O que é controle de identidade do AD do Azure?What is Azure AD Identity Governance?

Governança de identidade do Azure AD (Active Directory do Azure) permite que você equilibre a necessidade de sua organização de segurança e produtividade dos funcionários com os processos e visibilidade.Azure Active Directory (Azure AD) Identity Governance allows you to balance your organization's need for security and employee productivity with the right processes and visibility. Ela fornece recursos para garantir que os usuários certos tenham o acesso certo aos recursos certos, e permite que você proteja, monitore e audite o acesso a ativos críticos, ao mesmo tempo garantindo a produtividade dos funcionários.It provides you with capabilities to ensure that the right users have the right access to the right resources, and it allows you to protect, monitor, and audit access to critical assets -- while ensuring employee productivity.

Governança de identidade fornecem às organizações a capacidade de fazer as seguintes tarefas entre os funcionários, parceiros de negócios e fornecedores e serviços e aplicativos:Identity Governance give organizations the ability to do the following tasks across employees, business partners and vendors, and services and applications:

  • Controlar o ciclo de vida de identidadeGovern the identity lifecycle
  • Controlar o ciclo de vida de acessoGovern access lifecycle
  • Administração seguraSecure administration

Especificamente, destina-se a ajudar as organizações a abordar estas quatro perguntas importantes:Specifically, it is intended to help organizations address these four key questions:

  • Quais usuários devem ter acesso a quais recursos?Which users should have access to which resources?
  • O que esses usuários estão fazendo com esse acesso?What are those users doing with that access?
  • Existem controles organizacionais em vigor para gerenciar o acesso?Are there effective organizational controls for managing access?
  • Auditores podem verificar se os controles estão funcionando?Can auditors verify that the controls are working?

Ciclo de vida de identidadeIdentity lifecycle

Governança de identidade ajuda as organizações a atingir um equilíbrio entre produtividade -quão rapidamente uma pessoa pode ter acesso aos recursos que precisa, como quando entrarem em minha organização?Identity Governance helps organizations achieve a balance between productivity - How quickly can a person have access to the resources they need, such as when they join my organization? E segurança – Como o acesso deve mudar ao longo do tempo, como devido a alterações ao status de emprego da pessoa?And security - How should their access change over time, such as due to changes to that person's employment status? Gerenciamento de ciclo de vida de identidade é a base para governança de identidade e governança efetiva em grande escala requer modernizar a infraestrutura de gerenciamento do ciclo de vida de identidade para aplicativos.Identity lifecycle management is the foundation for Identity Governance, and effective governance at scale requires modernizing the identity lifecycle management infrastructure for applications.

Ciclo de vida de identidade

Para muitas organizações, o ciclo de vida de identidade para funcionários está vinculado à representação daquele usuário em um sistema HCM (gerenciamento de capital humano).For many organizations, identity lifecycle for employees is tied to the representation of that user in an HCM (human capital management) system. O Azure AD Premium mantém automaticamente as identidades do usuário para as pessoas representadas no Workday tanto no Active Directory quanto no Azure Active Directory, conforme descrito no tutorial de provisionamento de entrada do Workday (versão prévia).Azure AD Premium automatically maintains user identities for people represented in Workday in both Active Directory and Azure Active Directory, as described in the Workday inbound provisioning (preview) tutorial. O Azure AD Premium também inclui o Microsoft Identity Manager, que pode importar registros de sistemas HCM locais como SAP, Oracle eBusiness e Oracle PeopleSoft.Azure AD Premium also includes Microsoft Identity Manager, which can import records from on-premises HCM systems such as SAP, Oracle eBusiness, and Oracle PeopleSoft.

Cada vez mais, os cenários exigem a colaboração com pessoas de fora da sua organização.Increasingly, scenarios require collaboration with people outside your organization. A colaboração B2B do Azure AD permite compartilhar com segurança aplicativos e serviços da sua organização com usuários convidados e parceiros externos de qualquer organização, ao mesmo tempo mantendo o controle sobre seus próprios dados corporativos.Azure AD B2B collaboration enables you to securely share your organization's applications and services with guest users and external partners from any organization, while maintaining control over your own corporate data.

Ciclo de vida de acessoAccess lifecycle

As organizações precisam de um processo para gerenciar o acesso além do que foi inicialmente provisionado para um usuário quando a identidade do usuário foi criada.Organizations need a process to manage access beyond what was initially provisioned for a user when that user's identity was created. Além disso, organizações empresariais precisam ser capazes de dimensionar com eficiência para poderem desenvolver e impor política de acesso e controles continuamente.Furthermore, enterprise organizations need to be able to scale efficiently to be able to develop and enforce access policy and controls on an ongoing basis.

