Fundamentos de identidade para organizações de defesa multilocatárias
O guia a seguir fornece fundamentos de identidade de confiança zero para organizações de defesa multilocatária e se concentra no Microsoft Entra ID. O Zero Trust é uma estratégia fundamental para garantir a integridade e a confidencialidade de informações confidenciais. A identidade é um pilar fundamental da confiança zero. O Microsoft Entra ID é o serviço de identidade na nuvem da Microsoft. O Microsoft Entra ID é um componente crítico de confiança zero que todos os clientes de nuvem da Microsoft usam.
Arquitetos e tomadores de decisão devem entender os principais recursos do Microsoft Entra ID e seu papel na confiança zero antes de construir a estratégia empresarial de defesa. As organizações de defesa podem atender a muitos requisitos de confiança zero adotando o Microsoft Entra ID. Muitos já têm acesso a recursos essenciais do Microsoft Entra por meio de suas licenças existentes do Microsoft 365.
Locatários do Microsoft Entra
Uma instância do Microsoft Entra ID é chamada de locatário do Microsoft Entra. Um locatário do Microsoft Entra é uma plataforma de identidade e limite. É a plataforma de identidade para sua organização e um limite de identidade seguro para os serviços de nuvem da Microsoft que você usa. Como tal, é ideal para proteger dados confidenciais de identidade de defesa.
Consolidação de locatários do Microsoft Entra. A Microsoft recomenda um locatário por organização. Um único locatário do Microsoft Entra fornece a experiência de gerenciamento de identidades mais perfeita para usuários e administradores. Ele fornece os recursos de confiança zero mais abrangentes. As organizações com vários locatários do Microsoft Entra devem gerenciar diferentes conjuntos de usuários, grupos, aplicativos e políticas, aumentando o custo e adicionando complexidade administrativa. Um único locatário também minimiza o custo de licenciamento.
Você deve tentar que o Microsoft 365, os serviços do Azure, a Power Platform, os aplicativos de linha de negócios (LOB), os aplicativos de software como serviço (SaaS) e outros provedores de serviços de nuvem (CSP) usem um único locatário do Microsoft Entra.
Microsoft Entra ID versus Ative Directory. O Microsoft Entra ID não é uma evolução dos Serviços de Domínio Ative Directory (AD DS). O conceito de locatário é como uma Floresta do Ative Directory, mas a arquitetura subjacente é diferente. O Microsoft Entra ID é um serviço de identidade de hiperescala, moderno e baseado em nuvem.
Nomes de domínio iniciais e IDs de inquilino. Cada locatário tem um nome de domínio inicial exclusivo e um ID de locatário. Por exemplo, uma organização chamada Contoso pode ter o nome contoso.onmicrosoft.com de domínio inicial para o Microsoft Entra ID e contoso.onmicrosoft.us para o Microsoft Entra Government. Os IDs de locatário são identificadores globalmente exclusivos (GUID). Cada locatário tem apenas um domínio inicial e um ID de locatário. Ambos os valores são imutáveis e não podem ser alterados após a criação do locatário.
Os usuários entram em contas do Microsoft Entra com seu Nome Principal de Usuário (UPN). O UPN é um atributo de usuário do Microsoft Entra e precisa de um sufixo roteável. O domínio inicial é o sufixo roteável padrão (user@contoso.onmicrosoft.com). Você pode adicionar domínios personalizados para criar e usar um UPN mais amigável. O UPN amigável geralmente corresponde ao endereço de e-mail do usuário (user@contoso.com). O UPN para ID do Microsoft Entra pode ser diferente do userPrincipalName do AD DS dos usuários. Ter um UPN e um usuário do AD DS diferentesPrincipalName é comum quando os valores userPrincipalName do AD DS não são roteáveis ou usam um sufixo que não corresponde a um domínio personalizado verificado no locatário.
Você só pode verificar um domínio personalizado em um locatário do Microsoft Entra globalmente. Os domínios personalizados não são limites de segurança ou confiança, como as Florestas dos Serviços de Domínio Ative Directory (AD DS). Eles são um namespace DNS para identificar o locatário doméstico de um usuário do Microsoft Entra.
Arquitetura do Microsoft Entra
O Microsoft Entra ID não tem controladores de domínio, unidades organizacionais, objetos de política de grupo, confianças de domínio/floresta ou funções FSMO (Flexible Single Master Operation). O Microsoft Entra ID é uma solução de gerenciamento de identidade de software como serviço. Você pode acessar o Microsoft Entra ID por meio de APIs RESTful. Você usa protocolos modernos de autenticação e autorização para acessar recursos protegidos pelo Microsoft Entra ID. O diretório tem uma estrutura plana e usa permissões baseadas em recursos.
