Cinco etapas para proteger a sua infraestrutura de identidade
Se está a ler este documento, está ciente da importância da segurança. Você provavelmente já tem a responsabilidade de proteger sua organização. Se você precisar convencer outras pessoas da importância da segurança, envie-as para ler o mais recente Relatório de Defesa Digital da Microsoft.
Este documento ajuda você a obter uma postura mais segura usando os recursos do Microsoft Entra ID usando uma lista de verificação de cinco etapas para melhorar a proteção da sua organização contra ataques cibernéticos.
Esta lista de verificação ajuda você a implantar rapidamente ações críticas recomendadas para proteger sua organização imediatamente, explicando como:
- Fortaleça suas credenciais
- Reduza a sua área de superfície de ataque
- Automatize a resposta a ameaças
- Utilize inteligência na nuvem
- Habilite o autosserviço do usuário final
Nota
Muitas das recomendações neste documento aplicam-se apenas a aplicativos configurados para usar o Microsoft Entra ID como seu provedor de identidade. A configuração de aplicativos para Logon Único garante os benefícios das políticas de credenciais, deteção de ameaças, auditoria, registro em log e outros recursos adicionados a esses aplicativos. O Microsoft Entra Application Management é a base na qual todas essas recomendações se baseiam.
As recomendações neste documento estão alinhadas com o Identity Secure Score, uma avaliação automatizada da configuração de segurança de identidade do locatário do Microsoft Entra. As organizações podem usar a página Pontuação segura de identidade no centro de administração do Microsoft Entra para encontrar lacunas em sua configuração de segurança atual para garantir que sigam as práticas recomendadas atuais da Microsoft para segurança. A implementação de cada recomendação na página Pontuação segura aumenta sua pontuação e permite que você acompanhe seu progresso, além de ajudá-lo a comparar sua implementação com outras organizações de tamanho semelhante.
Nota
Algumas das funcionalidades recomendadas aqui estão disponíveis para todos os clientes, enquanto outras exigem uma assinatura do Microsoft Entra ID P1 ou P2. Consulte os preços do Microsoft Entra e a lista de verificação de implantação do Microsoft Entra para obter mais informações.
Antes de começar: Proteja contas privilegiadas com MFA
Antes de começar esta lista de verificação, certifique-se de que não fica comprometido enquanto lê esta lista de verificação. No Microsoft Entra, observamos 50 milhões de ataques de senha diariamente, mas apenas uma fração dos usuários e administradores estão usando autenticações fortes, como a autenticação multifator (MFA). Estas estatísticas baseiam-se em dados de agosto de 2021. No Microsoft Entra ID, os usuários que têm funções privilegiadas, como administradores, são a raiz da confiança para criar e gerenciar o restante do ambiente. Implemente as seguintes práticas para minimizar os efeitos de um compromisso.
Os atacantes que obtêm o controlo de contas privilegiadas podem causar danos tremendos, por isso é fundamental proteger essas contas antes de prosseguir. Habilite e exija a autenticação multifator (MFA) do Microsoft Entra para todos os administradores em sua organização usando os Padrões de Segurança ou o Acesso Condicional do Microsoft Entra. É fundamental.
Tudo pronto? Vamos começar na lista de verificação.
Passo 1: Fortaleça as suas credenciais
Embora outros tipos de ataques estejam surgindo, incluindo phishing de consentimento e ataques a identidades não humanas, os ataques baseados em senha às identidades dos usuários ainda são o vetor mais prevalente de comprometimento de identidade. Campanhas bem estabelecidas de spear phishing e spray de senha por adversários continuam a ser bem-sucedidas contra organizações que não implementam autenticação multifator (MFA) ou outras proteções contra essa tática comum.
