Share via

Solucionar problemas de gerenciamento de direitos

  • Artigo

Este artigo descreve alguns itens que você deve verificar para ajudá-lo a solucionar problemas de gerenciamento de direitos.

Administração

  • Se você receber uma mensagem de acesso negado ao configurar o gerenciamento de direitos e for um administrador Global, verifique se seu diretório tem uma licença do Microsoft Entra ID P2 ou do Microsoft Entra ID Governance (ou EMS E5). Se você renovou recentemente uma assinatura expirada do Microsoft Entra ID P2 ou do Microsoft Entra ID Governance, pode levar 8 horas para que essa renovação de licença fique visível.

  • Se a licença Microsoft Entra ID P2 ou Microsoft Entra ID Governance do seu locatário tiver expirado, você não poderá processar novas solicitações de acesso ou realizar revisões de acesso.

  • Se você receber uma mensagem de acesso negado ao criar ou exibir pacotes de acesso e for membro de um grupo de criadores de catálogo, deverá criar um catálogo antes de criar seu primeiro pacote de acesso.

Recursos

  • As funções para aplicativos são definidas pelo próprio aplicativo e são gerenciadas no Microsoft Entra ID. Se um aplicativo não tiver nenhuma função de recurso, o gerenciamento de direitos atribuirá os usuários a uma função de Acesso Padrão.

    O centro de administração do Microsoft Entra também pode mostrar entidades de serviço para serviços que não podem ser selecionados como aplicativos. Em particular, o Exchange Online e o SharePoint Online são serviços, não aplicativos que têm funções de recurso no diretório, portanto, não podem ser incluídos em um pacote de acesso. Em vez disso, utilize um licenciamento baseado em grupos para estabelecer uma licença adequada para um utilizador que necessite de acesso a esses serviços.

  • Os aplicativos que oferecem suporte apenas a usuários da Conta Pessoal da Microsoft para autenticação e não oferecem suporte a contas organizacionais em seu diretório, não têm funções de aplicativo e não podem ser adicionados aos catálogos de pacotes de acesso.

  • Para que um grupo seja um recurso em um pacote de acesso, ele deve ser capaz de ser modificável no Microsoft Entra ID. Os grupos originários de um Ative Directory local não podem ser atribuídos como recursos porque seus atributos de proprietário ou membro não podem ser alterados na ID do Microsoft Entra. Os grupos originários do Exchange Online como grupos de distribuição também não podem ser modificados na ID do Microsoft Entra.

  • As bibliotecas de documentos e documentos individuais do SharePoint Online não podem ser adicionados como recursos. Em vez disso, crie um grupo de segurança do Microsoft Entra, inclua esse grupo e uma função de site no pacote de acesso e, no SharePoint Online, use esse grupo para controlar o acesso à biblioteca de documentos ou ao documento.

  • Se existirem utilizadores que já tenham sido atribuídos a um recurso que quer gerir com um pacote de acesso, confirme que os utilizadores são atribuídos ao pacote de acesso com uma política adequada. Por exemplo, poderá incluir um grupo num pacote de acesso que já tenha utilizadores nesse grupo. Caso esses utilizadores no grupo necessitem de acesso contínuo, têm de ter uma política adequada para os pacotes de acesso para que não percam o acesso ao grupo. Pode atribuir o pacote de acesso ao solicitar que os utilizadores façam o pedido do pacote de acesso que contém esse recurso ou ao atribuir-lhes diretamente o pacote de acesso. Para obter mais informações, consulte Alterar configurações de solicitação e aprovação de um pacote de acesso.

  • Quando você remove um membro de uma equipe, ele também é removido do Grupo Microsoft 365. A remoção da funcionalidade de chat da equipa poderá ser atrasada. Para obter mais informações, consulte Associação de grupo.

Pacotes de acesso

  • Se tentar eliminar um pacote ou uma política de acesso e vir uma mensagem de erro a dizer que existem atribuições ativas, se não vir nenhum utilizador com atribuições, verifique se algum utilizador recentemente eliminado ainda tem atribuições. Durante o período de 30 dias após a eliminação de um utilizador, é possível restaurar a conta de utilizador.

