Ciclo operacional completo de revisão de acessos em ambientes Microsoft Entra ID, baseado nos controles públicos da ISO/IEC 27001:2022 e no exame SC-300.
GitHub Pages: https://gilbertocrv.github.io/iam-operational-cycle-toolkit
| Série | Foco | Repositório |
|---|---|---|
| Série 2 | Governança — políticas, padrões e controles ISO | iso27001-iam-governance |
| Série 3 | Operação — análise, decisão, registro e evidência | iam-operational-cycle-toolkit |
A Série 2 define o que deveria existir. A Série 3 valida se está funcionando e registra as evidências do processo.
| Etapa | Ferramenta | Controles ISO | SC-300 | Entrada | Saída |
|---|---|---|---|---|---|
| 1 — Análise | Entra Access Audit Analyzer | 5.16 · 5.18 · 5.19 · 5.33 · 8.2 · 8.3 · 8.5 | Sim | CSV Entra ID (4 datasets) | CSV findings + JSON manifesto |
| 2 — Decisão | Access Recertification Helper | 5.18 · 5.33 · 8.2 | — | CSV findings | CSV + JSON + HTML ata |
| 3 — Registro | Evidence Register | 5.33 · 5.18 | — | JSON manifesto + JSON decisões | JSON + CSV + HTML registro |
| 4 — Saída | Report Builder | 5.33 | — | JSON manifesto + decisões + registro | HTML + JSON + TXT relatório |
| Complementar | Exception Tracker | 5.18 · 8.2 | — | Manual | CSV + JSON exceções |
| Complementar | Review Dashboard | 5.33 | — | JSON registros (múltiplos ciclos) | CSV + JSON consolidado |
Extração CSV (Entra ID / Graph API)
↓
Entra Access Audit Analyzer → CSV findings + JSON manifesto
↓
Access Recertification Helper → JSON decisões + ata HTML
↓
Evidence Register → JSON registro auditável
↓
Report Builder → Relatório executivo e técnico
iam-operational-cycle-toolkit/
│
├── index.html # Índice navegável
│
├── tools/
│ ├── entra-access-audit.html # Etapa 1 — Análise
│ ├── access-recertification.html # Etapa 2 — Decisão
│ ├── evidence-register.html # Etapa 3 — Registro
│ ├── report-builder.html # Etapa 4 — Saída
│ ├── exception-tracker.html # Complementar — Exceções
│ └── review-dashboard.html # Complementar — Histórico
│
├── samples/
│ ├── users.csv # Dados fictícios de exemplo
│ ├── groups.csv
│ ├── roles.csv
│ ├── signins.csv
│ └── findings-example.csv
│
├── docs/
│ ├── audit-methodology.md
│ └── evidence-model.md
│
└── README.md
- Exporte os CSVs do portal Microsoft Entra ID ou via Microsoft Graph PowerShell
- Abra o Entra Access Audit Analyzer e carregue os 4 datasets
- Execute a auditoria e exporte o CSV de achados e o manifesto JSON
- Abra o Access Recertification Helper, carregue o CSV de achados e registre as decisões
- No Evidence Register, consolide manifesto e decisões em registro auditável
- No Report Builder, gere a saída final do ciclo
Use os arquivos da pasta samples/ para explorar o fluxo completo sem dados reais.
- ISO/IEC 27001:2022 — Controles 5.15, 5.16, 5.18, 5.19, 5.33, 8.2, 8.3, 8.5
- SC-300 — Microsoft Identity and Access Administrator
- Microsoft Entra ID — documentação pública de export e Microsoft Graph
Todo o processamento ocorre localmente no navegador. Nenhum dado é enviado a servidores externos.
As ferramentas são instrumentos de apoio à análise — os resultados dependem da qualidade da extração e do contexto organizacional. Nenhuma ferramenta determina conformidade por si só.
Conteúdo educacional independente baseado em normas públicas. Não substitui consultoria técnica ou jurídica especializada.
Gilberto Gonçalves dos Santos Filho Analista de Governança de Identidades — IAM · PAM · GRC
