Editar

Compartilhar via

Gerenciamento de identidade e acesso do Microsoft Entra para AWS

Azure
Microsoft Entra ID

Este artigo oferece aos arquitetos de identidade, administradores e analistas de segurança da AWS insights imediatos e diretrizes detalhadas para implantar as soluções de identidade e acesso do Microsoft Entra para a AWS. Você pode configurar e testar essas soluções de segurança da Microsoft sem afetar os provedores de identidade existentes e os usuários da conta da AWS até esteja tudo pronto para a mudança.

Arquitetura

A AWS cria um repositório do IAM (Gerenciamento de Identidades e Acesso) separado para cada conta criada. O seguinte diagrama mostra a configuração padrão de um ambiente da AWS com uma só conta da AWS:

Diagrama que mostra um ambiente da AWS com uma só conta.

O usuário raiz controla totalmente a conta da AWS e delega acesso a outras identidades. A entidade de segurança do AWS IAM fornece uma identidade exclusiva para cada função e usuário que precisa acessar a conta da AWS. O AWS IAM pode proteger cada conta raiz, de entidade de segurança e de usuário com uma senha complexa e a MFA básica.

Muitas organizações precisam de mais de uma conta da AWS, o que resulta em silos de identidade muito complexos para gerenciar:

Diagrama que mostra um ambiente da AWS com várias contas.

Para permitir o gerenciamento centralizado de identidades e evitar a necessidade de gerenciar várias identidades e senhas, a maioria das organizações prefere usar o logon único para recursos da plataforma. Alguns clientes da AWS contam com o Microsoft Active Directory baseado em servidor para integração de SSO. Outros clientes investem em soluções de terceiros para sincronizar ou federar as identidades e fornecer SSO.

O Microsoft Entra ID oferece o gerenciamento de identidade centralizado com autenticação de SSO forte. Praticamente qualquer aplicativo ou plataforma que siga os padrões comuns de autenticação da Web, incluindo a AWS, pode usar o Microsoft Entra ID para o gerenciamento de identidades e acesso.

Muitas organizações já usam o Microsoft Entra ID para atribuir e proteger identidades de nuvem híbrida ou do Microsoft 365. Os funcionários usam suas identidades do Microsoft Entra para acessar emails, arquivos, mensagens instantâneas, aplicativos de nuvem e recursos locais. Você pode integrar o Microsoft Entra ID às contas da AWS com rapidez e facilidade para permitir que administradores e desenvolvedores entrem nos ambientes da AWS com as identidades existentes.

O seguinte diagrama mostra como o Microsoft Entra ID pode se integrar a várias contas da AWS para fornecer gerenciamento centralizado de identidades e acesso:

Diagrama mostrando a integração da AWS e do Microsoft Entra.

O Microsoft Entra ID oferece várias funcionalidades para integração direta com a AWS:

  • SSO em soluções de autenticação herdadas, tradicionais e modernas.
  • MFA, incluindo integração com várias soluções de terceiros de parceiros da MISA (Associação de Segurança Inteligente da Microsoft).
  • Recursos avançados de acesso condicional para autenticação forte e governança estrita. O Microsoft Entra ID usa políticas de Acesso condicional e avaliações com base em risco para autenticar e autorizar o acesso do usuário ao Console de Gerenciamento da AWS e aos recursos da AWS.
  • Detecção de ameaças e resposta automatizada em grande escala. O Microsoft Entra ID processa mais de 30 bilhões de solicitações de autenticação por dia, juntamente com trilhões de sinais sobre ameaças no mundo todo.
  • PAM (Privileged Access Management) para habilitar o provisionamento JIT (just-in-time) para recursos específicos.