Utilizadores externos

  • Quando um usuário externo quiser solicitar acesso a um pacote de acesso, verifique se ele está usando o link do portal Meu Acesso para o pacote de acesso. Para obter mais informações, consulte Compartilhar link para solicitar um pacote de acesso. Se um usuário externo apenas visitar myaccess.microsoft.com e não usar o link completo do portal Meu Acesso, ele verá os pacotes de acesso disponíveis para ele em sua própria organização e não em sua organização.

  • Se um usuário externo não puder solicitar acesso a um pacote de acesso ou não conseguir acessar recursos, verifique suas configurações para usuários externos.

  • Se um novo usuário externo que não tenha assinado anteriormente em seu diretório receber um pacote de acesso, incluindo um site do SharePoint Online, seu pacote de acesso será exibido como não totalmente entregue até que sua conta seja provisionada no SharePoint Online. Para obter mais informações sobre configurações de compartilhamento, consulte Revisar suas configurações de compartilhamento externo do SharePoint Online.

Pedidos do

  • Quando um usuário quiser solicitar acesso a um pacote de acesso, certifique-se de que ele esteja usando o link do portal Meu Acesso para o pacote de acesso. Para obter mais informações, consulte Compartilhar link para solicitar um pacote de acesso.

  • Se abrir o portal Os Meus Acessos com o browser definido como modo privado ou incógnito, tal poderá entrar em conflito com o comportamento de início de sessão. Recomendamos que não utilize o modo privado ou de navegação anónima para o seu browser quando visita o portal O Meu Acesso.

  • Quando um usuário que ainda não está em seu diretório entrar no portal Meu Acesso para solicitar um pacote de acesso, certifique-se de que ele se autentique usando sua conta organizacional. A conta profissional pode ser uma conta no diretório de recursos ou num diretório incluído numa das políticas do pacote de acesso. Se a conta do usuário não for uma conta organizacional ou se o diretório onde eles se autenticam não estiver incluído na política, o usuário não verá o pacote de acesso. Para obter mais informações, consulte Solicitar acesso a um pacote de acesso.

  • Se um usuário for impedido de entrar no diretório de recursos, ele não poderá solicitar acesso no portal Meu Acesso. Para o utilizador poder pedir acesso, tem de remover o bloqueio de início de sessão no perfil do utilizador. Para remover o bloco de início de sessão, no centro de administração do Microsoft Entra, selecione Identidade, selecione Utilizadores, selecione o utilizador e, em seguida, selecione Perfil. Edite a secção Definições e altere Bloquear início de sessão para Não. Para obter mais informações, consulte Adicionar ou atualizar as informações de perfil de um usuário usando a ID do Microsoft Entra. Você também pode verificar se o usuário foi bloqueado devido a uma política de Proteção de Identidade.

  • No portal Meu Acesso, se um usuário for um solicitante e um aprovador, ele não verá sua solicitação de um pacote de acesso na página Aprovações. Esse comportamento é intencional - um usuário não pode aprovar sua própria solicitação. Certifique-se de que o pacote de acesso que eles estão solicitando tenha aprovadores adicionais configurados na política. Para obter mais informações, consulte Alterar configurações de solicitação e aprovação de um pacote de acesso.

Ver os erros de entrega de um pedido

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.

    Gorjeta

    Outras funções de menor privilégio que podem concluir essa tarefa incluem o proprietário do catálogo, o gerenciador de pacotes do Access e o gerenciador de atribuições de pacotes do Access.

  2. Navegue até Governança de>identidade, Gerenciamento de direitos,>Pacotes de acesso.

  3. Selecione Solicitações.

  4. Selecione a solicitação que deseja visualizar.

    Se a solicitação tiver algum erro de entrega, o status da solicitação será Não entregue ou Parcialmente entregue.

    Se houver erros de entrega, uma contagem de erros de entrega será exibida no painel de detalhes da solicitação.