Ciclo de vida de acesso

Em geral, a IT delega as decisões de aprovação de acesso aos tomadores de decisão empresariais.Typically, IT delegates access approval decisions to business decision makers. Além disso, a IT pode envolver os próprios usuários.Furthermore, IT can involve the users themselves. Por exemplo, os usuários que acessam os dados confidenciais do cliente no aplicativo de marketing da empresa na Europa precisam conhecer as políticas da empresa.For example, users that access confidential customer data in a company's marketing application in Europe need to know the company's policies. Usuários convidados podem não estar cientes dos requisitos de manipulação para os dados em uma organização para a qual foram convidados.Guest users may be unaware of the handling requirements for data in an organization to which they have been invited.

As organizações podem automatizar o processo de ciclo de vida de acesso por meio de tecnologias como grupos dinâmicos, junto com o provisionamento de usuário para aplicativos SaaS ou aplicativos integrados ao SCIM.Organizations can automate the access lifecycle process through technologies such as dynamic groups, coupled with user provisioning to SaaS apps or apps integrated with SCIM. As organizações também podem controlar quais usuários convidados têm acesso a aplicativos locais.Organizations can also control which guest users have access to on-premises applications. Esses direitos de acesso podem então ser revisados regularmente usando revisões de acesso do Azure AD recorrentes.These access rights can then be regularly reviewed using recurring Azure AD access reviews.

Quando um usuário tenta acessar a aplicativos, o Azure AD impõe acesso condicional políticas.When a user attempts to access applications, Azure AD enforces Conditional Access policies. Por exemplo, políticas de acesso condicional podem incluir exibindo uma termos de uso e garantir que o usuário concordou com esses termos antes de poder acessar um aplicativo.For example, Conditional Access policies can include displaying a terms of use and ensuring the user has agreed to those terms prior to being able to access an application.

Ciclo de vida de acesso privilegiadoPrivileged access lifecycle

Historicamente, o acesso privilegiado tem sido descrito por outros fornecedores como um recurso separado do controle de identidade.Historically, privileged access has been described by other vendors as a separate capability from Identity Governance. No entanto, na Microsoft, acreditamos que regem o acesso privilegiado é uma parte importante da governança de identidade – especialmente considerando o potencial para uso indevido associado a esses direitos podem fazer com que uma organização de administrador.However, at Microsoft, we think governing privileged access is a key part of Identity Governance -- especially given the potential for misuse associated with those administrator rights can cause to an organization. Funcionários, fornecedores e prestadores de serviço que assumem direitos administrativos precisam ser controlados.The employees, vendors, and contractors that take on administrative rights need to be governed.

Ciclo de vida de acesso privilegiado

O Azure AD PIM (Privileged Identity Management) fornece controles adicionais adaptados para proteger direitos de acesso para recursos, entre o Azure AD, o Azure e outros serviços Online da Microsoft.Azure AD Privileged Identity Management (PIM) provides additional controls tailored to securing access rights for resources, across Azure AD, Azure, and other Microsoft Online Services. O acesso just-in-time e a função alterar recursos fornecidos pelo Azure AD PIM, além de acesso condicional e autenticação multifator de alerta, que fornecem que um conjunto abrangente de controles de governança para ajudar a proteger recursos da empresa (diretório, O Office 365 e funções de recurso do Azure).The just-in-time access, and role change alerting capabilities provided by Azure AD PIM, in addition to multi-factor authentication and Conditional Access, provide a comprehensive set of governance controls to help secure your company's resources (directory, Office 365, and Azure resource roles). Assim como acontece com outras formas de acesso, as organizações podem usar revisões de acesso para configurar a recertificação recorrente de acesso para todos os usuários nas funções de administrador.As with other forms of access, organizations can use access reviews to configure recurring access recertification for all users in administrator roles.

IntroduçãoGetting started

Embora não haja nenhuma solução perfeita ou recomendação para todos os clientes, as configurações a seguir fornecem um guia para que políticas de linha de base, a Microsoft recomenda que você siga para garantir uma força de trabalho mais segura e produtiva.While there is no perfect solution or recommendation for every customer, the following configurations provide a guide to what baseline policies Microsoft recommends you follow to ensure a more secure and productive workforce.

Você também pode consultar a guia de introdução da governança de identidade no portal do Azure para começar a usar o gerenciamento de direitos, acessar revisões, Privileged Identity Management e termos de uso.You can also check out the Getting started tab of Identity Governance in the Azure portal to start using entitlement management, access reviews, Privileged Identity Management, and Terms of use.

Guia de introdução de governança de identidade

Próximas etapasNext steps