Gerir o acesso de convidado com as revisões de acesso

  • Artigo

Com as revisões de acesso, você pode habilitar facilmente a colaboração entre os limites organizacionais usando o recurso B2B do Microsoft Entra. Usuários convidados de outros locatários podem ser convidados por administradores ou por outros usuários. Esse recurso também se aplica a identidades sociais, como contas da Microsoft.

Você também pode facilmente garantir que os usuários convidados tenham acesso apropriado. Pode pedir aos próprios hóspedes ou a um decisor que participem numa avaliação de acesso e recertifiquem (ou atestem) o acesso dos hóspedes. Os revisores podem dar sua opinião sobre a necessidade de acesso contínuo de cada usuário, com base em sugestões do Microsoft Entra ID. Quando uma avaliação de acesso estiver concluída, você poderá fazer alterações e remover o acesso para os hóspedes que não precisam mais dela.

Nota

Este documento se concentra em revisar o acesso dos usuários convidados. Se quiser rever o acesso de todos os utilizadores, e não apenas dos convidados, veja Gerir o acesso do utilizador com revisões de acesso. Se quiser rever a associação dos utilizadores a funções administrativas, como a de administrador global, veja Iniciar uma revisão de acesso no Microsoft Entra Privileged Identity Management.

Pré-requisitos

  • Governança do Microsoft Entra ID P2 ou Microsoft Entra ID

Para obter mais informações, Requisitos de licença.

Criar e realizar uma avaliação de acesso para hóspedes

Primeiro, você deve receber uma das seguintes funções:

  • Administrador Global
  • Administrador de usuários
  • (Pré-visualização) Microsoft 365 ou Microsoft Entra Security Group proprietário do grupo a ser revisado

Em seguida, vá para a página Governança de Identidade para garantir que as revisões de acesso estejam prontas para sua organização.

O Microsoft Entra ID permite vários cenários para revisar usuários convidados.

Pode rever:

  • Um grupo no Microsoft Entra ID que tem um ou mais convidados como membros.
  • Um aplicativo conectado ao Microsoft Entra ID que tem um ou mais usuários convidados atribuídos a ele.

Ao analisar o acesso de usuários convidados a grupos do Microsoft 365, você pode criar uma revisão para cada grupo individualmente ou ativar revisões de acesso automáticas e recorrentes de usuários convidados em todos os grupos do Microsoft 365. O vídeo a seguir fornece mais informações sobre avaliações de acesso recorrente de usuários convidados:

Em seguida, pode decidir se pede a cada hóspede que reveja o seu próprio acesso ou se pede a um ou mais utilizadores que revejam o acesso de cada hóspede.

Esses cenários são abordados nas seções a seguir.

Peça aos hóspedes que revejam a sua própria participação num grupo

Você pode usar as revisões de acesso para garantir que os usuários que foram convidados e adicionados a um grupo continuem a precisar de acesso. Pode pedir facilmente aos hóspedes que revejam a sua própria participação nesse grupo.

  1. Para criar uma revisão de acesso para o grupo, selecione a avaliação para incluir apenas membros de usuários convidados e que os membros revisem a si mesmos. Para obter mais informações, consulte Criar uma revisão de acesso de grupos ou aplicativos.

  2. Peça a cada hóspede que reveja a sua própria subscrição. Por padrão, cada convidado que aceitou um convite recebe um e-mail da ID do Microsoft Entra com um link para a revisão de acesso. O Microsoft Entra ID tem instruções para os hóspedes sobre como rever o acesso a grupos ou aplicações.

  3. Depois de os revisores darem o respetivo parecer, pare a revisão de acesso e aplique as alterações. Para obter mais informações, consulte Concluir uma revisão de acesso de grupos ou aplicativos.

  4. Além dos usuários que negaram sua própria necessidade de acesso contínuo, você também pode remover usuários que não responderam. Os usuários que não respondem potencialmente não recebem mais e-mails.

  5. Se o grupo não for usado para gerenciamento de acesso, você também poderá remover usuários que não foram selecionados para participar da avaliação porque não aceitaram o convite. Não aceitar pode indicar que o endereço de e-mail do usuário convidado teve um erro de digitação. Se um grupo for usado como uma lista de distribuição, talvez alguns usuários convidados não tenham sido selecionados para participar porque são objetos de contato.

Pedir a um utilizador autorizado para rever a participação de um hóspede num grupo

Pode pedir a um utilizador autorizado, como o proprietário de um grupo, que analise a necessidade de um hóspede continuar a ser membro de um grupo.

  1. Para criar uma revisão de acesso para o grupo, selecione-a para incluir apenas membros de usuários convidados. Em seguida, especifique um ou mais revisores. Para obter mais informações, consulte Criar uma revisão de acesso de grupos ou aplicativos.

  2. Peça aos revisores para darem o seu parecer. Por padrão, cada um deles recebe um e-mail do Microsoft Entra ID com um link para o painel de acesso, onde analisam o acesso a grupos ou aplicativos.

  3. Depois de os revisores darem o respetivo parecer, pare a revisão de acesso e aplique as alterações. Para obter mais informações, consulte Concluir uma revisão de acesso de grupos ou aplicativos.

