Home Entra IDEntra ID – O Papel Estratégico do Governance na Gestão de Identidades

Entra ID – O Papel Estratégico do Governance na Gestão de Identidades

por Cropped josimarhedler.pngJosimar Hedler
65 visualizações 14 minutos leitura

No cenário atual de transformação digital, as empresas precisam equilibrar segurança, conformidade regulatória e experiência do usuário. Nesse contexto, a Gestão de Identidade (Identity Management) e a Governança de Identidade (Identity Governance) são pilares fundamentais para garantir que os usuários tenham acesso adequado, no momento certo, sem comprometer a segurança.

Enquanto a Gestão trata do operacional, a governança define os controles, políticas e auditorias que sustentam a conformidade e reduzem riscos. É nesse ponto que entra o Microsoft Entra ID Governance, solução que amplia o poder do Entra ID para atender às necessidades de segurança e governança modernas.

Gestão de Identidade (Identity Management)

A Gestão de Identidade cobre os processos do dia a dia que permitem que um usuário acesse os recursos da organização:

  • Criação e exclusão de contas.
  • Provisionamento e desprovisionamento de acessos.
  • Autenticação segura (MFA, biometria, etc.).
  • Single Sign-On (SSO).
  • Redefinição de senha e autoatendimento.

Governança de Identidade (Identity Governance)

A Governança de Identidade vai além, ela busca garantir que os acessos estejam alinhados com as políticas de segurança e conformidade da organização.
Principais objetivos:

  • Definir quem deve ter acesso a quê.
  • Estabelecer fluxos de aprovação e revisões periódicas.
  • Implementar acessos temporários e controlados para reduzir riscos.
  • Produzir relatórios e evidências para auditorias e normas (LGPD, ISO 27001).

Mas o que é o Microsoft Entra ID Governance?

O Microsoft Entra ID Governance é uma solução de governança de identidade que permite que as organizações melhorem a produtividade, fortaleçam a segurança e atendam mais facilmente aos requisitos normativos e de conformidade. Você pode usar a Governança de ID do Microsoft Entra para garantir automaticamente que as pessoas certas tenham o acesso certo aos recursos certos. Isso é obtido por meio da automação do processo de acesso e identidade, delegação a grupos empresariais e maior visibilidade. Com recursos na Governança de ID do Microsoft Entra e produtos relacionados da Microsoft, você pode reduzir os riscos de identidade e acesso protegendo, monitorando e auditando o acesso a ativos críticos.

Especificamente, o Microsoft Entra ID Governance ajuda as organizações a lidar com essas quatro questões chave, para acesso entre serviços e aplicativos locais e em nuvens:

  • Quais usuários devem ter acesso a quais recursos?
  • O que esses usuários estão fazendo com esse acesso?
  • Existem controles organizacionais em vigor para gerenciar o acesso?
  • Os auditores podem verificar se os controles estão funcionando efetivamente?

Com o Microsoft Entra ID Governance, você pode implementar os seguintes cenários para funcionários, parceiros de negócios e fornecedores:

  • Gerenciar o ciclo de vida da identidade
  • Gerenciar o ciclo de vida de acesso
  • Proteger o acesso privilegiado para administração

O Microsoft Entra ID Governance hoje é composto oficialmente por quatro grandes recursos principais.

Access Reviews (Revisões de Acesso)

As revisão de acesso do Microsoft Entra ID, parte do Microsoft Entra, permitem que as organizações gerenciem com eficiência as associações a grupos, o acesso a aplicativos empresariais e a atribuições de função. O acesso do usuário pode ser examinado regularmente para garantir que somente as pessoas corretas tenham acesso contínuo.

Por que as revisão de acesso são importantes?

O Microsoft Entra ID habilita você a colaborar com usuários dentro da sua organização e com usuários externos. Os usuários podem ingressar em grupos, convidar pessoas, conectar-se aos aplicativos de nuvem e trabalhar remotamente com seus dispositivos pessoais ou de trabalho. A conveniência de usar o autoatendimento levou a uma necessidade de melhores recursos de gerenciamento de acesso.

  • Conforme novos funcionários ingressam, como garantir que eles tenham o acesso de que precisam para serem produtivos?
  • Quando as pessoas mudam de equipes ou saem da empresa, como garantir que seu antigo acesso seja removido?
  • Direitos de acesso excessivos podem levar a comprometimentos.
  • O excesso de direitos de acesso também pode levar a constatações de auditoria, pois indica falta de controle sobre o acesso.
  • Você tem que se envolver proativamente com os proprietários do recurso para garantir que eles revisam regularmente quem tem acesso a seus recursos.

