Fundamentos de identidade para organizações de defesa multilocatário
O guia a seguir fornece fundamentos de identidade de confiança zero para organizações de defesa multilocatário e se concentra na ID do Microsoft Entra. A confiança zero é uma estratégia fundamental para garantir a integridade e a confidencialidade de informações confidenciais. A identidade é um pilar fundamental da confiança zero. A ID do Microsoft Entra é o serviço de identidade de nuvem da Microsoft. A ID do Microsoft Entra é um componente crítico de confiança zero que todos os clientes de nuvem da Microsoft usam.
Arquitetos e tomadores de decisão devem entender os principais recursos do Microsoft Entra ID e sua função na confiança zero antes de criar a estratégia corporativa de defesa. As organizações de defesa podem atender a muitos requisitos de confiança zero adotando a ID do Microsoft Entra. Muitos já têm acesso a recursos essenciais do Microsoft Entra por meio de suas licenças existentes do Microsoft 365.
Locatários do Microsoft Entra
Uma instância da ID do Microsoft Entra é chamada de locatário do Microsoft Entra. Um locatário do Microsoft Entra é uma plataforma de identidade e um limite. É a plataforma de identidade para sua organização e um limite de identidade seguro para os serviços de nuvem da Microsoft que você usa. Como tal, é ideal para proteger dados confidenciais de identidade de defesa.
Consolidando locatários do Microsoft Entra. A Microsoft recomenda um locatário por organização. Um único locatário do Microsoft Entra fornece a experiência de gerenciamento de identidade mais perfeita para usuários e administradores. Ele fornece os recursos de confiança zero mais abrangentes. As organizações com vários locatários do Microsoft Entra devem gerenciar diferentes conjuntos de usuários, grupos, aplicativos e políticas, aumentando o custo e adicionando complexidade administrativa. Um único locatário também minimiza o custo de licenciamento.
Você deve tentar fazer com que o Microsoft 365, os serviços do Azure, o Power Platform, os aplicativos de linha de negócios (LOB), os aplicativos SaaS (software como serviço) e outros provedores de serviços de nuvem (CSP) usem um único locatário do Microsoft Entra.
Microsoft Entra ID versus Active Directory. A ID do Microsoft Entra não é uma evolução dos Serviços de Domínio Active Directory (AD DS). O conceito de locatário é como uma floresta do Active Directory, mas a arquitetura subjacente é diferente. O Microsoft Entra ID é um serviço de identidade de hiperescala, moderno e baseado em nuvem.
Nomes de domínio iniciais e IDs de locatário. Cada locatário tem um nome de domínio inicial exclusivo e uma ID de locatário. Por exemplo, uma organização chamada Contoso pode ter o nome contoso.onmicrosoft.com de domínio inicial para a ID do Microsoft Entra e contoso.onmicrosoft.us para o Microsoft Entra Government. As IDs de locatário são identificadores globais exclusivos (GUID). Cada locatário tem apenas um domínio inicial e uma ID de locatário. Ambos os valores são imutáveis e não podem ser alterados após a criação do locatário.
Os usuários entram em contas do Microsoft Entra com seu nome UPN. O UPN é um atributo de usuário do Microsoft Entra e precisa de um sufixo roteável. O domínio inicial é o sufixo roteável padrão (user@contoso.onmicrosoft.com). Você pode adicionar domínios personalizados para criar e usar um UPN mais amigável. O UPN amigável geralmente corresponde ao endereço de email do usuário (user@contoso.com). O UPN para a ID do Microsoft Entra pode ser diferente do userPrincipalName do AD DS dos usuários. Ter um UPN diferente e um userPrincipalName do AD DS é comum quando os valores userPrincipalName do AD DS não são roteáveis ou usam um sufixo que não corresponde a um domínio personalizado verificado no locatário.
Você só pode verificar um domínio personalizado em um locatário do Microsoft Entra globalmente. Os domínios personalizados não são limites de segurança ou confiança como as florestas do AD DS (Active Directory Domain Services). Eles são um namespace DNS para identificar o locatário inicial de um usuário do Microsoft Entra.
Arquitetura do Microsoft Entra
A ID do Microsoft Entra não tem controladores de domínio, unidades organizacionais, objetos de política de grupo, relações de confiança de domínio/floresta ou funções FSMO (Operação Mestra Única Flexível). O Microsoft Entra ID é uma solução de gerenciamento de identidade de software como serviço. Você pode acessar a ID do Microsoft Entra por meio de APIs RESTful. Você usa protocolos modernos de autenticação e autorização para acessar recursos protegidos pela ID do Microsoft Entra. O diretório tem uma estrutura simples e usa permissões baseadas em recursos.