Gerenciamento avançado de identidades do Microsoft Entra com contas da AWS

Outros recursos avançados do Microsoft Entra podem oferecer camadas adicionais de controle às contas da AWS mais confidenciais. As licenças do Microsoft Entra ID P2 incluem os seguintes recursos avançados:

  • PIM (Privileged Identity Management) para fornecer controles avançados a todas as funções delegadas no Azure e no Microsoft 365. Por exemplo, em vez de atribuir a um administrador de usuários a função de Administrador de usuários estaticamente, ele tem permissão para ativar a função sob demanda. Essa permissão é desativada após um limite de tempo definido (por exemplo, uma hora). O PIM registra todas as ativações e tem outros controles que podem restringir ainda mais as funcionalidades de ativação. O PIM protege ainda mais a arquitetura de identidade garantindo camadas adicionais de governança e proteção para que usuários privilegiados possam fazer alterações.

    Você pode expandir o PIM para qualquer permissão delegada controlando o acesso a grupos personalizados, como os criados para acesso a funções da AWS. Para obter mais informações sobre a implantação do PIM, consulte Planejar uma implantação do Privileged Identity Management.

  • O Advanced Identity Protection aumenta a segurança de entrada do Microsoft Entra monitorando o risco de sessão ou de usuário. O risco do usuário define o potencial das credenciais que estão sendo comprometidas, como a ID do usuário e a senha que aparecem em uma lista de violações lançada publicamente. O risco de sessão determina se a atividade de entrada vem de um local ou de um endereço IP suspeito ou de outro indicador de comprometimento. Os dois tipos de detecção se baseiam nas funcionalidades abrangentes de inteligência contra ameaças da Microsoft.

    Para obter mais informações sobre o Advanced Identity Protection, consulte Visão geral de segurança de Proteção do Microsoft Entra ID.

  • Microsoft Defender para Identidade protege identidades e serviços em execução em controladores de domínio do Active Directory monitorando todos os sinais de atividade e de ameaças. O Defender para Identidade identifica ameaças com base na experiência real de investigações de violações de clientes. Ele monitora o comportamento do usuário e recomenda reduções de superfície de ataque para evitar ataques avançados, como reconhecimento, movimento lateral e controle de domínio.

    Para obter mais informações sobre o Defender para Identidade, confira O que é o Microsoft Defender para Identidade.

Detalhes do cenário

As contas da AWS (Amazon Web Services) que dão suporte a cargas de trabalho críticas e informações altamente confidenciais precisam de proteção de identidade e controle de acesso rigorosos. O gerenciamento de identidades da AWS é aprimorado quando combinado com o Microsoft Entra ID. O Microsoft Entra ID é uma solução de gerenciamento de identidades e acesso centralizada e baseada em nuvem que ajuda a proteger as contas e os ambientes da AWS. O Microsoft Entra ID oferece SSO (logon único) centralizado e autenticação forte por meio da MFA (autenticação multifator) e das políticas de Acesso condicional. O Microsoft Entra ID dá suporte para gerenciamento de identidades, identidades baseadas em função e controle de acesso da AWS.

Muitas organizações que usam a AWS já contam com o Microsoft Entra ID para o gerenciamento de identidades e a proteção de acesso de nuvem híbrida do Microsoft 365. Essas organizações podem usar o Microsoft Entra ID de forma rápida e fácil com suas contas da AWS, geralmente sem custo adicional. Outros recursos avançados do Microsoft Entra, como o PIM (Privileged Identity Management) e o Advanced Identity Protection, podem ajudar a proteger as contas da AWS mais confidenciais.

O Microsoft Entra ID se integra facilmente a outras soluções de segurança da Microsoft, como o Microsoft Defender para Aplicativos de Nuvem e o Microsoft Sentinel. Para obter mais informações, confira Defender para Aplicativos de Nuvem e Microsoft Sentinel para AWS. As soluções de segurança da Microsoft são extensíveis e contam com vários níveis de proteção. As organizações podem implementar uma ou mais dessas soluções junto com outros tipos de proteção para uma arquitetura de segurança completa que protege implantações atuais e futuras do AWS.