Como organização, você precisa garantir que suas identidades sejam validadas e protegidas com MFA em todos os lugares. Em 2020, o relatório do Centro de Queixas de Crimes na Internet (IC3) do Federal Bureau of Investigation (FBI) identificou o phishing como o principal tipo de crime para queixas de vítimas. O número de relatórios duplicou em comparação com o ano anterior. O phishing representa uma ameaça significativa para empresas e indivíduos, e o phishing de credenciais foi usado em muitos dos ataques mais prejudiciais no ano passado. A autenticação multifator (MFA) do Microsoft Entra ajuda a proteger o acesso a dados e aplicativos, fornecendo outra camada de segurança usando uma segunda forma de autenticação. As organizações podem habilitar a autenticação multifator com Acesso Condicional para fazer com que a solução atenda às suas necessidades específicas. Dê uma olhada neste guia de implantação para ver como planejar, implementar e implantar a autenticação multifator do Microsoft Entra.
Verifique se sua organização usa autenticação forte
Para habilitar facilmente o nível básico de segurança de identidade, você pode usar a ativação de uma seleção com os padrões de segurança do Microsoft Entra. Os padrões de segurança impõem a autenticação multifator do Microsoft Entra para todos os usuários em um locatário e bloqueiam entradas de protocolos herdados em todo o locatário.
Se sua organização tiver licenças do Microsoft Entra ID P1 ou P2, você também poderá usar a pasta de trabalho de relatórios e insights do Acesso Condicional para ajudá-lo a descobrir lacunas em sua configuração e cobertura. A partir dessas recomendações, você pode facilmente fechar essa lacuna criando uma política usando a nova experiência de modelos de Acesso Condicional. Os modelos de Acesso Condicional são projetados para fornecer um método fácil de implantar novas políticas que se alinham com as práticas recomendadas pela Microsoft, facilitando a implantação de políticas comuns para proteger suas identidades e dispositivos.
Comece a banir senhas comumente atacadas e desative a complexidade tradicional e as regras de expiração.
Muitas organizações usam regras tradicionais de complexidade e expiração de senha. A pesquisa da Microsoft mostra, e as diretrizes de identidade digital 800-63B da publicação especial do National Institute of Standards and Technology (NIST) afirmam, que essas políticas fazem com que os usuários escolham senhas mais fáceis de adivinhar. Recomendamos que você use a proteção por senha do Microsoft Entra, um recurso de senha dinâmica proibida, usando o comportamento atual do invasor para impedir que os usuários definam senhas que podem ser facilmente adivinhadas. Esse recurso está sempre ativo quando os usuários são criados na nuvem, mas agora também está disponível para organizações híbridas quando implantam a proteção por senha do Microsoft Entra para o Ative Directory do Windows Server. Além disso, recomendamos que remova as políticas de expiração. A alteração de palavra-passe não oferece benefícios de contenção, uma vez que os criminosos virtuais quase sempre usam credenciais assim que as comprometem. Consulte o seguinte artigo para Definir a política de expiração de senha para sua organização.
Proteja-se contra credenciais vazadas e aumente a resiliência contra interrupções
O método mais simples e recomendado para habilitar a autenticação na nuvem para objetos de diretório locais no Microsoft Entra ID é habilitar a sincronização de hash de senha (PHS). Se a organização utilizar uma solução de identidade híbrida com federação ou autenticação pass-through, deverá ativar a sincronização do hash de palavras-passe pelos seguintes motivos:
- O relatório Usuários com credenciais vazadas no Microsoft Entra ID avisa sobre pares de nome de usuário e senha expostos publicamente. Um volume incrível de senhas é vazado por meio de phishing, malware e reutilização de senhas em sites de terceiros que são posteriormente violados. A Microsoft encontra muitas dessas credenciais vazadas e informa, neste relatório, se elas correspondem às credenciais em sua organização, mas somente se você habilitar a sincronização de hash de senha ou tiver identidades somente na nuvem.
- Se ocorrer uma interrupção no local, como um ataque de ransomware, você pode passar a usar a autenticação na nuvem usando a sincronização de hash de senha. Este método de autenticação de backup permite que você continue acessando aplicativos configurados para autenticação com o Microsoft Entra ID, incluindo o Microsoft 365. Nesse caso, a equipe de TI não precisa recorrer a contas de e-mail pessoais ou de TI sombra para compartilhar dados até que a interrupção local seja resolvida.
