Fase 1: implementar a estrutura a ser gerenciada em escala
Esta seção do guia de referência de operações de Gerenciamento de Permissões do Microsoft Entra descreve as verificações e ações que você deve considerar para delegar efetivamente as permissões e gerenciar em escala.
Definir um modelo de administração delegada
Proprietário recomendado: arquitetura de segurança da informação
Definir administradores do Gerenciamento de Permissões do Microsoft Entra
Para começar a operacionalizar o Gerenciamento de Permissões do Microsoft Entra, estabeleça de dois a cinco Administradores de Gerenciamento de Permissões que deleguem permissões no produto, definam as configurações de chave e criem e gerenciem a configuração da sua organização.
Importante
O Gerenciamento de Permissões do Microsoft Entra depende de usuários com endereços de email válidos. Recomendamos que os Administradores de Gerenciamento de Permissões tenham contas habilitadas para caixa de correio.
Atribua aos administradores designados a função Administrador de Gerenciamento de Permissões no Microsoft Entra ID para executar as tarefas necessárias. Recomendamos que você use PIM (Privileged Identity Management) para fornecer aos administradores acesso JIT (just-in-time) à função, em vez de atribuí-la permanentemente.
Definir e manter a estrutura de pastas
No Gerenciamento de Permissões, uma pasta é um grupo de sistemas de autorização. Recomendamos que você crie pastas com base em sua estratégia de delegação organizacional. Por exemplo, se sua organização delegar com base em equipes, crie pastas para:
- Finanças de produção
- Infraestrutura de produção
- Pesquisa e desenvolvimento de pré-produção
Uma estrutura de pastas eficaz facilita a delegação de permissões em escala e fornece aos proprietários do sistema de autorização uma experiência positiva do produto.
Para ajudar a simplificar o ambiente, consulte criar pastas para organizar seus sistemas de autorização.
Criar grupos de segurança do Microsoft Entra para delegar permissões
O Gerenciamento de Permissões do Microsoft Entra tem um sistema de acesso baseado em grupo que usa grupos de segurança do Microsoft Entra para conceder permissões a diferentes sistemas de autorização. Para delegar permissões, sua equipe do IAM cria grupos de segurança do Microsoft Entra que são mapeados para proprietários do sistema de autorização e responsabilidades de Gerenciamento de Permissões que você define. Verifique se os usuários com responsabilidades e posse compartilhada do produto estão no mesmo grupo de segurança.
Recomendamos que você use PIM para Grupos. Isso fornece acesso JIT ao Gerenciamento de Permissões aos usuários e se alinha com o JIT de Confiança Zero e princípios de acesso just-enough.
Para criar grupos de segurança do Microsoft Entra, consulte gerenciar grupos e associação de grupo.
Atribuir permissões no Gerenciamento de Permissões do Microsoft Entra
Depois que os grupos de segurança do Microsoft Entra são criados, um Administrador de Gerenciamento de Permissões concede as permissões necessárias aos grupos de segurança.
No mínimo, verifique se os grupos de segurança recebem permissões de Visualizador para os sistemas de autorização pelos quais são responsáveis. Use permissões de Controlador para grupos de segurança com membros que executam ações de correção. Saiba mais sobre Funções e níveis de permissões do Gerenciamento de Permissões do Microsoft Entra.
Para obter mais informações sobre como gerenciar usuários e grupos no Gerenciamento de Permissões:
- Adicionar ou remover um usuário no Gerenciamento de Permissões do Microsoft Entra
- Gerenciar usuários e grupos com o Painel de gerenciamento de usuários
- Selecionar configurações de permissões baseadas em grupo
Determinar o gerenciamento do ciclo de vida do sistema de autorização
Proprietários recomendados: Arquitetura de Segurança da Informação e Infraestrutura de Nuvem
À medida que novos sistemas de autorização são criados e os sistemas de autorização atuais evoluem, crie e mantenha um processo bem definido para alterações no Gerenciamento de Permissões do Microsoft Entra. A tabela a seguir descreve as tarefas e os proprietários recomendados.
| Tarefa | Proprietário recomendado |
|---|---|
| Definir o processo de descoberta para novos sistemas de autorização criados em seu ambiente | Arquitetura de segurança da informação |
| Definir processos de triagem e integração para novos sistemas de autorização para o Gerenciamento de Permissões | Arquitetura de segurança da informação |
| Definir processos de administração para novos sistemas de autorização: delegar permissões e atualizar estrutura de pastas | Arquitetura de segurança da informação |
| Desenvolva uma estrutura de cobrança cruzada. Determine um processo de gerenciamento de custos. | O proprietário varia de acordo com a organização |
Definir uma estratégia de índice de excesso de permissões
Proprietário recomendado: arquitetura de segurança da informação
Recomendamos que você defina metas e casos de uso para como o PCI (índice de excesso de permissões) impulsiona a atividade e os relatórios da Arquitetura de Segurança da Informação. Essa equipe pode definir e ajudar outras pessoas a cumprir os limites de PCI de destino para sua organização.
Estabelecer limites de PCI de destino
Os limites de PCI orientam o comportamento operacional e servem como políticas para determinar quando a ação é necessária em seu ambiente. Estabelecer limites de PCI para:
- Sistemas de autorização
- Usuários de identidade humana
- ED (diretório empresarial)
- SAML
- Local
- Convidado
- Identidades não humanas
Observação
Como a atividade de identidade não humana varia menos do que uma identidade humana, aplique um dimensionamento direito mais rigoroso às identidades não humanas: defina um limite de PCI inferior.
Os limites de PCI variam de acordo com as metas e casos de uso da sua organização. Recomendamos que você se alinhe aos limites de risco internos do Gerenciamento de Permissões. Consulte os seguintes intervalos de PCI, por risco:
- Baixo: 0 a 33
- Médio: 34 a 67
- Alto: 68 a 100
Usando a lista anterior, examine os seguintes exemplos de política de limite de PCI:
| Categoria | Limite de PCI | Política |
|---|---|---|
| Sistemas de autorização | 67: Classificar o sistema de autorização como de alto risco | Se um sistema de autorização tiver uma pontuação de PCI maior que 67, examine e dimensione com o tamanho certo as identidades com PCI alto no sistema de autorização |
| Identidades humanas: ED, SAML e local | 67: Classificar a identidade humana como de alto risco | Se uma identidade humana tiver uma pontuação de PCI maior que 67, dimensione corretamente as permissões da identidade |
| Identidade humana: usuário convidado | 33: Classificar o usuário convidado como de alto ou médio risco | Se um usuário convidado tiver uma pontuação de PCI maior que 33, dimensione corretamente as permissões de identidade |
| Identidades não humanas | 33: Classificar a identidade não humana como de alto ou médio risco | Se uma identidade não humana tiver uma pontuação de PCI maior que 33, dimensione corretamente as permissões da identidade |