Compartilhar via

Sistema de gerenciamento de identidade para toda a empresa do memorando 22-09

  • Artigo

O Memorando M 22-09 para Chefes de Departamentos Executivos e Agências exige que as agências desenvolvam um plano de consolidação para suas plataformas de identidade. O objetivo é ter o menor número possível de sistemas de identidade gerenciados pela agência dentro de 60 dias a partir da data da publicação (28 de março de 2022). Há várias vantagens em consolidar a plataforma de identidade:

  • Gerenciar de forma centralizada o ciclo de vida de identidade, imposição de política e controles auditáveis
  • Capacidade uniforme e paridade de imposição
  • Reduzir a necessidade de treinamento de recursos em vários sistemas
  • Permitir que os usuários entrem uma vez e acessem diretamente aplicativos e serviços no ambiente de TI
  • Integrar com o máximo possível de aplicativos da agência
  • Usar serviços de autenticação compartilhados e relações de confiança para facilitar a integração entre agências

Por que Microsoft Entra ID?

Use o Microsoft Entra ID para implementar recomendações do memorando 22-09. O Microsoft Entra ID tem controles de identidade que dão suporte a iniciativas de Confiança Zero. Com o Microsoft Office 365 ou o Azure, o Microsoft Entra ID é um provedor de identidade (IdP). Conecte seus aplicativos e recursos ao Microsoft Entra ID como seu sistema de identidade em toda a empresa.

Requisitos de logon único

O memorando exige que os usuários entrem uma vez e acessem os aplicativos. Com o Microsoft single sign-on (SSO), os usuários entram uma única vez para acessar serviços e aplicativos em nuvem. Confira, logon único contínuo do Microsoft Entra.

Integração entre agências

Use a colaboração B2B do Microsoft Entra para atender ao requisito de facilitar a integração e a colaboração entre agências. Os usuários podem residir em um locatário da Microsoft na mesma nuvem. Os locatários podem estar em outra nuvem da Microsoft ou em um locatário não do Azure AD (provedor de identidade SAML/WS-Fed).

Com as configurações de acesso entre locatários do Microsoft Entra, as agências gerenciam como elas colaboram com outras organizações do Microsoft Entra e outras nuvens do Microsoft Azure:

  • Limitar o que os usuários de locatários da Microsoft podem acessar
  • Configurações para acesso de usuário externo, incluindo imposição de autenticação multifator e sinal de dispositivo

Saiba mais:

Conectando aplicativos

Para consolidar e usar o Microsoft Entra ID como o sistema de identidade em toda a empresa, examine os ativos que estão no escopo.

Documentar aplicativos e serviços

Crie um inventário dos aplicativos e serviços que os usuários acessam. Um sistema de gerenciamento de identidade protege apenas o que ele sabe.

Classificação de ativo:

  • A confidencialidade dos dados ali
  • Leis e regulamentos para confidencialidade, integridade ou disponibilidade de dados e/ou informações em sistemas principais
    • Leis e regulamentos ditos que se aplicam aos requisitos de proteção de informações do sistema

Para o seu inventário de aplicativos, determine quais aplicativos usam protocolos prontos para nuvem ou protocolos de autenticação herdados:

  • Os aplicativos prontos para nuvem dão suporte a protocolos modernos para autenticação:
    • SAML
    • Web Services Federation/Confiança
    • OIDC (OpenID Connect)
    • OAuth 2.0.
  • Os aplicativos de autenticação herdados dependem de métodos de autenticação mais antigos ou proprietários:
    • Kerberos/NTLM (autenticação do Windows)
    • Autenticação baseada em cabeçalho
    • LDAP
    • Autenticação Básica

Saiba mais Integrações do Microsoft Entra com protocolos de autenticação.

Ferramentas de descoberta de aplicativos e serviços

A Microsoft oferece as seguintes ferramentas para dar suporte à descoberta de aplicativos e serviços.

Ferramenta Uso
Análise de Uso para o Serviços de Federação do Active Directory (AD FS) Analisa o tráfego de autenticação de servidor federado. Confira Monitorar o AD FS usando o Microsoft Entra Connect Health
Microsoft Defender for Cloud Apps Examina os logs de firewall para detectar aplicativos de nuvem, serviços de IaaS (infraestrutura como serviço) e serviços de PaaS (plataforma como serviço). Integrar o Defender para Aplicativos em Nuvem com o Defender para Ponto de Extremidade a dados de descoberta analisados nos dispositivos cliente do Windows. Confira Visão geral do Microsoft Defender para Aplicativos em Nuvem
Planilha de Descoberta de Aplicativos Documentar os estados atuais dos seus aplicativos. Confira Planilha de Descoberta de Aplicativos

Os seus aplicativos podem estar em outros sistemas que não são Microsoft, e as ferramentas da Microsoft talvez não descubram esses aplicativos. Certifique-se de fazer um inventário completo. Os provedores precisam de mecanismos para descobrir aplicativos que usam seus serviços.

Priorizar aplicativos para conexão

Depois de descobrir os aplicativos no ambiente, priorize-os para migração. Considere:

  • Nível de importância de negócios
  • Perfis do usuário
  • Uso
  • Vida útil

Saiba mais: Migrar a autenticação do aplicativo para o Microsoft Entra ID.

Conecte os aplicativos prontos para a nuvem em ordem de prioridade. Determine os aplicativos que usam protocolos de autenticação herdados.

Para aplicativos que usam protocolos de autenticação herdados:

  • Para aplicativos com autenticação moderna, reconfigure-os para usar o Microsoft Entra ID
  • Para aplicativos sem autenticação moderna, há duas opções:
    • Atualize o código do aplicativo para usar protocolos modernos integrando a MSAL (Biblioteca de Autenticação da Microsoft)
    • Usar um proxy de aplicativo do Microsoft Entra ou acesso seguro a parceiros híbridos para acesso seguro
  • A desativação do acesso a aplicativos não é mais necessária, ou que não possuem suporte

Saiba mais

Conectando dispositivos

Parte da centralização de um sistema de gerenciamento de identidades inclui a permissão de entrada dos usuários em dispositivos físicos e virtuais. Você pode conectar dispositivos Windows e Linux no sistema centralizado do Microsoft Entra, o que elimina sistemas de identidade variados e separados.

Durante o inventário e o escopo, identifique os dispositivos e a infraestrutura a serem integrados ao Microsoft Entra ID. A integração centraliza sua autenticação e gerenciamento usando políticas de Acesso Condicional com autenticação multifator imposta por meio de Microsoft Entra ID.

Ferramentas para descobrir dispositivos

Você pode usar as contas de Automação do Azure para identificar dispositivos por meio da coleta de inventário conectada ao Azure Monitor. O Microsoft Defender para Ponto de Extremidade tem recursos de inventário de dispositivos. Descubra os dispositivos que têm o Defender para Ponto de Extremidade configurado e aqueles que não têm. O inventário de dispositivos provém de sistemas locais, como o System Center Configuration Manager ou outros sistemas que gerenciam dispositivos e clientes.

Saiba mais:

Integrar dispositivos ao Microsoft Entra ID

Os dispositivos integrados ao Microsoft Entra ID são dispositivos ingressados híbridos ou dispositivos ingressados no Microsoft Entra. Separe a integração de dispositivos por dispositivos clientes e de usuário e máquinas físicas e virtuais que operam como infraestrutura. Para obter mais informações sobre a estratégia de implantação para dispositivos de usuário, confira as diretrizes a seguir.

Próximas etapas

Os artigos a seguir fazem parte deste conjunto de documentação: