Gerenciar o acesso a um aplicativo

  • Artigo

Gerenciamento de acesso contínuo, avaliação de uso e relatórios continuam a ser um desafio depois que um aplicativo é integrado ao sistema de identidade da sua organização. Em muitos casos, os administradores de TI ou a assistência técnica deve ter uma função ativa contínua no gerenciamento de acesso aos seus aplicativos. Às vezes, a atribuição é executada por uma equipe de TI geral ou de divisão. Frequentemente, a decisão de atribuição deve ser delegada ao tomador de decisões comerciais, exigindo sua aprovação antes de a TI fazer a atribuição.

Outras organizações investem na integração com um sistema de gerenciamento automatizado de identidade e acesso existente, como RBAC (controle de acesso baseado em função) ou ABAC (controle de acesso baseado em atributos). A integração e o desenvolvimento de regras tendem a ser especializados e caros. Em cada abordagem de gerenciamento, monitoramento e relatórios exigem um investimento separado, caro e complexo.

Como o Microsoft Entra ID ajuda?

O Microsoft Entra ID oferece suporte a gerenciamento de acesso abrangente para aplicativos configurados, permitindo que as organizações obtenham facilmente as políticas de acesso corretas desde a atribuição automática, com base em atributo (cenários de ABAC ou RBAC) por meio da delegação e incluindo gerenciamento de administradores. Com o Microsoft Entra ID, você pode facilmente obter políticas complexas, combinando vários modelos de gerenciamento de um único aplicativo e pode até reutilizar regras de gerenciamento entre aplicativos com o mesmo público.

Com o Microsoft Entra ID, relatórios de atribuição e uso são totalmente integrados, permitindo que os administradores facilmente criem relatórios sobre estado da atribuição, erros de atribuição e até mesmo uso.

Atribuição de usuários e grupos a um aplicativo

A atribuição de aplicativo do Microsoft Entra se concentra em dois modos de atribuição principais:

  • Atribuição individual Um administrador de TI com permissões de Administrador Global de diretório pode selecionar as contas de usuário individuais e conceder a elas acesso ao aplicativo.

  • Atribuição baseada em grupo (requer o Microsoft Entra ID P1 ou P2) Um administrador de TI com permissões de Administrador Global de diretório pode atribuir um grupo ao aplicativo. O acesso de usuários específicos é determinado dependendo se eles são membros do grupo no momento em que tenta acessar o aplicativo. Em outras palavras, um administrador pode efetivamente criar uma regra de atribuição informando que "qualquer membro atual do grupo atribuído tem acesso ao aplicativo". Usando essa opção de atribuição, os administradores podem se beneficiar de qualquer uma das opções de gerenciamento de grupo do Microsoft Entra, incluindo grupos dinâmicos baseados em atributo, grupos de sistema externo (por exemplo, Active Directory local ou Workday) ou grupos gerenciados de autoatendimento ou gerenciados pelo administrador. Um único grupo pode ser atribuído facilmente a vários aplicativos, garantindo que os aplicativos com afinidade de atribuição possam compartilhar as regras de atribuição, reduzindo a complexidade do gerenciamento geral.

    Observação

    Associações de grupo aninhadas não têm suporte para atribuição com base em grupo para aplicativos atualmente.

Usando esses dois modos de atribuição, os administradores podem obter qualquer abordagem de gerenciamento de atribuição desejada.

Exigência de atribuição de usuário a um aplicativo

Com determinados tipos de aplicativos, você tem a opção de exigir que os usuários sejam atribuídos ao aplicativo. Se fizer isso, você impede qualquer usuário de fazer logon, exceto os usuários atribuídos explicitamente ao aplicativo. Os seguintes tipos de aplicativos dão suporte a essa opção:

  • Aplicativos configurados para logon único (SSO) federado com autenticação baseada em SAML
  • Aplicativos de Proxy de Aplicativo que usam a Pré-Autenticação do Microsoft Entra
  • Aplicativos criados na plataforma de aplicativos do Microsoft Entra que usam a autenticação OAuth 2.0/OpenID Connect depois que um usuário ou administrador autoriza o aplicativo. Determinados aplicativos empresariais oferecem mais controle sobre quem tem permissão para entrar.

Quando a atribuição de usuário é necessária, somente aqueles atribuídos ao aplicativo (por meio da atribuição de usuário direta ou com base na associação de grupo) poderão entrar. Eles podem acessar o aplicativo na portal Meus Aplicativos ou usando um link direto.

Quando a atribuição de usuário não é necessária, os usuários não atribuídos não veem o aplicativo em Meus Aplicativos, mas ainda podem entrar no aplicativo (também conhecido como logon iniciado pelo SP) ou usar a URL de acesso do usuário na página Propriedades do aplicativo (também conhecido como logon iniciado pelo IDP). Para obter mais informações sobre como exigir configurações de atribuição de usuário, consulte Configurar um aplicativo

Essa configuração não interfere na exibição de um aplicativo no painel Meus Aplicativos. Os aplicativos aparecem nos painéis de acesso Meus Aplicativos dos usuários depois que você atribuiu um usuário ou grupo ao aplicativo.

Observação

Quando um aplicativo exige atribuição, o consentimento do usuário não é permitido para esse aplicativo. Isso é verdadeiro mesmo que o consentimento do usuário para esse aplicativo tenha sido permitido de outra forma. Lembre-se de conceder consentimento do administrador em todo o locatário aos aplicativos que exigem atribuição.

Para alguns aplicativos, a opção de exigir a atribuição de usuário não está disponível entre as propriedades do aplicativo. Nesses casos, use o PowerShell para definir a propriedade appRoleAssignmentRequired na entidade de serviço.

