Gerenciar o acesso do convidado com revisões de acesso

  • Artigo

Com as revisões de acesso, você pode ativar facilmente a colaboração entre os limites organizacionais usando o Recurso Microsoft Entra B2B. Usuários convidados de outros locatários podem ser convidados por administradores ou por outros usuários. Isso também se aplica às identidades sociais, como contas da Microsoft.

Você também pode assegurar com facilidade que os usuários convidados tenham o acesso apropriado. Você pode pedir que os próprios convidados ou que um tomador de decisão participe de uma revisão de acesso e faça uma nova certificação (ou ateste) o acesso de convidado. Os avaliadores podem dar sua opinião sobre a necessidade de cada usuário de acesso contínuo com base nas sugestões do Microsoft Entra ID. Quando uma revisão de acesso for finalizada, você poderá alterar e remover o acesso de convidados que não precisam mais dela.

Observação

Este documento se concentra na revisão do acesso de usuários convidados. Se você quiser revisar o acesso de todos os usuários, não apenas convidados, consulte Gestão do acesso do usuário com revisões de acesso. E se você desejar revisar a associação do usuário em funções administrativas, como administrador global, consulte Iniciar uma revisão de acesso no Microsoft Entra Privileged Identity Management.

Pré-requisitos

  • Governança do Microsoft Entra ID P2 ou Microsoft Entra ID

Para obter mais informações, Requisitos de licença.

Criar e executar uma revisão de acesso para convidados

Primeiro, você precisa receber uma das seguintes funções:

  • administrador global
  • Administrador de usuários
  • (Versão prévia) O proprietário do Grupo de Segurança do Microsoft 365 ou do Microsoft Entra do grupo a ser examinado

Em seguida, acesse a página Governança de Identidade para verificar se as revisões de acesso estão prontas para sua organização.

O Microsoft Entra ID habilita vários cenários para revisar usuários convidados.

Você pode revisar uma das seguintes opções:

  • Um grupo no Microsoft Entra ID que tem um ou mais convidados como membros.
  • Um aplicativo conectado ao Microsoft Entra ID que tenha um ou mais usuários convidados atribuídos a ele.

Ao examinar o acesso de usuário convidado aos grupos do Microsoft 365, você pode criar uma revisão para cada grupo individualmente ou ativar revisões de acesso recorrentes e automáticas de usuários convidados em todos os grupos do Microsoft 365. O seguinte vídeo fornece mais informações sobre as revisões de acesso recorrentes de usuários convidados:

Você pode decidir se deseja pedir que cada convidado revise seu próprio acesso ou solicitar que um ou mais usuários revisem o acesso de cada convidado.

Esses cenários são abordados nas seções a seguir.

Pedir que os convidados revisem suas próprias associações em um grupo

As revisões de acesso podem ser usadas para garantir que usuários convidados e adicionados a um grupo ainda precisam do acesso. Você pode pedir que os convidados revisem suas próprias associações em tal grupo.

  1. Para criar uma revisão de acesso para o grupo, opte pela revisão só incluir os membros usuários convidados e indicar que os membros sejam responsáveis pela própria revisão. Para obter mais informações, confira Criar uma revisão de acesso de grupos ou aplicativos.

  2. Peça que cada convidado revise a própria associação. Por padrão, cada convidado que aceita um convite receberá um email do Microsoft Entra ID com um link para a revisão de acesso. O Microsoft Entra ID tem instruções para convidados sobre como examinar o acesso a grupos ou aplicativos.

  3. Depois dos revisores enviarem a avaliação, pare a revisão de acesso e aplique as alterações. Para obter mais informações, confira Concluir uma revisão de acesso de grupos ou aplicativos.

  4. Além daqueles usuários que negaram a necessidade de continuar com o acesso, convém também remover os usuários que não responderam. Usuários que não responderam possivelmente não recebem mais emails.

  5. Se o grupo não estiver sendo usado para gerenciamento de acesso, você também poderá remover usuários que não foram selecionados para participar da revisão por não terem aceitado o convite. Caso o usuário não aceite, isso pode indicar que o endereço de email do usuário convidado continha um erro de digitação. Se um grupo for usado como uma lista de distribuição, talvez alguns usuários convidados não tenham sido selecionados para participarem por serem objetos de contato.

Peça a um usuário autorizado para revisar a participação de um convidado em um grupo

Você pode pedir a um usuário autorizado, como o proprietário de um grupo, que revise a necessidade do convidado de continuar com a associação em um grupo.

  1. Para criar uma revisão de acesso para o grupo, opte pela revisão só incluir os membros usuários convidados. Em seguida, especifique um ou mais revisores. Para obter mais informações, confira Criar uma revisão de acesso de grupos ou aplicativos.

  2. Solicite que os revisores forneçam a entrada. Por padrão, cada um recebe um email do Microsoft Entra ID com um link para o painel de acesso, onde ele revisará o acesso a grupos ou aplicativos.

  3. Depois dos revisores enviarem a avaliação, pare a revisão de acesso e aplique as alterações. Para obter mais informações, confira Concluir uma revisão de acesso de grupos ou aplicativos.

