Melhores práticas de capacidade de recuperação
Exclusões e configurações incorretas não intencionais ocorrerão com seu locatário. Para minimizar o impacto desses eventos não intencionais, você deve se preparar para a ocorrência deles.
A capacidade de recuperação são os processos preparatórios e a funcionalidade que permitem que você retorne seus serviços a um estado de funcionamento anterior após uma alteração não intencional. As alterações indesejadas incluem a exclusão, temporária ou irreversível, ou a configuração incorreta de aplicativos, grupos, usuários, políticas e outros objetos no locatário do Microsoft Entra.
A capacidade de recuperação ajuda sua organização a ser mais resiliente. A resiliência, enquanto relacionada, é diferente. A resiliência é a capacidade de suportar a interrupção nos componentes do sistema e se recuperar com um impacto mínimo sobre seus negócios, usuários, clientes e operações. Para obter mais informações sobre como tornar seus sistemas mais resilientes, confira Criar resiliência no gerenciamento de identidade e acesso com o Microsoft Entra ID.
Este artigo descreve as melhores práticas na preparação para exclusões e configurações incorretas para minimizar as consequências não intencionais para os negócios da sua organização.
Exclusões e configurações incorretas
Exclusões e configurações incorretas têm impactos diferentes em seu locatário.
Exclusões
O impacto das exclusões depende do tipo de objeto.
Os usuários, os grupos do Microsoft 365 e os aplicativos podem ser excluídos temporariamente. Itens excluídos temporariamente são enviados para a lixeira do Microsoft Entra ID. Enquanto estiverem na lixeira, os itens não estarão disponíveis para uso. No entanto, eles retêm todas as suas propriedades e podem ser restaurados por meio de uma chamada à API do Microsoft Graph ou no portal do Azure. Os itens no estado de exclusão temporária que não são restaurados dentro de 30 dias são excluídos de forma permanente ou irreversível.
Importante
Todos os outros tipos de objeto são excluídos irreversivelmente de modo imediato quando eles são selecionados para exclusão. Quando um objeto é excluído irreversivelmente, ele não pode ser recuperado. Ele deve ser recriado e reconfigurado.
Para obter mais informações sobre exclusões e como se recuperar delas, consulte Recuperação de exclusões.
Configurações incorretas
As configurações incorretas são configurações de um recurso ou política divergente de suas políticas ou planos organizacionais e gera consequências indesejadas ou não intencionais. As configurações incorretas de configurações em todo o locatário ou políticas de Acesso Condicional podem afetar seriamente sua segurança e a imagem pública da sua organização. As configurações incorretas podem:
- Alterar a forma como administradores, usuários de locatários e usuários externos interagem com recursos em seu locatário.
- Alterar a capacidade dos usuários de interagir com outros locatários e usuários externos para interagir com seu locatário.
- Causar negação de serviço.
- Interromper dependências entre dados, sistemas e aplicativos.
Para obter mais informações sobre configurações incorretas e como se recuperar delas, consulte Recuperação de configurações incorretas.
Responsabilidade compartilhada
A capacidade de recuperação é uma responsabilidade compartilhada entre a Microsoft, como provedor de serviços de nuvem e sua organização.
Você pode usar as ferramentas e os serviços que a Microsoft fornece para se preparar para exclusões e configurações incorretas.
Continuidade dos negócios e planejamento contra desastres
Restaurar um item com exclusão irreversível ou configuração incorreta é um processo de uso intensivo de recursos. Você pode minimizar os recursos necessários se planejando com antecedência. Considere ter uma equipe específica de administradores encarregados das restaurações.
Testar seu processo de restauração
Ensaie o processo de restauração para diferentes tipos de objeto e a comunicação que sairá como resultado. Lembre-se de ensaiar com objetos de teste, idealmente em um locatário de teste.
Testar seu plano pode ajudar a determinar:
- Validade e integridade da documentação do estado do objeto.
- Tempo médio de resolução.
- Comunicações apropriadas e públicos-alvo.
- Sucessos esperados e desafios potenciais.
Criar o processo de comunicação
Crie um processo de comunicações predefinidas para conscientizar outras pessoas sobre o problema e as linhas do tempo para restauração. Inclua os seguintes pontos em seu plano de comunicação de restauração:
Os tipos de comunicações a serem lançados. Considere a criação de modelos predefinidos.
Os stakeholders recebem comunicações. Inclua os seguintes grupos, conforme aplicável:
- Proprietários de negócios afetados.