Recomendações

Segurança

Os seguintes princípios e diretrizes são importantes para qualquer solução de segurança na nuvem:

  • Verifique se a organização pode monitorar, detectar e proteger automaticamente o usuário e o acesso programático em ambientes de nuvem.

  • Examine continuamente as contas atuais para garantir a governança e o controle de identidade e permissão.

  • Seguir os princípios de privilégios mínimos e Confiança Zero. Verifique se cada usuário pode acessar apenas os recursos específicos necessários, de dispositivos confiáveis e locais conhecidos. Reduza as permissões de cada administrador e desenvolvedor para fornecer apenas os direitos necessários para a função que estão executando. Revise regularmente.

  • Monitorar continuamente as alterações na configuração da plataforma, principalmente quando elas apresentarem oportunidades de elevação de privilégio ou persistência de ataque.

  • Impedir a exfiltração dos dados não autorizada inspecionando e controlando o conteúdo ativamente.

  • Aproveitar soluções que talvez você já tenha, como o Microsoft Entra ID P2, que podem aumentar a segurança sem despesas adicionais.

Segurança básica da conta da AWS

Para garantir a higiene básica de segurança para contas e recursos da AWS:

  • Examine as diretrizes de segurança da AWS em Práticas recomendadas para proteger contas e recursos da AWS.

  • Reduza o risco de carregar e baixar malware e outros conteúdos mal-intencionados inspecionando ativamente todas as transferências de dados por meio do Console de Gerenciamento do AWS. Conteúdo que é carregado ou baixado diretamente nos recursos da plataforma AWS, como servidores Web ou bancos de dados, podem precisar de mais proteção.

  • Considere proteger o acesso a outros recursos, incluindo:

    • Recursos criados na conta da AWS.
    • Plataformas de carga de trabalho específicas, como Windows Server, Servidor Linux ou contêineres.
    • Dispositivos que os administradores e os desenvolvedores usam para acessar o Console de Gerenciamento da AWS.

Segurança do AWS IAM

Um aspecto fundamental da proteção do Console de Gerenciamento da AWS é controlar quem pode fazer alterações em configurações confidenciais. O usuário raiz da conta da AWS tem acesso irrestrito. A equipe de segurança precisa ter o controle total da conta de usuário raiz para impedir que ela entre no Console de Gerenciamento da AWS ou trabalhe com recursos da AWS.

Para controlar a conta de usuário raiz:

  • Considere alterar as credenciais de entrada do usuário raiz do endereço de email de uma pessoa para uma conta de serviço que a equipe de segurança controle.
  • Verifique se a senha da conta de usuário raiz é complexa e imponha a MFA para o usuário raiz.
  • Monitore os logs das instâncias da conta de usuário raiz que estão sendo usadas para entrar.
  • Use a conta de usuário raiz somente em emergências.
  • Use o Microsoft Entra ID para implementar o acesso administrativo delegado em vez de usar o usuário raiz para tarefas administrativas.

Compreenda e examine claramente os outros componentes da conta do AWS IAM para obter as atribuições e o mapeamento apropriados.

  • Por padrão, uma conta da AWS não tem usuários do IAM até que o usuário raiz crie uma ou mais identidades para delegar o acesso. Uma solução que sincroniza usuários existentes de outro sistema de identidade, como o Microsoft Active Directory, também pode provisionar automaticamente usuários do IAM.

  • As políticas de IAM fornecem direitos de acesso delegados aos recursos da conta da AWS. A AWS fornece mais de 750 políticas do IAM exclusivas e os clientes também podem definir políticas personalizadas.

  • As funções do IAM anexam políticas específicas a identidades. As funções são a maneira de administrar o RBAC (controle de acesso baseado em função). A solução atual usa Identidades Externas para implementar identidades do Microsoft Entra assumindo funções do IAM.

