Criar uma revisão de acesso de grupos ou aplicativos em revisões de acesso do Azure ADCreate an access review of groups or applications in Azure AD access reviews

Acesso a grupos e aplicativos para funcionários e visitantes muda ao longo do tempo.Access to groups and applications for employees and guests changes over time. Para reduzir os riscos associados às atribuições de acesso obsoletas, os administradores podem usar o Azure Active Directory (Azure AD) para criar revisões de acesso para membros do grupo ou usuários atribuídos a um aplicativo.To reduce the risk associated with stale access assignments, administrators can use Azure Active Directory (Azure AD) to create access reviews for group members or application access. Se você precisar revisar rotineiramente o acesso, você também pode criar as revisões de acesso recorrentes.If you need to routinely review access, you can also create recurring access reviews. Para obter mais informações sobre esses cenários, consulte Gerenciar acesso de usuário e Gerenciar acesso de convidado.For more information about these scenarios, see Manage user access and Manage guest access.

Este artigo descreve como criar uma ou mais revisões de acesso para membros do grupo ou acesso ao aplicativo.This article describes how to create one or more access reviews for group members or application access.

Pré-requisitosPrerequisites

  • Azure AD Premium P2Azure AD Premium P2
  • Administrador global ou administrador de usuárioGlobal administrator or User administrator

Para obter mais informações, consulte quais usuários devem ter licenças?.For more information, see Which users must have licenses?.

Criar uma ou mais revisões de acessoCreate one or more access reviews

  1. Entre no portal do Azure e abra a página governança de identidade.Sign in to the Azure portal and open the Identity Governance page.

  2. No menu à esquerda, clique em revisões de acesso.In the left menu, click Access reviews.

  3. Clique em Nova análise de acesso para criar uma nova revisão de acesso.Click New access review to create a new access review.

    Painel de revisões de acesso no controle de identidade

  4. Nomeie a revisão de acesso.Name the access review. Opcionalmente, forneça uma descrição à revisão.Optionally, give the review a description. O nome e a descrição são mostrados aos revisores.The name and description are shown to the reviewers.

    Criar uma revisão de acesso - nome da revisão e descrição

  5. Defina a Data de início.Set the Start date. Por padrão, uma revisão de acesso ocorre uma vez, inicia na mesma hora em que é criada e termina em um mês.By default, an access review occurs once, starts the same time it's created, and it ends in one month. Você pode alterar as datas de início e de término para iniciar uma análise de acesso em uma data futura e que dure quantos dias você desejar.You can change the start and end dates to have an access review start in the future and last however many days you want.

    Criar uma revisão de acesso - Data inicial e final

  6. Para fazer com que a revisão de acesso seja recorrente, altere a configuração de frequência de uma vez para semanal, mensal, trimestral ou anual.To make the access review recurring, change the Frequency setting from One time to Weekly, Monthly, Quarterly or Annually. Use o controle deslizante duração ou a caixa de texto para definir o número de dias que cada revisão da série recorrente será aberta para entrada de revisores.Use the Duration slider or text box to define how many days each review of the recurring series will be open for input from reviewers. Por exemplo, a duração máxima que você pode definir para uma revisão mensal é de 27 dias, para evitar revisões sobrepostas.For example, the maximum duration that you can set for a monthly review is 27 days, to avoid overlapping reviews.

  7. Use a configuração Final para especificar como terminar a série de revisão de acesso recorrente.Use the End setting to specify how to end the recurring access review series. A série pode terminar de três maneiras: ela é executada continuamente para iniciar revisões indefinidamente, até uma data específica ou após a conclusão de um número definido de ocorrências.The series can end in three ways: it runs continuously to start reviews indefinitely, until a specific date, or after a defined number of occurrences has been completed. Você, outro administrador de usuário ou outro administrador global pode interromper a série após a criação alterando a data em configurações, de modo que ela termine nessa data.You, another User administrator, or another Global administrator can stop the series after creation by changing the date in Settings, so that it ends on that date.

  8. Na seção usuários , especifique os usuários aos quais a revisão de acesso se aplica.In the Users section, specify the users that the access review applies to. As revisões de acesso podem ser de membros de um grupo ou usuários que foram atribuídos a um aplicativo.Access reviews can be for the members of a group or for users who were assigned to an application. Você pode detalhar ainda mais o escopo da análise de acesso para examinar apenas os usuários convidados que são membros (ou atribuídos ao aplicativo), em vez de examinar todos os usuários que são membros ou que têm acesso ao aplicativo.You can further scope the access review to review only the guest users who are members (or assigned to the application), rather than reviewing all the users who are members or who have access to the application.

