Criar uma revisão de acesso de grupos e aplicativos no Azure AD

  • Artigo
  • 17 minutos para o fim da leitura

Acesso a grupos e aplicativos para funcionários e visitantes muda ao longo do tempo. Para reduzir os riscos associados às atribuições de acesso obsoletas, os administradores podem usar o Azure Active Directory (Azure AD) para criar revisões de acesso para membros do grupo ou usuários atribuídos a um aplicativo.

Os proprietários de grupo do Microsoft 365 e de segurança também podem usar o Azure AD a fim de criar revisões de acesso para membros do grupo, desde que o administrador Global ou o administrador de Usuários habilite a configuração por meio do painel de Configurações de Revisões de Acesso (versão prévia). Para saber mais sobre esses cenários, confira Gerenciar revisões de acesso.

Assista a um breve vídeo que fala sobre a habilitação de revisões de acesso.

Este artigo descreve como criar uma ou mais revisões de acesso para membros do grupo ou para acesso do aplicativo.

Pré-requisitos

  • Azure AD Premium P2.
  • Administrador global, administrador de Usuário ou administrador de Governança de Identidade para criar revisões em grupos ou aplicativos.
  • Administradores globais e administradores de Função Com Privilégios podem criar revisões em grupos atribuíveis a funções. Para mais informações, confira Usar grupos do AAD para gerenciar atribuições de função.
  • (Versão prévia) Proprietário de grupo de Segurança do Microsoft 365.

Para obter mais informações, veja Requisitos de licença.

Se você estiver revisando o acesso a um aplicativo antes de criar a revisão, consulte o artigo sobre como preparar uma revisão de acesso do acesso dos usuários a um aplicativo para garantir que o aplicativo seja integrado ao Azure AD.

Criar uma revisão de acesso de estágio único

Escopo

  1. Entre no portal do Azure e abra a página da Governança de Identidade.

  2. No menu à esquerda, selecione Revisões de acesso.

  3. Selecione Nova revisão de acesso para criar uma revisão de acesso.

    Screenshot that shows the Access reviews pane in Identity Governance.

  4. Na caixa Selecionar o que revisar, selecione qual recurso você deseja examinar.

    Screenshot that shows creating an access review.

  5. Se você selecionou Equipes + Grupos, tem duas opções:

    • Todos os grupos Microsoft 365 com usuários convidados: selecione esta opção se quiser criar revisões recorrentes em todos os usuários convidados em todos os grupos Microsoft Teams e Microsoft 365 em sua organização. Grupos dinâmicos e grupos atribuíveis a funções não estão incluídos. Você também pode optar por excluir grupos individuais ao escolher Selecionar grupo(s) para excluir.

    • Selecionar Equipes e grupos: selecione esta opção se quiser especificar um conjunto finito de equipes ou grupos a revisar. Uma lista de grupos para escolher aparece à direita.

      Screenshot that shows selecting Teams + Groups.

  6. Se você selecionou Aplicativos, selecione um ou mais aplicativos.

    Screenshot that shows the interface that appears if you selected applications instead of groups.

Observação

Selecionar vários grupos ou aplicativos resulta na criação de várias revisões de acesso. Por exemplo, se você selecionar cinco grupos para revisar, o resultado será cinco revisões de acesso separadas.

  1. Agora você pode selecionar um escopo para a revisão. As opções são:

    • Somente usuários convidados: esta opção limita a revisão de acesso somente aos usuários convidados do Azure AD B2B em seu diretório.
    • Todos: essa opção tem como escopo a revisão de acesso para todos os objetos de usuário associados ao recurso.

    Observação

    Se você selecionou Todos os grupos do Microsoft 365 com usuários convidados, a única opção é examinar Somente usuários convidados.

  2. Ou, se você estiver realizando uma revisão de associação de grupo, poderá criar revisões de acesso apenas para os usuários inativos do grupo (versão prévia). Na seção Escopo dos usuários, marque a caixa ao lado de Usuários inativos (no nível do locatário). Se você marcar a caixa, o escopo da revisão se concentrará apenas em usuários inativos, aqueles que não entraram de forma interativa ou não interativa com o locatário. Em seguida, especifique Dias inativos com um número de dias inativos de até 730 (dois anos). Os usuários no grupo que estiverem inativos pelo número especificado de dias serão os únicos na revisão.