Cada locatário do Microsoft Entra é um armazenamento de dados altamente disponível para dados de gerenciamento de identidade. Ele armazena objetos de identidade, política e configuração e os replica entre regiões do Azure. Um locatário do Microsoft Entra fornece redundância de dados para informações críticas de defesa.
Tipos de identidade
A ID do Microsoft Entra tem dois tipos de identidades. Os dois tipos de identidade são usuários e entidades de serviço.
Usuários. Os usuários são identidades para indivíduos que acessam a Microsoft e os serviços de nuvem federados. Os usuários podem ser membros ou convidados em uma instância da ID do Microsoft Entra. Normalmente, os membros são internos à sua organização e os convidados pertencem a uma organização externa, como um parceiro de missão ou empreiteiro de defesa. Para saber mais sobre usuários convidados e colaboração entre organizações, consulte Visão geral da colaboração B2B.
Entidades de serviço. As entidades de serviço são entidades não pessoais (NPE) na ID do Microsoft Entra. As entidades de serviço podem representar aplicativos, contas de serviço/automação e recursos do Azure. Mesmo recursos que não são do Azure, como servidores locais, podem ter uma entidade de serviço na ID do Microsoft Entra e interagir com outros recursos do Azure. As entidades de serviço são úteis para automatizar fluxos de trabalho de defesa e gerenciar aplicativos críticos para operações de defesa. Para obter mais informações, confira Objetos de aplicativo e entidade de serviço no Microsoft Entra ID.
Sincronizando identidades. Você pode usar o Microsoft Entra Connect Sync ou o Microsoft Entra Connect Cloud Sync para sincronizar objetos de usuário, grupo e computador (dispositivo) nos Serviços de Domínio Active Directory com a ID do Microsoft Entra. Essa configuração é chamada de identidade híbrida.
Permissões
A ID do Microsoft Entra usa uma abordagem diferente para permissões do AD DS (Active Directory Domain Services) local tradicional.
Funções do Microsoft Entra. Você atribui permissões na ID do Microsoft Entra usando funções de diretório do Microsoft Entra. Essas funções concedem acesso a APIs e escopos específicos. O Administrador Global é a função com privilégios mais altos na ID do Microsoft Entra. Há muitas funções internas para várias funções administrativas limitadas. Você deve delegar permissões granulares para reduzir a área de superfície de ataque.
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. Isso ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.
Atribuição de permissão elevada. Para aumentar a segurança e reduzir privilégios desnecessários, a ID do Microsoft Entra fornece dois princípios para atribuição de permissão:
JIT (Just-in-Time): a ID do Microsoft Entra dá suporte ao acesso just-in-time. O recurso JIT permite atribuir permissões temporariamente quando necessário. O acesso JIT minimiza a exposição de privilégios desnecessários e reduz a superfície de ataque.
JEA (Just-Enough-Admin): a ID do Microsoft Entra segue o princípio just-enough-admin. As funções internas permitem delegar tarefas administrativas sem conceder permissões excessivas. As Unidades Administrativas podem restringir ainda mais o escopo de permissão para funções do Microsoft Entra.
Autenticação
Ao contrário do Active Directory, os usuários no Microsoft Entra ID não estão limitados à autenticação de senha ou cartão inteligente. Os usuários do Microsoft Entra podem usar senhas e muitos outros métodos de autenticação e verificação. O Microsoft Entra ID usa protocolos de autenticação modernos, protege contra ataques baseados em token e detecta comportamentos de entrada suspeitos.
Métodos de autenticação. Os métodos de autenticação do Microsoft Entra incluem suporte nativo para certificados de cartão inteligente e credenciais derivadas, Microsoft Authenticator sem senha, chaves de segurança FIDO2 (chave de acesso de hardware) e credenciais de dispositivo como Windows Hello para Empresas. O Microsoft Entra ID oferece métodos sem senha e resistentes a phishing em suporte aos recursos do Memorando 22-09 e da Estratégia de Confiança Zero DODCIO.
Protocolos de autenticação. A ID do Microsoft Entra não usa Kerberos, NTLM ou LDAP. Ele usa protocolos abertos modernos destinados ao uso pela Internet, como OpenID Connect, OAuth 2.0, SAML 2.0 e SCIM. Embora o Entra não use o Kerberos para sua própria autenticação, ele pode emitir tíquetes Kerberos para identidades híbridas para dar suporte aos Arquivos do Azure e habilitar a entrada sem senha em recursos locais. O proxy de aplicativo do Entra permite configurar o logon único do Entra para aplicativos locais que dão suporte apenas a protocolos herdados, como Kerberos e autenticação baseada em cabeçalho.
