Altere as configurações de aprovação e informações do solicitante para um pacote de acesso no gerenciamento de direitos

Cada pacote de acesso deve ter uma ou mais políticas de atribuição de pacote de acesso, antes que um usuário possa receber acesso. Quando um pacote de acesso é criado no centro de administração do Microsoft Entra, o centro de administração do Microsoft Entra cria automaticamente a primeira política de atribuição de pacote de acesso para esse pacote de acesso. A política determina quem pode solicitar acesso e quem deve aprovar o acesso.

Como gerente de pacote de acesso, você pode alterar as configurações de aprovação e informações do solicitante para um pacote de acesso a qualquer momento, editando uma política existente ou adicionando uma nova política adicional para solicitar acesso.

Este artigo descreve como alterar as configurações de aprovação e informações do solicitante para um pacote de acesso existente, por meio de uma política de pacote de acesso.

Aprovação

Na seção Aprovação, você especificará se uma aprovação é necessária quando os usuários solicitam esse pacote de acesso. As configurações de aprovação funcionam da seguinte maneira:

• Somente um dos aprovadores selecionados ou aprovadores de fallback precisa aprovar uma solicitação de aprovação de fase única.
• Somente um dos aprovadores selecionados em cada estágio precisa aprovar uma solicitação de aprovação de vários estágios para que a solicitação siga para a próxima fase.
• Se um dos aprovadores selecionados em uma fase negar uma solicitação antes que outro aprovador nessa fase a aprove ou se ninguém aprovar, a solicitação será encerrada e o usuário não receberá acesso.
• O aprovador pode ser um usuário ou membro especificado de um grupo, o Gerente do solicitante, o Patrocinador interno ou o Patrocinador externo, dependendo de quem a política está governando o acesso.

Para ver uma demonstração de como adicionar aprovadores a uma política de solicitação, assista ao vídeo a seguir:

Para ver uma demonstração de como adicionar uma aprovação de várias fases a uma política de solicitação, assista ao vídeo a seguir:

Alterar as configurações de aprovação de uma política de atribuição de pacote de acesso existente

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Siga estas etapas para especificar as configurações de aprovação das solicitações para o pacote de acesso por meio de uma política:

Função de pré-requisito: Administrador global, Administrador de governança de identidade, proprietário do Catálogo ou gerenciador de pacotes de acesso

1. Entre no centro de administração do Microsoft Entra como, no mínimo Administrador de Governança de identidade.

2. Navegue até Governança de identidade>Gerenciamento de direitos>Pacotes de acesso.

3. Na página Pacotes de acesso, abra o pacote de acesso.

4. Selecione uma política para editar ou adicionar uma nova política ao pacote de acesso

   1. Selecione Políticas e, em seguida, em Adicionar política se desejar criar uma nova política.
   2. Selecione a política que você deseja editar e, então, selecione editar.

5. Acesse a guia Solicitação.

6. Para exigir aprovação para solicitações dos usuários selecionados, defina a opção Exigir aprovação como Sim. Ou, para que as solicitações sejam aprovadas automaticamente, defina como Não. Se a política permitir que usuários externos de fora da sua organização solicitem acesso, você deverá exigir aprovação para que haja supervisão sobre quem está sendo adicionado ao diretório da sua organização.

7. Para exigir que os usuários forneçam uma justificativa para solicitar o pacote de acesso, defina Exigir justificativa do solicitante como Sim.

8. Agora, determine se as solicitações exigirão aprovação de um ou de várias fases. Defina Quantos estágios como o número de estágios de aprovação necessários.

   

Use as etapas a seguir para adicionar aprovadores depois de selecionar quantas fases você precisa:

Aprovação de fase única

1. Adicione o Primeiro aprovador:

   Se a política estiver definida para controlar o acesso para usuários em seu diretório, você poderá selecionar Gerente como aprovador. Ou adicione um usuário específico selecionando Adicionar aprovadores depois de selecionar Escolher aprovadores específicos no menu suspenso.

   

   Se essa política estiver definida para controlar o acesso de usuários que não estão em seu diretório, você poderá selecionar Patrocinador externo ou Patrocinador interno. Ou então, adicione um usuário específico clicando em Adicionar aprovadores ou grupos em Escolher aprovadores específicos.

   

2. Se você selecionou Gerente como o primeiro aprovador, selecione **Adicionar fallback para selecionar um ou mais usuários ou grupos em seu diretório para serem aprovadores de fallback. Os aprovadores de fallback receberão a solicitação se o gerenciamento de direitos não conseguir localizar o gerente para o usuário que solicitou acesso.

   O gerente é encontrado pelo gerenciamento de direitos usando o atributo Gerente. O atributo está no perfil do usuário no ID do Microsoft Entra. Para mais informações, consulte Adicionar ou atualizar as informações de perfil de um usuário usando o ID do Microsoft Entra.