  3. Selecione Próximo: Revisões.

Próximo: Revisões

  1. É possível criar uma revisão de estágio único ou de vários estágios (versão prévia). Para uma revisão de estágio única, continue aqui. Para criar uma revisão de acesso de vários estágios (versão prévia), siga as etapas em Criar uma revisão de acesso de vários estágios (versão prévia)

  2. Na seção Especificar revisores, na caixa Selecionar revisores, selecione uma ou mais pessoas para tomar decisões nas revisões de acesso. Você pode escolher:

    • Proprietários do grupo: esta opção só estará disponível quando você fizer uma revisão em uma equipe ou grupo.
    • Usuários ou grupos selecionados
    • Os usuários revisam seu próprio acesso
    • Gerentes dos usuários

    Se você escolher Gerentes de usuários ou Proprietário(s) de grupo, também poderá especificar um revisor de fallback. Os revisores de fallback são solicitados a fazer uma revisão quando o usuário não tem nenhum gerente especificado no diretório ou se o grupo não tem um proprietário.

    Screenshot that shows New access review.

  3. Na seção Especificar recorrência da revisão, especifique as seguintes seleções:

    • Duração (em dias) : por quanto tempo uma revisão fica aberta para entrada de revisores.

    • Data de início: quando a série de revisões começa.

    • Data de término: quando a série de revisões termina. Você pode especificar que Nunca termina. Ou pode selecionar Terminar em uma data específica ou Terminar após um número de ocorrências.

      Screenshot that shows choosing how often the review should happen.

  4. Selecione Próximo: Configurações.

Próximo: Configurações

  1. Em Configurações após a conclusão, você poderá especificar o que acontece após a conclusão da revisão.

    Screenshot that shows Upon completion settings.

    • Aplicar resultados automaticamente ao recurso: marque esta caixa de seleção se quiser que o acesso de usuários negados seja removido automaticamente após o fim da duração da revisão. Se a opção estiver desabilitada, você terá que aplicar manualmente os resultados quando a revisão for finalizada. Para saber mais sobre como aplicar os resultados da revisão, confira Gerenciar revisões de acesso.

    • Se os revisores não responderem: use esta opção para especificar o que acontece para os usuários não revisados por nenhum revisor dentro do período de revisão. Essa configuração não afeta os usuários que foram revisados por um revisor. A lista suspensa mostra as seguintes opções:

      • Sem alteração: deixa o acesso de um usuário inalterado.
      • Remover acesso: remove o acesso de um usuário.
      • Aprovar o acesso: aprova o acesso do usuário.
      • Aceitar recomendações: aceita a recomendação do sistema para negar ou aprovar o acesso contínuo do usuário.

    • Ação a ser aplicada a usuários convidados negados: esta opção só estará disponível se o escopo da revisão de acesso incluir apenas usuários convidados, para especificar o que acontecerá com os usuários convidados se eles forem negados por um revisor ou pela configuração Se os revisores não responderem.

      • Remover a associação do usuário do recurso: esta opção removerá o acesso de um usuário convidado negado ao grupo ou ao aplicativo que está sendo revisado. Ele ainda pode entrar no locatário e não perderá nenhum outro acesso.
      • Bloquear a entrada do usuário por 30 dias e removê-lo do locatário: esta opção bloqueará a entrada de usuários negados no locatário, independentemente de terem acesso a outros recursos. Se essa ação tiver sido realizada erroneamente, os administradores poderão reativar o acesso do usuário convidado dentro de 30 dias após a desabilitação desse usuário. Se nenhuma ação for realizada quanto ao usuário convidado desabilitado após 30 dias, ele será excluído do locatário.

    Para saber mais sobre as melhores práticas para remover usuários convidados que não têm mais acesso aos recursos na sua organização, confira Usar Azure AD Identity Governance para examinar e remover usuários externos que não têm mais acesso aos recursos.

    Observação

    A ação a ser aplicada a usuários convidados negados não é configurável nas revisões com um escopo que não contém apenas usuários convidados. Também não é configurável para revisões de Todos os grupos Microsoft 365 com usuários convidados. Quando não configurável, a opção padrão de remover a associação de um usuário do recurso é usada em usuários negados.

  2. Use a opção Ao final da revisão, enviar uma notificação a para enviar notificações a outros usuários ou grupos com atualizações de conclusão. Esse recurso permite que os stakeholders que não sejam o criador da revisão recebam atualizações sobre o progresso da revisão. Para usar esse recurso, escolha Selecionar Usuário(s) ou Grupo(s) e adicione mais um usuário ou grupo que deve receber o status de conclusão.