Cada locatário do Microsoft Entra é um armazenamento de dados altamente disponível para dados de gerenciamento de identidade. Ele armazena objetos de identidade, política e configuração e os replica em regiões do Azure. Um locatário do Microsoft Entra fornece redundância de dados para informações críticas de defesa.
Tipos de identidade
O Microsoft Entra ID tem dois tipos de identidades. Os dois tipos de identidade são usuários e entidades de serviço.
Utilizadores. Os usuários são identidades para indivíduos que acessam a Microsoft e serviços de nuvem federada. Os usuários podem ser membros ou convidados em uma instância do Microsoft Entra ID. Normalmente, os membros são internos à sua organização e os convidados pertencem a uma organização externa, como um parceiro de missão ou contratante de defesa. Para saber mais sobre usuários convidados e colaboração entre organizações, consulte Visão geral da colaboração B2B.
Entidades de serviço. As entidades de serviço são entidades não pessoais (NPE) no Microsoft Entra ID. As entidades de serviço podem representar aplicativos, contas de serviço/automação e recursos do Azure. Mesmo recursos que não sejam do Azure, como servidores locais, podem ter uma entidade de serviço na ID do Microsoft Entra e interagir com outros recursos do Azure. As entidades de serviço são úteis para automatizar fluxos de trabalho de defesa e gerenciar aplicativos críticos para operações de defesa. Para obter mais informações, consulte Objetos principais de aplicativo e serviço no Microsoft Entra ID.
Sincronização de identidades. Você pode usar o Microsoft Entra Connect Sync ou o Microsoft Entra Connect Cloud Sync para sincronizar objetos de usuário, grupo e computador (dispositivo) nos Serviços de Domínio Ative Directory com a ID do Microsoft Entra. Essa configuração é chamada de identidade híbrida.
Permissões
O Microsoft Entra ID usa uma abordagem de permissões diferente dos Serviços de Domínio Ative Directory (AD DS) locais tradicionais.
Funções do Microsoft Entra. Você atribui permissões no Microsoft Entra ID usando funções de diretório do Microsoft Entra. Essas funções concedem acesso a APIs e escopos específicos. Administrador Global é a função mais privilegiada no Microsoft Entra ID. Há muitas funções internas para várias funções de administração limitadas. Você deve delegar permissões granulares para reduzir a área da superfície de ataque.
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. Isso ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando você não pode usar uma função existente.
Atribuição de permissão elevada. Para melhorar a segurança e reduzir privilégios desnecessários, o Microsoft Entra ID fornece dois princípios para a atribuição de permissão:
Just-in-Time (JIT): O Microsoft Entra ID suporta acesso just-in-time. O recurso JIT permite atribuir permissões temporariamente quando necessário. O acesso JIT minimiza a exposição de privilégios desnecessários e reduz a superfície de ataque.
Just-Enough-Admin (JEA): O Microsoft Entra ID segue o princípio just-enough-admin. As funções internas permitem delegar tarefas administrativas sem conceder permissões excessivas. As Unidades Administrativas podem restringir ainda mais o escopo de permissão para funções do Microsoft Entra.
Autenticação
Ao contrário do Ative Directory, os usuários no Microsoft Entra ID não estão limitados à autenticação por senha ou cartão inteligente. Os usuários do Microsoft Entra podem usar senhas e muitos outros métodos de autenticação e verificação. O Microsoft Entra ID usa protocolos de autenticação modernos, protege contra ataques baseados em tokens e deteta comportamentos de entrada suspeitos.
Métodos de autenticação. Os métodos de autenticação do Microsoft Entra incluem suporte nativo para certificados de cartão inteligente e credenciais derivadas, Microsoft Authenticator sem senha, chaves de segurança FIDO2 (chave de acesso de hardware) e credenciais de dispositivo como o Windows Hello for Business. O Microsoft Entra ID oferece métodos sem senha e resistentes a phishing em suporte aos recursos do Memorando 22-09 e da Estratégia DODCIO Zero Trust.
Protocolos de autenticação. O Microsoft Entra ID não usa Kerberos, NTLM ou LDAP. Ele usa protocolos abertos modernos destinados ao uso pela Internet, como OpenID Connect, OAuth 2.0, SAML 2.0 e SCIM. Embora o Entra não use Kerberos para sua própria autenticação, ele pode emitir tíquetes Kerberos para identidades híbridas para dar suporte aos Arquivos do Azure e habilitar a entrada sem senha para recursos locais. O proxy de aplicativo Entra permite configurar o logon único do Entra para aplicativos locais que suportam apenas protocolos herdados, como Kerberos e autenticação baseada em cabeçalho.
