Tutorial: gerencie o acesso aos recursos no gerenciamento de direitos

  • Artigo

Gerenciar o acesso a todos os recursos de que os funcionários precisam, como grupos, aplicativos e sites, é uma função importante para as organizações. Você quer conceder aos funcionários o nível de acesso correto para que eles sejam produtivos e remover o acesso quando ele não for mais necessário.

Neste tutorial, você trabalhará para o Woodgrove Bank como administrador de TI. Você foi incumbido de criar um pacote de recursos para uma campanha de marketing que os usuários internos podem usar para solicitar o autoatendimento. As solicitações não exigem aprovação e o acesso do usuário expira após 30 dias. Para este tutorial, os recursos da campanha de marketing apenas são a associação em um único grupo, mas poderiam ser uma coleção de grupos, aplicativos ou sites do SharePoint Online.

Diagram that shows the scenario overview.

Neste tutorial, você aprenderá a:

  • Criar um pacote de acesso com um grupo como um recurso
  • Permitir que um usuário em seu diretório solicite acesso
  • Demonstrar como um usuário interno pode solicitar o pacote de acesso

Para obter uma demonstração passo a passo do processo de implantação do gerenciamento de direitos Microsoft Entra, incluindo a criação de seu primeiro pacote de acesso, assista ao vídeo a seguir:

O restante deste artigo usa o centro de administração do Microsoft Entra para configurar e demonstrar o gerenciamento de direitos.

Pré-requisitos

Para usar o gerenciamento de direitos, você deve ter uma das seguintes licenças:

  • Governança do Microsoft Entra ID P2 ou Microsoft Entra ID
  • Licença do Enterprise Mobility + Security (EMS) E5

Para obter mais informações, veja Requisitos de licença.

Etapa 1: Configurar usuários e grupo

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Um diretório de recursos tem um ou mais recursos para serem compartilhados. Nesta etapa, você criará um grupo chamado Recursos de marketing no diretório do Woodgrove Bank que é o recurso de destino para o gerenciamento de direitos. Você também configurará um solicitante interno.

Função de pré-requisito: Administrador Global ou Administrador de Governança de Identidade

Diagram that shows the users and groups for this tutorial.

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Governança de Identidade.

  2. Navegue até Governança de identidade>Gerenciamento de direitos>Pacotes de acesso.

  3. Crie dois usuários. Use os nomes a seguir ou nomes diferentes.

    Nome Função do diretório
    Admin1 Administrador global ou Administrador de governança de identidade. Esse usuário pode ser o usuário que você está conectado no momento.
    Requestor1 Usuário

  4. Crie um grupo de segurança do Microsoft Entra chamado Recursos de marketing com um tipo de associação Atribuído. Este grupo é o recurso de destino do gerenciamento de direitos. O grupo deve estar sem membros para começar.

Etapa 2: Criar um pacote de acesso

Um pacote de acesso é um pacote de recursos de que uma equipe ou projeto precisa e é regido por políticas. Pacotes de acesso são definidos em contêineres chamados catálogos. Nesta etapa, você criará um pacote de acesso de Campanha de marketing no catálogo Geral.

Pré-requisito de função: Administrador Global, Administrador de Governança de Identidade, Proprietário do catálogo ou Gerenciador de pacotes de acesso

Diagram that describes the relationship between the access package elements.

  1. Entre no centro de administração do Microsoft Entra como, no mínimo Administrador de Governança de identidade.

  2. Navegue até Governança de identidade>Gerenciamento de direitos>Pacote de acesso.

  3. Na página Pacotes de acesso, abra o pacote de acesso.

  4. Ao abrir o pacote de acesso, se você vir Acesso negado, certifique-se de que uma licença Microsoft Entra ID P2 ou Microsoft Entra ID Governance esteja presente em seu diretório.

  5. Selecione Novo pacote de acesso.

    Screenshots that shows how to create an access package.

  6. Na guia Noções básicas, digite o nome do pacote de acesso Campanha de marketing e a descrição Acesso a recursos para a campanha.

  7. Deixe a lista suspensa Catálogo definida como Geral.

    Screenshot showing how to set the basic of the access policy.

  8. Selecione Avançar para abrir a guia Funções de recurso. Nessa guia, selecione os recursos e a função de recurso a ser incluída no pacote de acesso. Você pode optar por gerenciar o acesso a grupos e equipes, aplicativos e sites do SharePoint Online. Nesse cenário, selecione Grupos e Equipes.