3. Se você selecionou Escolher aprovadores específicos, selecione Adicionar aprovadores para selecionar um ou mais usuários ou grupos em seu diretório para serem aprovadores.

4. Na caixa em A decisão deve ser tomada em quantos dias? , especifique o número de dias que um aprovador tem para examinar uma solicitação para esse pacote de acesso.

   Se uma solicitação não for aprovada dentro desse período de tempo, ela será negada automaticamente. O usuário precisará enviar outra solicitação para o pacote de acesso.

5. Para exigir que os aprovadores forneçam uma justificativa para sua decisão, defina Exigir justificativa do aprovador como Sim.

   A justificativa é visível para outros Aprovadores e o solicitante.

Aprovação em várias fases

Se você tiver selecionado uma aprovação em várias fases, precisará adicionar um aprovador para cada fase extra.

1. Adicione o Segundo aprovador:

   Se os usuários estiverem em seu diretório, adicione um usuário específico como o segundo aprovador selecionando Adicionar aprovadores em Escolher aprovadores específicos.

   

   Se os usuários não estiverem em seu diretório, selecione Patrocinador interno ou Patrocinador externo como o segundo aprovador. Depois de selecionar o aprovador, adicione os aprovadores de fallback.

   

2. Especifique o número de dias que o segundo aprovador tem para aprovar a solicitação na caixa em A decisão deve ser tomada em quantos dias? .

3. Defina a Exibir justificativa do aprovador comoSim ou Não.

   Você também tem a opção de adicionar uma fase extra ao processo de aprovação de três fases. Por exemplo, talvez você queira que um gerente de funcionários seja o primeiro aprovador de fase de um pacote de acesso. Mas um dos recursos no pacote de acesso contém informações confidenciais. Nesse caso, você pode designar o proprietário do recurso como um segundo aprovador, e um revisador de segurança como o terceiro aprovador. Isso permite que uma equipe de segurança supervisione o processo e a capacidade de, por exemplo, rejeitar uma solicitação com base em critérios de risco não conhecidos pelo proprietário do recurso.

4. Adicione o Terceiro aprovador:

   Se os usuários estiverem em seu diretório, adicione um usuário específico como o terceiro aprovador clicando em Adicionar aprovadores em Escolher aprovadores específicos.

   Se os usuários não estiverem em seu diretório, também será possível selecionar Patrocinador interno ou Patrocinador externo como o terceiro aprovador. Depois de selecionar o aprovador, adicione os aprovadores de fallback.

   Observação

   Assim como no segundo estágio, se os usuários estão em seu diretório e **Gerente como aprovador** está selecionado na primeira ou na segunda fase de aprovação, você só verá uma opção para selecionar aprovadores específicos para a terceira fase de aprovação.

   Se você quiser designar o gerente como um terceiro aprovador, pode ajustar as seleções nas fases de aprovação anteriores para garantir que **Gerente como aprovador** não esteja selecionado. Você vai ver **Gerente como aprovador** como uma opção na lista suspensa.

   Se os usuários não estão em seu diretório e você não selecionou **Responsável interno** ou **Responsável externo** como aprovadores nas fases anteriores, você os verá como opções para **Terceiro aprovador**. Caso contrário, você só poderá selecionar **Escolher aprovadores específicos**.

5. Especifique o número de dias que o terceiro aprovador tem para aprovar a solicitação na caixa em A decisão deve ser tomada em quantos dias?.

6. Defina a Exibir justificativa do aprovador comoSim ou Não.

Aprovadores alternativos

Você pode especificar aprovadores alternativos, de maneira semelhante à especificação dos aprovadores primários que podem aprovar solicitações em cada fase. Ter aprovadores alternativos ajudará a garantir que as solicitações sejam aprovadas ou negadas antes de expirarem (tempo limite). Você pode listar aprovadores alternativos junto com o aprovador primário em cada fase.

Ao especificar aprovadores alternativos em uma fase, caso os aprovadores primários não consigam aprovar ou negar a solicitação, a solicitação pendente será encaminhada para os aprovadores alternativos, de acordo com a agenda de encaminhamento especificado durante a configuração da política. Eles recebem um email para aprovar ou negar a solicitação pendente.

Após a solicitação ser encaminhada para os aprovadores alternativos, os aprovadores primários ainda pode aprová-la ou negá-la. Os aprovadores alternativos usam o mesmo site Meus Acessos para aprovar ou negar a solicitação pendente.