As senhas nunca são armazenadas em texto não criptografado ou criptografadas com um algoritmo reversível no Microsoft Entra ID. Para obter mais informações sobre o processo real de sincronização de hash de senha, consulte Descrição detalhada de como funciona a sincronização de hash de senha.
Implementar o bloqueio inteligente da extranet do AD FS
O bloqueio inteligente ajuda a bloquear pessoas mal-intencionadas que tentam adivinhar as palavras-passe dos utilizadores ou utilizar métodos de força bruta para entrar. O bloqueio inteligente consegue reconhecer inícios de sessão provenientes de utilizadores válidos e tratá-los de forma diferente dos atacantes e de outras origens desconhecidas. Os atacantes são bloqueados, enquanto os utilizadores continuam a aceder às contas e a ser produtivos. As organizações que configuram aplicativos para autenticação direta no Microsoft Entra ID se beneficiam do bloqueio inteligente do Microsoft Entra. As implantações federadas que usam o AD FS 2016 e o AD FS 2019 podem habilitar benefícios semelhantes usando o Bloqueio de Extranet do AD FS e o Bloqueio Inteligente de Extranet.
Passo 2: Reduzir a área da superfície de ataque
Dada a onipresença do comprometimento de senhas, minimizar a superfície de ataque em sua organização é fundamental. Desative o uso de protocolos mais antigos e menos seguros, limite os pontos de entrada de acesso, mude para a autenticação na nuvem, exerça um controle mais significativo do acesso administrativo aos recursos e adote os princípios de segurança Zero Trust.
Usar a autenticação na nuvem
As credenciais são um vetor de ataque primário. As práticas neste blog podem reduzir a superfície de ataque usando autenticação na nuvem, implantar MFA e usar métodos de autenticação sem senha. Você pode implantar métodos sem senha, como o Windows Hello for Business, o Login por Telefone com o Aplicativo Microsoft Authenticator ou FIDO.
Bloquear a autenticação legada
Os aplicativos que usam seus próprios métodos herdados para autenticar com o ID do Microsoft Entra e acessar dados da empresa representam outro risco para as organizações. Exemplos de aplicativos que usam autenticação herdada são clientes POP3, IMAP4 ou SMTP. Os aplicativos de autenticação herdados são autenticados em nome do usuário e impedem que o Microsoft Entra ID faça avaliações avançadas de segurança. A autenticação alternativa, moderna, reduz o risco de segurança, porque suporta autenticação multifator e Acesso Condicional.
Recomendamos as seguintes ações:
- Descubra a autenticação herdada na sua organização com os registos de início de sessão do Microsoft Entra e os livros do Log Analytics.
- Configure o SharePoint Online e o Exchange Online para usar a autenticação moderna.
- Se você tiver licenças do Microsoft Entra ID P1 ou P2, use políticas de Acesso Condicional para bloquear a autenticação herdada. Para a camada Gratuita do Microsoft Entra ID, use os Padrões de Segurança do Microsoft Entra.
- Bloqueie a autenticação herdada se você usar o AD FS.
- Bloquear autenticação herdada com o Exchange Server 2019.
- Desabilite a autenticação herdada no Exchange Online.
Para obter mais informações, consulte o artigo Bloqueando protocolos de autenticação herdados no Microsoft Entra ID.
Bloquear pontos de entrada de autenticação inválidos
Usando o princípio de verificação explícita, você deve reduzir o impacto das credenciais de usuário comprometidas quando elas acontecem. Para cada aplicativo em seu ambiente, considere os casos de uso válidos: quais grupos, quais redes, quais dispositivos e outros elementos são autorizados e, em seguida, bloqueie o restante. Com o Acesso Condicional do Microsoft Entra, você pode controlar como os usuários autorizados acessam seus aplicativos e recursos com base nas condições específicas que você definir.
