Partilhar via


Controle de acesso seguro usando grupos no Microsoft Entra ID

O Microsoft Entra ID permite o uso de grupos para gerenciar o acesso a recursos em uma organização. Use grupos para controle de acesso para gerenciar e minimizar o acesso a aplicativos. Quando os grupos são usados, apenas os membros desses grupos podem acessar o recurso. O uso de grupos também habilita os seguintes recursos de gerenciamento:

  • Grupos dinâmicos de associação baseados em atributos
  • Grupos externos sincronizados a partir do Ative Directory local
  • Grupos gerenciados pelo administrador ou gerenciados por autoatendimento

Para saber mais sobre os benefícios dos grupos para controle de acesso, consulte gerenciar o acesso a um aplicativo.

Ao desenvolver um aplicativo, autorize o acesso com a reivindicação dos grupos. Para saber mais, consulte como configurar declarações de grupo para aplicativos com a ID do Microsoft Entra.

Hoje, muitos aplicativos selecionam um subconjunto de grupos com o securityEnabled sinalizador definido para true evitar desafios de escala, ou seja, para reduzir o número de grupos retornados no token. Definir o securityEnabled sinalizador como verdadeiro para um grupo não garante que o grupo seja gerenciado com segurança.

Melhores práticas para mitigar riscos

A tabela a seguir apresenta várias práticas recomendadas de segurança para grupos de segurança e os riscos de segurança potenciais que cada prática atenua.

Procedimento recomendado de segurança Risco de segurança mitigado
Verifique se o proprietário do recurso e o proprietário do grupo são a mesma entidade principal. Os aplicativos devem criar sua própria experiência de gerenciamento de grupos e criar novos grupos para gerenciar o acesso. Por exemplo, um aplicativo pode criar grupos com a Group.Create permissão e adicionar-se como o proprietário do grupo. Dessa forma, o aplicativo tem controle sobre seus grupos sem ter o privilégio de modificar outros grupos no locatário. Quando os proprietários do grupo e os proprietários do recurso são entidades diferentes, os proprietários do grupo podem adicionar usuários ao grupo que não devem acessar o recurso, mas podem acessá-lo involuntariamente.
Crie um contrato implícito entre o proprietário do recurso e o proprietário do grupo. O proprietário do recurso e o proprietário do grupo devem alinhar a finalidade do grupo, as políticas e os membros que podem ser adicionados ao grupo para obter acesso ao recurso. Este nível de confiança não é técnico e depende de contratos humanos ou empresariais. Quando os proprietários do grupo e os proprietários de recursos têm intenções diferentes, o proprietário do grupo pode adicionar usuários ao grupo ao qual o proprietário do recurso não pretendia dar acesso. Esta ação pode resultar em acessos desnecessários e potencialmente arriscados.
Use grupos privados para controle de acesso. Os grupos do Microsoft 365 são gerenciados pelo conceito de visibilidade. Esta propriedade controla a política de associação do grupo e a visibilidade dos recursos do grupo. Os grupos de segurança têm políticas de adesão que permitem a adesão de qualquer pessoa ou requerem a aprovação do proprietário. Os grupos sincronizados no local também podem ser públicos ou privados. Os usuários que ingressam em um grupo sincronizado local também podem obter acesso ao recurso de nuvem. Quando você usa um grupo público para controle de acesso, qualquer membro pode ingressar no grupo e obter acesso ao recurso. O risco de elevação de privilégio existe quando um grupo público é usado para dar acesso a um recurso externo.
Aninhamento de grupo. Quando você usa um grupo para controle de acesso e ele tem outros grupos como seus membros, os membros dos subgrupos podem obter acesso ao recurso. Nesse caso, há vários proprietários de grupo do grupo pai e dos subgrupos. O alinhamento com vários proprietários de grupo sobre o propósito de cada grupo e como adicionar os membros certos a esses grupos é mais complexo e mais propenso à concessão acidental de acesso. Limite o número de grupos aninhados ou não os use, se possível.

Próximos passos