  5. Selecione a contagem para ver todos os erros de entrega da solicitação.

Reprocessar um pedido

Se um erro for atendido depois de disparar uma solicitação de reprocessamento de pacote de acesso, você deverá aguardar enquanto o sistema reprocessa a solicitação. O sistema tenta várias vezes reprocessar por várias horas, para que você não possa forçar o reprocessamento durante esse tempo.

Só pode reprocessar um pedido que tenha um estado de Entrega falhada ou Parcialmente entregue e uma data de conclusão inferior a uma semana. Caso contrário, o botão de reprocessamento ficaria acinzentado.

Botão Reprocessar acinzentado

  • Se o erro for corrigido durante a janela de avaliações, o status da solicitação mudará para Entrega. A solicitação será reprocessada sem ações adicionais do usuário.

  • Se o erro não foi corrigido durante a janela de avaliações, o status da solicitação pode ser Falha na entrega ou entrega parcial. Em seguida, você pode usar o botão de reprocessamento . Você terá sete dias para reprocessar a solicitação.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.

    Gorjeta

    Outras funções de menor privilégio que podem concluir essa tarefa incluem o proprietário do catálogo, o gerenciador de pacotes do Access e o gerenciador de atribuições de pacotes do Access.

  2. Navegue até Governança de>identidade Gerenciamento de direitos Pacotes> de acesso para abrir um pacote de acesso.

  3. Selecione Solicitações.

  4. Selecione a solicitação que deseja reprocessar.

  5. No painel de detalhes da solicitação, selecione Reprocessar solicitação.

    Reprocessar uma solicitação com falha

Cancelar um pedido pendente

Só pode cancelar um pedido pendente que ainda não tenha sido entregue ou cuja entrega tenha falhado. Caso contrário, o botão cancelar ficaria acinzentado.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.

    Gorjeta

    Outras funções de menor privilégio que podem concluir essa tarefa incluem o proprietário do catálogo, o gerenciador de pacotes do Access e o gerenciador de atribuições de pacotes do Access.

  2. Navegue até Governança de>identidade Gerenciamento de direitos Pacotes> de acesso para abrir um pacote de acesso.

  3. Selecione Solicitações.

  4. Selecione a solicitação que deseja cancelar.

  5. No painel de detalhes da solicitação, selecione Cancelar solicitação.

Políticas de atribuição automática

  • Cada política de atribuição automática pode incluir no máximo 5000 usuários no escopo de sua regra. Não pode ser atribuído acesso a utilizadores adicionais no âmbito da regra.

Várias políticas

  • O gerenciamento de direitos segue as melhores práticas de privilégios mínimos. Quando um usuário solicita acesso a um pacote de acesso que tem várias políticas que se aplicam, o gerenciamento de direitos inclui lógica para ajudar a garantir que políticas mais rígidas ou específicas sejam priorizadas em relação às políticas genéricas. Se uma política for genérica, o gerenciamento de direitos pode não exibi-la para o solicitante ou pode selecionar automaticamente uma política mais rigorosa.

  • Por exemplo, considere um pacote de acesso com duas políticas para usuários no diretório, no qual ambas as políticas se aplicam ao solicitante. A primeira política é para usuários específicos que incluem o solicitante. A segunda política é para todos os usuários no diretório. Nesse cenário, a primeira política é selecionada automaticamente para o solicitante porque é mais rigorosa. O solicitante não tem a opção de selecionar a segunda política.

  • Quando várias políticas se aplicam, a política que é selecionada automaticamente ou as políticas que são exibidas para o solicitante é baseada na seguinte lógica de prioridade:

    Prioridade política Âmbito
    P1 Usuários e grupos específicos em seu diretório OU Organizações conectadas específicas
    P2 Todos os membros do seu diretório (excluindo convidados)
    P3 Todos os usuários em seu diretório (incluindo convidados) OU Organizações conectadas específicas
    P4 Todas as organizações conectadas configuradas OU Todos os usuários (todas as organizações conectadas + quaisquer novos usuários externos)

    Se alguma política estiver em uma categoria de prioridade mais alta, as categorias de prioridade mais baixa serão ignoradas. Para obter um exemplo de como várias políticas com a mesma prioridade são exibidas para o solicitante, consulte Selecionar uma política.

Próximos passos