Criar uma linha de base de Gerenciamento de Identidades e Acesso

  • 5 minutos

O IAM (gerenciamento de identidades e acesso) é fundamental para conceder acesso e para a melhoria de segurança de ativos corporativos. Para proteger e controlar os ativos baseados em nuvem, você deve gerenciar a identidade e o acesso dos administradores do Azure e dos desenvolvedores e usuários de aplicativos.

Recomendações de segurança do IAM

As seções a seguir descrevem as recomendações de IAM que estão no CIS Microsoft Azure Foundations Security Benchmark v. 3.0.0. As etapas básicas a serem concluídas no portal do Azure estão incluídas em cada recomendação. Conclua essas etapas para sua assinatura e usando seus recursos para validar cada recomendação de segurança. Tenha em mente que as opções de Nível 2 podem restringir alguns recursos ou atividades, portanto, considere cuidadosamente quais opções de segurança você decide impor.

Importante

Você deve ser um administrador da instância do Microsoft Entra para concluir algumas dessas etapas.

Restringir o acesso ao portal de administração do Microsoft Entra – Nível 1

Usuários que não são administradores não devem ter acesso ao portal de administração do Microsoft Entra porque os dados são confidenciais e as regras de privilégios mínimos se aplicam.

  1. Entre no portal do Azure. Pesquise e selecione Microsoft Entra ID.

  2. No menu esquerdo, em Gerenciar, selecione Usuários.

  3. No menu esquerdo, selecione Configurações do usuário.

  4. Em Configurações do usuário, em Centro de Administração, verifique se Restringir acesso ao centro de administração do Microsoft Entra está definido como Sim. Definir esse valor como Sim impede que todos os não administradores acessem os dados no portal de administração do Microsoft Entra. A configuração não restringe o acesso ao uso do PowerShell ou de outro cliente, como o Visual Studio.

  5. Se você alterar alguma configuração, selecione Salvar na barra de menus.

Captura de tela do portal do Azure que mostra a opção Restringir o acesso ao portal de administração do Microsoft Entra definida como Sim.

Habilitar a autenticação multifator para usuários do Microsoft Entra

  • Habilitar a autenticação multifator para usuários com privilégios do Microsoft Entra ID – Nível 1
  • Habilitar a autenticação multifator para usuários não privilegiados do Microsoft Entra – Nível 2

Habilite a autenticação multifator para todos os usuários do Microsoft Entra.

  1. Entre no portal do Azure. Pesquise e selecione Microsoft Entra ID.

  2. No menu esquerdo, em Gerenciar, selecione Usuários.

  3. Na barra de menus Todos os usuários, selecione MFA por usuário.

    Captura de tela que mostra a opção de autenticação multifator no painel do Microsoft Entra do portal do Azure.

  4. Na janela Autenticação multifator por usuário, marque a caixa de seleção para todos os usuários e selecione Habilitar MFA.

    Captura de tela que mostra como ativar a autenticação multifator para um usuário usando o link de etapas rápidas.

Não se lembrar da autenticação multifator em dispositivos confiáveis – Nível 2

Lembrar-se do recurso de autenticação multifator para dispositivos e navegadores confiáveis para o usuário é um recurso gratuito para todos os usuários da autenticação multifator. Os usuários podem ignorar as verificações posteriores durante um número especificado de dias depois de se conectarem com êxito a um dispositivo usando a autenticação multifator.

Se um dispositivo ou uma conta for comprometida, a lembrança da autenticação multifator para dispositivos confiáveis poderá afetar negativamente a segurança. Uma recomendação de segurança é desativar a memória da autenticação multifator para dispositivos confiáveis.

  1. Entre no portal do Azure. Pesquise e selecione Microsoft Entra ID.

  2. No menu esquerdo, em Gerenciar, selecione Usuários.

  3. Na barra de menus Todos os usuários, selecione MFA por usuário.

  4. Na janela Autenticação multifator por usuário, selecione um usuário. Selecione o botão Configurações de MFA do usuário.

    Captura de tela que mostra a janela de usuários de autenticação multifator do Microsoft Entra e o link gerenciar configurações do usuário.

  5. Marque a caixa de seleção Restaurar a autenticação multifator em todos os dispositivos lembrados e selecione Salvar.

    Captura de tela que mostra a opção Restaurar autenticação multifator em todos os dispositivos lembrados selecionada.

Verifique se os usuários convidados são revisados regularmente - Nível 1

Garanta que nenhum usuário convidado exista ou, alternativamente, se o negócio exigir usuários convidados, garanta que as permissões desses usuários sejam limitadas.

  1. Entre no portal do Azure. Pesquise e selecione Microsoft Entra ID.

  2. No menu esquerdo, em Gerenciar, selecione Usuários.

  3. Selecione o botão Adicionar filtros.

  4. Para Filtros, selecione Tipo de usuário. Para Valor, selecione Convidado. Selecione Aplicar para verificar se não existem usuários convidados.

    Captura de tela do portal do Azure que mostra a filtragem do Microsoft Entra ID para usuários convidados.

