Proteger o controle de acesso usando grupos na ID de Microsoft Entra
Microsoft Entra ID permite o uso de grupos para gerenciar o acesso a recursos em uma organização. Use grupos para controle de acesso para gerenciar e minimizar o acesso aos aplicativos. Quando grupos são usados, somente os membros desses grupos podem acessar o recurso. O uso de grupos também habilita os seguintes recursos de gerenciamento:
- Grupos de associação dinâmica baseados em atributos
- Grupos externos sincronizados do Active Directory local
- Gerenciado pelo administrador ou grupos gerenciados por autoatendimento
Para saber mais sobre os benefícios dos grupos para controle de acesso, confira Gerenciar o acesso a um aplicativo.
Ao desenvolver um aplicativo, autorize o acesso com a declaração de grupos. Para saber mais, confira como configurar declarações de grupo para aplicativos com Microsoft Entra ID.
Atualmente, muitos aplicativos selecionam um subconjunto de grupos definindo o sinalizador securityEnabled como true para evitar desafios de escala, ou seja, para reduzir o número de grupos retornados no token. Definir o sinalizador securityEnabled como true para um grupo não garante que o grupo seja gerenciado com segurança.
Melhores práticas para atenuar o risco
A tabela a seguir apresenta várias melhores práticas de segurança para grupos de segurança e os possíveis riscos de segurança atenuados por prática.
| Prática recomendada de segurança | Risco de segurança atenuado |
|---|---|
Verifique se o proprietário do recurso e o proprietário do grupo são a mesma entidade de segurança. Os aplicativos devem criar sua própria experiência de gerenciamento de grupo e criar novos grupos para gerenciar o acesso. Por exemplo, um aplicativo pode criar grupos com a permissão Group.Create e adicionar a si mesmo como o proprietário do grupo. Dessa forma, o aplicativo tem controle sobre os grupos, sem excesso de privilégios para modificar outros grupos no locatário. |
Quando proprietários de grupos e proprietários de recursos são entidades diferentes, os proprietários de grupos podem adicionar usuários ao grupo que não deveriam acessar o recurso, mas que podem acessá-lo acidentalmente mais tarde. |
| Crie um contrato implícito entre os proprietários do recurso e os proprietários do grupo. O proprietário do recurso e o proprietário do grupo devem estar alinhados com a finalidade do grupo, as políticas e os membros que podem ser adicionados ao grupo para obter acesso ao recurso. Esse nível de confiança não é técnico e depende de contrato humano ou comercial. | Quando os proprietários do grupo e os proprietários do recurso têm intenções diferentes, o proprietário do grupo pode adicionar usuários ao grupo aos quais o proprietário do recurso não pretendia dar acesso. Essa ação pode resultar no acesso desnecessário e possivelmente suspeito. |
| Use os grupos privados para controle de acesso. Os grupos do Microsoft 365 são gerenciados pelo conceito de visibilidade. Essa propriedade controla a política de ingresso do grupo e a visibilidade dos recursos do grupo. Os grupos de segurança têm políticas de ingresso que permitem que qualquer pessoa ingresse ou exigem a aprovação do proprietário. Os grupos sincronizados localmente também podem ser públicos ou privados. Os usuários que ingressarem em um grupo sincronizado local também podem ter acesso ao recurso de nuvem. | Quando você usa um grupo público para controle de acesso, qualquer membro pode ingressar no grupo e obter acesso ao recurso. Existe o risco de elevação de privilégio quando um grupo público é usado para dar acesso a um recurso externo. |
| Aninhamento de grupo. Quando você usa um grupo para controle de acesso e ele tem outros grupos como membros, os membros dos subgrupos podem obter acesso ao recurso. Nesse caso, há vários proprietários de grupo do grupo pai e dos subgrupos. | Alinhar vários proprietários do grupo com a finalidade de cada grupo e como de adicionar os membros certos a esses grupos é mais complexo e mais propenso à concessão acidental de acesso. Limite o número de grupos aninhados ou, se possível, não os use. |