Para obter mais informações sobre como usar o Acesso Condicional para seus aplicativos de nuvem e ações do usuário, consulte Aplicativos de nuvem de acesso condicional, ações e contexto de autenticação.
Rever e governar funções de administrador
Outro pilar do Zero Trust é a necessidade de minimizar a probabilidade de uma conta comprometida operar com um papel privilegiado. Esse controle pode ser realizado atribuindo a menor quantidade de privilégio a uma identidade. Se você é novo nas funções do Microsoft Entra, este artigo ajuda você a entender as funções do Microsoft Entra.
As funções privilegiadas no Microsoft Entra ID devem ser contas somente na nuvem para isolá-las de qualquer ambiente local e não usar cofres de senhas locais para armazenar as credenciais.
Implementar o Gerenciamento de Acesso de Privilégios
O Privileged Identity Management (PIM) fornece uma ativação de função baseada em tempo e aprovação para reduzir os riscos de permissões de acesso excessivas, desnecessárias ou mal utilizadas a recursos importantes. Esses recursos incluem recursos no Microsoft Entra ID, Azure e outros Microsoft Online Services, como o Microsoft 365 ou o Microsoft Intune.
O Microsoft Entra Privileged Identity Management (PIM) ajuda a minimizar os privilégios da conta, ajudando-o a:
- Identifique e gerencie usuários atribuídos a funções administrativas.
- Entenda as funções de privilégio não utilizadas ou excessivas que você deve remover.
- Estabeleça regras para garantir que as funções privilegiadas sejam protegidas pela autenticação multifator.
- Estabeleça regras para garantir que as funções privilegiadas sejam concedidas apenas o tempo suficiente para realizar a tarefa privilegiada.
Habilite o Microsoft Entra PIM, exiba os usuários aos quais são atribuídas funções administrativas e remova contas desnecessárias nessas funções. Para os restantes utilizadores privilegiados, mude-os de permanentes para elegíveis. Finalmente, estabeleça políticas apropriadas para garantir que, quando precisarem ter acesso a essas funções privilegiadas, possam fazê-lo de forma segura, com o controle de mudanças necessário.
As funções internas e personalizadas do Microsoft Entra operam em conceitos semelhantes às funções encontradas no sistema de controle de acesso baseado em função para recursos do Azure (funções do Azure). A diferença entre esses dois sistemas de controle de acesso baseados em funções é:
- As funções do Microsoft Entra controlam o acesso aos recursos do Microsoft Entra, como usuários, grupos e aplicativos usando a API do Microsoft Graph
- As funções do Azure controlam o acesso aos recursos do Azure, como máquinas virtuais ou armazenamento, usando o Gerenciamento de Recursos do Azure
Ambos os sistemas contêm definições de função e atribuições de função usadas de forma semelhante. No entanto, as permissões de função do Microsoft Entra não podem ser usadas em funções personalizadas do Azure e vice-versa. Como parte da implantação do processo de sua conta privilegiada, siga as práticas recomendadas para criar pelo menos duas contas de emergência para garantir que você ainda tenha acesso ao Microsoft Entra ID se se bloquear.
Para obter mais informações, consulte o artigo Plan a Privileged Identity Management deployment and securing privileged access.
Restringir as operações de consentimento do usuário
É importante entender as várias experiências de consentimento do aplicativo Microsoft Entra, os tipos de permissões e consentimento e suas implicações na postura de segurança da sua organização. Embora permitir que os usuários consintam por si mesmos permita que os usuários adquiram facilmente aplicativos úteis que se integram ao Microsoft 365, Azure e outros serviços, isso pode representar um risco se não for usado e monitorado cuidadosamente.
