Conclua uma revisão de acesso de grupos e aplicativos em revisões de acesso
Como administrador, você cria uma revisão de acesso de grupos ou aplicativos e os revisadores realizam a revisão de acesso. Este artigo descreve como conferir os resultados da revisão de acesso e aplicá-los.
Observação
Este artigo mostra as etapas de como excluir dados pessoais do dispositivo ou serviço e pode ser usado para dar suporte às suas obrigações de acordo com o GDPR. Para obter informações gerais sobre o GDPR, confira a seção GDPR da Central de Confiabilidade da Microsoft e a seção GDPR do Portal de Confiança do Serviço.
Pré-requisitos
- Governança do Microsoft Entra ID P2 ou Microsoft Entra ID
- Administrador global, administrador de usuário ou administrador de governança de identidade para gerenciar o acesso de revisões em grupos e aplicativos. Os usuários que têm a função de administrador global ou a função de administrador de funções com privilégios podem gerenciar revisões de grupos atribuíveis a funções. Confira Usar grupos do Microsoft Entra para gerenciar atribuições de função
- Os leitores de segurança têm acesso de leitura.
Para obter mais informações, veja Requisitos de licença.
Ver o status de uma revisão de acesso
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Você pode rastrear o progresso das revisões de acesso conforme elas são concluídas.
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Governança de Identidade.
Navegue até Governança de identidade>Revisões de Acesso.
Na lista, selecione uma revisão de acesso.
Na página Visão geral, é possível ver o progresso da instância Atual da revisão. Se não houver uma instância ativa aberta no momento, você verá informações sobre a instância anterior. Nenhum direito de acesso será alterado no diretório até que a revisão seja concluída.
Todas as folhas em Atual só ficam visíveis durante a vigência de cada instância de revisão.
Observação
Embora a revisão de acesso Atual mostre apenas informações sobre a instância de revisão ativa, você pode obter informações sobre revisões que ainda vão ocorrer na Série sob a seção Revisão agendada.
A página Resultados fornece mais informações sobre cada usuário sob revisão na instância, incluindo a capacidade de Interromper, Redefinir e Baixar resultados.
Se você estiver exibindo uma revisão de acesso que examina o acesso para convidado entre os grupos do Microsoft 365, a folha Visão Geral listará cada grupo na revisão.
Selecione um grupo para conferir o andamento da revisão nesse grupo, bem como para Interromper, Redefinir, Aplicar e Excluir.
Se você quiser interromper uma revisão de acesso antes de atingir a data de término agendada, selecione o botão Interromper.
Ao interromper uma revisão, os revisores não estarão mais disponíveis para fornecer respostas. Não é possível reiniciar uma análise depois de ter sido interrompida.
Se você não estiver mais interessado na revisão de acesso, poderá excluí-la clicando no botão Excluir.
Exibir o status da revisão de vários estágios (versão prévia)
Para ver o status e o estágio de uma revisão de acesso de vários estágios:
Selecione a revisão de vários estágios em que você deseja verificar o status ou veja em qual estágio ela está.
Selecione Resultados no menu de navegação à esquerda em Atual.
Na página de resultados, sob Status, aparecerá em qual estágio a revisão de vários estágios se encontra. O próximo estágio da revisão não ficará ativo até que a duração especificada durante a instalação da revisão de acesso tenha passado.
Se uma decisão tiver sido tomada, mas a duração da revisão desse estágio ainda não tiver expirado, você poderá selecionar o botão Parar estágio atual na página de resultados. Isso disparará o próximo estágio da revisão.
Recuperar os resultados
Para exibir os resultados de uma revisão, selecione a página Resultados. Para exibir o acesso apenas para um usuário, na caixa Pesquisar, digite o nome de exibição ou nome UPN de um usuário cujo acesso foi revisado.
Para exibir os resultados de uma instância concluída de uma revisão de acesso recorrente, selecione Histórico de revisão, em seguida, selecione a instância específica da lista de instâncias de revisão de acesso concluídas, com base nas datas de início e término da instância. Os resultados dessa instância podem ser obtidos na página Resultados. As revisões de acesso recorrentes permitem que você tenha uma noção constante do acesso aos recursos que podem precisar de atualização com mais frequência do que as revisões de acesso únicas.
Para recuperar os resultados de uma revisão de acesso, em andamento ou concluídas, selecione o botão Baixar. O arquivo CSV resultante pode ser visualizado no Excel ou em outros programas que abrem arquivos CSV codificados em UTF-8.
Recuperar os resultados programaticamente
Também é possível recuperar os resultados de uma revisão de acesso usando o Microsoft Graph ou o PowerShell.
