Automação de identidade

Como a automação do IAM oferece ROI superior

Quando os funcionários são contratados, suas contas devem ser configuradas — isso inclui a configuração de atributos de usuário, caixas de correio, pastas pessoais e muito mais. Da mesma forma, quando os funcionários deixam a organização, todo o acesso aos recursos de TI deve ser revogado sem falhas.

Provisionar e desprovisionar usuários em diferentes plataformas, especialmente em ambientes físicos, virtuais e de nuvem, é complexo. Como resultado, provisionar e desprovisionar usuários nesses serviços de nuvem em silos em massa torna-se mais complexo, sujeito a erros e manualmente exaustivo.

A complexidade aumenta se a folha de pagamento de RH de uma empresa mudar com frequência

Por exemplo, se uma organização tiver 5.000 funcionários e experimentar 10% de crescimento de funcionários e taxa de rotatividade, o número total de tickets de provisionamento seria 1.500 (novos usuários adicionados: 10% x 5.000 = 500, usuários saindo da organização: 10% x 5.000 = 500, usuários adicionados para preencher posições existentes: 10% x 5000 = 500).

O tempo médio necessário para provisionar uma conta de usuário no Active Directory geralmente varia de 5 a 30 minutos, dependendo do número de atributos associados a essa conta.

Confira na tabela abaixo como tais mudanças geram custos para a empresa:

Em uma organização com 5.000 funcionários	Para 1 ticket	Para 1500 tickets
Tempo médio necessário para provisionar uma conta do AD e outras identidades na cloud	15 minutos	375 horas
O salário médio por hora de um técnico de help desk	22 dólares (média de 115 reais)	22 dólares (média de 115 reais)
Custo total incorrido no uso de ferramentas nativas	5,50 dólares (media de 28 reais)	8,250 dólares (média de 43 reais)

E se esse custo puder ser reduzido para mais de 70%. Apresentando o AD360, solução integrada de gerenciamento de identidade e acesso (IAM) para gerenciar identidades de usuários, controlar o acesso a recursos, garantir a compliance e reforçar a segurança no Active Directory local, servidores Exchange e aplicações em cloud a partir de um console centralizado.

Como o AD360 ajuda a reduzir drasticamente os custos de provisionamento e desprovisionamento de usuários do Active Directory:

O AD360 permite provisionar automaticamente vários usuários no Active Directory local, Exchange Servers e aplicações em cloud. Usando modelos de criação de usuário integrados e recursos de atualização de CSV, a criação, modificação e gerenciamento de objetos podem ser feitos em apenas alguns minutos. Esses modelos também podem ser personalizados de acordo com as políticas organizacionais.

In an organization with 5,000 employees
The time required by the administrator to create multiple user templates [This is mostly a one time activity]	1 - 2 hours
The time required by the help desk to import a list of users into an existing template	1 minute
The number of tickets raised by HR (Approx). Let us assume each ticket includes 10 new user details	150 tickets

Total time required for provisioning the entire list of users sent by HR in a year = 2 hours of admin time + 30 minutes of help desk time for a total of 2.5 hours.

This means the total annual cost = [2 x hourly wage of an IT administrator] + [0.5 x hourly wage of a help desk technician] + annual subscription cost of AD360's AD management module that supports automation, or [2 x $32] + [0.5 x $22] + [$1,795] = $1870.

For an organization with 1000 employees	Cost incurred annually		Percentage of savings
	Before automation	After automation
User provisioning and de-provisioning	$8,250	$1,870	77.33%

Como automatizar a criação de usuários com o AD360

O provisionamento de contas de usuário em massa usando ferramentas nativas do Active Directory (AD) ou scripts do Windows PowerShell sempre foi cansativo e demorado, pois requer conhecimento profundo de scripts. Além disso, como os administradores de TI frequentemente precisam alternar entre vários consoles enquanto fornecem direitos de acesso a novos funcionários no Active Directory, Office 365, Exchange, Skype for Business e G Suite, há muito espaço para erros.

Com a ajuda de técnicas de provisionamento de usuários baseadas em CSV, o AD360 simplifica o provisionamento de usuários em massa para administradores de TI.