A Microsoft recomenda restringir o consentimento do usuário para permitir o consentimento do usuário final somente para aplicativos de editores verificados e somente para permissões selecionadas. Se o consentimento do usuário final for restrito, as concessões de consentimento anteriores ainda serão respeitadas, mas todas as operações de consentimento futuras que um administrador deve executar. Para casos restritos, os usuários podem solicitar o consentimento do administrador por meio de um fluxo de trabalho integrado de solicitação de consentimento do administrador ou por meio de seus próprios processos de suporte. Antes de restringir o consentimento do usuário final, use nossas recomendações para planejar essa alteração em sua organização. Para aplicativos que você deseja permitir que todos os usuários acessem, considere conceder consentimento em nome de todos os usuários, certificando-se de que os usuários que ainda não consentiram individualmente possam acessar o aplicativo. Se você não quiser que esses aplicativos estejam disponíveis para todos os usuários em todos os cenários, use a atribuição de aplicativos e o Acesso Condicional para restringir o acesso do usuário a aplicativos específicos.
Certifique-se de que os usuários possam solicitar aprovação de administrador para novos aplicativos para reduzir o atrito do usuário, minimizar o volume de suporte e impedir que os usuários se inscrevam em aplicativos usando credenciais que não sejam do Microsoft Entra. Depois de regular suas operações de consentimento, os administradores devem auditar as permissões de aplicativo e consentimento regularmente.
Para obter mais informações, consulte o artigo Estrutura de consentimento do Microsoft Entra.
Etapa 3: automatizar a resposta a ameaças
O Microsoft Entra ID tem muitos recursos que intercetam ataques automaticamente, para remover a latência entre a deteção e a resposta. Você pode reduzir os custos e os riscos, quando reduz o tempo que os criminosos usam para se incorporar ao seu ambiente. Aqui estão as medidas concretas que você pode tomar.
Para obter mais informações, consulte o artigo Como configurar e habilitar políticas de risco.
Implementar política de risco de início de sessão
Um risco de entrada representa a probabilidade de que um determinado proprietário da identidade não autorizou a solicitação de autenticação. Uma política baseada em risco de entrada pode ser implementada adicionando uma condição de risco de entrada às suas políticas de Acesso Condicional que avalia o nível de risco para um usuário ou grupo específico. Com base no nível de risco (alto/médio/baixo), uma política pode ser configurada para bloquear o acesso ou forçar a autenticação multifator. Recomendamos que você force a autenticação multifator em entradas de risco médio ou superior.
Implementar política de segurança de risco do usuário
O risco do usuário indica a probabilidade de comprometimento da identidade do usuário e é calculado com base nas deteções de risco do usuário associadas à identidade do usuário. Uma política baseada em risco de usuário pode ser implementada por meio da adição de uma condição de risco de usuário às suas políticas de Acesso Condicional que avalia o nível de risco para um usuário específico. Com base no nível de risco Baixo, Médio e Alto, uma política pode ser configurada para bloquear o acesso ou exigir uma alteração de senha segura usando autenticação multifator. A recomendação da Microsoft é exigir uma alteração de senha segura para usuários de alto risco.
Incluído na deteção de risco do usuário está uma verificação se as credenciais do usuário correspondem às credenciais vazadas por cibercriminosos. Para funcionar de forma otimizada, é importante implementar a sincronização de hash de senha com o Microsoft Entra Connect Sync.
Integre o Microsoft Defender XDR com a Proteção de ID do Microsoft Entra
Para que a Proteção de Identidade seja capaz de realizar a melhor deteção de risco possível, ela precisa obter o maior número possível de sinais. Portanto, é importante integrar o conjunto completo de serviços Microsoft Defender XDR:
- Microsoft Defender para Ponto Final
- Microsoft Defender para Office 365
- Microsoft Defender para Identidade
- Microsoft Defender for Cloud Apps
Saiba mais sobre a Proteção contra Ameaças da Microsoft e a importância de integrar diferentes domínios no vídeo curto a seguir.
Configurar monitoramento e alertas
Monitorar e auditar seus logs é importante para detetar comportamentos suspeitos. O portal do Azure tem várias maneiras de integrar os logs do Microsoft Entra com outras ferramentas, como o Microsoft Sentinel, o Azure Monitor e outras ferramentas SIEM. Para obter mais informações, consulte o guia de operações de segurança do Microsoft Entra.