Proteções contra ataques de tokens. O AD DS tradicional é suscetível a ataques baseados em Kerberos. O AD DS usa grupos de segurança com identificadores de segurança (SID) conhecidos, como S-1-5-domain-512 para Administradores de Domínio. Quando um Administrador de Domínio executa uma entrada local ou de rede, o Controlador de Domínio emite um tíquete Kerberos contendo o SID de Administradores de Domínio e o armazena em um cache de credenciais. Os agentes de ameaças geralmente exploram esse mecanismo usando técnicas de movimento lateral e escalonamento de privilégios, como pass-the-hash e pass-the-ticket.
No entanto, o Microsoft Entra ID não é suscetível a ataques Kerberos. O equivalente na nuvem são técnicas de adversário no meio (AiTM), como sequestro de sessão e repetição de sessão, para roubar tokens de sessão (token de login). As aplicações cliente, o Gestor de Conta Web (WAM) ou o browser do utilizador (cookies de sessão) armazenam estes tokens de sessão. Para proteger contra ataques de roubo de tokens, o Microsoft Entra ID registra o uso do token para impedir a reprodução e pode exigir que os tokens sejam vinculados criptograficamente ao dispositivo do usuário.
Para saber mais sobre o roubo de tokens, consulte o Manual de roubo de tokens.
Detete comportamentos de início de sessão suspeitos. A Proteção de ID do Microsoft Entra usa uma combinação de deteções em tempo real e offline para identificar usuários arriscados e eventos de entrada. Você pode usar condições de risco no Acesso Condicional do Entra para controlar dinamicamente ou bloquear o acesso aos seus aplicativos. A Avaliação Contínua de Acesso (CAE) permite que os aplicativos cliente detetem alterações na sessão de um usuário para aplicar políticas de acesso quase em tempo real.
Aplicações
O Microsoft Entra ID não é apenas para aplicativos e serviços da Microsoft. O Microsoft Entra ID pode ser o provedor de identidade para qualquer aplicativo, provedor de serviços de nuvem, provedor de SaaS ou sistema de identidade que use os mesmos protocolos. Ele suporta facilmente a interoperabilidade com forças de defesa aliadas e empreiteiros.
Ponto de Aplicação de Políticas (PEP) e Ponto de Decisão de Políticas (PDP). O Microsoft Entra ID é um ponto comum de imposição de política (PEP) e ponto de decisão de política (PDP) em arquiteturas de confiança zero. Ele impõe políticas de segurança e controles de acesso para aplicativos.
Governança do Microsoft Entra ID. O Microsoft Entra ID Governance é um recurso do Microsoft Entra. Ele ajuda você a gerenciar o acesso do usuário e automatizar o ciclo de vida do acesso. Assegura que os utilizadores tenham acesso adequado e atempado às aplicações e recursos.
Acesso condicional. O acesso condicional permite que você use atributos para autorização refinada para aplicativos. Você pode definir políticas de acesso com base em vários fatores. Esses fatores incluem atributos de usuário, força da credencial, atributos de aplicativo, risco de usuário e entrada, integridade do dispositivo e localização. Para obter mais informações, consulte Segurança de confiança zero.
Dispositivos
O Microsoft Entra ID fornece acesso seguro e contínuo aos serviços da Microsoft por meio do gerenciamento de dispositivos. Pode gerir e associar dispositivos Windows ao Microsoft Entra da mesma forma que faria com os Serviços de Domínio Ative Directory.
Dispositivos registados. Os dispositivos são registados no seu inquilino Entra quando os utilizadores iniciam sessão nas aplicações utilizando a respetiva conta Entra. O registro do dispositivo Entra não é o mesmo que o registro do dispositivo ou a associação do Entra. Os utilizadores iniciam sessão em dispositivos registados utilizando uma conta local ou uma conta Microsoft. Os dispositivos registrados geralmente incluem Bring Your Own Devices (BYOD), como o PC doméstico ou o telefone pessoal de um usuário.
Microsoft Entra juntou dispositivos. Quando os usuários entram em um dispositivo associado ao Microsoft Entra, uma chave vinculada ao dispositivo é desbloqueada usando um PIN ou gesto. Após a validação, o Microsoft Entra ID emite um token de atualização primário (PRT) para o dispositivo. Este PRT facilita o acesso de início de sessão único a serviços protegidos pelo Microsoft Entra ID, como o Microsoft Teams.
Os dispositivos associados ao Microsoft Entra inscritos no Microsoft Endpoint Manager (Intune) podem usar a conformidade do dispositivo como um controle de concessão dentro do acesso condicional.
Microsoft Entra dispositivos híbridos ingressados. A associação híbrida do Microsoft Entra permite que os dispositivos Windows sejam conectados simultaneamente aos Serviços de Domínio Ative Directory e à ID do Microsoft Entra. Esses dispositivos primeiro autenticam os usuários no Ative Directory e, em seguida, recuperam um token de atualização primário da ID do Microsoft Entra.