Primeiro, será necessário localizar a instância da revisão de acesso. Se accessReviewScheduleDefinition for uma revisão de acesso recorrente, as instâncias representarão cada recorrência. Uma revisão não recorrente terá exatamente uma instância. Instâncias também representam cada grupo exclusivo que está sendo revisado na definição de agendamento. Se uma definição de agendamento revisar vários grupos, cada um terá uma instância exclusiva para cada recorrência. Cada instância contém uma lista de decisões sobre as quais os revisores podem agir, com uma decisão por identidade que está sendo revisada.
Depois de identificar a instância, para recuperar as decisões usando o Graph, chame a API do Graph para listar decisões de uma instância. Se for uma revisão de vários estágios, chame a API do Graph para listar decisões de uma revisão de acesso em vários estágios. O chamador deve ser um usuário em uma função apropriada com um aplicativo que tenha a permissão AccessReview.Read.All ou AccessReview.ReadWrite.All delegada ou um aplicativo com a permissão de aplicativo AccessReview.Read.All ou AccessReview.ReadWrite.All. Para obter mais informações, consulte o tutorial sobre como revisar um grupo de segurança.
Você também pode recuperar as decisões no PowerShell com o cmdlet Get-MgIdentityGovernanceAccessReviewDefinitionInstanceDecision do módulo cmdlets do PowerShell do Microsoft Graph para Governança de Identidade. Observe que o tamanho de página padrão dessa API é de 100 itens de decisão.
Aplicar as alterações
Se a Aplicação automática dos resultados ao recurso tiver sido habilitada de acordo com as seleções nas configurações de Após a conclusão, a aplicação automática será executada após a data de término da revisão ou quando a revisão for interrompida manualmente.
Se a Aplicação automática dos resultados ao recurso não foi habilitada para a revisão, navegue até o Histórico de Revisão em Série após o fim da vigência da revisão ou se a revisão for interrompida no início e selecione a instância da revisão que você gostaria de aplicar.
Selecione Aplicar para aplicar as alterações manualmente. Se o acesso do usuário foi negado na revisão, ao selecionar Aplicar, o Microsoft Entra remove a associação ou atribuição do aplicativo.
O status da revisão é alterado de Concluído para estados intermediários, como Em aplicação e, por fim, para o estado Resultado aplicado. É necessário esperar que os usuários negados, se houver algum, sejam removidos da associação do grupo ou da atribuição do aplicativo em alguns minutos.
A aplicação manual ou automática dos resultados não afeta um grupo gerado em um diretório local. Se você quiser alterar um grupo que se origina localmente, baixe os resultados e aplique essas alterações para a representação do grupo neste diretório.
Observação
Alguns usuários negados não podem receber a aplicação dos resultados. Os cenários em que isso pode acontecer incluem:
- Revisão de membros de um grupo sincronizado do Windows Server AD local: se o grupo for sincronizado de um Windows Server AD local, o grupo não poderá ser gerenciado no Microsoft Entra ID e, portanto, a associação não poderá ser alterada.
- Revisão de um recurso (função, grupo, aplicativo) com grupos aninhados atribuídos: para usuários que têm associação por meio de um grupo aninhado, não removeremos a associação ao grupo aninhado e, portanto, eles manterão o acesso ao recurso que está sendo revisado.
- Usuário não encontrado/outros erros também podem ocorrer devido a não compatibilidade de um resultado de aplicação.
- Examinando os membros do grupo habilitado para email: o grupo não pode ser gerenciado no Microsoft Entra ID e, portanto, a associação não pode ser alterada.
- A revisão de um aplicativo que usa atribuição de grupo não removerá os membros desses grupos. Portanto, eles manterão o acesso existente da relação de grupo para a atribuição do aplicativo
Ações executadas em usuários convidados negados em uma revisão de acesso
Na criação da revisão, o criador pode escolher entre duas opções para usuários convidados negados em uma revisão de acesso.
- Usuários convidados negados podem ter o acesso ao recurso removido. Esse é o padrão.
- O usuário convidado negado pode ser impedido de entrar por 30 dias e, em seguida, excluído do locatário. Durante o período de 30 dias, um administrador pode restaurar o acesso do usuário convidado ao locatário. Após o término do período de 30 dias, se o usuário convidado não tiver acesso ao recurso concedido a ele novamente, ele será removido do locatário permanentemente. Além disso, usando o Centro de administração do Microsoft Entra, um Administrador Global pode explicitamente excluir de forma permanente um usuário excluído recentemente antes de atingir o período de tempo. Após a exclusão permanente de um usuário, os dados sobre esse usuário serão removidos das revisões de acesso ativas. Auditar informações sobre usuários excluídos na trilha de auditoria.
Ações executadas em usuários negados da conexão direta de B2B
Os usuários e equipes negados da conexão direta de B2B perdem o acesso a todos os canais compartilhados na Equipe.