Proteções contra ataques de token. O AD DS tradicional é suscetível a ataques baseados em Kerberos. O AD DS usa grupos de segurança com SID (identificadores de segurança) conhecidos, como S-1-5-domain-512 para Administradores de Domínio. Quando um Administrador de Domínio executa uma entrada local ou de rede, o Controlador de Domínio emite um tíquete Kerberos contendo o SID dos Administradores de Domínio e o armazena em um cache de credenciais. Os agentes de ameaças geralmente exploram esse mecanismo usando técnicas de movimento lateral e escalonamento de privilégios, como pass-the-hash e pass-the-ticket.
No entanto, a ID do Microsoft Entra não é suscetível a ataques Kerberos. O equivalente na nuvem são as técnicas de adversário no meio (AiTM), como sequestro de sessão e repetição de sessão, para roubar tokens de sessão (token de entrada). Aplicativos cliente, Web Account Manager (WAM) ou o navegador da Web do usuário (cookies de sessão) armazenam esses tokens de sessão. Para proteger contra ataques de roubo de token, a ID do Microsoft Entra registra o uso do token para impedir a reprodução e pode exigir que os tokens sejam vinculados criptograficamente ao dispositivo do usuário.
Para saber mais sobre roubo de tokens, consulte o Guia estratégico de roubo de tokens.
Detecte um comportamento de entrada suspeito. O Microsoft Entra ID Protection usa uma combinação de detecções offline e em tempo real para identificar usuários arriscados e eventos de entrada. Você pode usar condições de risco no Acesso Condicional do Entra para controlar ou bloquear dinamicamente o acesso aos seus aplicativos. A CAE (Avaliação de Acesso Contínuo) permite que os aplicativos cliente detectem alterações na sessão de um usuário para impor políticas de acesso quase em tempo real.
Aplicativos
O Microsoft Entra ID não é apenas para aplicativos e serviços da Microsoft. A ID do Microsoft Entra pode ser o provedor de identidade para qualquer aplicativo, provedor de serviços de nuvem, provedor de SaaS ou sistema de identidade que use os mesmos protocolos. Ele suporta facilmente a interoperabilidade com forças de defesa aliadas e empreiteiros.
Ponto de Imposição de Política (PEP) e Ponto de Decisão de Política (PDP). A ID do Microsoft Entra é um ponto de imposição de política comum (PEP) e um ponto de decisão de política (PDP) em arquiteturas de confiança zero. Ele impõe políticas de segurança e controles de acesso para aplicativos.
Governança do Microsoft Entra ID. A Governança de ID do Microsoft Entra é um recurso do Microsoft Entra. Ele ajuda você a gerenciar o acesso do usuário e automatizar o ciclo de vida do acesso. Ele garante que os usuários tenham acesso apropriado e oportuno a aplicativos e recursos.
Acesso condicional. O acesso condicional permite que você use atributos para autorização refinada para aplicativos. Você pode definir políticas de acesso com base em vários fatores. Esses fatores incluem atributos do usuário, força da credencial, atributos do aplicativo, risco de usuário e entrada, integridade do dispositivo e localização. Para obter mais informações, consulte segurança de confiança zero.
Dispositivos
O Microsoft Entra ID fornece acesso seguro e contínuo aos serviços da Microsoft por meio do gerenciamento de dispositivos. Você pode gerenciar e ingressar dispositivos Windows no Microsoft Entra da mesma forma que faria com os Serviços de Domínio Active Directory.
Dispositivos registrados. Os dispositivos são registrados com seu locatário do Entra quando os usuários entram em aplicativos usando sua conta do Entra. O registro do dispositivo Entra não é o mesmo que o registro do dispositivo ou a junção do Entra. Os usuários entram em dispositivos registrados usando uma conta local ou conta da Microsoft. Os dispositivos registrados geralmente incluem BYOD (Bring Your Own Devices), como o computador doméstico ou o telefone pessoal de um usuário.
Dispositivos ingressados no Microsoft Entra. Quando os usuários entram em um dispositivo ingressado no Microsoft Entra, uma chave vinculada ao dispositivo é desbloqueada usando um PIN ou gesto. Após a validação, a ID do Microsoft Entra emite um PRT (token de atualização primário) para o dispositivo. Esse PRT facilita o acesso de logon único a serviços protegidos por ID do Microsoft Entra, como o Microsoft Teams.
Os dispositivos ingressados no Microsoft Entra registrados no Microsoft Endpoint Manager (Intune) podem usar a conformidade do dispositivo como um controle de concessão no acesso condicional.
Dispositivos ingressados híbridos do Microsoft Entra. O ingresso híbrido do Microsoft Entra permite que os dispositivos Windows sejam conectados simultaneamente aos Serviços de Domínio Active Directory e à ID do Microsoft Entra. Esses dispositivos primeiro autenticam os usuários no Active Directory e, em seguida, recuperam um token de atualização primário da ID do Microsoft Entra.
