Configurar as verificações de separação de funções para um pacote de acesso no gerenciamento de direitos
No gerenciamento de direitos, é possível configurar várias políticas, com configurações diferentes para cada comunidade de usuários que precisará de acesso por meio de um pacote de acesso. Por exemplo, os funcionários podem precisar apenas de aprovação do gerente para obter acesso a certos aplicativos, mas os convidados provenientes de outras organizações podem exigir a aprovação de um responsável e um gerente do departamento da equipe de recursos. Em uma política para usuários que já estão no diretório, você pode especificar um grupo específico de usuários que podem solicitar acesso. No entanto, você pode ter um requisito para evitar que um usuário obtenha acesso excessivo. Para atender a esse requisito, você precisará restringir ainda mais quem pode solicitar acesso, com base no acesso que o solicitante já tem.
Com a separação de configurações de tarefas em um pacote de acesso, você pode configurar que um usuário membro de um grupo ou que já tem uma atribuição a um pacote de acesso não pode solicitar outro pacote de acesso.
Cenários para separação de verificações de tarefas
Por exemplo, você tem um pacote de acesso, Campanha de Marketing, que as pessoas em sua organização e outras organizações possam solicitar acesso a ele para trabalhar com o departamento de marketing da sua organização durante essa campanha. Como os funcionários do departamento de marketing já devem ter acesso ao material dessa campanha, você não quer que eles solicitem acesso a esse pacote de acesso. Ou talvez você já tenha um grupo dinâmico dos Funcionários do departamento de marketing, com todos os funcionários de marketing nele. Você pode indicar que o pacote de acesso é incompatível com a associação desse grupo dinâmico. Em seguida, se um funcionário do departamento de marketing estiver procurando um pacote de acesso para solicitar, ele não poderá solicitar acesso ao pacote de acesso da campanha de marketing.
Da mesma forma, é possível ter um aplicativo com duas funções de aplicativo, Vendas no Ocidente e Vendas no Oriente, representando o territórios de vendas, e precisar assegurar que um usuário tenha acesso a apenas um território de vendas por vez. Se você tiver dois pacotes de acesso, um pacote de acesso Território Ocidental que oferece a função Vendas Ocidentais e outro pacote de acesso Território Oriental que oferece a função Vendas Orientais, então você pode configurar:
- o pacote de acesso Região Ocidental tem o pacote Região Oriental como incompatível e o
- pacote de acesso Região Oriental tem o pacote Região Ocidental como incompatível.
Se você usar o Microsoft Identity Manager ou outros sistemas de gerenciamento de identidades locais para automatizar o acesso aos aplicativos locais, também será possível integrar esses sistemas ao gerenciamento de direitos. Se estiver controlando o acesso a aplicativos integrados ao Microsoft Entra por meio do gerenciamento de direitos e quiser impedir que os usuários tenham acesso incompatível, você poderá configurar que um pacote de acesso é incompatível com um grupo. Pode ser um grupo, que seu sistema de gerenciamento de identidades local envia para o Microsoft Entra ID por meio do Microsoft Entra Connect. Essa verificação garante que um usuário não poderá solicitar um pacote de acesso que dê acesso incompatível com o acesso que o usuário tem em aplicativos locais.
Pré-requisitos
Para usar o gerenciamento de direitos e atribuir usuários a pacotes de acesso, você deve ter uma das seguintes licenças:
- Governança do Microsoft Entra ID P2 ou Microsoft Entra ID
- Licença do Enterprise Mobility + Security (EMS) E5
Configurar outro pacote de acesso ou associação de grupo como incompatível para solicitar acesso a um pacote de acesso
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Função de pré-requisito: Administrador global, Administrador de governança de identidade, Proprietário do catálogo ou Gerenciador de pacotes de acesso
Siga estas etapas para mudar a lista de grupos incompatíveis ou outros pacotes de acesso para um pacote de acesso existente:
Entre no centro de administração do Microsoft Entra como, no mínimo Administrador de Governança de identidade.
Navegue até Governança de identidade>Gerenciamento de direitos>Pacote de acesso.
Na página Pacotes de acesso, abra o pacote de acesso que os usuários solicitarão.
No menu à esquerda, selecione Separação de tarefas.
Se você quiser impedir que os usuários com outra atribuição de pacote de acesso solicitem esse pacote de acesso, selecione Adicionar pacote de acesso e escolha o pacote de acesso que o usuário já teria sido atribuído.
Se você quiser impedir que os usuários que têm uma associação de grupo existente solicitem esse pacote de acesso, selecione Adicionar grupo e escolha o grupo em que o usuário já estaria.
Configurar pacotes de acesso incompatíveis programaticamente por meio do Graph
É possível usar o Microsoft Graph para configurar os grupos e outros pacotes de acesso incompatíveis com um específico. Um usuário em uma função apropriada com um aplicativo que tenha a permissão delegada EntitlementManagement.ReadWrite.All, ou um aplicativo com a permissão de aplicativo EntitlementManagement.ReadWrite.All pode chamar a API para adicionar, remover e listar os grupos incompatíveis e os pacotes de acesso de um pacote de acesso.