    Screenshot showing how to select groups and teams.

  9. No painel Selecionar grupos, localize e selecione o grupo Recursos de marketing criado anteriormente.

    Por padrão, você vê grupos dentro do catálogo Geral. Ao selecionar um grupo fora do catálogo Geral, que você pode ver ao marcar a caixa de seleção Ver todos, ele será adicionado ao catálogo Geral.

    Screenshot that shows how to select the groups

  10. Escolha Selecionar para adicionar o grupo à lista.

  11. Na lista suspensa Função, selecione Membro. Caso selecione a função Proprietário, permite que os usuários adicionem ou removam outros membros ou proprietários. Para obter mais informações de como selecionar as funções apropriadas para um recurso, leia adicionar funções de recurso.

    Screenshot the shows how to select the member role.

    Importante

    Os grupos atribuíveis a funções adicionados a um pacote de acesso serão indicados usando o subtipo Atribuível a funções. Para obter mais informações, confira o artigo Criar um grupo atribuível a função. Tenha em mente que, uma vez que um grupo atribuível à função esteja presente em um catálogo de pacotes de acesso, os usuários administrativos que são capazes de gerenciar no gerenciamento de direitos, incluindo os usuários na função de administrador global, os usuários na função de administrador de governança da identidade e os proprietários de catálogos do catálogo, poderão controlar os pacotes de acesso no catálogo, permitindo escolher quem pode ser adicionado a esses grupos. Se não vir um grupo atribuível a funções que deseja adicionar ou se não puder adicioná-lo, verifique se você tem a função de gerenciamento de direitos e a função do Microsoft Entra necessárias para executar essa operação. Talvez seja necessário solicitar que alguém com as funções necessárias adicione o recurso ao seu catálogo. Para obter mais informações, confira Funções necessárias para adicionar recursos a um catálogo.

    Observação

    Ao usar grupos dinâmicos, você não verá outras funções disponíveis além do proprietário. Isso ocorre por design. Screenshots that shows a dynamic group available roles.

  12. Selecione Avançar para abrir a guia Solicitações. Na guia Solicitações, você cria uma política de solicitação. Uma política define as regras ou grades de proteção para acessar um pacote de acesso. Você cria uma política que permite que um usuário específico no diretório do recurso solicite o pacote de acesso.

  13. Na seção Usuários que podem solicitar acesso, selecione Para usuários em seu diretório e Usuários e grupos específicos.

    Screenshot of the access package requests tab.

  14. Selecione Adicionar usuários e grupos.

  15. No painel Selecionar usuários e grupos, selecione o usuário Requestor1 que você criou anteriormente.

    Screenshot of select users and groups.

  16. Escolha Selecionar para adicionar o usuário à lista.

  17. Role para baixo até as seções Aprovação e Habilitar solicitações.

  18. Deixe Exigir aprovação definido como Não.

  19. Para Habilitar solicitações, selecione Sim para permitir que esse pacote de acesso seja solicitado assim que for criado.

  20. Se sua organização estiver configurada para receber IDs verificadas, existe uma opção para configurar um pacote de acesso para exigir que os solicitantes forneçam uma ID verificada. Para saber mais, consulte: Definir configurações de ID verificada para um pacote de acesso no gerenciamento de direitos (versão preliminar)

    Screenshot of the Verified ID picker selection.

  21. Selecione Avançar para abrir a guia Informações do solicitante.

    Screenshots of the requests tab approval and enable requests settings.

  22. Na guia Informações do solicitante, você pode fazer perguntas para coletar mais informações do solicitante. As perguntas são mostradas no formulário de solicitação e podem ser definidas como obrigatórias ou opcionais. Nesse cenário, você não foi solicitado a incluir informações do solicitante para o pacote de acesso e, portanto, pode deixar essas caixas vazias. Selecione Avançar para abrir a guia Ciclo de vida.

  23. Na guia Ciclo de vida, você especifica quando expira a atribuição de um usuário ao pacote de acesso. Você também pode especificar se os usuários podem estender suas respectivas atribuições. Na seção Expiração:

    1. Defina a Expiração das atribuições do pacote de acesso como Número de dias.
    2. Defina Atribuições expiram após como 30 dias.
    3. Deixe que os Usuários possam solicitar um valor padrão de linha do tempo específica, Sim.
    4. Defina Exigir revisões de acesso como Não.