Pedir que os convidados revisem seus próprios acessos a um aplicativo

As revisões de acesso podem ser usadas para garantir que os usuários convidados de um aplicativo específico ainda precisam do acesso. Você pode pedir que os próprios convidados revisem suas necessidades de acesso.

  1. Para criar uma revisão de acesso para o aplicativo, opte pela revisão só incluir os convidados e indicar que os usuários sejam responsáveis pela própria revisão de acesso. Para obter mais informações, confira Criar uma revisão de acesso de grupos ou aplicativos.

  2. Peça que cada convidado revise seu próprio acesso ao aplicativo. Por padrão, cada convidado que aceita um convite receberá um email do Microsoft Entra ID. Esse o email tem um link para a revisão de acesso no painel de acesso da sua organização. O Microsoft Entra ID tem instruções para convidados sobre como revisar o acesso a grupos ou aplicativos.

  3. Depois dos revisores enviarem a avaliação, pare a revisão de acesso e aplique as alterações. Para obter mais informações, confira Concluir uma revisão de acesso de grupos ou aplicativos.

  4. Além dos usuários que negaram a necessidade de continuar com o acesso, convém também remover os usuários convidados que não responderam. Usuários que não responderam possivelmente não recebem mais emails. Você também pode remover usuários convidados que não foram selecionados para participar, especialmente se eles não foram convidados recentemente. Tais usuários não aceitaram o convite e, portanto, não tiveram acesso ao aplicativo.

Peça a um usuário autorizado para revisar o acesso de um convidado a um aplicativo

Você pode pedir a um usuário autorizado, como o proprietário de um aplicativo, que analise a necessidade do convidado de continuar com o acesso ao aplicativo.

  1. Para criar uma revisão de acesso para o aplicativo, opte pela revisão só incluir os convidados. Em seguida, especifique um ou mais usuários como revisores. Para obter mais informações, confira Criar uma revisão de acesso de grupos ou aplicativos.

  2. Solicite que os revisores forneçam a entrada. Por padrão, cada um recebe um email do Microsoft Entra ID com um link para o painel de acesso, onde ele revisará o acesso a grupos ou aplicativos.

  3. Depois dos revisores enviarem a avaliação, pare a revisão de acesso e aplique as alterações. Para obter mais informações, confira Concluir uma revisão de acesso de grupos ou aplicativos.

Pedir que os convidados revisem a própria necessidade de acesso em geral

Em algumas organizações, talvez os convidados não estejam cientes de suas associações de grupo.

Observação

As versões anteriores do portal não permitiam o acesso administrativo por usuários com o UserType igual a Convidado. Em alguns casos, um administrador no seu diretório pode ter alterado o valor de UserType do convidado para Membro usando o PowerShell. Se essa alteração ocorreu anteriormente em seu diretório, a consulta anterior pode não incluir todos os usuários convidados que historicamente tinham direitos de acesso administrativo. Nesse caso, você precisa alterar o UserType do convidado ou incluir o convidado manualmente na associação de grupo.

  1. Crie um grupo de segurança no Microsoft Entra ID com os convidados como membros, caso um grupo adequado ainda não exista. Por exemplo, você pode criar um grupo com uma associação de convidados mantida manualmente. Ou, criar um grupo dinâmico com um nome como "Convidados da Contoso" para usuários no locatário Contoso que têm o valor do atributo UserType de Convidado. Para eficiência, verifique se o grupo é formado predominantemente de convidados. Não selecione um grupo que tenha usuários membros, pois eles não precisam ser revisados. Além disso, tenha em mente que um usuário convidado que é um membro do grupo pode ver os outros membros do grupo.

  2. Para criar uma revisão de acesso para esse grupo, opte pelos revisores serem os próprios membros. Para obter mais informações, confira Criar uma revisão de acesso de grupos ou aplicativos.

  3. Peça que cada convidado revise a própria associação. Por padrão, cada convidado que aceita um convite receberá um email do Microsoft Entra ID com um link para a revisão de acesso no painel de acesso de sua organização. O Microsoft Entra ID tem instruções para convidados sobre como revisar o acesso a grupos ou aplicativos. Os hóspedes que não aceitaram o convite aparecem nos resultados dos comentários como "Não notificado".

  4. Depois dos revisores enviarem a avaliação, pare a revisão de acesso. Para obter mais informações, confira Concluir uma revisão de acesso de grupos ou aplicativos.

  5. Você pode excluir automaticamente as contas do Microsoft Entra B2B de usuários convidados como parte de uma revisão de acesso quando estiver configurando uma revisão de acesso para Selecionar Equipe + Grupos. Essa opção não está disponível para Todos os grupos do Microsoft 365 com usuários convidados.

Screenshot showing page to create access review.

Para fazer isso, selecione Aplicar automaticamente os resultados ao recurso, pois isso removerá automaticamente o usuário do recurso. Se o revisor não responder, a opção deverá ser definida como Remover acesso e a Ação a ser aplicada aos usuários convidados negados também deverá ser definida como Bloquear a entrada por 30 dias e depois remover o usuário do locatário.

Isso bloqueará imediatamente a entrada na conta de usuário convidado e excluirá automaticamente a conta dele do Microsoft Entra B2B após 30 dias.

Próximas etapas