  • Os grupos do IAM também são uma forma de administrar o RBAC. Em vez de atribuir políticas do IAM diretamente a usuários individuais do IAM, crie um grupo do IAM, atribua permissões anexando uma ou mais políticas do IAM e adicione usuários do IAM ao grupo para herdar os direitos apropriados de acesso aos recursos.

Algumas contas de serviço do IAM precisam continuar a ser executadas no AWS IAM para fornecer acesso programático. Verifique essas contas, armazene e restrinja de modo seguro o acesso às credenciais de segurança e faça a rotação das credenciais com regularidade.

Implantar este cenário

A próxima seção mostra como implantar o Microsoft Entra ID para logon único em uma conta individual da AWS.

Planejar e preparar

Ao se preparar para a implantação de soluções de segurança do Azure, examine e registre as informações atuais da conta da AWS e do Microsoft Entra. Se você tiver implantado em mais de uma conta da AWS, repita estas etapas para cada conta.

  1. No Console de gerenciamento de cobrança da AWS, registre as seguintes informações atuais da conta da AWS:

    • ID da Conta da AWS, um identificador exclusivo.
    • Nome da conta ou usuário raiz.
    • Forma de pagamento, seja atribuída a um cartão de crédito ou a um acordo entre parceiros comerciais.
    • Contatos alternativos que têm acesso às informações da conta da AWS.
    • Perguntas de segurança atualizadas e registradas com segurança para acesso de emergência.
    • Regiões da AWS habilitadas ou desabilitadas para cumprir a política de segurança de dados.

  2. No Console de gerenciamento do AWS IAM, examine e registre os seguintes componentes do AWS IAM:

    • Grupos que foram criados, incluindo políticas detalhadas anexadas de mapeamento baseado em funções e associação.
    • Usuários que foram criados, incluindo a Idade da senha das contas de usuário e a Idade da chave de acesso das contas de serviço. Confirme também se a MFA está habilitada para cada usuário.
    • Funções. Há duas funções padrão vinculadas ao serviço, AWSServiceRoleForSupport e AWSServiceRoleForTrustedAdvisor. Registre todas as outras funções, que são personalizadas. Essas funções são vinculadas a políticas de permissão, a serem usadas para o mapeamento de funções no Microsoft Entra ID.
    • Diretivas. As políticas prontas para uso têm a opção Gerenciado pela AWS, Função de trabalho ou Gerenciado pelo cliente na coluna Tipo. Registre todas as outras políticas, que são personalizadas. Registre também onde cada política está atribuída por meio das entradas na coluna Usado como.
    • Provedores de identidade, para entender todos os provedores de identidade SAML (Security Assertion Markup Language) existentes. Planeje como substituir os provedores de identidade existentes por um único provedor de identidade, o Microsoft Entra.

  3. No portal do Azure, examine o locatário do Microsoft Entra:

    • Avalie as Informações do locatário para saber se o locatário tem uma licença do Microsoft Entra ID P1 ou P2. Uma licença P2 oferece recursos avançados de gerenciamento de identidade do Microsoft Entra.
    • Avalie os Aplicativos empresariais para saber se os aplicativos existentes usam o tipo de aplicativo AWS, o que é mostrado por http://aws.amazon.com/ na coluna URL da home page.

Planejar a implantação do Microsoft Entra

Os procedimentos de implantação do Microsoft Entra consideram que o Microsoft Entra ID já esteja configurado para a organização, como para uma implementação do Microsoft 365. As contas podem ser sincronizadas de um domínio do Active Directory ou podem ser contas de nuvem criadas diretamente no Microsoft Entra ID.

Planejar o RBAC

Se a instalação da AWS usar grupos e funções do IAM para RBAC, você poderá mapear a estrutura RBAC existente para novas contas de usuário e grupos de segurança do Microsoft Entra.