Dispositivos e aplicativos gerenciados pelo Intune. O Microsoft Intune facilita o registro e o registro de dispositivos para gerenciamento. O Intune permite definir estados compatíveis e seguros para dispositivos de usuário, proteger dispositivos com Microsoft Defender para Ponto de Extremidade e exigir que os usuários usem um dispositivo compatível para acessar recursos corporativos.
Microsoft 365 e Azure
O Microsoft Entra ID é a plataforma de identidade da Microsoft. Ele atende aos serviços do Microsoft 365 e do Azure. As assinaturas do Microsoft 365 criam e usam um locatário do Microsoft Entra. Os serviços do Azure também dependem de um locatário do Microsoft Entra.
Identidade do Microsoft 365. A ID do Microsoft Entra é parte integrante de todas as operações de identidade no Microsoft 365. Ele lida com a entrada do usuário, a colaboração, o compartilhamento e a atribuição de permissões. Ele dá suporte ao gerenciamento de identidades para os serviços Office 365, Intune e Microsoft Defender XDR. Seus usuários usam o Microsoft Entra sempre que entram em um aplicativo do Office como Word ou Outlook, compartilham um documento usando o OneDrive, convidam um usuário externo para um site do SharePoint ou criam uma nova equipe no Microsoft Teams.
Identidade do Azure. No Azure, cada recurso é associado a uma assinatura do Azure e as assinaturas são vinculadas a um único locatário do Microsoft Entra. Você delega permissões para gerenciar recursos do Azure atribuindo funções do Azure a usuários, grupos de segurança ou entidades de serviço.
As identidades gerenciadas desempenham um papel crucial para permitir que os recursos do Azure interajam com segurança com outros recursos. Essas identidades gerenciadas são entidades de segurança dentro do locatário do Microsoft Entra. Você concede permissões a eles com base no privilégio mínimo. Você pode autorizar uma identidade gerenciada a acessar APIs protegidas pela ID do Microsoft Entra, como o Microsoft Graph. Quando um recurso do Azure usa uma identidade gerenciada, a identidade gerenciada é um objeto de entidade de serviço. O objeto de princípio de serviço reside no mesmo locatário do Microsoft Entra que a assinatura associada ao recurso.
Microsoft Graph
Os portais da Web da Microsoft para Microsoft Entra, Azure e Microsoft 365 fornecem uma interface gráfica para a ID do Microsoft Entra. Você pode automatizar o acesso programático para ler e atualizar objetos e políticas de configuração do Microsoft Entra usando APIs RESTful chamadas Microsoft Graph. O Microsoft Graph dá suporte a clientes em vários idiomas. As linguagens com suporte incluem PowerShell, Go, Python, Java, .NET, Ruby e muito mais. Explore os repositórios do Microsoft Graph no GitHub.
Nuvens do Azure Governamental
Há duas versões separadas dos serviços do Microsoft Entra que as organizações de defesa podem usar em redes públicas (conectadas à Internet): Microsoft Entra Global e Microsoft Entra Government.
Microsoft Entra Global. O Microsoft Entra Global é para o Microsoft 365 comercial e o Azure, Microsoft 365 GCC Moderate. O serviço de entrada do Microsoft Entra Global é login.microsoftonline.com.
Microsoft Entra Government. O Microsoft Entra Government é Azure Government (IL4), DoD (IL5), Microsoft 365 GCC High, Microsoft 365 DoD (IL5). O serviço de entrada do Microsoft Entra Government é login.microsoftonline.us.
URLS de serviço. Diferentes serviços do Microsoft Entra usam URLs de entrada diferentes. Como resultado, você precisa usar portais da web separados. Você também precisa fornecer comutadores de ambiente para se conectar com clientes do Microsoft Graph e módulos do PowerShell para gerenciar o Azure e o Microsoft 365 (consulte a tabela 1).
Tabela 1. Pontos de extremidade do Azure Governamental.
| Ponto de extremidade | Global | GCC Alta | Nível de impacto 5 do DoD (IL5) |
|---|---|---|---|
| Centro de administração do Microsoft Entra | entra.microsoft.com | entra.microsoft.us | entra.microsoft.us |
| Portal do Azure | portal.azure.com | portal.azure.us | portal.azure.us |
| Centro de Administração do Defender | security.microsoft.com | security.microsoft.us | security.apps.mil |
| MS Graph PowerShell | Connect-MgGraph<br>-Environment Global |
Connect-MgGraph<br>-Environment USGov |
Connect-MgGraph<br>-Environment USGovDoD |
| Módulo do PowerShell Az | Connect-AzAccount<br>-Environment AzureCloud |
Connect-AzAccount<br>-Environment AzureUSGovernment |
Connect-AzAccount<br>-Environment AzureUSGovernment |
| CLI do Azure | az cloud set --name AzureCloud |
az cloud set --name AzureUSGovernment |
az cloud set --name AzureUSGovernment |