Configurar pacotes de acesso incompatíveis por meio do Microsoft PowerShell
Também é possível usar o PowerShell para configurar os grupos e outros pacotes de acesso incompatíveis com um específico por meio do uso de cmdlets do módulo Cmdlets do PowerShell do Microsoft Graph para governança de identidade versão 1.16.0 ou posterior.
O script abaixo ilustra o uso do perfil v1.0 do Graph para criar uma relação a fim de indicar outro pacote de acesso como incompatível.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$apid = "00001111-aaaa-2222-bbbb-3333cccc4444"
$otherapid = "11112222-bbbb-3333-cccc-4444dddd5555"
$params = @{
"@odata.id" = "https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/accessPackages/" + $otherapid
}
New-MgEntitlementManagementAccessPackageIncompatibleAccessPackageByRef -AccessPackageId $apid -BodyParameter $params
Exibir outros pacotes de acesso configurados como incompatíveis com este
Função de pré-requisito: Administrador global, Administrador de governança de identidade, Proprietário do catálogo ou Gerenciador de pacotes de acesso
Siga estas etapas para exibir a lista de outros pacotes de acesso que indicaram ser incompatíveis com um pacote de acesso existente:
Entre no centro de administração do Microsoft Entra como, no mínimo Administrador de Governança de identidade.
Navegue até Governança de identidade>Gerenciamento de direitos>Pacote de acesso.
Na página Pacotes de acesso, abra o pacote de acesso.
No menu à esquerda, selecione Separação de tarefas.
Selecione Incompatível com.
Identificar usuários que já têm acesso incompatível a outro pacote de acesso (versão prévia)
Se você definiu configurações de acesso incompatível em um pacote de acesso que já tem usuários atribuídos, é possível baixar uma lista dos usuários que têm esse acesso adicional. Esses usuários não poderão solicitar acesso novamente.
Função de pré-requisito: Administrador global, Administrador de governança de identidade, Proprietário do catálogo ou Gerenciador de pacotes de acesso
Siga estas etapas para exibir a lista de usuários que têm atribuições a dois pacotes de acesso.
Entre no centro de administração do Microsoft Entra como, no mínimo Administrador de Governança de identidade.
Navegue até Governança de identidade>Gerenciamento de direitos>Pacote de acesso.
No menu à esquerda, selecione Pacotes de acesso e abra o pacote de acesso em que você configurou outro pacote de acesso como incompatível.
No menu à esquerda, selecione Separação de tarefas.
Na tabela, se houver um valor diferente de zero na coluna “Acesso adicional” para o segundo pacote de acesso, isso indicará que há um ou mais usuários com atribuições.
Selecione essa contagem para exibir a lista de atribuições incompatíveis.
Se desejar, clique no botão Baixar para salvar essa lista de atribuições como um arquivo CSV.
Identificar usuários que terão acesso incompatível a outro pacote de acesso
Se você estiver definindo configurações de acesso incompatíveis em um pacote de acesso que já tenha usuários atribuídos a ela, qualquer um desses usuários que também tenham uma atribuição para o pacote ou grupos de acesso incompatível não poderá solicitar o acesso novamente.
Função de pré-requisito: Administrador global, Administrador de governança de identidade, Proprietário do catálogo ou Gerenciador de pacotes de acesso
Siga estas etapas para exibir a lista de usuários que têm atribuições a dois pacotes de acesso.
Entre no centro de administração do Microsoft Entra como, no mínimo Administrador de Governança de identidade.
Navegue até Governança de identidade>Gerenciamento de direitos>Pacote de acesso.
Abra o pacote de acesso em que você configurará atribuições incompatíveis.
No menu à esquerda, selecione Atribuições.
No campo status, verifique se o status entregue está selecionado.
Clique no botão Baixar e salve o arquivo CSV resultante como o primeiro arquivo com uma lista de atribuições.
Na barra de navegação, selecione Governança de Identidade.
No menu à esquerda, selecione Pacotes de acesso e abra o pacote de acesso no qual você planeja indicar como incompatível.
No menu à esquerda, selecione Atribuições.
No campo status, verifique se o status entregue está selecionado.
Clique no botão Baixar e salve o arquivo CSV resultante como o segundo arquivo com uma lista de atribuições.
Use um programa de planilhas como Excel para abrir os dois arquivos.
Os usuários listados em ambos os arquivos já terão atribuições incompatíveis existentes.
Identificando usuários que já têm acesso incompatível programaticamente
Usando o Microsoft Graph, é possível recuperar atribuições para um pacote de acesso que têm como escopo apenas os usuários que também têm uma atribuição para outro pacote de acesso. Um usuário em uma função administrativa com um aplicativo que tenha a permissão EntitlementManagement.Read.All ou EntitlementManagement.ReadWrite.All delegada pode chamar a API para listar o acesso adicional.
Identificação de usuários que já têm acesso incompatível usando o PowerShell
Você também pode consultar os usuários que têm atribuições a um pacote de acesso com o Get-MgEntitlementManagementAssignmentcmdlet do módulo Cmdlets do PowerShell do Microsoft Graph para Governança de Identidade versão 2.1.0 ou posterior.