Quando usar revisões de acesso?

  • Muitos usuários em funções com privilégios: é recomendável verificar quantos usuários têm acesso administrativo, quantos deles são Administradores Globais e se há convidados ou parceiros que não foram removidos após a atribuição para executar uma tarefa administrativa. Você pode recertificar a atribuição de funções de usuários em funções do Microsoft Entra como Administradores Globais ou em funções de recursos do Azure como Administrador de Funções com Privilégios na experiência do Microsoft Entra Privileged Identity Management (PIM).
  • Quando a automação não é possível: você pode criar regras para grupos de associação dinâmica, grupos de segurança ou grupos do Microsoft 365, mas e se os dados de RH não estiverem no Microsoft Entra ID ou se os usuários ainda precisarem de acesso após deixar o grupo para treinar a substituição deles? Você pode então criar uma revisão nesse grupo para garantir que aqueles que ainda precisam de acesso mantenham o acesso.
  • Quando um grupo é usado para uma nova finalidade: se você tiver um grupo que será sincronizado ao Microsoft Entra ID ou se você planeja habilitar o aplicativo Salesforce para qualquer pessoa no grupo da equipe de vendas, é útil pedir ao proprietário do grupo para examinar o grupo de associação dinâmica antes de o grupo ser usado em um conteúdo de risco diferente.
  • Acesso a dados comercialmente críticos: para determinados recursos, como aplicativos comercialmente críticos, pode ser necessário, como parte dos processos de conformidade, solicitar que as pessoas se reconfirmem regularmente e forneçam uma justificativa sobre por que precisam de acesso contínuo.
  • Para manter a lista de exceções de uma política: em um mundo ideal, todos os usuários seguiriam as políticas de acesso para proteger o acesso aos recursos de sua organização. No entanto, às vezes, há casos comerciais em que é necessário fazer exceções. Como o administrador de TI, você pode gerenciar essa tarefa, evitar supervisão de exceções à política e fornecer os auditores a comprovação de que essas exceções são revisadas regularmente.
  • Peça aos proprietários do grupo que confirmem que ainda precisam de convidados em seus grupos: o acesso de funcionários pode ser automatizado com outros recursos de gerenciamento de identidade e acesso, como fluxos de trabalho de ciclo de vida com base em dados de uma fonte de RH, mas não convidados. Se um grupo oferece acesso de convidados para conteúdo confidencial da empresa, em seguida, é responsabilidade do proprietário do grupo se confirmar os convidados ainda terão uma necessidade comercial legítima de acesso.
  • Faça revisões periodicamente: você pode configurar revisões de acesso recorrentes de usuários em frequências definidas, como semanal, mensal, trimestral ou anual, e os revisores serão notificados no início de cada revisão. Os revisores podem aprovar ou negar acesso com uma interface amigável e com a ajuda de recomendações inteligentes.

Entitlement Management (Gerenciamento de Direitos)

O que é gerenciamento de direitos?

Preparei um artigo completo sobre Gerenciamento de Direitos, com um guia passo a passo de configuração. Você pode acessá-lo clicando aqui.

O gerenciamento de direitos é um recurso de governança de identidade que permite que as organizações gerenciem o ciclo de vida de identidade e acesso em escala, automatizando fluxos de trabalho de solicitação de acesso, atribuições de acesso, revisões e expiração.

As pessoas nas organizações precisam de acesso a vários grupos, aplicativos e sites do SharePoint Online para realizar seu trabalho. Gerenciar esse acesso é um desafio, pois os requisitos mudam. Novos aplicativos são adicionados ou os usuários precisam de mais direitos de acesso. Esse cenário fica mais complicado quando você colabora com organizações externas. Talvez você não saiba quem na outra organização precisa de acesso aos recursos da sua organização e eles não saberão quais aplicativos, grupos ou sites sua organização está usando.

O gerenciamento de direitos pode ajudá-lo a gerenciar com mais eficiência o acesso a grupos, aplicativos e sites do SharePoint Online para usuários internos e também para usuários fora da sua organização que precisam de

Por que usar o gerenciamento de direitos?

As organizações corporativas geralmente enfrentam desafios ao gerenciar o acesso da força de trabalho a recursos, como:

  • Os usuários podem não saber qual acesso devem ter e, mesmo que saibam, podem ter dificuldade em localizar as pessoas certas para aprovar seu acesso
  • Depois que os usuários encontram e recebem acesso a um recurso, eles podem manter o acesso por mais tempo do que o necessário para fins comerciais

Esses problemas são agravados para usuários que precisam de acesso de outra organização, como usuários externos de organizações da cadeia de suprimentos ou outros parceiros de negócios. Por exemplo:

  • Ninguém pode conhecer todos os indivíduos específicos nos diretórios de outra organização para poder convidá-los
  • Mesmo que eles pudessem convidar esses usuários, ninguém nessa organização poderia se lembrar de gerenciar todo o acesso dos usuários de forma consistente

O que posso fazer com o gerenciamento de direitos?

