Recuperação de configuração incorreta
As definições de configuração no Microsoft Entra ID podem afetar qualquer recurso no locatário do Microsoft Entra por meio de ações de gerenciamento direcionadas ou em todo o locatário.
O que é configuração?
Configurações são alterações feitas no Microsoft Entra ID que mudam o comportamento ou as funcionalidades de um serviço ou recurso do Microsoft Entra. Por exemplo, ao configurar uma política de acesso condicional, você altera quem pode acessar os aplicativos de destino e em quais circunstâncias.
É necessário compreender os itens de configuração importantes para sua organização. As configurações a seguir possuem um alto impacto na postura de segurança.
Configurações de todos os locatários
Identidades externas: os administradores do locatário identificam e controlam as identidades externas que podem ser provisionadas no locatário. Eles determinam:
- Se deseja permitir identidades externas no locatário.
- A partir de quais domínios as identidades externas podem ser adicionadas.
- Se os usuários podem convidar usuários de outros locatários.
Locais nomeados: os administradores podem criar locais nomeados, que podem então ser usados para:
- Bloquear entradas de locais específicos.
- Disparar políticas de acesso condicional, como autenticação multifator.
Métodos de autenticação permitidos: os administradores definem os métodos de autenticação permitidos para o locatário.
Opções de autoatendimento: os administradores definem opções de autoatendimento, como redefinição de senha self-service e criam grupos do Office 365 no nível do locatário.
A implementação de algumas configurações em todo o locatário pode ser com escopo, desde que não sejam substituídas por políticas globais. Por exemplo:
- Se o locatário estiver configurado para permitir identidades externas, um administrador de recursos ainda poderá excluir essas identidades do acesso a um recurso.
- Se o locatário estiver configurado para permitir o registro de dispositivo pessoal, um administrador de recursos poderá excluir esses dispositivos do acesso a recursos específicos.
- Se os locais nomeados estiverem configurados, um administrador de recursos poderá configurar políticas que permitam ou excluam o acesso desses locais.
Configurações de Acesso Condicional
As políticas de acesso condicional são configurações de controle de acesso que reúnem sinais para tomar decisões e impor políticas organizacionais.
Para saber mais sobre políticas de acesso condicional, confira O que é acesso condicional no Microsoft Entra ID?.
Observação
Embora a configuração altere o comportamento ou os recursos de um objeto ou política, nem todas as alterações em um objeto são configurações. É possível alterar os dados ou atributos associados a um item, como alterar o endereço de um usuário, sem afetar os recursos desse objeto de usuário.
O que é configuração incorreta?
Configuração incorreta é uma configuração de um recurso ou política que diverge de suas políticas ou planos organizacionais e gera consequências indesejadas ou não intencionais.
Uma configuração incorreta de configurações em todo o locatário ou políticas de Acesso Condicional pode afetar seriamente sua segurança e a imagem pública da sua organização:
Alterando a forma como administradores, usuários de locatários e usuários externos interagem com recursos no locatário:
- Limitando desnecessariamente o acesso aos recursos.
- Flexibilizando controles de acesso em recursos confidenciais.
Alterando a capacidade dos usuários de interagir com outros locatários e usuários externos de interagir com o locatário.
Causando negação de serviço, por exemplo, não permitindo que os clientes acessem suas contas.
Interrompendo aas dependências entre dados, sistemas e aplicativos, resultando em falhas no processo empresarial.
Quando ocorre a configuração incorreta?
É mais provável que a configuração incorreta ocorra quando:
- Um erro é cometido durante alterações ad hoc.
- Um erro é cometido em decorrência de exercícios de solução de problemas.
- Uma ação foi realizada com intenção maliciosa por um mau ator.
Evitar a configuração incorreta
É fundamental que as alterações feitas na configuração pretendida de um locatário do Microsoft Entra estejam sujeitas a processos robustos de gerenciamento de alterações, como os seguintes:
- A documentação da alteração, incluindo o estado anterior e o estado pós-alteração pretendido.
- O uso do PIM (Privileged Identity Management) para garantir que os administradores com intenção de alterar escalonem deliberadamente seus privilégios para fazê-lo. Para saber mais sobre o PIM, consulte O que é Privileged Identity Management?.
- O uso de um fluxo de trabalho de aprovação forte para alterações, por exemplo, exigindo aprovação do escalonamento de privilégios do PIM.
Monitorar as alterações de configuração
Embora você queira evitar a configuração incorreta, não é possível definir um padrão muito alto para alterações de forma que afete a capacidade dos administradores de executar seu trabalho com eficiência.
Monitoramento detalhado de alterações de configuração por meio da análise das seguintes operações no log de auditoria do Microsoft Entra:
- Adicionar
- Criar
- Atualizar
- Definir
- Excluir
A tabela a seguir inclui entradas informativas no log de auditoria que você pode procurar.
Alterações na configuração do método de autenticação e acesso condicional
As políticas de acesso condicional são criadas na página Acesso Condicional no portal do Azure. Alterações nas políticas são feitas na página de detalhes da política de Acesso Condicional da política.
| O filtro do serviço | Atividades | Possíveis impactos |
|---|---|---|
| Acesso Condicional | Adicionar, atualizar ou excluir política de acesso condicional | O acesso do usuário é concedido ou bloqueado quando não deveria. |
| Acesso Condicional | Adicionar, atualizar ou excluir localização nomeada | Os locais de rede consumidos pela política de acesso condicional não são configurados como pretendido, o que cria lacunas nas condições da política de acesso condicional. |
| Método de autenticação | Atualizar a política de métodos de autenticação | Os usuários podem adotar métodos de autenticação mais fracos ou são bloqueados em um método que devem usar. |
Alterações na configuração de redefinição de senha e do usuário
As alterações nas configurações do usuário são feitas na página Configurações do usuário do portal do Azure. As alterações de redefinição de senha são feitas na página Redefinição de senha. As alterações feitas nessas páginas são capturadas no log de auditoria, conforme detalhado na tabela a seguir.