Por exemplo, se você tiver dois pacotes de acesso, um com ID29be137f-b006-426c-b46a-0df3d4e25ccd e outro com ID cce10272-68d8-4482-8ba3-a5965c86cfe5, poderá recuperar os usuários que têm atribuições para o primeiro pacote de acesso e, em seguida, compará-los aos usuários que têm atribuições para o segundo pacote de acesso. Você também pode relatar os usuários que têm atribuições entregues a ambos, usando um script do PowerShell semelhante ao seguinte:
$c = Connect-MgGraph -Scopes "EntitlementManagement.Read.All"
$ap_w_id = "29be137f-b006-426c-b46a-0df3d4e25ccd"
$ap_e_id = "cce10272-68d8-4482-8ba3-a5965c86cfe5"
$apa_w_filter = "accessPackage/id eq '" + $ap_w_id + "' and state eq 'Delivered'"
$apa_e_filter = "accessPackage/id eq '" + $ap_e_id + "' and state eq 'Delivered'"
$apa_w = @(Get-MgEntitlementManagementAssignment -Filter $apa_w_filter -ExpandProperty target -All)
$apa_e = @(Get-MgEntitlementManagementAssignment -Filter $apa_e_filter -ExpandProperty target -All)
$htt = @{}; foreach ($e in $apa_e) { if ($null -ne $e.Target -and $null -ne $e.Target.Id) {$htt[$e.Target.Id] = $e} }
foreach ($w in $apa_w) { if ($null -ne $w.Target -and $null -ne $w.Target.Id -and $htt.ContainsKey($w.Target.Id)) { write-output $w.Target.Email } }
Configurando vários pacotes de acesso para cenários de substituição
Se um pacote de acesso tiver sido configurado como incompatível, um usuário que tenha uma atribuição para esse pacote de acesso incompatível não poderá solicitar o pacote de acesso, nem um administrador poderá criar uma nova atribuição que seria incompatível.
Por exemplo, se o pacote de acesso ao ambiente de produção tiver marcado o pacote de ambiente de desenvolvimento como incompatível, e um usuário tiver uma atribuição para o pacote de acesso ao ambiente de desenvolvimento, então o gerenciador de pacotes de acesso para o ambiente de produção não poderá criar uma atribuição para esse usuário para o ambiente de produção. Para prosseguir com essa atribuição, a atribuição existente do usuário para o pacote de acesso ao ambiente de desenvolvimento deve primeiro ser removida.
Se houver uma situação excepcional em que as regras de separação de funções podem precisar ser substituídas, a configuração de um pacote de acesso adicional para capturar os usuários que têm direitos de acesso sobrepostos o tornará claro para os aprovadores, revisores e auditores a natureza excepcional dessas atribuições.
Por exemplo, se houvesse um cenário para que alguns usuários precisem ter acesso aos ambientes de produção e de implantação ao mesmo tempo, você poderia criar um novo pacote de acesso aos ambientes de produção e desenvolvimento. Esse pacote de acesso pode ter como suas funções de recurso algumas das funções de recurso do pacote de acesso do ambiente de produção e algumas das funções de recurso do pacote de acesso ao ambiente de desenvolvimento.
Se a razão do acesso incompatível forem funções particularmente problemáticas do recurso, ele poderá ser omitido do pacote de acesso combinado e será possível exigir a atribuição explícita de um usuário para a função do recurso pelo administrador. Se esse for um aplicativo de terceiros ou seu próprio aplicativo, você poderá garantir a supervisão monitorando essas atribuições de função usando a pasta de trabalho deatividade de atribuição de função de aplicativo descrita na próxima seção.
Dependendo dos processos de governança, esse pacote de acesso combinado poderia ter uma política:
- uma política de atribuições diretas, para que apenas um Gerenciador de pacotes do Access possa interagir com o pacote de acesso ou
- os usuários podem solicitar a política de acesso, para que um usuário possa solicitar, com potencialmente um estágio de aprovação adicional
Essa política pode ter como suas configurações de ciclo de vida um número de expiração muito mais curto de dias do que uma política em outros pacotes de acesso ou exigir revisões de acesso mais frequentes, com supervisão regular para que os usuários não mantenham o acesso mais longo do que o necessário.
Monitorar e relatar atribuições de acesso
Você pode usar os workbooks do Azure Monitor para obter informações sobre como os usuários recebem o acesso.
Configure o Microsoft Entra ID para enviar eventos de auditoria ao Azure Monitor.
O workbook Atividade de pacote de acesso mostra cada evento relacionado a um pacote de acesso específico.
Para ver se houve alterações nas atribuições de função de aplicativo para um aplicativo que não foram criadas devido a atribuições de pacote de acesso, você pode selecionar a guia de trabalho chamada Atividade de atribuição de função de aplicativo. Se você selecionar omitir a atividade de direito, somente as alterações nas funções de aplicativo que não foram feitas pelo gerenciamento de direitos serão mostradas. Por exemplo, você verá uma linha se um administrador global tivesse atribuído diretamente um usuário a uma função de aplicativo.