Se a conta da AWS não tiver uma implementação de RBAC forte, comece trabalhando no acesso mais confidencial:

  1. Atualize o usuário raiz da conta da AWS.

  2. Examine os usuários, os grupos e as funções do AWS IAM anexados à política do IAM AdministratorAccess.

  3. Trabalhe com outras políticas do IAM atribuídas, começando com aquelas que podem modificar, criar ou excluir recursos e outros itens de configuração. Você pode identificar políticas em uso examinando a coluna Usado como.

Planejar a migração

O Microsoft Entra ID centraliza toda a autenticação e autorização. Você pode planejar e configurar o mapeamento de usuários e o RBAC sem afetar os administradores e os desenvolvedores até que esteja tudo pronto para a imposição dos novos métodos.

Veja a seguir o processo geral para migrar as contas de IAM da AWS para o Microsoft Entra ID. Para obter instruções detalhadas, confira Implantação.

  1. Mapeie as políticas do IAM para as funções do Microsoft Entra e use o RBAC para mapear funções para grupos de segurança.

  2. Substitua cada usuário do IAM por um usuário do Microsoft Entra que seja membro dos grupos de segurança apropriados para entrada e obtenção das permissões apropriadas.

  3. Faça um teste solicitando que cada usuário entre na AWS com a conta do Microsoft Entra e confirme se tem o nível de acesso apropriado.

  4. Depois que o usuário confirmar o acesso ao Microsoft Entra ID, remova a conta de usuário de IAM da AWS. Repita o processo para cada usuário até que todos sejam migrados.

Para contas de serviço e acesso programático, use a mesma abordagem. Atualize cada aplicativo que usa a conta para usar uma conta de usuário do Microsoft Entra equivalente.

Verifique se os usuários restantes de IAM da AWS têm senhas complexas com a MFA habilitada ou uma chave de acesso que é substituída com regularidade.

O seguinte diagrama mostra um exemplo das etapas de configuração e do mapeamento final de política e função entre o Microsoft Entra ID e o IAM da AWS:

Diagrama mostrando as etapas de configuração e o mapeamento de função final do AWS IAM para o Azure AD.

Integração do logon único

O Microsoft Entra ID dá suporte à integração de logon único com SSO da AWS. Você pode conectar o MIcrosoft Entra ID à AWS em um só lugar e controlar de modo centralizado o acesso de centenas de contas e aplicativos integrados ao SSO da AWS. Esse recurso permite uma experiência de logon perfeita do Microsoft Entra para que os usuários usem a CLI da AWS.

O procedimento de solução de segurança da Microsoft a seguir implementa o SSO para as funções de exemplo Administradores da AWS e Desenvolvedores da AWS. Repita esse processo para todas outras as funções necessárias.

Esse procedimento aborda as seguintes etapas:

  1. Crie um novo aplicativo empresarial do Microsoft Entra.
  2. Configure o SSO do Microsoft Entra para AWS.
  3. Atualizar o mapeamento de função.
  4. Teste o SSO do Microsoft Entra no Console de Gerenciamento da AWS.

Os links a seguir fornecem as etapas completas de implementação detalhada e a solução de problemas:

Adicionar um aplicativo da AWS aos aplicativos empresariais do Microsoft Entra

Os administradores e desenvolvedores da AWS usam um aplicativo empresarial para entrar no Microsoft Entra ID para fazer a autenticação e depois voltar à AWS para autorização e acesso aos recursos da AWS. O método mais simples para ver o aplicativo é entrar no https://myapps.microsoft.com, mas você também pode publicar a URL exclusiva em qualquer lugar que forneça acesso fácil.

Siga as instruções em Adicionar a AWS (Amazon Web Services) por meio da galeria para configurar o aplicativo empresarial. Essas instruções permitirão que você saiba qual aplicativo da AWS deve ser adicionado aos seus aplicativos empresariais do Microsoft Entra.

Se houver mais de uma conta da AWS para ser administrada, como DevTest e Produção, use um nome exclusivo para o aplicativo empresarial que inclua um identificador da empresa e uma conta da AWS específica.

Captura de tela que mostra a criação do aplicativo empresarial no Azure AD.