  3. Em Habilitar auxiliares da decisão de revisão, escolha se deseja que o revisor receba recomendações durante o processo de revisão. Quando essa opção é habilitada, os usuários que entraram durante o período de 30 dias anteriores são recomendados para aprovação. Os usuários que não entraram nos últimos 30 dias são recomendados para negação. Esse intervalo de 30 dias é independente de as entradas terem sido interativas ou não. A última data de entrada para o usuário especificado também será exibida junto com a recomendação.

    Observação

    Se você criar uma revisão de acesso com base em aplicativos, suas recomendações serão baseadas no período de intervalo de 30 dias, dependendo de quando o usuário se inscreveu pela última vez no aplicativo em vez do locatário.

    Screenshot that shows the Enable reviewer decision helpers option.

  4. Na seção Configurações avançadas, você poderá escolher as seguintes configurações:

    • Justificativa necessária: marque esta caixa de seleção para exigir que o revisor forneça um motivo para aprovação ou negação.

    • Notificações por email: marque esta caixa de seleção para que o Azure AD envie notificações por email aos revisores quando uma revisão de acesso for iniciada e aos administradores quando uma revisão for finalizada.

    • Lembretes: marque esta caixa de seleção para que o Azure AD envie lembretes de revisões de acesso em andamento para todos os revisores. Os revisores recebem os lembretes na metade da revisão, independentemente de já terem concluído a revisão ou não.

    • Conteúdo adicional para email do revisor: o conteúdo do email enviado aos revisores é gerado automaticamente com base nos detalhes da revisão, como nome da revisão, nome do recurso e data de vencimento. Se você precisar comunicar mais informações, poderá especificar detalhes como instruções ou informações de contato na caixa. As informações inseridas são incluídas no convite, e os emails de lembrete são enviados aos revisores atribuídos. A seção realçada na imagem a seguir mostra onde essas informações são exibidas.

      Screenshot that shows additional content for reviewers.

  5. Selecione Avançar: Examinar + Criar.

    Screenshot that shows the Review + Create tab.

Próximo: Revisar e Criar

  1. Nomeie a revisão de acesso. Opcionalmente, forneça uma descrição à revisão. O nome e a descrição são mostrados aos revisores.

  2. Examine as informações e selecione Criar.

Criar uma revisão de acesso de vários estágios (versão prévia)

Uma revisão de vários estágios permite que o administrador defina dois ou três conjuntos de revisores para concluir uma revisão após a outra. Em uma revisão de estágio único, todos os revisores fazem uma decisão dentro do mesmo período e o último revisor para tomar uma decisão "vence". Em uma revisão de vários estágios, dois ou três conjuntos independentes de revisores fazem uma decisão em seu próprio estágio, e o próximo estágio não acontece até que uma decisão seja tomada no estágio anterior. As revisões de vários estágios podem ser usadas para reduzir a carga dos revisores de estágio posterior, permitir o escalonamento de revisores ou ter grupos independentes de revisores concordam com as decisões.

Aviso

Os dados de usuários incluídos nas revisões de acesso de vários estágios fazem parte do registro de auditoria no início da análise. Os administradores podem excluir os dados a qualquer momento excluindo a série de revisão de acesso de vários estágios. Para obter informações gerais sobre o GDPR e a proteção de dados do usuário, confira a seção GDPR da Central de Confiabilidade da Microsoft e a seção GDPR do Portal de Confiança do Serviço.

  1. Depois de selecionar o recurso e o escopo da sua análise, vá para a guia Revisões.

  2. Clique na caixa de seleção ao lado de (versão prévia) Revisão de vários estágios.

  3. Em Revisão do primeiro estágio, selecione os revisores no menu suspenso ao lado de Selecionar revisores.

  4. Se você selecionar Proprietário (s) de grupo ou Gerentes de usuários, terá a opção de adicionar um revisor de fallback. Para adicionar um fallback, clique em Selecionar revisores de fallback e adicione os usuários que você deseja que sejam revisores de fallback.

    Screenshot that shows multi-stage review enabled and multi-stage review settings.

  5. Adicione a duração do primeiro estágio. Para adicionar a duração, insira um número no campo ao lado de duração do estágio (em dias). Este é o número de dias que você deseja que o primeiro estágio seja aberto aos revisores do primeiro estágio para tomar decisões.

  6. Em Revisão do segundo estágio, selecione os revisores no menu suspenso ao lado de Selecionar revisores. Esses revisores serão solicitados a revisar após a conclusão da revisão do primeiro estágio.

