Neste artigo vou mostrar a configuração básica de um pacote de acesso no gerenciamento de identidade do Entra ID.
Um pacote de acesso permite que usuários internos e externos solicitem acesso aos recursos do Entra ID que fazem parte deste pacote.
Os recursos podem ser:
Associação de grupos de segurança Microsoft Entra
Associação dos Grupos do Microsoft 365 e Teams
Atribuição a aplicativos empresariais do Microsoft Entra, incluindo aplicativos SaaS e aplicativos personalizados compatíveis com federação/logon único e/ou provisionamento
Associação de sites do SharePoint Online
Alguns exemplos de utilização do pacote de acesso:
Você pode conceder aos usuários licenças para o Microsoft 365 usando um grupo de segurança do Microsoft Entra em um pacote de acesso e configurando um licenciamento baseado em grupo para esse grupo.
Você pode conceder aos usuários acesso para gerenciar recursos do Azure usando um grupo de segurança do Microsoft Entra em um pacote de acesso e criando uma atribuição de função do Azure para esse grupo.
Você pode dar aos usuários acesso para gerenciar as funções do Microsoft Entra usando grupos atribuíveis a funções do Microsoft Entra em um pacote de acesso e atribuindo uma função do Microsoft Entra a esse grupo.
Requisitos de função para configuração do pacote de acesso:
Administrador global
Administrador de Governança de Identidade
Proprietário do catálogo
Gerenciador de pacotes de acesso
Requisitos de licenciamento:
Microsoft Entra ID Governance
Microsoft Entra ID P2
Leia mais sobre Gerenciamento de direitos e Pacote de acesso na documentação oficial da Microsoft:
Acessando Catálogos, é possível verificar que já existe um catálogo padrão (General), mas neste exemplo vamos configurar um catálogo novo.
Para criar um catálogo novo, clicar em Novo catálogo.
Definir um nome e uma descrição para o catálogo. Neste exemplo vou utilizar como nome uma aplicação de teste que tenho configurada no Entra ID como recurso do pacote de acesso.
Selecionar a opção sim para Habilitado, e sim para Habilitado para usuários externos.
Com o catálogo criado, vamos criar o pacote de acesso.
Acessar o menu Pacotes de acesso e clicar em Novo pacote de acesso.
Na guia Básico, definir um nome e uma descrição para o pacote de acesso. Neste exemplo vou utilizar novamente como nome a aplicação de teste que tenho configurada no Entra ID como recurso do pacote de acesso.
Em Catálogo selecionar o catálogo criado.
Na guia Funções de recurso, é onde vamos configurar os recursos que farão parte do pacote e que os usuários poderão solicitar acesso.
Pode ser configurado como recurso Grupos e Equipes, Aplicações ou Sites do Sharepoint, e pode ser configurado mais de 1 recurso no pacote de acesso.
Neste exemplo vou configurar como recurso uma aplicação de teste que tenho configurada no Entra ID.
Clicar em Aplicativos.
Marcar a opção Veja todos os Aplicativos que não estão no catálogo e selecionar o aplicativo.
Após carregar o aplicativo, definir a função que o usuário irá receber quando solicitar o acesso.
Essa primeira política será criada para solicitações de usuários externos, então na guia Solicitações selecionar a opção Para usuários que não estão no seu diretório.
E selecionar a opção Todos os usuários (Todas as organizações conectadas + quaisquer novos usuários externos).
Para usuários externos é necessário a aprovação, então esta opção já vem marcada padrão.
Em Exigir justificação do solicitante marcar como Sim.
Quantos estágios, selecionar o número de etapas que o usuário solicitante terá que preencher para solicitar o acesso.
Em Primeiro Aprovador, selecionar os usuários que irão aprovar as solicitações.
Em Exigir uma justificativa do aprovador, selecionar Sim, para o usuário que aprova a solicitação inserir uma justificativa do porquê aprovou a solicitação.
Em Habilitar novas solicitações selecionar Sim.