Configurar o SSO do Microsoft Entra para AWS

Siga as etapas abaixo para configurar o SSO do Microsoft Entra para a AWS:

  1. No Portal do Azure, siga as etapas em Configurar o SSO do Microsoft Entra para configurar o Aplicativo empresarial criado para o logon único na AWS.

  2. No Console da AWS, siga as etapas em Configurar o SSO da AWS para configurar o logon único da conta da AWS. Durante essa configuração, você criará um usuário do IAM que aja em nome do agente de provisionamento do Microsoft Entra para permitir a sincronização de todas as funções do IAM da AWS disponíveis no Microsoft Entra ID. A AWS precisa desse usuário do IAM para mapear os usuários às funções para que eles possam entrar no Console de Gerenciamento da AWS.

  • Facilite a identificação dos componentes criados para dar suporte a essa integração. Por exemplo, nomeie as contas de serviço com uma convenção de nomenclatura padrão como "Svc-".
  • Documente todos os novos itens.
  • Verifique se as novas credenciais incluem senhas complexas que você armazena de modo centralizado para o gerenciamento seguro do ciclo de vida.

Com base nessas etapas de configuração, você pode diagramar as interações desta forma:

Diagrama das interações de configuração.

No Console da AWS, siga as etapas abaixo para criar mais funções.

  1. No AWS IAM, selecione Funções –> Criar Função.

  2. Na página Criar função, realize as seguintes etapas:

    1. Em Selecionar tipo de entidade confiável, selecione Federação do SAML 2.0.
    2. Em Escolher um provedor do SAML 2.0, selecione o provedor do SAML criado na etapa anterior.
    3. Selecione Permitir acesso do Console de Gerenciamento do AWS e programação.
    4. Selecione Avançar: Permissões.

  3. Na caixa de diálogo Anexar políticas de permissões, selecione AdministratorAccess. Selecione Avançar: Tags.

  4. Deixe a caixa de diálogo Adicionar Marcas em branco e selecione Avançar: Examinar.

  5. Na caixa de diálogo Examinar, execute as seguintes etapas:

    1. Em Nome da Função, insira o nome da função (Administrador).
    2. Em Descrição da Função, insira a descrição.
    3. Selecione Criar Função.

  6. Crie outra função seguindo as etapas listadas acima. Nomeie a função como Desenvolvedor e dê a ela algumas permissões selecionadas da sua escolha (como AmazonS3FullAccess).

    Você criou com êxito uma função de Administrador e uma de Desenvolvedor na AWS.

  7. Crie os seguintes usuários e grupos no Microsoft Entra ID:

    • Usuário 1: Test-AWSAdmin
    • Usuário 2: Test-AWSDeveloper
    • Grupo 1: AWS-Account1-Administrators
    • Grupo 2: AWS-Account1-Developers
    • Adicione Test-AWSAdmin como membro de AWS-Account1-Administrators
    • Adicione Test-AWSDeveloper como membro de AWS-Account1-Developers

  8. Siga as etapas em Como configurar o provisionamento de função no AWS Single-Account Access para configurar o provisionamento automatizado de funções. A conclusão do primeiro ciclo de provisionamento pode demorar até uma hora.

Como atualizar o mapeamento de função

Como você está usando duas funções, execute estas etapas adicionais:

  1. Confirme se o agente de provisionamento pode ver pelo menos duas funções:

    Captura de tela das duas funções no Microsoft Entra ID.

  2. Acesse Usuários e grupos e selecione Adicionar Usuário.

  3. Selecione AWS-Account1-Administrators.

  4. Selecione a função associada.

    Captura de tela da seleção de uma função associada.

  5. Repita as etapas anteriores para cada mapeamento de grupo-função. Após a conclusão, haverá dois grupos do Microsoft Entra mapeados corretamente para as funções do IAM da AWS:

    Captura de tela mostrando os grupos mapeados para funções corretas.