    Criar uma revisão de acesso - Usuários

  9. Na seção grupo , selecione um ou mais grupos dos quais você gostaria de examinar a associação.In the Group section, select one or more groups that you would like to review membership of.

    Observação

    A seleção de mais de um grupo criará várias revisões de acesso.Selecting more than one group will create multiple access reviews. Por exemplo, a seleção de cinco grupos criará cinco revisões de acesso separadas.For example, selecting five groups will create five separate access reviews.

    Criar uma revisão de acesso-selecionar grupo

  10. Na seção aplicativos (se você selecionou atribuído a um aplicativo na etapa 8), selecione os aplicativos para os quais deseja revisar o acesso.In the Applications section (if you selected Assigned to an application in step 8), select the applications that you would like to review access to.

    Observação

    A seleção de mais de um aplicativo criará várias revisões de acesso.Selecting more than one application will create multiple access reviews. Por exemplo, a seleção de cinco aplicativos criará cinco revisões de acesso separadas.For example, selecting five applications will create five separate access reviews.

    Criar uma revisão de acesso-selecionar aplicativo

  11. Na seção Revisores, selecione uma ou mais pessoas para examinar todos os usuários no escopo.In the Reviewers section, select either one or more people to review all the users in scope. Ou você pode selecionar para que os membros examinem seus próprios acessos.Or you can select to have the members review their own access. Se o recurso for um grupo, você pode pedir que a revisão seja realizada pelos proprietários de grupo.If the resource is a group, you can ask the group owners to review. Você também pode exigir que os revisores forneçam um motivo ao aprovar o acesso.You also can require that the reviewers supply a reason when they approve access.

    Criar uma revisão de acesso - Revisores

  12. Na seção Programas, selecione o programa que você deseja usar.In the Programs section, select the program you want to use. O Programa Padrão sempre está presente.Default Program is always present.

    Criar uma revisão de acesso - Programas

    É possível simplificar a maneira de rastrear e coletar revisões de acesso para finalidades diferentes, organizando-as em programas.You can simplify how to track and collect access reviews for different purposes by organizing them into programs. Cada análise de acesso pode ser vinculada a um programa.Each access review can be linked to a program. Em seguida, ao preparar relatórios para um auditor, você poderá concentrar-se nas revisões de acesso no escopo de uma iniciativa específica.Then when you prepare reports for an auditor, you can focus on the access reviews in scope for a particular initiative. Os resultados de análise de programas e acesso são visíveis para os usuários no administrador global, administrador de usuários, administrador de segurança ou função de leitor de segurança.Programs and access review results are visible to users in the Global administrator, User administrator, Security administrator, or Security reader role.

    Para ver uma lista de programas, vá para a página revisões de acesso e selecione programas.To see a list of programs, go to the access reviews page and select Programs. Se você estiver em uma função de administrador global ou de administrador de usuários, poderá criar programas adicionais.If you're in a Global administrator or User administrator role, you can create additional programs. Por exemplo, é possível optar por ter um programa para cada iniciativa de conformidade ou meta de negócios.For example, you can choose to have one program for each compliance initiative or business goal. Se você não precisar mais de um programa e se ele não tiver nenhum controle vinculado a ele, você poderá excluí-lo.If you no longer need a program and it doesn't have any controls linked to it, you can delete it.

Após configurações de conclusãoUpon completion settings

  1. Para especificar o que acontece após a conclusão de uma revisão, expanda a seção Após configurações de conclusão.To specify what happens after a review completes, expand the Upon completion settings section.

    Criar uma revisão de acesso-após as configurações de conclusão

  2. Se você quiser remover automaticamente o acesso para usuários que foram negados, defina Resultados de aplicação automática ao recurso para Habilitar.If you want to automatically remove access for users that were denied, set Auto apply results to resource to Enable. Se você deseja aplicar manualmente os resultados quando a revisão for concluída, defina a opção para Desabilitar.If you want to manually apply the results when the review completes, set the switch to Disable.

