Visão Geral do Microsoft Entra ID Access Reviews

Introdução

O Microsoft Entra ID Access Reviews é uma funcionalidade essencial para a governança de identidade, permitindo que as organizações gerenciem de forma eficiente as permissões de acesso a grupos, aplicações empresariais e atribuições de funções. Com o Access Reviews, é possível revisar regularmente o acesso dos usuários para garantir que apenas as pessoas certas mantenham acesso aos recursos necessários¹.

Importância dos Access Reviews

Os Access Reviews são cruciais para manter a segurança e a conformidade dentro de uma organização. Eles ajudam a garantir que os usuários não mantenham acessos desnecessários ou excessivos, o que pode levar a riscos de segurança e problemas de conformidade. Além disso, os Access Reviews permitem que as organizações se adaptem rapidamente a mudanças, como transferências de equipe ou saídas de funcionários¹.

Quando Utilizar Access Reviews

1. Excesso de Usuários em Funções Privilegiadas:
   • Descrição: Verificar quantos usuários têm acesso administrativo e se há convidados ou parceiros que não foram removidos após a conclusão de uma tarefa administrativa¹.
2. Automação Não Possível:
   • Descrição: Quando não é possível automatizar a gestão de membros de grupos ou acessos a aplicações, os Access Reviews podem ser usados para garantir que apenas os usuários que ainda precisam de acesso o mantenham¹.
3. Mudança de Propósito de um Grupo:
   • Descrição: Antes de utilizar um grupo para um novo propósito, como sincronização com o Microsoft Entra ID ou habilitação de uma aplicação para todos os membros, é útil revisar a composição do grupo¹.
4. Acesso a Dados Críticos para o Negócio:
   • Descrição: Para recursos críticos, pode ser necessário, como parte dos processos de conformidade, pedir que as pessoas reconfirmem e justifiquem a necessidade de acesso contínuo¹.
5. Manutenção de Lista de Exceções de Políticas:
   • Descrição: Revisar regularmente as listas de exceções para garantir que apenas os usuários que realmente precisam de exceções as mantenham¹.

Configuração de Access Reviews

1. Criação de um Access Review:
   • Passo 1: Acesse o centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.
   • Passo 2: Navegue até Governança de Identidade > Access Reviews.
   • Passo 3: Clique em “Adicionar” para criar um novo review, definindo o escopo e os critérios do review².
2. Tipos de Access Reviews:
   • Single-Stage Review: Um único estágio de revisão onde os revisores avaliam o acesso dos usuários.
   • Multi-Stage Review: Vários estágios de revisão, permitindo uma avaliação mais detalhada e colaborativa².
3. Revisão de Acesso de Usuários Convidados:
   • Descrição: Revisar o acesso de usuários convidados para garantir que eles ainda precisem de acesso aos recursos da organização².

Exemplos de Aplicação

1. Empresas de Tecnologia:
   • Exemplo: Uma empresa de tecnologia pode usar Access Reviews para garantir que apenas os desenvolvedores ativos tenham acesso aos repositórios de código fonte, reduzindo o risco de vazamentos de dados¹.
2. Instituições Financeiras:
   • Exemplo: Bancos e outras instituições financeiras podem utilizar Access Reviews para revisar regularmente o acesso a sistemas críticos de transações financeiras, garantindo conformidade com regulamentos como o GDPR e o SOX¹.
3. Organizações de Saúde:
   • Exemplo: Hospitais e clínicas podem usar Access Reviews para garantir que apenas o pessoal médico autorizado tenha acesso a registros de pacientes, protegendo informações sensíveis e cumprindo com a HIPAA¹.

Casos de Sucesso

1. Heathrow Airport:
   • Desafio: Necessidade de gerenciar identidades e acessos de forma segura e eficiente.
   • Solução: Implementação do Microsoft Entra ID para autenticação e gerenciamento de acesso, melhorando a segurança e a eficiência operacional¹.
2. Grundfos:
   • Desafio: Garantir a conformidade com regulamentos de proteção de dados.
   • Solução: Uso do Microsoft Entra ID para descobrir e classificar dados sensíveis, garantindo conformidade e segurança¹.
3. Illimity:
   • Desafio: Gerenciamento de riscos e conformidade em um banco digital.
   • Solução: Implementação das ferramentas de eDiscovery e Compliance Manager do Microsoft Entra ID para monitorar e proteger dados sensíveis¹.

Conclusão

O Microsoft Entra ID Access Reviews é uma ferramenta poderosa para a governança de identidade, permitindo que as organizações gerenciem de forma eficiente e segura os acessos a recursos críticos. Com a capacidade de revisar regularmente os acessos, as organizações podem garantir que apenas os usuários necessários mantenham acesso, reduzindo riscos de segurança e melhorando a conformidade.

¹: Overview of Microsoft Entra ID Access Reviews ²: Create an access review of groups and applications – Microsoft Entra ID