Se você não conseguir ver nem selecionar uma função, volte à página Provisionamento para confirmar o provisionamento bem-sucedido no agente de provisionamento do Microsoft Entra e verifique se a conta de usuário do IAM tem as permissões corretas. Você também pode reiniciar o mecanismo de provisionamento para tentar a importação novamente:

Captura de tela da opção Reiniciar provisionamento na barra de menus.

Testar o SSO do Microsoft Entra no Console de Gerenciamento da AWS

Teste a entrada como cada um dos usuários de teste para confirmar se o SSO funciona.

  1. Inicie uma nova sessão privada do navegador para garantir que outras credenciais armazenadas não entrem em conflito com os testes.

  2. Acesse https://myapps.microsoft.com usando as credenciais das contas de usuário do Microsoft Entra Test-AWSAdmin ou Test-AWSDeveloper que você criou.

  3. Você verá o novo ícone do aplicativo Console da AWS. Selecione o ícone e siga todos os prompts de autenticação:

    Captura de tela do ícone do aplicativo Console da AWS.

  4. Depois de entrar no Console da AWS, navegue pelos recursos para confirmar se essa conta tem o acesso delegado apropriado.

  5. Observe o formato de nomenclatura da sessão de entrada do usuário:

    FUNÇÃO/UPN/Número da Conta da AWS

    Você pode usar essas informações de sessão de entrada do usuário para acompanhar a atividade de entrada do usuário no Defender para Aplicativos de Nuvem ou no Microsoft Sentinel.

    Captura de tela das informações da sessão de entrada.

  6. Saia e repita o processo na outra conta de usuário de teste para confirmar as diferenças no mapeamento de função e nas permissões.

Habilitar o Acesso Condicional

Para criar uma política de acesso condicional que exija MFA:

  1. No portal do Azure, acesse Microsoft Entra ID>Segurança e selecione Acesso Condicional.

  2. Na navegação à esquerda, selecione Políticas.

    Captura de tela da tela de Acesso condicional do Microsoft Entra com Políticas selecionadas.

  3. Selecione Nova política e preencha o formulário da seguinte maneira:

    • Nome: insira Console da AWS – MFA
    • Usuários e Grupos: selecione os dois grupos de funções que você já criou:
      • AWS-Account1-Administrators
      • AWS-Account1-Developers
    • Concessão: selecione Exigir a autenticação multifator

  4. Defina Habilitar política como Ativo.

    Captura de tela do formulário de nova política preenchido.

  5. Selecione Criar. A política entra em vigor imediatamente.

  6. Para testar a política de acesso condicional, saia das contas de teste, abra uma nova sessão de navegação privada e entre com uma das contas do grupo de funções. Você verá o prompt da MFA:

    Captura de tela do prompt de entrada da MFA.

  7. Conclua o processo de configuração da MFA. É melhor usar o aplicativo móvel para autenticação, em vez de depender de SMS.

    Captura da tela de configuração da MFA no aplicativo móvel.

Talvez seja necessário criar várias políticas de acesso condicional para atender às necessidades de negócios relacionadas a autenticação forte. Considere a convenção de nomenclatura que você usa ao criar as políticas para garantir a facilidade de identificação e a manutenção contínua. Além disso, a menos que a MFA já esteja implantada amplamente, verifique se a política tem como escopo afetar apenas os usuários pretendidos. Outras políticas devem abranger as necessidades de outros grupos de usuários.

Depois de habilitar o Acesso condicional, você pode impor outros controles, como o PAM e o provisionamento JIT (just-in-time). Para obter mais informações, consulte O que é o provisionamento de usuário de aplicativo SaaS automatizado no Microsoft Entra ID.

Se você tiver o Defender para Aplicativos de Nuvem, use o acesso condicional para configurar as políticas de sessão desse serviço. Para obter mais informações, consulte Configurar políticas de sessão do Microsoft Entra para atividades da AWS.

Próximas etapas