Pular para o conteúdo principal

Laboratório Técnico: Manage External Users

Questões

Questão 1 — Múltipla Escolha

Uma empresa precisa conceder acesso ao portal Azure a um parceiro externo chamado ana.souza@parceiro.com. O administrador envia um convite via Microsoft Entra External ID. Antes que Ana aceite o convite, qual é o estado da conta dela no diretório da empresa?

A) A conta não existe no diretório até que o convite seja aceito.

B) A conta é criada imediatamente como Guest com status pendente de aceitação.

C) A conta é criada como Member e convertida para Guest após a aceitação.

D) A conta é criada somente se o domínio parceiro.com estiver verificado no tenant.

Questão 2 — Cenário Técnico

Um administrador precisa permitir que usuários externos colaborem apenas em recursos específicos do tenant, sem acesso ao Microsoft Entra Admin Center. A política atual de colaboração externa está configurada assim:

External collaboration settings:
  Guest user access: "Guest users have limited access to properties
                      and memberships of directory objects"
  Invite settings: Admins and users in the guest inviter role can invite
  Collaboration restrictions: Allow invitations to any domain

Um gestor de projeto, sem role administrativa, solicita que possa enviar convites diretamente. O que o administrador precisa alterar para atender essa solicitação sem ampliar excessivamente as permissões?

A) Alterar Guest user access para "Guest users have the same access as members".

B) Alterar Invite settings para "Anyone in the organization can invite".

C) Atribuir ao gestor a role Global Administrator temporariamente.

D) Habilitar a opção Self-service sign-up nas configurações do tenant.

Questão 3 — Verdadeiro ou Falso

Um usuário convidado (Guest) adicionado via Microsoft Entra External ID herda automaticamente todas as políticas de Microsoft Entra Conditional Access aplicadas aos usuários membros (Member) do tenant, pois ambos residem no mesmo diretório.

Questão 4 — Cenário Técnico

Uma organização deseja automatizar o processo de revisão periódica de usuários externos com acesso a grupos e aplicativos. O administrador configurou um Access Review mensal. Após o ciclo de revisão, alguns convidados não foram revisados pelo responsável designado. Qual comportamento o administrador deve configurar para garantir que acessos não revisados sejam revogados automaticamente?

Access Review settings:
  Reviewers: Selected users (manager of each guest)
  Duration: 30 days
  Upon completion settings: [?]
  If reviewers don't respond: [?]

A) Definir Upon completion como "Auto apply results" e If reviewers don't respond como "No change".

B) Definir Upon completion como "Auto apply results" e If reviewers don't respond como "Remove access".

C) Definir Upon completion como "Require manual apply" e If reviewers don't respond como "Remove access".

D) Definir Upon completion como "Auto apply results" e If reviewers don't respond como "Approve access".

Questão 5 — Múltipla Escolha

Um administrador precisa remover o acesso de todos os usuários externos que não fizeram login nos últimos 90 dias. Qual recurso do Microsoft Entra ID permite identificar esses usuários com base na data do último login?

A) Access Reviews com escopo configurado para usuários convidados inativos.

B) Sign-in logs filtrados por tipo de usuário "Guest" no Microsoft Entra ID.

C) Usage & insights reports, seção "Azure AD application activity".

D) Propriedade signInActivity disponível via Microsoft Graph API.

Gabarito e Explicações

Gabarito — Questão 1

Resposta: B

Quando um convite é enviado via Microsoft Entra External ID, a conta do usuário externo é criada imediatamente no diretório como tipo Guest, com o atributo externalUserState definido como PendingAcceptance. Isso significa que a conta existe e pode ser visualizada no portal antes mesmo de qualquer ação do convidado.

O principal equívoco representado pelos distratores é confundir o momento de criação da conta com o momento de ativação. A alternativa A é incorreta porque a conta já existe no diretório no estado pendente. A alternativa C inverte a lógica: a conta já nasce como Guest, nunca como Member. A alternativa D é incorreta porque a verificação de domínio não é pré-requisito para envio de convites em configurações padrão.

Compreender esse comportamento é importante para auditoria e gerenciamento de convites expirados ou não aceitos.

Gabarito — Questão 2

Resposta: B

A configuração Invite settings controla quem no tenant pode enviar convites. A opção "Admins and users in the guest inviter role can invite" restringe o envio a administradores e usuários com a role Guest Inviter. Para que qualquer usuário da organização, como o gestor de projeto, possa enviar convites sem receber uma role administrativa, basta alterar para "Anyone in the organization can invite".

A alternativa A altera permissões dos próprios convidados no diretório, não de quem envia convites. A alternativa C concede privilégios excessivos e viola o princípio de menor privilégio. A alternativa D ativa o fluxo de inscrição por autoatendimento, que serve para usuários externos criarem suas próprias contas, não para colaboradores internos enviarem convites.

Gabarito — Questão 3

Resposta: Falso

Usuários convidados (Guest) não herdam automaticamente as políticas de Microsoft Entra Conditional Access aplicadas a membros. As políticas de Conditional Access podem ser direcionadas explicitamente a usuários externos por meio de condições que filtram por tipo de usuário ou por domínios de origem específicos.

Por padrão, uma política que inclui "All users" pode alcançar guests, mas isso depende de como o escopo foi configurado. A ausência de uma política direcionada a guests significa que eles podem operar sem os mesmos controles aplicados a membros, o que representa um risco real de segurança frequentemente ignorado em ambientes com muitos colaboradores externos.

Gabarito — Questão 4

Resposta: B

Para garantir que acessos não revisados sejam revogados automaticamente, são necessárias duas configurações combinadas:

  • Upon completion: Auto apply results faz com que as decisões do revisor sejam aplicadas automaticamente ao término do ciclo, sem necessidade de intervenção manual.
  • If reviewers don't respond: Remove access define que a ausência de resposta equivale a uma decisão de remoção, garantindo que acessos pendentes não permaneçam ativos por omissão.

A alternativa A mantém o acesso em caso de silêncio do revisor, o que anula o objetivo de controle. A alternativa C exige aplicação manual, introduzindo dependência humana que pode atrasar ou omitir revogações. A alternativa D aprova automaticamente acessos não revisados, comportamento oposto ao desejado e potencialmente perigoso em ambientes regulados.

Gabarito — Questão 5

Resposta: D

A propriedade signInActivity da Microsoft Graph API fornece a data e hora do último login interativo e não interativo de cada usuário, incluindo convidados. Ela é o recurso correto para identificar programaticamente usuários inativos com base em critérios de tempo.

A alternativa A está incorreta porque Access Reviews avaliam membros de grupos ou aplicativos por decisão humana ou automatizada, mas não filtram usuários por data de último login. A alternativa B é válida para investigação pontual de logins, mas os Sign-in logs têm retenção limitada (30 dias no plano padrão) e não são projetados para consultas em massa de inatividade. A alternativa C, Usage & insights, foca em atividade de aplicativos, não em inatividade de usuários individuais.

Combinar a consulta via Graph API com um script de automação é a abordagem recomendada para higiene periódica de convidados inativos em escala.