  5. Se você alterar alguma configuração, selecione Salvar na barra de menus.

Opções de senha

  • Notificar os usuários sobre as redefinições de senha – Nível 1
  • Notificar todos os administradores quando outros administradores redefinirem suas senhas – Nível 2
  • Exigir dois métodos para redefinir senhas – Nível 1

Com a autenticação multifator definida, um invasor precisaria comprometer das duas formas de autenticação de identidade para redefinir a senha de um usuário de forma mal-intencionada. Verifique se a redefinição de senha requer duas formas de autenticação de identidade.

  1. Entre no portal do Azure. Procure e selecione o Microsoft Entra ID.

  2. No menu à esquerda, em Gerenciar, selecione Redefinição de senha.

  3. No menu à esquerda, em Gerenciar, selecione Métodos de autenticação.

  4. Defina o Número de métodos necessários para a redefinição para 2.

  5. Se você alterar alguma configuração, selecione Salvar na barra de menus.

Captura de tela do portal do Azure que mostra o painel de métodos de autenticação para redefinição de senha do Microsoft Entra com o número de métodos necessários para redefinir definido como 2.

Estabelecer um intervalo para reconfirmar os métodos de autenticação de usuário – Nível 1

Se a reconfirmação da autenticação estiver desabilitada, não será solicitado que os usuários registrados confirmem novamente as respectivas informações de autenticação. A opção mais segura é ativar a reconfirmação de autenticação para um intervalo definido.

  1. Entre no portal do Azure. Procure e selecione o Microsoft Entra ID.

  2. No menu à esquerda, em Gerenciar, selecione Redefinição de senha.

  3. No menu esquerdo, em Gerenciar, selecione Registro.

  4. Garanta que o Número de dias antes que os usuários precisem reconfirmar suas informações de autenticaçãonão esteja definido como 0. O padrão é 180 dias.

  5. Se você alterar alguma configuração, selecione Salvar na barra de menus.

Captura de tela do portal do Azure que mostra o formulário de número de dias para reconfirmar as informações de autenticação.

Configuração de convite de convidado – Nível 2

Somente os administradores devem ser capazes de convidar usuários convidados. Restringir os convites aos administradores garante que apenas contas autorizadas tenham acesso aos recursos do Azure.

  1. Entre no portal do Azure. Pesquise e selecione Microsoft Entra ID.

  2. No menu esquerdo, em Gerenciar, selecione Usuários.

  3. No menu esquerdo, selecione Configurações do usuário.

  4. No painel Configurações de usuário, em Usuários externos, selecione Gerenciar configurações de colaboração externa.

  5. Nas Configurações de colaboração externa, em Configurações de convite de convidado, selecione Somente os usuários com funções de administrador específicas podem convidar usuários convidados.

    Captura de tela que mostra as configurações de convite de convidado com Somente usuários atribuídos a funções de administrador específicas podem convidar usuários convidados selecionados.

  6. Se você alterar alguma configuração, selecione Salvar na barra de menus.

Usuários podem criar e gerenciar grupos de segurança – Nível 2

Quando esse recurso é habilitado, todos os usuários no Microsoft Entra ID podem criar grupos de segurança. Você deve restringir a criação de grupos de segurança a administradores.

  1. Entre no portal do Azure. Pesquise e selecione Microsoft Entra ID.

  2. No menu esquerdo, em Gerenciar, selecione Grupos.

  3. No painel Todos os grupos, no menu à esquerda em Configurações, selecione Geral.

  4. Para Grupos de Segurança, verifique se Os usuários podem criar grupos de segurança em portais do Azure, API ou PowerShell está definido como Não.

    Captura de tela que mostra o painel de Configurações Gerais de Grupos com a opção Usuários podem criar grupos de segurança definida como Não.

  5. Se você alterar alguma configuração, selecione Salvar na barra de menus.

Gerenciamento de grupos de autoatendimento habilitado – Nível 2

A menos que sua empresa exija a delegação do gerenciamento de grupos de autoatendimento a vários usuários, recomendamos desabilitar esse recurso como precaução de segurança.

  1. Entre no portal do Azure. Pesquise e selecione Microsoft Entra ID.

  2. No menu esquerdo, em Gerenciar, selecione Grupos.

  3. No painel Todos os grupos, no menu à esquerda em Configurações, selecione Geral.

  4. Em Gerenciamento de grupos de autoatendimento, verifique se todas as opções estão definidas como Não.

  5. Se você alterar alguma configuração, selecione Salvar na barra de menus.

Captura de tela que mostra as opções de grupo de autoatendimento do Microsoft Entra definidas como Não.

Opções de aplicativo – Permitir que os usuários registrem aplicativos – Nível 2

Exigir que os administradores registrem aplicativos personalizados.

  1. Entre no portal do Azure. Pesquise e selecione Microsoft Entra ID.

  2. No menu esquerdo, em Gerenciar, selecione Usuários.

  3. No menu esquerdo, selecione Configurações do usuário.

  4. No painel Configurações do Usuário, verifique se Registros de aplicativo está definido como Não.

  5. Se você alterar alguma configuração, selecione Salvar na barra de menus.

Captura de tela que mostra os usuários do Microsoft Entra com registros de aplicativo definidos como No.