Aqui estão alguns dos recursos de gerenciamento de direitos:

  • Controle quem pode obter acesso a aplicativos, grupos, sites do Teams e do SharePoint, com aprovação em vários estágios, e garanta que os usuários não mantenham o acesso indefinidamente por meio de atribuições por tempo limitado e revisões de acesso recorrentes.
  • Conceda aos usuários acesso automático a esses recursos, com base nas propriedades do usuário, como departamento ou centro de custo, e remova o acesso de um usuário quando essas propriedades forem alteradas.
  • Delegue a não administradores a capacidade de criar pacotes de acesso. Esses pacotes de acesso contêm recursos que os usuários podem solicitar, e os gerentes de pacotes de acesso delegados podem definir políticas com regras para as quais os usuários podem solicitar, quem deve aprovar seu acesso e quando o acesso expira.
  • Selecione organizações conectadas cujos usuários podem solicitar acesso. Quando um usuário que ainda não está no diretório solicita acesso e é aprovado, ele é automaticamente convidado para o diretório e recebe acesso. Quando o acesso expirar, se eles não tiverem outras atribuições de pacote de acesso, a conta B2B no diretório poderá ser removida automaticamente.

Privileged Identity Management (PIM)

O que é o Privileged Identity Management do Microsoft Entra?

Preparei um artigo completo sobre Privileged Identity Management, com um guia passo a passo de configuração. Você pode acessá-lo clicando aqui.

O PIM (Privileged Identity Management) é um serviço no Microsoft Entra ID que permite gerenciar, controlar e monitorar o acesso a importantes recursos na sua organização. Esses recursos incluem os recursos no Microsoft Entra ID, no Azure e em outros Microsoft Online Services, como o Microsoft 365 ou o Microsoft Intune. O vídeo a seguir explica os principais conceitos e recursos do PIM.

Por que usar o Privileged Identity Management ?

As empresas desejam minimizar o número de pessoas que têm acesso a informações seguras ou recursos, porque isso reduz a chance de

  • um usuário mal-intencionado obter esse tipo de acesso
  • um usuário autorizado inadvertidamente afetar um recurso confidencial

No entanto, os usuários ainda precisam executar operações privilegiadas em aplicativos do Microsoft Entra ID, Azure, Microsoft 365 ou SaaS. As organizações podem dar aos usuários o acesso privilegiado just-in-time aos recursos do Azure e do Microsoft Entra, além de poderem supervisionar o que esses usuários estão fazendo com seu acesso privilegiado.

O que ela faz?

O Privileged Identity Management fornece ativação de função baseada em tempo e aprovação para atenuar os riscos de permissões de acesso excessivas, desnecessárias ou que foram indevidamente utilizadas em recursos importantes. Estes são alguns dos principais recursos do Privileged Identity Management:

  • Fornecer acesso privilegiado just-in-time aos recursos do Microsoft Entra ID e do Azure
  • Atribua acesso com limite de tempo aos recursos usando as datas de início e término
  • Exigir aprovação para ativar funções com privilégios
  • Impor autenticação multifator para ativar qualquer função
  • Usar justificativa para entender por que os usuários ativam
  • Obter notificações quando as funções privilegiadas forem ativadas
  • Realizar revisões de acesso para garantir que os usuários ainda precisem de funções
  • Baixar o histórico de auditoria para auditoria interna ou externa
  • Impede a remoção do último Administrador Global ativo e das atribuições de função do Administrador de Função com Privilégios

Lifecycle Workflows (Fluxo de trabalhos de ciclo de vida)

O que são fluxos de trabalho de ciclo de vida?

Preparei um artigo completo sobre Lifecycle Workflows, com um guia passo a passo de configuração. Você pode acessá-lo clicando aqui.

Os fluxos de trabalho do ciclo de vida são um novo recurso de governança de identidade que permite que as organizações gerenciem usuários do Microsoft Entra automatizando estes três processos básicos do ciclo de vida:

  • Novo funcionário: Quando um indivíduo entra no escopo da necessidade de acesso. Um exemplo é um novo funcionário que ingressa em uma empresa ou organização.
  • Transferência Interna: Quando um indivíduo se move entre limites dentro de uma organização. Esse movimento pode exigir mais acesso ou autorização. Um exemplo é um usuário que estava no marketing e agora é membro da organização de vendas.
  • Desligamento: Quando um indivíduo deixa o escopo de precisar de acesso. Esse movimento pode exigir a remoção do acesso. Exemplos são um funcionário que foi demitido.