- Administradores operacionais que executarão a recuperação.
- Aprovadores corporativos e técnicos.
- Usuários afetados.
Defina os eventos que disparam comunicações, como:
- Exclusão inicial.
- Avaliação do impacto.
- Tempo de resolução.
- Restauração.
Documentar bons estados conhecidos
Documente o estado do locatário e seus objetos regularmente. Assim, quando uma exclusão irreversível ou configuração incorreta ocorrer, você terá um roteiro para recuperação. As ferramentas a seguir podem ajudar a documentar seu estado atual:
- As APIs do Microsoft Graph podem ser usadas para exportar o estado atual de muitas configurações do Microsoft Entra.
- O Microsoft Entra Exporter é uma ferramenta que você pode usar para exportar suas configurações.
- A Desired State Configuration do Microsoft 365 é um módulo da estrutura do Desired State Configuration do PowerShell. Você pode usar isso para exportar as configurações para referência e a aplicação do estado anterior de muitas configurações.
- As APIs de acesso condicional podem ser usadas para gerenciar suas políticas de acesso condicional como código.
APIs do Microsoft Graph comumente usadas
Você pode usar as APIs do Microsoft Graph para exportar o estado atual de muitas configurações do Microsoft Entra. As APIs abrangem a maioria dos cenários em que o material de referência sobre o estado anterior ou a capacidade de aplicar esse estado de uma cópia exportada pode se tornar vital para manter sua empresa funcionando.
As APIs do Microsoft Graph são altamente personalizáveis com base em suas necessidades organizacionais. Para implementar uma solução para backups ou material de referência, os desenvolvedores precisam criar código para consultar, armazenar e exibir os dados. Muitas implementações usam repositórios de código online como parte dessa funcionalidade.
APIs úteis para recuperação
| Tipos de recurso | Links de referência |
|---|---|
| Usuários, grupos e outros objetos do diretório | API directoryObject APIs de usuário API de grupo API do aplicativo API servicePrincipal |
| Funções de diretório | API directoryRole API roleManagement |
| Políticas de acesso condicional | API de política de acesso condicional |
| Dispositivos | API de dispositivos |
| Domínios | API de domínios |
| Unidades administrativas | API de unidade administrativa |
| Itens excluídos* | API deletedItems |
*Armazene com segurança essas exportações de configuração com acesso fornecido a um número limitado de administradores.
O Microsoft Entra Exporter pode fornecer a maior parte da documentação necessária:
- Verifique se você implementou a configuração desejada.
- Use o exportador para capturar as configurações atuais.
- Examine a exportação, entenda as configurações do locatário que não são exportadas e documente-as manualmente.
- Armazene a saída em um local seguro com acesso limitado.
Observação
As configurações no portal de autenticação multifatorial herdado para configurações do Proxy de Aplicativo e federação podem não ser exportadas com o Microsoft Entra Exporter ou com a API do Microsoft Graph. O módulo Desired State Configuration do Microsoft 365 usa o Microsoft Graph e o PowerShell para recuperar o estado de muitas das configurações no Microsoft Entra ID. Essas informações podem ser usadas como informações de referência ou usando os scripts do Desired State Configuration do PowerShell para reaplicar um estado conhecido.
Use as APIs do Graph de acesso condicional para gerenciar políticas como código. Automatize as aprovações para promover políticas de ambientes de pré-produção, backup e restauração, monitorar alterações e se planejar com antecedência para emergências.
Mapear as dependências entre objetos
A exclusão de alguns objetos pode causar um efeito de ondulação por causa das dependências. Por exemplo, a exclusão de um grupo de segurança usado para atribuição de aplicativo faria com que os usuários que eram membros desse grupo não pudessem acessar os aplicativos aos quais o grupo foi atribuído.
Dependências comuns
| Tipo de objeto | Dependências potenciais |
|---|---|
| Objeto de aplicativo | Entidade de serviço (aplicativo empresarial). Grupos atribuídos ao aplicativo. Políticas de acesso condicional que afetam o aplicativo. |
| Entidades de serviço | Objeto de aplicativo. |
| Políticas de acesso condicional | Usuários atribuídos à política. Grupos atribuídos à política. Entidade de serviço (aplicativo empresarial) direcionada pela política. |
| Grupos diferentes de grupos do Microsoft 365 | Usuários atribuídos ao grupo. Políticas de acesso condicional às quais o grupo é atribuído. Aplicativos aos quais o grupo tem acesso atribuído. |
Monitoramento e retenção de dados
O log de Auditoria do Microsoft Entra contém informações sobre todas as operações de exclusão e configuração executadas em seu locatário. É recomendável que você exporte esses logs para uma ferramenta de gerenciamento de eventos e informações de segurança, como o Microsoft Sentinel. Você também pode usar o Microsoft Graph para auditar alterações e criar uma solução personalizada para monitorar diferenças ao longo do tempo. Para obter mais informações sobre como localizar itens excluídos usando o Microsoft Graph, consulte Lista de itens excluídos - Microsoft Graph v1.0 .