Etapa 4: Utilize a inteligência na nuvem
A auditoria e o registo de eventos relacionados com a segurança e alertas relacionados são componentes essenciais de uma estratégia de proteção eficiente. Os logs e relatórios de segurança fornecem um registro eletrônico de atividades suspeitas e ajudam a detetar padrões que podem indicar tentativa ou penetração externa bem-sucedida na rede e ataques internos. Você pode usar a auditoria para monitorar a atividade do usuário, documentar a conformidade regulamentar, fazer análises forenses e muito mais. Os alertas fornecem notificações de eventos de segurança. Certifique-se de que tem uma política de retenção de registos em vigor para os seus registos de início de sessão e registos de auditoria para o Microsoft Entra ID exportando para o Azure Monitor ou para uma ferramenta SIEM.
Monitorar o ID do Microsoft Entra
Os serviços e recursos do Microsoft Azure fornecem opções configuráveis de auditoria e registro em log de segurança para ajudá-lo a identificar lacunas em suas políticas e mecanismos de segurança e resolver essas lacunas para ajudar a evitar violações. Você pode usar o Log e Auditoria do Azure e usar relatórios de atividade de Auditoria no centro de administração do Microsoft Entra. Consulte o guia de Operações de Segurança do Microsoft Entra para obter mais detalhes sobre como monitorar contas de usuário, contas privilegiadas, aplicativos e dispositivos.
Monitorar a integridade do Microsoft Entra Connect em ambientes híbridos
A monitorização do AD FS com o Microsoft Entra Connect Health fornece-lhe uma maior visão sobre potenciais problemas e visibilidade de ataques à sua infraestrutura do AD FS. Agora você pode visualizar os logins do ADFS para dar mais profundidade ao seu monitoramento. O Microsoft Entra Connect Health fornece alertas com detalhes, etapas de resolução e links para documentação relacionada; análise de uso para várias métricas relacionadas ao tráfego de autenticação; acompanhamento de desempenho e relatórios. Utilize o Risky IP WorkBook for ADFS que pode ajudar a identificar a norma para o seu ambiente e alertar quando houver uma alteração. Toda a infraestrutura híbrida deve ser monitorada como um ativo de nível 0. Orientações detalhadas de monitoramento para esses ativos podem ser encontradas no Guia de Operações de Segurança para Infraestrutura.
Monitorar eventos do Microsoft Entra ID Protection
O Microsoft Entra ID Protection fornece dois relatórios importantes que você deve monitorar diariamente:
- Os relatórios de início de sessão arriscados apresentam as atividades de início de sessão do utilizador, devendo investigar se o proprietário legítimo efetuou o início de sessão.
- O usuário arriscado relata contas de usuário de superfície que podem estar comprometidas, como credenciais vazadas que foram detetadas ou o usuário conectado de locais diferentes, causando um evento de viagem impossível.
Auditar aplicativos e permissões consentidas
Os usuários podem ser induzidos a navegar para um site comprometido ou aplicativos que obtêm acesso às informações de perfil e dados do usuário, como e-mail. Um ator mal-intencionado pode usar as permissões consentidas que recebeu para criptografar o conteúdo da caixa de correio e exigir um resgate para recuperar os dados da sua caixa de correio. Os administradores devem rever e auditar as permissões dadas pelos utilizadores. Além de auditar as permissões dadas pelos usuários, você pode localizar aplicativos OAuth arriscados ou indesejados em ambientes premium.
Etapa 5: Habilitar o autosserviço do usuário final
Tanto quanto possível, você quer equilibrar segurança com produtividade. Abordando sua jornada com a mentalidade de que você está estabelecendo uma base para a segurança, você pode remover o atrito de sua organização capacitando seus usuários enquanto permanece vigilante e reduz suas despesas gerais operacionais.