Determinação da experiência do usuário para acessar aplicativos

O Microsoft Entra ID fornece várias maneiras personalizáveis de implantar aplicativos para usuários finais em sua organização:

  • Meus Aplicativos do Microsoft Entra
  • Iniciador de aplicativos do Microsoft 365
  • Logon direto a aplicativos federados (provedor de serviços)
  • Links profundos a aplicativos federados, baseado em senha, ou existentes

Você pode determinar se os usuários atribuídos a um aplicativo empresarial podem vê-lo em Meus Aplicativos e no iniciador de aplicativos Microsoft 365.

Exemplo: atribuição de aplicativo complexo com o Microsoft Entra ID

Considere um aplicativo como o Salesforce. Em muitas organizações, o Salesforce é usado principalmente pelas equipes de marketing e vendas. Geralmente, membros da equipe de marketing têm acesso altamente privilegiado ao Salesforce, enquanto os membros da equipe de vendas têm acesso limitado. Em muitos casos, uma grande população de operadores de informações tem acesso restrito ao aplicativo. Exceções a essas regras complicam as coisas. Geralmente é privilégio das equipes de liderança de marketing ou vendas conceder acesso a um usuário ou alterar suas funções independentemente dessas regras genéricas.

Com o Microsoft Entra ID, aplicativos como o Salesforce podem ser pré-configurados para logon único (SSO) e provisionamento automatizado. Quando o aplicativo é configurado, um administrador pode realizar a ação única de criar e atribuir os grupos apropriados. Neste exemplo, um administrador pode executar as atribuições a seguir:

  • grupos dinâmicos podem ser definidos para representar automaticamente todos os membros das equipes de marketing e vendas usando atributos como o departamento ou a função:

    • Todos os membros de grupos de marketing seriam atribuídos à função de "marketing" no Salesforce
    • Todos os membros dos grupos da equipe de vendas seriam atribuídos à função de "vendas" no Salesforce. Um ajuste adicional poderia usar vários grupos que representam equipes de vendas regionais que são atribuídos a funções diferentes no Salesforce.

  • Para habilitar o mecanismo de exceção, um grupo de autoatendimento poderia ser criado para cada função. Por exemplo, o grupo "exceção de marketing do Salesforce" pode ser criado como um grupo de autoatendimento. O grupo pode ser atribuído à função de marketing do Salesforce e a equipe de liderança de marketing pode ser definida como proprietária. Membros da equipe de liderança de marketing podem adicionar ou remover usuários, definir uma política de associação ou até mesmo aprovar ou negar as solicitações de usuários individuais para ingressar. Este mecanismo é suportado por meio de uma experiência adequada ao operador de informações que não exige treinamento especializado para os proprietários ou membros.

Nesse caso, todos os usuários atribuídos seriam provisionados automaticamente para o Salesforce. À medida que são adicionados a grupos diferentes, sua atribuição de função é atualizada no Salesforce. Os usuários poderiam descobrir e acessar o Salesforce por meio de Meus Aplicativos, clientes do Office na Web ou até mesmo navegando para sua página de logon organizacional do Salesforce. Os administradores poderiam exibir facilmente o status de atribuição e uso usando os relatórios do Microsoft Entra.

Os administradores podem usar o Acesso Condicional do Microsoft Entra para definir políticas de acesso para funções específicas. Em vários casos, essas políticas podem indicar se o acesso é permitido fora do ambiente corporativo e até mesmo incluir requisitos de dispositivo ou autenticação multifator para obter o acesso.

Acesso a aplicativos Microsoft

Os aplicativos Microsoft (como Exchange, SharePoint, Yammer etc.) são atribuídos e gerenciados de forma um pouco diferente dos aplicativos SaaS de terceiros ou outros aplicativos que você integra com o Microsoft Entra ID para o logon único.

Há três principais maneiras que um usuário pode obter acesso a um aplicativo publicado Microsoft.

  • Para aplicativos no Microsoft 365 ou em outros conjuntos de aplicativos pagos, os usuários têm acesso através de atribuição de licença diretamente à sua conta de usuário ou através de um grupo que usa nosso recurso de atribuição de licenças baseada em grupo.

  • Para aplicativos que a Microsoft ou terceiros publicam livremente para uso de qualquer pessoa, os usuários podem ter o acesso concedido através do consentimento do usuário. Isso significa que o usuário se conecta ao aplicativo usando a conta corporativa ou de estudante do Microsoft Entra e permite acesso a um conjunto limitado de dados em sua conta.

  • Para aplicativos que a Microsoft ou terceiros publicam livremente para uso de qualquer pessoa, os usuários também podem ter o acesso concedido através do consentimento do administrador. Isso significa que um administrador determinou que o aplicativo pode ser usado por todos na organização, portanto, entram no aplicativo com uma conta de Administrador Global e concedem acesso a todos na organização.

Alguns aplicativos combinam esses métodos. Por exemplo, alguns aplicativos Microsoft fazem parte de uma assinatura do Microsoft 365, mas ainda exigem consentimento.

Os usuários podem acessar aplicativos do Microsoft 365 através de seus portais do Office 365. Você também pode mostrar ou ocultar aplicativos do Microsoft 365 em Meus Aplicativos com a Alternância de visibilidade do Office 365 nas Configurações de usuário do seu diretório.

Assim como é feito com os aplicativos empresariais, você pode atribuir usuários a determinados aplicativos Microsoft através do centro de administração do Microsoft Entra ou usando o PowerShell.

Próximas etapas