Gerir o acesso a aplicações e recursos com grupos do Azure Active DirectoryManage app and resource access using Azure Active Directory groups

O Azure Ative Directory (Azure AD) permite-lhe utilizar grupos para gerir o acesso às suas aplicações baseadas na nuvem, aplicações no local e nos seus recursos.Azure Active Directory (Azure AD) lets you use groups to manage access to your cloud-based apps, on-premises apps, and your resources. Os seus recursos podem fazer parte da organização Azure AD, tais como permissões para gerir objetos através de funções em AZure AD, ou externas à organização, tais como para aplicações de Software como um Serviço (SaaS), serviços Azure, sites SharePoint e recursos no local.Your resources can be part of the Azure AD organization, such as permissions to manage objects through roles in Azure AD, or external to the organization, such as for Software as a Service (SaaS) apps, Azure services, SharePoint sites, and on-premises resources.

Nota

No portal Azure, pode ver alguns grupos cujos detalhes de adesão e grupo não consegue gerir no portal:In the Azure portal, you can see some groups whose membership and group details you can't manage in the portal:

  • Grupos sincronizados a partir de diretório ativo no local só podem ser geridos no ative directy no local.Groups synced from on-premises Active Directory can be managed only in on-premises Active Directory.
  • Outros tipos de grupo, tais como listas de distribuição e grupos de segurança via correio, são geridos apenas no Centro de Administração Exchange ou no Centro de Administração microsoft 365.Other group types such as distribution lists and mail-enabled security groups are managed only in Exchange admin center or Microsoft 365 admin center. Tem de iniciar sôms no Centro de Administração Exchange ou no Centro de Administração microsoft 365 para gerir estes grupos.You must sign in to Exchange admin center or Microsoft 365 admin center to manage these groups.

Como funciona a gestão de acessos em Azure ADHow access management in Azure AD works

O Azure AD ajuda-o a dar acesso aos recursos da sua organização, fornecendo direitos de acesso a um único utilizador ou a todo um grupo Azure AD.Azure AD helps you give access to your organization's resources by providing access rights to a single user or to an entire Azure AD group. A utilização de grupos permite que o proprietário do recurso (ou o proprietário do diretório do Azure AD) atribua um conjunto de permissões de acesso a todos os membros do grupo, em vez de ter de fornecer os direitos um a um.Using groups lets the resource owner (or Azure AD directory owner), assign a set of access permissions to all the members of the group, instead of having to provide the rights one-by-one. O titular do recurso ou do diretório também pode dar direitos de gestão para a lista de membros a outra pessoa, como um gerente de departamento ou um administrador da Helpdesk, permitindo que essa pessoa adicione e remova membros, conforme necessário.The resource or directory owner can also give management rights for the member list to someone else, such as a department manager or a Helpdesk administrator, letting that person add and remove members, as needed. Para obter mais informações sobre como gerir os proprietários do grupo, consulte Gerir os proprietários do grupoFor more information about how to manage group owners, see Manage group owners

Diagrama da gestão de acesso no Azure Active Directory

Formas de atribuir direitos de acessoWays to assign access rights

Existem quatro formas de atribuir direitos de acesso a recursos aos seus utilizadores:There are four ways to assign resource access rights to your users:

  • Atribuição direta.Direct assignment. O titular do recurso atribui diretamente o utilizador ao recurso.The resource owner directly assigns the user to the resource.

  • Missão de grupo.Group assignment. O proprietário do recurso atribui um grupo AD Azure ao recurso, que automaticamente dá acesso a todos os membros do grupo ao recurso.The resource owner assigns an Azure AD group to the resource, which automatically gives all of the group members access to the resource. A adesão ao grupo é gerida tanto pelo proprietário do grupo como pelo proprietário do recurso, permitindo que o proprietário adicione ou remova os membros do grupo.Group membership is managed by both the group owner and the resource owner, letting either owner add or remove members from the group. Para obter mais informações sobre a adição ou remoção da adesão ao grupo, consulte Como: Adicionar ou remover um grupo de outro grupo utilizando o portal Azure Ative Directory.For more information about adding or removing group membership, see How to: Add or remove a group from another group using the Azure Active Directory portal.

  • Atribuição baseada em regras.Rule-based assignment. O proprietário do recurso cria um grupo e utiliza uma regra para definir quais os utilizadores que são atribuídos a um recurso específico.The resource owner creates a group and uses a rule to define which users are assigned to a specific resource. A regra baseia-se em atributos atribuídos a utilizadores individuais.The rule is based on attributes that are assigned to individual users. O titular do recurso gere a regra, determinando quais os atributos e valores necessários para permitir o acesso ao recurso.The resource owner manages the rule, determining which attributes and values are required to allow access the resource. Para obter mais informações, consulte Criar um grupo dinâmico e verificar o estado.For more information, see Create a dynamic group and check status.

    Também pode ver este pequeno vídeo para obter uma explicação rápida sobre a criação e utilização de grupos dinâmicos:You can also Watch this short video for a quick explanation about creating and using dynamic groups:

  • Atribuição de autoridade externa.External authority assignment. O acesso provém de uma fonte externa, como um diretório no local ou uma aplicação SaaS.Access comes from an external source, such as an on-premises directory or a SaaS app. Nesta situação, o titular do recurso designa um grupo para fornecer acesso ao recurso e, em seguida, a fonte externa gere os membros do grupo.In this situation, the resource owner assigns a group to provide access to the resource and then the external source manages the group members.

    Descrição geral do diagrama de gestão de acesso

Os utilizadores podem juntar-se a grupos sem serem designados?Can users join groups without being assigned?

O proprietário do grupo pode permitir que os utilizadores encontrem os seus próprios grupos para aderir, em vez de atribuí-los.The group owner can let users find their own groups to join, instead of assigning them. O proprietário também pode configurar o grupo para aceitar automaticamente todos os utilizadores que aderirem ou exigirem aprovação.The owner can also set up the group to automatically accept all users that join or to require approval.

Após um pedido de acesso a um grupo, o pedido é reencaminhado para o proprietário do grupo.After a user requests to join a group, the request is forwarded to the group owner. Se for necessário, o proprietário pode aprovar o pedido e o utilizador é notificado da adesão ao grupo.If it's required, the owner can approve the request and the user is notified of the group membership. No entanto, se tiver vários proprietários e um deles não aprovar, o utilizador é notificado, mas não é adicionado ao grupo.However, if you have multiple owners and one of them disapproves, the user is notified, but isn't added to the group. Para obter mais informações e instruções sobre como permitir que os seus utilizadores solicitem aderir a grupos, consulte Configurar AZure AD para que os utilizadores possam solicitar para se juntarem a gruposFor more information and instructions about how to let your users request to join groups, see Set up Azure AD so users can request to join groups

Passos seguintesNext steps

Agora que tem uma pequena introdução à gestão de acessos usando grupos, começa a gerir os seus recursos e apps.Now that you have a bit of an introduction to access management using groups, you start to manage your resources and apps.