| O filtro do serviço | Atividades | Possíveis impactos |
|---|---|---|
| Diretório principal | Atualizar configurações da empresa | Ao contrário da intenção, os usuários talvez consigam ou não consigam registrar aplicativos. |
| Diretório principal | Definir informações da empresa | Independentemente da intenção, os usuários podem ou não conseguir acessar o portal de administração do Microsoft Entra. Com possíveis danos à reputação, as páginas de entrada não representam a marca da empresa. |
| Diretório principal | Atividade: atualizar entidade de serviço Destino: 0365 conexão do LinkedIn |
Independentemente da intenção, os usuários podem ou não conseguir conectar a conta do Microsoft Entra ao LinkedIn. |
| Gerenciamento de grupo de autoatendimento | Atualizar o valor do recurso MyApps | Ao contrário da intenção, os usuários talvez consigam ou não consigam usar recursos de usuário. |
| Gerenciamento de grupo de autoatendimento | Atualizar o valor do recurso ConvergedUXV2 | Ao contrário da intenção, os usuários talvez consigam ou não consigam usar recursos de usuário. |
| Gerenciamento de grupo de autoatendimento | Atualizar o valor do recurso MyStaff | Ao contrário da intenção, os usuários talvez consigam ou não consigam usar recursos de usuário. |
| Diretório principal | Atividade: atualizar entidade de serviço Destino: serviço de redefinição de senha da Microsoft |
Ao contrário da intenção, os usuários talvez consigam ou não consigam redefinir sua senha. Ao contrário da intenção, os usuários talvez precisem ou não precisem se registrar para redefinição de senha de autoatendimento. Os usuários podem redefinir a senha adotando métodos não aprovados, por exemplo, usando perguntas de segurança. |
Alterações na configuração de identidades externas
É possível fazer alterações nessas configurações nas páginas de configurações Identidades externas ou Colaboração externa no portal do Azure.
| O filtro do serviço | Atividades | Possíveis impactos |
|---|---|---|
| Diretório principal | Adicionar, atualizar ou excluir um parceiro para a configuração de acesso entre locatários | Os usuários têm acesso de saída a locatários que devem ser bloqueados. Usuários de locatários externos que devem ser bloqueados têm acesso de entrada. |
| B2C | Criar ou excluir um provedor de identidade | Os provedores de identidade para usuários que devem ser capazes de colaborar estão ausentes, bloqueando o acesso para esses usuários. |
| Diretório principal | Definir recurso de diretório no locatário | Os usuários externos têm maior ou menor visibilidade dos objetos do directory do que o pretendido. Ao contrário da intenção, os usuários externos podem ou não convidar outros usuários externos para seu locatário. |
| Diretório principal | Definir configurações de federação no domínio | Ao contrário da intenção, os convites de usuário externos podem ou não ser enviados para usuários em outros locatários. |
| AuthorizationPolicy | Atualizar a política de autorização | Ao contrário da intenção, os convites de usuário externos podem ou não ser enviados para usuários em outros locatários. |
| Diretório principal | Atualizar política | Ao contrário da intenção, os convites de usuário externos podem ou não ser enviados para usuários em outros locatários. |
Alterações de configuração de função personalizada e definição de mobilidade
| O filtro do serviço | Atividades/portal | Possíveis impactos |
|---|---|---|
| Diretório principal | Adicionar definição de função | O escopo da função personalizada é mais estreito ou mais amplo do que o pretendido. |
| PIM | Atualizar configuração de função | O escopo da função personalizada é mais estreito ou mais amplo do que o pretendido. |
| Diretório principal | Atualizar definição de função | O escopo da função personalizada é mais estreito ou mais amplo do que o pretendido. |
| Diretório principal | Excluir definição de função | As funções personalizadas estão ausentes. |
| Diretório principal | Adicionar concessão de permissão delegada | A configuração de gerenciamento de dispositivo móvel ou de gerenciamento de aplicativo móvel está ausente ou foi configurada incorretamente, gerando uma falha no gerenciamento de dispositivos ou aplicativos. |
Modo de exibição de detalhes de log de auditoria
A seleção de algumas entradas de auditoria no log de auditoria fornecerá detalhes sobre os valores de configuração antigos e novos. Por exemplo, para alterações na configuração da política de acesso condicional, veja as informações na captura de tela a seguir.
Usar pastas de trabalho para controlar alterações
As pastas de trabalho do Azure Monitor podem ajudar você a monitorar as alterações de configuração.
A pasta de trabalho de relatório de operações confidenciais pode ajudar a identificar aplicativos suspeitos e atividades de entidade de serviço que podem indicar comprometimentos, incluindo:
- Modificação do aplicativo ou das credenciais da entidade de serviço ou dos métodos de autenticação.
- Novas permissões concedidas às entidades de serviço.
- Atualizações de função do diretório e de associação de grupo para entidades de serviço.
- Configurações de federação modificadas.
A pasta de trabalho de atividade de acesso entre locatários pode ajudar você a monitorar quais aplicativos em locatários externos seus usuários estão acessando e quais aplicativos seus usuários locatários externos estão acessando. Use essa pasta de trabalho para procurar alterações anormais no acesso de aplicativo de entrada ou de saída entre locatários.
Próximas etapas
- Para obter informações fundamentais sobre a capacidade de recuperação, consulte Melhores práticas de recuperação.
- Para obter informações sobre como se recuperar de exclusões, consulte Recuperar de exclusões.