Dispositivos e aplicativos gerenciados pelo Intune. O Microsoft Intune facilita o registro e o registro de dispositivos para gerenciamento. O Intune permite-lhe definir estados compatíveis e seguros para dispositivos de utilizador, proteger dispositivos com o Microsoft Defender for Endpoint e exigir que os utilizadores utilizem um dispositivo compatível para aceder a recursos empresariais.
Microsoft 365 e Azure
O Microsoft Entra ID é a plataforma de identidade da Microsoft. Serve os serviços Microsoft 365 e Azure. As assinaturas do Microsoft 365 criam e usam um locatário do Microsoft Entra. Os serviços do Azure também dependem de um locatário do Microsoft Entra.
Identidade do Microsoft 365. O Microsoft Entra ID é parte integrante de todas as operações de identidade no Microsoft 365. Ele lida com o login do usuário, colaboração, compartilhamento e atribuição de permissões. Ele oferece suporte ao gerenciamento de identidades para os serviços Office 365, Intune e Microsoft Defender XDR. Os seus utilizadores utilizam o Microsoft Entra sempre que iniciam sessão numa aplicação do Office como o Word ou o Outlook, partilham um documento com o OneDrive, convidam um utilizador externo para um site do SharePoint ou criam uma nova equipa no Microsoft Teams.
Identidade do Azure. No Azure, cada recurso é associado a uma assinatura do Azure e as assinaturas são vinculadas a um único locatário do Microsoft Entra. Você delega permissões para gerenciar recursos do Azure atribuindo funções do Azure a usuários, grupos de segurança ou entidades de serviço.
As identidades gerenciadas desempenham um papel crucial ao permitir que os recursos do Azure interajam com segurança com outros recursos. Essas identidades gerenciadas são entidades de segurança dentro do locatário do Microsoft Entra. Você concede permissões a eles com base em privilégios mínimos. Você pode autorizar uma identidade gerenciada para acessar APIs protegidas pelo Microsoft Entra ID, como o Microsoft Graph. Quando um recurso do Azure usa uma identidade gerenciada, a identidade gerenciada é um objeto principal de serviço. O objeto de princípio de serviço reside no mesmo locatário do Microsoft Entra que a assinatura associada ao recurso.
Microsoft Graph
Os portais da Web da Microsoft para Microsoft Entra, Azure e Microsoft 365 fornecem uma interface gráfica para o Microsoft Entra ID. Você pode automatizar o acesso programático para ler e atualizar objetos e políticas de configuração do Microsoft Entra usando APIs RESTful chamadas Microsoft Graph. O Microsoft Graph suporta clientes em vários idiomas. As linguagens suportadas incluem PowerShell, Go, Python, Java, .NET, Ruby e muito mais. Explore os repositórios do Microsoft Graph no GitHub.
Nuvens do Azure Government
Há duas versões separadas dos serviços Microsoft Entra que as organizações de defesa podem usar em redes públicas (conectadas à Internet): Microsoft Entra Global e Microsoft Entra Government.
Microsoft Entra Global. Microsoft Entra Global é para comercial Microsoft 365 e Azure, Microsoft 365 GCC Moderate. O serviço de início de sessão para o Microsoft Entra Global está login.microsoftonline.com.
Microsoft Entra Governo. Microsoft Entra Government é Azure Government (IL4), DoD (IL5), Microsoft 365 GCC High, Microsoft 365 DoD (IL5). O serviço de início de sessão para o Microsoft Entra Government está login.microsoftonline.us.
URLs de serviço. Diferentes serviços do Microsoft Entra usam URLs de entrada diferentes. Como resultado, você precisa usar portais da Web separados. Você também precisa fornecer comutadores de ambiente para se conectar com clientes do Microsoft Graph e módulos do PowerShell para gerenciar o Azure e o Microsoft 365 (consulte a tabela 1).
Tabela 1. Pontos de extremidade do Azure Government.
| Ponto final | Global | GCC Alta | Impacto do DoD Nível 5 (IL5) |
|---|---|---|---|
| Centro de administração do Microsoft Entra | entra.microsoft.com | entra.microsoft.us | entra.microsoft.us |
| Portal do Azure | portal.azure.com | portal.azure.us | portal.azure.us |
| Centro de Administração do Defender | security.microsoft.com | security.microsoft.us | security.apps.mil |
| MS Graph PowerShell | Connect-MgGraph<br>-Environment Global |
Connect-MgGraph<br>-Environment USGov |
Connect-MgGraph<br>-Environment USGovDoD |
| Módulo do PowerShell Az | Connect-AzAccount<br>-Environment AzureCloud |
Connect-AzAccount<br>-Environment AzureUSGovernment |
Connect-AzAccount<br>-Environment AzureUSGovernment |
| CLI do Azure | az cloud set --name AzureCloud |
az cloud set --name AzureUSGovernment |
az cloud set --name AzureUSGovernment |