplicação automática será executada após a data de término da revisão ou quando a revisão for interrompida manualmente.
Se a Aplicação automática dos resultados ao recurso não foi habilitada para a revisão, navegue até o Histórico de Revisão em Série após o fim da vigência da revisão ou se a revisão for interrompida no início e clique na instância da revisão que você gostaria de aplicar.
Clique em Aplicar para aplicar as alterações manualmente. Se o acesso do usuário foi negado na revisão, ao clicar em Aplicar, o Azure AD remove a associação ou atribuição do aplicativo.
O status da revisão será alterado de Concluído para estados intermediários, como Em aplicação e, por fim, para o estado Resultado aplicado. É necessário esperar que os usuários negados, se houver algum, sejam removidos da associação do grupo ou da atribuição do aplicativo em alguns minutos.
A aplicação manual ou automática dos resultados não afeta um grupo gerado em um diretório local. Se você quiser alterar um grupo que se origina localmente, baixe os resultados e aplique essas alterações para a representação do grupo neste diretório.
Observação
Alguns usuários negados não podem receber a aplicação dos resultados. Os cenários em que isso pode acontecer incluem:
- Revisão de membros de um grupo sincronizado do Windows AD local: se o grupo for sincronizado de um Windows AD local, o grupo não poderá ser gerenciado no Azure Active Directory e, portanto, a associação não poderá ser alterada.
- Revisão de um recurso (função, grupo, aplicativo) com grupos aninhados atribuídos: para usuários que têm associação por meio de um grupo aninhado, não removeremos a associação ao grupo aninhado e, portanto, eles manterão o acesso ao recurso que está sendo revisado.
- Usuário não encontrado/outros erros também podem ocorrer devido a não compatibilidade de um resultado de aplicação.
Ações executadas em usuários convidados negados em uma revisão de acesso
Na criação da revisão, o criador pode escolher entre duas opções para usuários convidados negados em uma revisão de acesso.
- Usuários convidados negados podem ter o acesso ao recurso removido. Esse é o padrão.
- O usuário convidado negado pode ser impedido de entrar por 30 dias e, em seguida, excluído do locatário. Durante o período de 30 dias, um administrador pode restaurar o acesso do usuário convidado ao locatário. Após o término do período de 30 dias, se o usuário convidado não tiver acesso ao recurso concedido a eles novamente, será removido do locatário permanentemente. Além disso, usando o portal do Azure Active Directory, um Administrador Global pode explicitamente excluir permanentemente um usuário excluído recentemente antes de atingir o período de tempo. Após a exclusão permanente de um usuário, os dados sobre esse usuário serão removidos das revisões de acesso ativas. Auditar informações sobre usuários excluídos na trilha de auditoria.
Ações executadas em usuários negados da conexão direta de B2B
Os usuários e equipes negados da conexão direta de B2B perderão o acesso a todos os canais compartilhados na Equipe.