  3. Use a lista Se o revisor não responder para especificar o que acontece para usuários que não foram examinados pelo revisor dentro do período de revisão.Use the Should reviewer not respond list to specify what happens for users that are not reviewed by the reviewer within the review period. Essa configuração não afeta os usuários que foram revisados pelos revisores manualmente.This setting does not impact users who have been reviewed by the reviewers manually. Se a decisão do revisor final for negar o acesso do usuário será removido.If the final reviewer's decision is Deny, then the user's access will be removed.

    • Nenhuma alteração - deixar o acesso do usuário inalteradoNo change - Leave user's access unchanged
    • Remover o acesso - remover o acesso do usuárioRemove access - Remove user's access
    • Aprovar o acesso - aprovar o acesso do usuárioApprove access - Approve user's access
    • Fazer recomendações - levar a recomendação do sistema ao negar ou aprovar o acesso contínuo do usuárioTake recommendations - Take the system's recommendation on denying or approving the user's continued access

Configurações avançadasAdvanced settings

  1. Para especificar configurações adicionais, expanda a seção Configurações avançadas.To specify additional settings, expand the Advanced settings section.

    Criar uma revisão de acesso – configurações avançadas

  2. Definir Mostrar recomendações à Habilitar para mostrar aos revisores as recomendações do sistema com base nas informações de acesso do usuário.Set Show recommendations to Enable to show the reviewers the system recommendations based the user's access information.

  3. Definir Requer motivo sob aprovação para Habilitar para exigir que o revisor forneça um motivo para aprovação.Set Require reason on approval to Enable to require the reviewer to supply a reason for approval.

  4. Definir Notificações por email para Habilitar para que o Azure Active Directory envie notificações por email para os revisores quando uma revisão de acesso começar e para os administradores quando uma revisão terminar.Set Mail notifications to Enable to have Azure AD send email notifications to reviewers when an access review starts, and to administrators when a review completes.

  5. Defina Lembretes para Habilitar para que o Azure Active Directory envie lembretes de análises de acesso em andamento para os revisores que não concluíram a sua análise.Set Reminders to Enable to have Azure AD send reminders of access reviews in progress to reviewers who have not completed their review.

    Por padrão, o Azure AD enviará automaticamente um lembrete após passar a metade do tempo para o prazo final para revisores que ainda não responderam.By default, Azure AD automatically sends a reminder halfway to the end date to reviewers who haven't yet responded.

Inicie a revisão de acessoStart the access review

Depois de especificar as configurações para uma revisão de acesso, clique em Iniciar.Once you have specified the settings for an access review, click Start. A revisão de acesso será exibida na sua lista com um indicador de seu status.The access review will appear in your list with an indicator of its status.

Lista de revisões de acesso e seu status

Por padrão, o Azure AD envia um email para os revisores logo após o início da análise.By default, Azure AD sends an email to reviewers shortly after the review starts. Se você optar pelo não envio do email pelo Azure AD, certifique-se de informar aos revisores que eles devem concluir uma análise de acesso pendente.If you choose not to have Azure AD send the email, be sure to inform the reviewers that an access review is waiting for them to complete. Você pode mostrar a eles as instruções de como revisar o acesso a grupos ou aplicativos.You can show them the instructions for how to review access to groups or applications. Se sua análise for para convidados para revisar seu próprio acesso, mostre-lhes as instruções de como examinar o acesso a grupos ou aplicativos.If your review is for guests to review their own access, show them the instructions for how to review access for yourself to groups or applications.

Se você tiver atribuído convidados como revisores e eles não tiverem aceitado o convite, eles não receberão um email das revisões de acesso, pois eles devem primeiro aceitar o convite antes da revisão.If you have assigned guests as reviewers and they have not accepted the invite, they will not receive an email from access reviews because they must first accept the invite prior to reviewing.

Criar revisões via APIsCreate reviews via APIs

Você também pode criar as revisões de acesso usando as APIs.You can also create access reviews using APIs. O que você faz para gerenciar as revisões de acesso dos grupos e usuários do aplicativo no portal do Azure também pode ser feito usando as APIs do Microsoft Graph.What you do to manage access reviews of groups and application users in the Azure portal can also be done using Microsoft Graph APIs. Para obter mais informações, consulte a referência da API de revisões de acesso do Azure ad.For more information, see the Azure AD access reviews API reference. Para obter um exemplo de código, consulte o exemplo de recuperação de revisões de acesso do Azure ad via Microsoft Graph.For a code sample, see Example of retrieving Azure AD access reviews via Microsoft Graph.

Próximas etapasNext steps