Implementar redefinição de senha de autoatendimento
A redefinição de senha de autoatendimento (SSPR) do Microsoft Entra ID oferece um meio simples para os administradores de TI permitirem que os usuários redefina ou desbloqueiem suas senhas ou contas sem intervenção do helpdesk ou do administrador. O sistema inclui relatórios detalhados que rastreiam quando os usuários redefinem suas senhas, juntamente com notificações para alertá-lo sobre uso indevido ou abuso.
Implementar grupo de autoatendimento e acesso a aplicativos
O Microsoft Entra ID pode permitir que não-administradores gerenciem o acesso a recursos, usando grupos de segurança, grupos do Microsoft 365, funções de aplicativo e catálogos de pacotes de acesso. O gerenciamento de grupo de autoatendimento permite que os proprietários de grupos gerenciem seus próprios grupos, sem a necessidade de receber uma função administrativa. Os usuários também podem criar e gerenciar grupos do Microsoft 365 sem depender de administradores para lidar com suas solicitações, e os grupos não utilizados expiram automaticamente. O gerenciamento de direitos do Microsoft Entra permite ainda mais a delegação e a visibilidade, com fluxos de trabalho abrangentes de solicitação de acesso e expiração automática. Você pode delegar a não administradores a capacidade de configurar seus próprios pacotes de acesso para grupos, Teams, aplicativos e sites do SharePoint Online de sua propriedade, com políticas personalizadas para quem é necessário para aprovar o acesso, incluindo a configuração de gerentes de funcionários e patrocinadores de parceiros de negócios como aprovadores.
Implementar revisões de acesso do Microsoft Entra
Com as revisões de acesso do Microsoft Entra, você pode gerenciar pacotes de acesso e associações de grupo, acesso a aplicativos corporativos e atribuições de funções privilegiadas para garantir que você mantenha um padrão de segurança. A supervisão regular pelos próprios usuários, proprietários de recursos e outros revisores garante que os usuários não mantenham o acesso por longos períodos de tempo quando não precisarem mais dele.
Implementar provisionamento automático de usuários
O provisionamento e o desprovisionamento são os processos que garantem a consistência das identidades digitais em vários sistemas. Esses processos geralmente são aplicados como parte do gerenciamento do ciclo de vida da identidade.
O provisionamento é o processo de criação de uma identidade em um sistema de destino com base em determinadas condições. O desprovisionamento é o processo de remoção da identidade do sistema de destino, quando as condições não são mais atendidas. A sincronização é o processo de manter o objeto provisionado, atualizado, para que o objeto de origem e o objeto de destino sejam semelhantes.
Atualmente, o Microsoft Entra ID fornece três áreas de provisionamento automatizado. Eles são:
- Provisionamento de um sistema externo de registro não oficial de diretório para o Microsoft Entra ID, por meio de provisionamento orientado por RH
- Provisionamento do Microsoft Entra ID para aplicativos, via provisionamento de aplicativos
- Provisionamento entre o Microsoft Entra ID e os Serviços de Domínio Ative Directory, por meio do provisionamento entre diretórios
Saiba mais aqui: O que é provisionamento com o Microsoft Entra ID?
Resumo
Há muitos aspetos em uma infraestrutura de identidade segura, mas esta lista de verificação de cinco etapas ajuda você a realizar rapidamente uma infraestrutura de identidade mais segura e protegida:
- Fortaleça suas credenciais
- Reduza a sua área de superfície de ataque
- Automatize a resposta a ameaças
- Utilize inteligência na nuvem
- Habilite o autosserviço do usuário final
Agradecemos a seriedade com que leva a segurança e esperamos que este documento seja um roteiro útil para uma postura mais segura para a sua organização.
Próximos passos
Se precisar de assistência para planejar e implantar as recomendações, consulte os planos de implantação do projeto Microsoft Entra ID para obter ajuda.
Se você tiver certeza de que todas essas etapas estão concluídas, use o Identity Secure Score da Microsoft, que o mantém atualizado com as práticas recomendadas e ameaças à segurança mais recentes.