Por exemplo, se um grupo de funcionários que compartilham o mesmo conjunto de permissões precisa ser integrado, o AD360 simplifica o provisionamento de usuários, permitindo que o administrador crie um modelo para as permissões, especifique os nomes dos funcionários e outros detalhes em um arquivo CSV e importe e, finalmente, aplique o modelo a todos os funcionários especificados no arquivo CSV.

Como a automação do IAM elimina o risco de erros humanos

Desde o momento em que os funcionários são integrados até que saiam da organização, o administrador de TI gerencia a conta do usuário. Freqüentemente, o administrador precisa criar uma conta de usuário do AD, modificar suas propriedades quando o funcionário recebe uma função diferente, conceder direitos de acesso apropriados e excluir a conta do usuário quando o funcionário é desligado.

Cada uma dessas tarefas de modificação é altamente propensa a erros e demorada quando executada usando ferramentas nativas do AD ou PowerShell.

Esses erros podem ser evitados se as tarefas repetitivas de gerenciamento do AD forem padronizadas e automatizadas com os modelos de modificação do usuário do AD360. Esses modelos simplificam e automatizam o processo de modificação de atributos de contas existentes de uma só vez.

Usando o recurso de importação de CSV, os administradores de TI podem executar tarefas de modificação de conta do AD com apenas alguns cliques. Digamos que um administrador de TI precise modificar 100 contas de usuário, tudo o que ele precisa fazer é aplicar o modelo apropriado à lista de usuários e os atributos desejados das contas de usuário serão modificados automaticamente. Esses modelos também podem ser personalizados com base em diferentes políticas organizacionais.

Esses modelos também simplificam o processo de provisionamento de acesso aos funcionários que mudam de departamento dentro da organização.

Cada organização tem vários departamentos; e os funcionários de cada um desses departamentos precisam de acesso a diferentes recursos com base em suas funções e responsabilidades.

Com o AD360, um administrador de TI pode criar um modelo para cada um desses departamentos. Quando um funcionário muda de departamento, o administrador de TI só precisa aplicar o modelo apropriado à conta do usuário e todos os novos privilégios de acesso necessários serão atribuídos automaticamente, enquanto os anteriores serão automaticamente revogados.

Ao usar esses modelos que salvam os valores e formatos padrão de todos os atributos comuns a um grupo de funcionários que compartilham a mesma função, o AD360 ajuda a reduzir drasticamente os erros humanos durante as operações de atribuição de privilégios e acessos.

Como o AD360 ajuda a automatizar a modificação de membros do grupo

Usando modelos de modificação de usuário, a atualização de associações de grupo de funcionários se torna muito mais fácil. Esses modelos ajudam a automatizar o processo de atualização das associações de grupo dos funcionários de acordo com o conjunto de regras definidas pelo administrador de TI.

Por exemplo, você pode criar uma regra para adicionar o usuário ao grupo 'Designers' se o título do usuário for 'Graphic Designer'. Você também pode atualizar ou gerenciar a associação de grupo para usuários em massa, importando um arquivo CSV contendo a lista de contas de usuário a serem modificadas.

Como a automação de identidade preenche brechas de segurança

Quando os funcionários deixam sua organização, suas contas de usuário geralmente permanecem no Active Directory (AD) despercebidas. As senhas dessas contas permanecem inalteradas, o que pode levar a possíveis comprometimentos da conta.

Fica pior se a conta do usuário privilegiado for residual.

É por isso que é crucial identificar contas inativas e eliminá-las imediatamente. No entanto, a única maneira de garantir que todas as contas inativas sejam removidas imediatamente é automatizando o processo. Embora o AD nativo tenha recursos para rastrear e eliminar contas de usuários inativos, ele não pode removê-los em massa ou automatizar o processo.

O AD360 permite gerar facilmente uma lista de todas as contas de usuário inativas, contas de usuário desabilitadas e contas de usuário expiradas na forma de relatórios. A partir desses relatórios, você pode excluir ou desativar essas contas em massa instantaneamente. Se necessário, você também pode movê-los para uma unidade organizacional separada, colocá-los em quarentena por um período desejado e, eventualmente, excluí-los. O melhor de tudo é que você pode automatizar essas tarefas e especificar com que frequência deseja que essa automação seja executada.