    Screenshot of the access package lifecycle tab

  24. Ignore a etapa Extensões personalizadas.

  25. Selecione Avançar para abrir a guia Examinar + Criar.

  26. Na guia Examinar + Criar, selecione Criar. Após alguns instantes, você deverá ver uma notificação de que o pacote de acesso foi criado com êxito.

  27. No menu à esquerda do pacote de acesso da campanha de marketing, selecione Visão Geral.

  28. Copie o Link do portal Meus Acessos.

    Você usará esse link na próxima etapa.

    Screenshot that demonstrates how to copy the link to the access policy.

Etapa 3: Solicitar acesso

Nesta etapa, você executará as etapas como o solicitante interno e solicitará acesso ao pacote de acesso. Os solicitadores enviam suas solicitações usando um site denominado portal Meus Acessos. O portal Meus Acessos permite que os solicitantes enviem solicitações para pacotes de acesso, vejam os pacotes de acesso aos quais eles já têm acesso e vejam seu histórico de solicitações. Quando um novo convidado solicita um pacote de acesso no MyAccess, seu idioma de preferência é carimbado com base no idioma do navegador MyAccess no momento da solicitação. Isso permite que novos convidados recebam comunicações por email em um idioma que eles entendam.

Função de pré-requisito: Solicitante interno

  1. Saia do centro de administração do Microsoft Entra.

  2. Em uma nova janela do navegador, navegue até o link do portal Meus Acessos copiado na etapa anterior.

  3. Entre no portal Meus Acessos como Requestor1.

    Você deve ver o pacote de acesso Campanha de Marketing.

  4. Na caixa Justificativa comercial, digite a justificativa Estou trabalhando na nova campanha de marketing.

    Screenshot of the My Access portal listing the access packages.

  5. Selecione Enviar.

  6. No menu esquerdo, clique em Histórico de solicitações para verificar se a sua solicitação foi enviada. Para obter mais detalhes, selecione Exibir.

    Screenshot of the My Access portal request history.

Etapa 4: Validar que o acesso foi atribuído

Nesta etapa, você confirma que o solicitante interno foi atribuído ao pacote de acesso e que agora é um membro do grupo Recursos de marketing.

Pré-requisito de função: Administrador Global, Administrador de Governança de Identidade, Proprietário do catálogo ou Gerenciador de pacotes de acesso

  1. Saia do portal Meus Acessos.

  2. Entre no Centro de administração do Microsoft Entra como Admin1.

  3. Navegue até Governança de identidade>Gerenciamento de direitos>Pacotes de acesso.

  4. Localize e selecione o pacote de acesso Campanha de Marketing.

  5. No menu à esquerda, selecione Solicitações.

    Você deve ver Requestor1 e a política Inicial com um status de Entregue.

  6. Clique na solicitação para ver os detalhes dela.

    Screenshot of the access package request details.

  7. Na navegação esquerda, selecione Identidade.

  8. Clique em Grupos e abra o grupo de Recursos de marketing.

  9. Selecione Membros.

    Você deve ver Requestor1 listado como um membro.

    Screenshot shows the requestor one has been added to the marketing resources group.

Etapa 5: Limpar os recursos

Nesta etapa, você removerá as alterações feitas e excluirá o pacote de acesso Campanha de Marketing.

Função de pré-requisito: Administrador Global ou Administrador de Governança de Identidade

  1. No centro de administração do Microsoft Entra Governança de Identidade.

  2. Abra o pacote de acesso Campanha de Marketing.

  3. Selecione Atribuições.

  4. Para Solicitante1, selecione as reticências () e Remover acesso. Na mensagem que aparece, selecione Sim.

    Depois de alguns momentos, o status mudará de Entregue para Expirado.

  5. Selecione Funções do recurso.

  6. Para Recursos de marketing, clique nas reticências (...) e em Remover função do recurso. Na mensagem que aparece, selecione Sim.

  7. Abra a lista de pacotes de acesso.

  8. Para Campanha de Marketing, selecione as reticências (...) e Excluir. Na mensagem que aparece, selecione Sim.

  9. Em Identidade, exclua todos os usuários que você criou como Requestor1 e Admin1.

  10. Exclua o grupo Recursos de marketing.

Próximas etapas

Passe para o próximo artigo para conhecer etapas comuns de cenário no gerenciamento de direitos.

Cenários comuns