Você pode listar pessoas ou grupos de pessoas para serem aprovadores e aprovadores alternativos. Liste conjuntos diferentes de pessoas para serem primeiro aprovador, segundo aprovador e aprovador alternativo. Por exemplo, se você listou Alice e Bob como os aprovadores da primeira fase, liste Carol e Dave como aprovadores alternativos. Use as etapas a seguir para adicionar aprovadores alternativos a um pacote de acesso:

1. No aprovador em uma fase, selecione Mostrar configurações avançadas de solicitação.

   

2. Defina Se nenhuma ação for tomada, encaminhar para aprovadores alternativos? como Sim.

3. Selecione Adicionar aprovadores alternativos e selecione os aprovadores alternativos na lista.

   

   Se você selecionar Gerente como aprovador no Primeiro Aprovador, terá uma opção adicional, Gerente de segundo nível como aprovador alternativo, disponível para escolher no campo de aprovador alternativo. Se você selecionar essa opção, será necessário adicionar um aprovador de fallback para encaminhar a solicitação caso o sistema não possa encontrar o gerente de segundo nível.

4. Na caixa Encaminhar para aprovadores alternativos após a quantidade de dias, coloque o número de dias que os aprovadores têm para aprovar ou negar uma solicitação. Se nenhum aprovador tiver aprovado ou negado a solicitação antes da duração da solicitação, ela expirará (tempo limite) e o usuário precisará enviar outra solicitação para o pacote de acesso.

   As solicitações só podem ser encaminhadas para aprovadores alternativos um dia após o início da solicitação. Para usar a aprovação alternativa, o tempo limite da solicitação precisa ser de pelo menos quatro dias.

Habilitar solicitações

1. Se quiser que a solicitação do pacote de acesso seja disponibilizada imediatamente para os usuários na política de solicitação, mova o botão de alternância Habilitar para Sim.

   Você poderá habilitá-la futuramente depois de concluir a criação do pacote de acesso.

   Se selecionou Nenhum (somente atribuições diretas do administrador) e definir habilitar como Não, os administradores não poderão atribuir diretamente este pacote de acesso.

   

2. Selecione Avançar.

Coletar informações adicionais do solicitante para aprovação

Para garantir que os usuários tenham acesso aos pacotes de acesso corretos, você pode exigir que os solicitantes respondam ao campo de texto personalizado ou à perguntas de múltipla escolha no momento da solicitação. Em seguida, as perguntas serão mostradas aos aprovadores para auxiliar na tomada de decisão.

1. Acesse a guia Informações do solicitante e selecione a subguia Perguntas.

2. Digite o que você deseja perguntar ao solicitante, também conhecido como cadeia de caracteres de exibição, na pergunta da caixa Pergunta.

   

3. Se a comunidade de usuários que precisarem de acesso ao pacote de acesso não possuir uma linguagem preferencial comum, você poderá melhorar a experiência dos usuários que solicitam acesso no myaccess.microsoft.com. Para melhorar a experiência, você pode fornecer cadeias de caracteres de exibição alternativa para idiomas diferentes. Por exemplo, se o navegador da Web de um usuário estiver definido como espanhol e você tiver cadeias de caracteres de exibição em espanhol configuradas, essas cadeias de caracteres serão exibidas para o usuário solicitante. Para configurar a localização de solicitações, selecione adicionar localização.

   1. Uma vez no painel Adicionar localizações para pergunta, selecione o código de idioma para o idioma de localização da pergunta.
   2. No idioma configurado, digite a pergunta na caixa Texto localizado.
   3. Depois de adicionar todas as localizações necessárias, selecione Salvar.

   

4. Selecione o Formato de resposta no qual você deseja que os solicitantes respondam. Os formatos de resposta incluem: texto curto, múltipla escolha e texto longo.

   

5. Ao selecionar Múltipla escolha, selecione o botão Editar e localizar para configurar as opções de resposta.

   1. Após a seleção de Editar e localizar, o painel Exibir/editar pergunta será aberto.
   2. Digite as opções de resposta que você deseja fornecer ao solicitante para responder à pergunta nas caixas Valores de resposta.
   3. Digite quantas respostas forem necessárias.
   4. Se desejar adicionar a sua localização nas opções de múltipla escolha, selecione o Código de idioma opcional do idioma no qual deseja localizar uma opção específica.
   5. No idioma configurado, digite a opção na caixa de texto localizado.
   6. Depois de adicionar todas as localizações necessárias para cada opção de múltipla escolha, selecione Salvar.

   

6. Caso queira incluir uma verificação de sintaxe para obter respostas de texto para perguntas, você também pode especificar um padrão regex personalizado.
   Caso queira incluir uma verificação de sintaxe para obter respostas de texto para perguntas, você também pode especificar um padrão regex personalizado.

7. Para exigir que os solicitantes respondam a essa pergunta ao solicitar acesso a um pacote de acesso, marque a caixa de seleção em Obrigatório.

8. Preencha as guias restantes (por exemplo, ciclo de vida) com base em suas necessidades.

Depois de configurar as informações do solicitante em sua política de pacote de acesso, você pode exibir as respostas do solicitante às perguntas. Para obter diretrizes de como ver as informações do solicitante, confira Exibir respostas do solicitante para perguntas.

Próximas etapas

• Alterar as configurações do ciclo de vida de um pacote de acesso
• Exibir solicitações para um pacote de acesso