  7. Adicione quaisquer revisores de fallback, se necessário.

  8. Adicione a duração para o segundo estágio.

  9. Por padrão, você verá dois estágios ao criar uma revisão de vários estágios. No entanto, você pode adicionar até três estágios. Se você quiser adicionar um terceiro estágio, clique em + Adicionar um estágio e preencha os campos obrigatórios.

  10. É possível optar por permitir os revisores de 2º e 3º estágio para ver as decisões feitas nos estágios anteriores. Se você quiser permitir que eles vejam as decisões tomadas anteriormente, clique na caixa ao lado de Mostrar as decisões anteriores de estágio para revisores de estágio posteriores em revelar resultados da revisão. Deixe a caixa desmarcada para desabilitar essa configuração se desejar que os revisores revisem de forma independente.

    Screenshot that shows duration and show previous stages setting enabled for multi-stage review.

  11. A duração de cada recorrência será definida como a soma do dia (s) de duração que você especificou em cada estágio.

  12. Especifique a recorrência da revisão, a data de inícioe a data de término da revisão. O tipo de recorrência deve ser pelo menos desde que a duração total da recorrência (ou seja, a duração máxima de uma recorrência de revisão semanal seja de 7 dias).

  13. Para especificar quais revisões continuarão de estágio em estágio, selecione uma ou várias das seguintes opções ao lado de Especificar avaliações para ir para a próxima etapa : Screenshot that shows specify reviewees setting and options for multi-stage review.

    1. Revisões aprovados - somente as revisões que foram aprovadas passam para o próximo estágio (s).
    2. Revisões negadas - somente as revisões que foram negadas passam para o próximo estágio (s).
    3. Revisões não avaliadas - somente os as revisões que não foram avaliadas passarão para o próximo estágio (s).
    4. Revisões marcados como "Não sei" - somente as revisões marcadas como "Não sei" passarão para o próximo estágio (s).
    5. Todos: todos se passarão para o próximo estágio se você quiser que todos os estágios de revisores tomem uma decisão.

  14. Continue na guia Configurações e conclua o restante das configurações e crie a revisão. Siga as instruções em Próxima: Configurações.

Incluir usuários e equipes de conexão direta de B2B acessando os Canais Compartilhados do Teams em revisões de acesso (versão prévia)

Você pode criar revisões de acesso para usuários de conexão direta de B2B por meio de canais compartilhados no Microsoft Teams. À medida que você colabora externamente, pode usar as revisões de acesso do Azure AD para garantir que o acesso externo aos canais compartilhados permaneça atual. Para saber mais sobre os Canais Compartilhados do Teams e os usuários de conexão direta de B2B, leia o artigo Conexão direta de B2B.

Quando você cria uma revisão de acesso em uma equipe com canais compartilhados, os revisores podem analisar a necessidade contínua de acesso desses usuários externos e do Teams nos canais compartilhados. Usuários externos nos canais compartilhados são chamados de usuários de conexão direta de B2B. Você pode examinar o acesso de usuários de conexão de B2B e outros usuários de colaboração B2B com suporte e usuários internos não B2B na mesma revisão.

Observação

Atualmente, usuários e equipes de conexão direta de B2B estão incluídos apenas em revisões com uma fase. Se as revisões de várias fases estiverem habilitadas, os usuários e as equipes de conexão direta não serão incluídos na revisão de acesso.

Usuários e equipes de conexão direta de B2B estão incluídos nas revisões de acesso do grupo do Microsoft 365 habilitado para Teams que os canais compartilhados fazem parte. Para criar a revisão, você precisa ser:

  • Administrador Global
  • Administrador de usuários
  • Administrador de governança de identidade

Use as seguintes instruções para criar uma revisão de acesso em uma equipe com canais compartilhados:

  1. Entre no portal do Azure como administrador global, administrador de usuário ou administrador de governança de identidade.

  2. Abra a página Governança de Identidade.

  3. No menu à esquerda, selecione Revisões de acesso.

  4. Selecione + Nova revisão de acesso.

  5. Selecione Equipes + Grupos e clique em Selecionar equipes + grupos para definir o Escopo da revisão. Os usuários e as equipes de conexão direta de B2B não estão incluídos nas revisões de Todos os grupos do Microsoft 365 com usuários convidados.

  6. Selecione uma equipe que tenha canais compartilhados com um ou mais usuários de conexão direta de B2B ou o Teams.

  7. Defina o Escopo.

    Screenshot that shows setting the review scope to for shared channels review.

