Definir políticas organizacionais para controlar o acesso a aplicativos em seu ambiente
Depois de identificar um ou mais aplicativos em que você deseja usar o Microsoft Entra ID para controlar o acesso, anote as políticas da organização para determinar quais usuários devem ter acesso e qualquer outra restrição que o sistema deve fornecer.
Identificar aplicativos e suas funções no escopo
Organizações com requisitos de conformidade ou planos de gerenciamento de riscos têm aplicativos confidenciais ou comercialmente críticos. Se esse for um aplicativo existente em seu ambiente, você pode já ter documentado as políticas de acesso para quem "deve ter acesso" a esse aplicativo. Caso contrário, pode ser necessário consultar vários stakeholders, como equipes de conformidade e gerenciamento de riscos, para garantir que as políticas usadas para automatizar as decisões de acesso sejam apropriadas para seu cenário.
Colete as funções e permissões que cada aplicativo fornece. Alguns aplicativos podem ter apenas uma única função, por exemplo, um aplicativo que tem apenas a função "Usuário". Aplicativos mais complexos podem exibir várias funções a serem gerenciadas por meio do Microsoft Entra ID. Essas funções de aplicativo normalmente fazem restrições amplas no acesso a que um usuário com essa função teria dentro do aplicativo. Por exemplo, um aplicativo com uma persona de administrador pode ter duas funções, "Usuário" e "Administrador". Outros aplicativos também podem depender de associações de grupo ou declarações para verificações de função mais refinadas, que podem ser fornecidas ao aplicativo do Microsoft Entra ID no provisionamento ou nas declarações emitidas usando protocolos de SSO de federação ou gravados no AD como uma associação de grupo de segurança. Por fim, pode haver funções específicas do aplicativo que não aparecem no Microsoft Entra ID – talvez o aplicativo não permita definir os administradores no Microsoft Entra, dependendo, em vez disso, de suas próprias regras de autorização para identificar administradores. O SAP de Serviços de Identidade de Nuvem tem apenas uma função, Usuário, disponível para atribuição.
Observação
Se você estiver usando um aplicativo da galeria de aplicativos do Microsoft Entra que dá suporte ao provisionamento, o Microsoft Entra ID poderá importar funções definidas no aplicativo e atualizar automaticamente o manifesto do aplicativo com as funções do aplicativo depois que o provisionamento for configurado.
Selecione quais funções e grupos têm associação a ser governada no Microsoft Entra ID. Com base nos requisitos de conformidade e gerenciamento de riscos, as organizações geralmente priorizam esses grupos ou funções de aplicativo que dão acesso privilegiado ou acesso a informações confidenciais.
Definir a política da organização com pré-requisitos e outras restrições para acesso ao aplicativo
Nesta seção, você relacionará as políticas organizacionais que planeja usar para determinar o acesso ao aplicativo. Você pode fazer esse registro como uma tabela em uma planilha, por exemplo
| Função de aplicativo | Pré-requisito para acesso | Aprovadores | Duração padrão do acesso | Separação de restrições de tarefas | Políticas de acesso condicional |
|---|---|---|---|---|---|
| Vendas da Costa Oeste | Membro da equipe de vendas | Gerenciador do usuário | Revisão anual | Não tem acesso às Vendas da Costa Leste | MFA (autenticação multifator) e dispositivo registrado necessários para acesso |
| Vendas da Costa Oeste | Qualquer funcionário de fora das vendas | chefe do Departamento de Vendas | 90 dias | N/D | MFA e dispositivo registrado necessários para acesso |
| Vendas da Costa Oeste | Representante de vendas que não é funcionário | chefe do Departamento de Vendas | 30 dias | N/D | MFA necessária para acesso |
| Vendas da Costa Leste | Membro da equipe de vendas | Gerenciador do usuário | Revisão anual | Não tem acesso às Vendas da Costa Oeste | MFA e dispositivo registrado necessários para acesso |
| Vendas da Costa Leste | Qualquer funcionário de fora das vendas | chefe do Departamento de Vendas | 90 dias | N/D | MFA e dispositivo registrado necessários para acesso |
| Vendas da Costa Leste | Representante de vendas que não é funcionário | chefe do Departamento de Vendas | 30 dias | N/D | MFA necessária para acesso |
Se você já tem uma definição de função da organização, confira como migrar uma função organizacional para obter mais informações.