Os fluxos de trabalho contêm processos específicos que são executados automaticamente nos usuários à medida que eles se movem pelo ciclo de vida. Os fluxos de trabalho consistem em tarefas e condições de execução.

Tarefas são ações específicas que são executadas automaticamente quando um fluxo de trabalho é disparado. Uma condição de execução define o escopo de quem é afetado e o gatilho de quando um fluxo de trabalho será executado. Por exemplo, enviar um e-mail a um gerente sete dias antes do valor no atributo de novos funcionários pode ser descrito como um fluxo de trabalho. É composto por:employeeHireDate

  • Tarefa: Enviar e-mail.
  • Quem (escopo): Novos funcionários.
  • When (gatilho): sete dias antes do valor do atributo.employeeHireDate

Um fluxo de trabalho automático agenda um gatilho com base nos atributos do usuário. O escopo de fluxos de trabalho automáticos é possível por meio de uma ampla variedade de atributos estendidos e de usuário, como o departamento ao qual um usuário pertence.

Os fluxos de trabalho do ciclo de vida podem até se integrar à capacidade das tarefas dos aplicativos lógicos de estender fluxos de trabalho para cenários mais complexos por meio de seus aplicativos lógicos existentes.

Por que usar fluxos de trabalho de ciclo de vida

Qualquer pessoa que queira modernizar um processo de gerenciamento do ciclo de vida de identidade para funcionários precisa garantir:

  • Que quando os usuários ingressarem na organização, eles estarão prontos para começar no primeiro dia. Eles têm o acesso correto às informações, associações a grupos e aplicativos de que precisam.
  • Que os usuários que não estão mais vinculados à empresa por diversos motivos (rescisão, separação, afastamento ou aposentadoria) tenham seu acesso revogado em tempo hábil.
  • Que o processo para fornecer ou revogar o acesso não seja excessivamente oneroso ou demorado para os administradores.
  • Que os administradores e outros usuários autorizados possam solucionar problemas facilmente e que o registro em log seja suficiente para ajudar na solução de problemas, auditoria e conformidade.

Os principais motivos para usar fluxos de trabalho de ciclo de vida incluem:

  • Estenda seu processo de provisionamento orientado por RH com outros fluxos de trabalho que simplificam e automatizam tarefas.
  • Centralize seu processo de fluxo de trabalho para que você possa criar e gerenciar facilmente fluxos de trabalho em um único local.
  • Solucione facilmente cenários de fluxo de trabalho com o histórico de fluxo de trabalho e os logs de auditoria.
  • Gerencie o ciclo de vida do usuário em escala. À medida que sua organização cresce, a necessidade de outros recursos para gerenciar o ciclo de vida do usuário diminui.
  • Reduza ou remova tarefas manuais.
  • Aplique aplicativos lógicos para estender fluxos de trabalho para cenários mais complexos com seus aplicativos lógicos existentes.

Esses recursos podem ajudar a garantir uma experiência holística, permitindo que você remova outras dependências e aplicativos para obter o mesmo resultado. Você pode aumentar a eficiência na orientação de novos funcionários e na remoção de ex-funcionários do sistema.

Dashboard de Governança: Visão Centralizada

O dashboard do Entra ID Governance consolida essas informações para o administrador: revisões pendentes, pacotes de acesso ativos, workflows em execução, acessos privilegiados em uso, etc.

Goverance 01

Conlusão

Chegamos ao fim de mais um artigo, este ficou mais extenso e bem completo, trazendo links com passo a passo de cada recurso do Microsoft Entra ID Governance. Recomendo a leitura integral para ter uma visão mais clara de como a solução funciona e como o Entra ID Governance pode ser aplicado de forma prática na sua organização.

Links de referencia:
Microsoft Entra ID Governance
Access Review (Revisão de acesso)
Entitlement Management (Gerenciamento de Direitos)
Privileged Identity Management (PIM)
Lifecycle Workflows (Fluxo de trabalhos de ciclo de vida)

Você também pode gostar

Deixe um comentário

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.

error: Este conteúdo está protegido.

Olá! Este site utiliza cookies para melhorar sua experiência de navegação, personalizar conteúdo e anúncios, fornecer funcionalidades de redes sociais e analisar nosso tráfego. Ao continuar a usar nosso site, você concorda com o uso de cookies. Aceitar