Logs de auditoria
O Log de Auditoria sempre registra um evento "Excluir <objeto>" quando um objeto no locatário é removido de um estado ativo a excluído temporariamente ou ativo a excluído permanentemente.
Um evento Delete para aplicativos, entidades de serviço, usuários e Grupos do Microsoft 365 é uma exclusão temporária. Para qualquer outro tipo de objeto, é uma exclusão permanente.
| Tipo de objeto | Atividade no log | Result |
|---|---|---|
| Aplicativo | Excluir um aplicativo e uma entidade de serviço | Exclusão temporária |
| Aplicativo | Excluir aplicativo irreversivelmente | Excluído permanentemente |
| Entidade de serviço | Excluir uma entidade de serviço | Exclusão temporária |
| Entidade de serviço | Excluir uma entidade de serviço permanentemente | Excluído permanentemente |
| Usuário | Excluir usuário | Exclusão temporária |
| Usuário | Excluir usuário irreversivelmente | Excluído permanentemente |
| Grupos do Microsoft 365 | Excluir grupo | Exclusão temporária |
| Grupos do Microsoft 365 | Excluir grupo permanentemente | Excluído permanentemente |
| Todos os outros objetos | Excluir "objectType" | Excluído permanentemente |
Observação
O log de auditoria não distingue o tipo de grupo de um grupo excluído. Somente grupos do Microsoft 365 são excluídos temporariamente. Se você vir uma entrada de grupo Delete, pode ser a exclusão temporária de um grupo do Microsoft 365 ou a exclusão permanente de outro tipo de grupo. A documentação do seu bom estado conhecido deve incluir o tipo de grupo para cada grupo em sua organização.
Para obter informações sobre como monitorar alterações de configuração, consulte Recuperação de configurações incorretas.
Usar pastas de trabalho para controlar as alterações de configuração
As pastas de trabalho do Azure Monitor podem ajudar você a monitorar as alterações de configuração.
A pasta de trabalho de relatório de operações confidenciais pode ajudar a identificar aplicativos suspeitos e atividades de entidade de serviço que podem indicar comprometimentos, incluindo:
- Modificação do aplicativo ou das credenciais da entidade de serviço ou dos métodos de autenticação.
- Novas permissões concedidas às entidades de serviço.
- Atualizações de função do diretório e de associação de grupo para entidades de serviço.
- Configurações de federação modificadas.
A pasta de trabalho de atividade de acesso entre locatários pode ajudar você a monitorar quais aplicativos em locatários externos seus usuários estão acessando e quais aplicativos em seu locatário os usuários externos estão acessando. Use essa pasta de trabalho para procurar alterações anormais no acesso de aplicativo de entrada ou de saída entre locatários.
Segurança operacional
Impedir alterações indesejadas é muito menos difícil do que precisar recriar e reconfigurar objetos. Inclua as seguintes tarefas nos processos de gerenciamento de alterações para minimizar acidentes:
- Use um modelo de privilégios mínimos. Verifique se cada membro da sua equipe tem os privilégios mínimos necessários para concluir suas tarefas habituais. Exija um processo para escalar privilégios para tarefas mais incomuns.
- O controle administrativo de um objeto habilita a configuração e a exclusão. Use funções menos privilegiadas, como Leitor de Segurança, para tarefas que não exigem operações de criação, atualização ou exclusão (CRUD). Quando as operações CRUD forem necessárias, use funções específicas do objeto quando possível. Por exemplo, os administradores de usuários podem excluir somente usuários e os administradores de aplicativos podem excluir somente aplicativos. Use essas funções mais limitadas sempre que possível.
- Use PIM (Privileged Identity Management). O PIM permite que o escalonamento just-in-time de privilégios execute tarefas como exclusão permanente. Você pode configurar o PIM para receber notificações ou aprovações para a elevação de privilégio.