    • Escolha Todos os usuários para incluir:
      • Todos os usuários internos
      • Usuários de colaboração B2B que são membros da equipe
      • Usuários de conexão direta de B2B
      • Equipes com acesso aos canais compartilhados
    • Ou escolha Somente usuários convidados para incluir usuários de conexão direta de B2B e o Teams, e usuários de colaboração B2B.

  8. Continue na guia Revisões. Selecione um revisor para concluir a revisão e especifique a Duração e a Recorrência da revisão.

    Observação

    • Se você definir Selecionar revisores como Usuários examinam o próprio acesso ou Gerentes de usuários, os usuários de conexão direta de B2B e o Teams não poderão examinar o próprio acesso no seu locatário. O proprietário da equipe em análise receberá um email solicitando que o proprietário examine o usuário de conexão direta de B2B e o Teams.
    • Se você selecionar Gerentes de usuários, um revisor de fallback selecionado examinará todos os usuários sem um gerente no locatário inicial. Isso inclui usuários de conexão direta de B2B e o Teams sem um gerente.

  9. Acesse a guia Configurações e defina configurações adicionais. Em seguida, acesse a guia Examinar e Criar para iniciar sua revisão de acesso. Para obter informações mais detalhadas sobre como criar uma revisão e definições de configuração, confira Criar uma revisão de acesso com uma fase.

Permitir que os proprietários de grupo criem e gerenciem revisões de acesso dos grupos (versão prévia)

A função de pré-requisito é um administrador global ou de usuário.

  1. Entre no portal do Azure e abra a página do Identity Governance.

  2. No menu à esquerda, em revisões de acesso, selecione Configurações.

  3. Na página Delegar quem pode criar e gerenciar revisões de acesso, defina (versão prévia) Os proprietários do grupo podem criar e gerenciar revisões de acesso para os grupos que eles possuem como Sim.

    Screenshot that shows enabling group owners to review.

    Observação

    Por padrão, a configuração é definida como Não. Para permitir que os proprietários do grupo criem e gerenciem revisões de acesso, altere a configuração para Sim.

Inicie a revisão de acesso

Depois de especificar as configurações para uma revisão de acesso, selecione Iniciar. A revisão de acesso aparece em sua lista com um indicador de seu status.

Screenshot that shows a list of access reviews and their status.

Por padrão, o Azure AD envia um email para os revisores logo após o início da análise. Se você optar pelo não envio do email pelo Azure AD, certifique-se de informar aos revisores que eles devem concluir uma análise de acesso pendente. Você pode mostrar a eles as instruções de como fazer uma revisão do acesso aos grupos ou aos aplicativos. Se a revisão for para que os convidados revisem o próprio acesso, mostre a eles as instruções de como fazer uma revisão do acesso para si mesmo a grupos ou aplicativos.

Se você tiver atribuído convidados como revisores e eles não tiverem aceitado seu convite para o locatário, não receberão um email das revisões de acesso. Eles devem primeiro aceitar o convite antes que possam começar a revisar.

Atualizar a revisão de acesso

Depois que uma ou mais revisões de acesso tiverem começado, talvez você queira modificar ou atualizar as configurações de suas revisões de acesso existentes. Aqui estão alguns cenários comuns a considerar:

  • Atualizar configurações ou revisores: se uma revisão de acesso for recorrente, haverá configurações separadas em Atual e em Série. A atualização das configurações ou dos revisores em Atual aplica apenas as alterações à revisão de acesso atual. Atualizar as configurações em Série atualiza as configurações para todas as recorrências futuras.

    Screenshot that shows updating access review settings.

  • Adicionar e remover revisores: ao atualizar as revisões de acesso, você pode optar por adicionar um revisor de fallback além do revisor primário. Os revisores primários podem ser removidos quando você atualiza uma revisão de acesso. Os revisores de fallback não são removíveis, por padrão.

    Observação

    Os revisores de fallback só podem ser adicionados quando o tipo de revisor é um proprietário de gerente ou de grupo. Os revisores primários podem ser adicionados quando o tipo de revisor é o usuário selecionado.

  • Lembrar os revisores: ao atualizar as revisões de acesso, você pode optar por habilitar a opção de Lembretes em Configurações avançadas. Em seguida, os usuários recebem uma notificação por email no ponto médio do período de revisão, independentemente de terem concluído a revisão ou não.

    Screenshot that shows reminding reviewers.

Próximas etapas