Identifique se há requisitos prévios, padrões que um usuário deve atender antes de ter acesso a um aplicativo. Por exemplo, em circunstâncias normais, somente funcionários em tempo integral ou aqueles em um determinado departamento ou centro de custos devem ter permissão para acesso ao aplicativo de um departamento específico. Além disso, você pode impor a política de gerenciamento de direitos para um usuário de algum outro departamento solicitando acesso para ter um ou mais aprovadores adicionais. Embora ter várias fases de aprovação possa retardar o processo geral de obtenção de acesso para um usuário, essas fases extras garantem que as solicitações de acesso sejam apropriadas e as decisões possam ser responsabilizadas. Por exemplo, as solicitações de acesso de um funcionário podem ter duas fases de aprovação, primeiro pelo gerente do usuário solicitante e em seguida por um dos proprietários de recurso responsáveis pelos dados mantidos no aplicativo.
Determine por quanto tempo um usuário que foi aprovado para acesso deve ter acesso e quando esse acesso deve expirar. Em muitos aplicativos, um usuário pode manter o acesso indefinidamente até que ele não esteja mais afiliado à organização. Em algumas situações, o acesso pode estar vinculado a projetos ou eventos específicos para que, quando o projeto terminar, o acesso seja removido automaticamente. Ou então, se apenas alguns usuários estiverem usando um aplicativo por meio de uma política, você poderá configurar revisões trimestrais ou anuais do acesso de todos por essa política, para que haja supervisão regular.
Se a organização já está controlando o acesso com um modelo de função organizacional, planeje colocar esse modelo de função organizacional no Microsoft Entra ID. Você pode ter uma função organizacional definida que atribui acesso com base na propriedade de um usuário, como sua posição ou departamento. Esses processos podem garantir que os usuários percam o acesso quando ele não for mais necessário, mesmo que não haja uma data de término do projeto predeterminada.
Consulte se há restrições de separação de tarefas. Da mesma forma, você pode ter um aplicativo com duas funções de aplicativo: Vendas da Costa Oeste e Vendas da Costa Leste e querer assegurar que um usuário tenha apenas um território de vendas por vez. Inclua uma lista de pares de funções de aplicativo incompatíveis no seu aplicativo, de modo que, se um usuário tiver uma função, ele não poderá solicitar a segunda função.
Selecione a política de Acesso Condicional apropriada para acesso ao aplicativo. Recomendamos que você analise seus aplicativos e agrupe-os em aplicativos que têm os mesmos requisitos de recursos para os mesmos usuários. Se esse for o primeiro aplicativo de SSO federado que você está integrando ao Microsoft Entra ID Governance para governança de identidade, pode ser necessário criar uma nova política de acesso condicional para expressar restrições, como requisitos de MFA (autenticação multifator) ou acesso baseado em local. Você pode configurar para os usuários serem obrigados a concordar com os termos de uso. Consulte como planejar uma implantação de Acesso Condicional para obter mais considerações sobre como definir uma política de Acesso Condicional.
Determine como as exceções aos seus critérios devem ser tratadas. Por exemplo, um aplicativo normalmente pode estar disponível apenas para funcionários designados, mas um auditor ou fornecedor pode precisar de acesso temporário para um projeto específico. Ou então um funcionário que está viajando pode exigir acesso de um local normalmente bloqueado, pois sua organização não tem presença nesse local. Nessas situações, você também pode optar por ter uma política de gerenciamento de direitos para aprovação que possa ter fases diferentes, ou um limite de tempo diferente, ou um aprovador diferente. Um fornecedor conectado como um usuário convidado em seu locatário no Microsoft Entra pode não ter um gerente, portanto, suas solicitações de acesso podem ser aprovadas por um patrocinador da organização, por um proprietário de recurso ou por um responsável pela segurança.
Conforme a política organizacional para quem deve ter acesso for revisada pelos stakeholders, você pode começar a integrar o aplicativo ao Microsoft Entra ID. Dessa forma, em uma etapa posterior, você estará pronto para implantar as políticas aprovadas pela organização para acesso ao Microsoft Entra ID Governance.