Peça aos hóspedes que revejam o seu próprio acesso a uma aplicação

Você pode usar as revisões de acesso para garantir que os usuários que foram convidados para um aplicativo específico continuem a precisar de acesso. Pode facilmente pedir aos próprios hóspedes que revejam a sua própria necessidade de acesso.

  1. Para criar uma revisão de acesso para o aplicativo, selecione-a para incluir apenas convidados e que os usuários revisem seu próprio acesso. Para obter mais informações, consulte Criar uma revisão de acesso de grupos ou aplicativos.

  2. Peça a cada hóspede que reveja o seu próprio acesso à aplicação. Por padrão, cada convidado que aceitou um convite recebe um email do Microsoft Entra ID. Esse e-mail tem um link para a revisão de acesso no painel de acesso da sua organização. O Microsoft Entra ID tem instruções para os hóspedes sobre como rever o acesso a grupos ou aplicações.

  3. Depois de os revisores darem o respetivo parecer, pare a revisão de acesso e aplique as alterações. Para obter mais informações, consulte Concluir uma revisão de acesso de grupos ou aplicativos.

  4. Além dos usuários que negaram sua própria necessidade de acesso contínuo, você também pode remover usuários convidados que não responderam. Os usuários que não respondem potencialmente não recebem mais e-mails. Você também pode remover usuários convidados que não foram selecionados para participar, especialmente se eles não foram convidados recentemente. Esses usuários não aceitaram o convite e, portanto, não tiveram acesso ao aplicativo.

Pedir a um utilizador autorizado para rever o acesso de um hóspede a uma aplicação

Você pode pedir a um usuário autorizado, como o proprietário de um aplicativo, que analise a necessidade do hóspede de acesso contínuo ao aplicativo.

  1. Para criar uma avaliação de acesso para o aplicativo, selecione-a para incluir apenas convidados. Em seguida, especifique um ou mais usuários como revisores. Para obter mais informações, consulte Criar uma revisão de acesso de grupos ou aplicativos.

  2. Peça aos revisores para darem o seu parecer. Por padrão, cada um deles recebe um e-mail do Microsoft Entra ID com um link para o painel de acesso, onde analisam o acesso a grupos ou aplicativos.

  3. Depois de os revisores darem o respetivo parecer, pare a revisão de acesso e aplique as alterações. Para obter mais informações, consulte Concluir uma revisão de acesso de grupos ou aplicativos.

Peça aos hóspedes que revejam a sua necessidade de acesso, em geral

Em algumas organizações, os hóspedes podem não estar cientes de suas associações de grupo.

Nota

As versões anteriores do portal não permitiam o acesso administrativo dos usuários com o UserType of Guest. Em alguns casos, um administrador em seu diretório pode ter alterado o valor UserType de um convidado para Membro usando o PowerShell. Se essa alteração ocorreu anteriormente no diretório, a consulta anterior pode não incluir todos os usuários convidados que historicamente tinham direitos de acesso administrativo. Nesse caso, você precisa alterar o UserType do convidado ou incluí-lo manualmente na associação do grupo.

  1. Crie um grupo de segurança no Microsoft Entra ID com os convidados como membros, se ainda não existir um grupo adequado. Por exemplo, você pode criar um grupo com uma associação de convidados mantida manualmente. Ou, você pode criar um grupo dinâmico com um nome como "Convidados da Contoso" para usuários no locatário da Contoso que tenham o valor do atributo UserType de Convidado. Para maior eficiência, certifique-se de que o grupo é predominantemente convidado - não selecione um grupo que tenha usuários membros, pois os usuários membros não precisam ser revisados. Além disso, lembre-se de que um usuário convidado que seja membro do grupo pode ver os outros membros do grupo.

  2. Para criar uma revisão de acesso para esse grupo, selecione os revisores para serem os próprios membros. Para obter mais informações, consulte Criar uma revisão de acesso de grupos ou aplicativos.

  3. Peça a cada hóspede que reveja a sua própria subscrição. Por padrão, cada convidado que aceitou um convite recebe um email do Microsoft Entra ID com um link para a revisão de acesso no painel de acesso da sua organização. O Microsoft Entra ID tem instruções para os hóspedes sobre como rever o acesso a grupos ou aplicações. Os hóspedes que não aceitaram o convite aparecem nos resultados da avaliação como "Não notificados".

  4. Depois que os revisores derem entrada, interrompa a revisão de acesso. Para obter mais informações, consulte Concluir uma revisão de acesso de grupos ou aplicativos.

  5. Você pode excluir automaticamente as contas B2B do Microsoft Entra de usuários convidados como parte de uma revisão de acesso ao configurar uma revisão do Access para Selecionar Equipe + Grupos. Esta opção não está disponível para Todos os grupos do Microsoft 365 com utilizadores convidados.

Screenshot showing page to create access review.

Para fazer isso, selecione Aplicar automaticamente os resultados ao recurso , pois isso removerá automaticamente o usuário do recurso. Se o revisor não responder , deve ser definido como Remover acesso e Ação a ser aplicada em usuários convidados negados também deve ser definida como Bloquear de entrar por 30 dias e, em seguida, remover usuário do locatário.

Isso bloqueará imediatamente o login na conta de usuário convidado e, em seguida, excluirá automaticamente sua conta Microsoft Entra B2B após 30 dias.

Próximos passos