Na guia Informações do solicitante é possível configurar perguntas personalizadas para o usuário solicitante preencher durante a solicitação. Neste exemplo não vou configurar nenhuma pergunta personalizada.
Na guia Ciclo de vida é configurado o tempo de acesso que será liberado para o usuário.
Neste exemplo vou configurar que será liberado o acesso para o usuário durante 30 dias.
Na guia Extensões personalizadas é possível criar regras para automatizar tarefas do pacote de acesso. Para essa configuração é necessário a assinatura do Microsoft Entra ID Governance.
Criar o pacote de acesso.
Após finalizar a criação do pacote de acesso, clicar no menu Políticas, e na política padrão clicar em Editar.
Em Nome e Descrição vamos adicionar Externo para identificar a política.
Ainda no menu Políticas, clicar em Adicionar política para criar a política para usuários internos.
Na guia Básico, definir um nome para e descrição para a política interna.
Na guia Solicitações, selecionar a opção Para usuários no seu diretório.
Selecionar a opção Todos os usuários (incluindo convidados).
Em Requer aprovação marcar como Sim.
Em Exigir justificação do solicitante marcar como Sim.
Quantos estágios, selecionar o número de etapas que o usuário solicitante terá que preencher para solicitar o acesso.
Em Primeiro Aprovador, selecionar os usuários que irão aprovar as solicitações.
Em Exigir uma justificativa do aprovador, selecionar Sim, para o usuário que aprova a solicitação inserir uma justificativa do porquê aprovou a solicitação.
Em Habilitar novas solicitações selecionar Sim.
Na guia Informações do solicitante é possível configurar perguntas personalizadas para o usuário solicitante preencher durante a solicitação. Neste exemplo não vou configurar nenhuma pergunta personalizada.
Na guia Ciclo de vida é configurado o tempo de acesso que será liberado para o usuário.
Neste exemplo vou configurar que será liberado o acesso para o usuário durante 30 dias.
Na guia Extensões personalizadas é possível criar regras para automatizar tarefas do pacote de acesso. Para essa configuração é necessário a assinatura do Microsoft Entra ID Governance.
Criar a política.
Com as duas políticas criadas, vamos iniciar os testes de acesso.
No menu Visão geral copiar o link do portal Meus Acessos e disponibilizar o link para os usuários solicitarem os acessos.
Ao acessar o link será solicitado que o usuário faça login.
Após o usuário realizar o login, ele irá acessar a página Meus Acessos, Pacotes de acesso, solicitar o acesso ao pacote criado e clicar em Continuar.
É possível solicitar o acesso em um período específico, mas neste exemplo só iremos inserir a justificativa e clicar em Enviar solicitação.
O aprovador receberá um e-mail com a solicitação do usuário, clicar em Approve or deny request.
O aprovador será encaminhado para a página Meus Acessos, Aprovações.
Selecionar o usuário solicitante, clicar em Aprovar.
Em Solicitação de acesso, selecionar Aprovar, fornecer o motivo e enviar.
O usuário receberá um e-mail com a aprovação da solicitação. Clicar em Iniciar.
O usuário será encaminhado para a página Meus Acessos, Pacotes de acesso, acessar o pacote e clicar na aplicação.
Como a aplicação de teste exige que os usuários se autentiquem, será necessário o usuário realizar uma nova autenticação.
A aplicação de teste é apenas um Proxy de aplicativo para um servidor com IIS instalado.
No Pacote de acesso, em Atribuições, é possível verificar os usuários que foram aprovados.
Em Solicitações é possível verificar solicitações pendentes.
No aplicativo de teste é possível verificar que o usuário aprovado foi adicionado com permissão no aplicativo.
Dica extra
O link para a página de solicitação de acesso não pode ser personalizado, uma dica é adicionar um link no login do portal do Azure e do Office, para os usuários clicarem e serem redirecionados para a página de solicitação.
Para realizar essa configuração, editar as configurações da Identidade visual do portal do Entra ID.
