Guia de referência de operações de governança do Microsoft Entra ID
Esta seção do guia de referência de operações do Microsoft Entra descreve as verificações e ações que você deve tomar para avaliar e atestar o acesso concedido a identidades não privilegiadas e privilegiadas, auditoria e alterações de controle no ambiente.
Nota
Estas recomendações estão atualizadas a partir da data de publicação, mas podem mudar ao longo do tempo. As organizações devem avaliar continuamente suas práticas de governança à medida que os produtos e serviços da Microsoft evoluem ao longo do tempo.
Principais processos operacionais
Atribuir proprietários a tarefas principais
O gerenciamento do Microsoft Entra ID requer a execução contínua de tarefas e processos operacionais importantes, que podem não fazer parte de um projeto de implantação. Ainda é importante configurar essas tarefas para otimizar seu ambiente. As principais tarefas e seus proprietários recomendados incluem:
| Tarefa | Proprietário |
|---|---|
| Arquivar logs de auditoria do Microsoft Entra no sistema SIEM | Equipe de Operações InfoSec |
| Descubra aplicativos que são gerenciados fora de conformidade | Equipe de Operações do IAM |
| Rever regularmente o acesso às candidaturas | Equipe de arquitetura InfoSec |
| Rever regularmente o acesso a identidades externas | Equipe de arquitetura InfoSec |
| Revise regularmente quem tem papéis privilegiados | Equipe de arquitetura InfoSec |
| Definir portas de segurança para ativar funções privilegiadas | Equipe de arquitetura InfoSec |
| Rever regularmente as concessões de consentimento | Equipe de arquitetura InfoSec |
| Projetar catálogos e pacotes de acesso para aplicativos e recursos baseados para funcionários na organização | Proprietários de aplicativos |
| Definir políticas de segurança para atribuir usuários a pacotes de acesso | Equipa InfoSec + Proprietários de Aplicações |
| Se as políticas incluírem fluxos de trabalho de aprovação, revise regularmente as aprovações do fluxo de trabalho | Proprietários de aplicativos |
| Revisar exceções em políticas de segurança, como políticas de Acesso Condicional, usando revisões de acesso | Equipe de Operações InfoSec |
À medida que você revisa sua lista, pode achar que precisa atribuir um proprietário para tarefas que estão faltando um proprietário ou ajustar a propriedade para tarefas com proprietários que não estão alinhadas com as recomendações fornecidas.
Leitura recomendada pelo proprietário
Teste de alterações de configuração
Há alterações que exigem considerações especiais ao testar, desde técnicas simples, como a implantação de um subconjunto de usuários de destino, até a implantação de uma alteração em um locatário de teste paralelo. Se você ainda não implementou uma estratégia de teste, você deve definir uma abordagem de teste com base nas diretrizes da tabela:
| Cenário | Recomendação |
|---|---|
| Alterar o tipo de autenticação de federado para PHS/PTA ou vice-versa | Use a distribuição em estágios para testar o efeito da alteração do tipo de autenticação. |
| Implementando uma nova política de Acesso Condicional | Crie uma nova política de Acesso Condicional e atribua aos usuários de teste. |
| Integrar um ambiente de teste de um aplicativo | Adicione o aplicativo a um ambiente de produção, oculte-o do painel MyApps e atribua-o aos usuários de teste durante a fase de garantia de qualidade (QA). |
| Alteração das regras de sincronização | Execute as alterações em um teste do Microsoft Entra Connect com a mesma configuração que está atualmente em produção, também conhecido como modo de preparo, e analise os Resultados de Exportação. Se estiver satisfeito, troque para a produção quando estiver pronto. |
| Mudança de marca | Teste em um locatário de teste separado. |
| Lançando um novo recurso | Se o recurso oferecer suporte à distribuição para um conjunto de usuários de destino, identifique os usuários piloto e construa. Por exemplo, a redefinição de senha de autoatendimento e a autenticação multifator podem ter como alvo usuários ou grupos específicos. |
| Mover para um aplicativo de um provedor de identidade local (IdP), por exemplo, Ative Directory, para o Microsoft Entra ID | Se o aplicativo oferecer suporte a várias configurações de IdP, por exemplo, Salesforce, configure ambos e teste o Microsoft Entra ID durante uma janela de alteração (caso o aplicativo introduza uma página). Se o aplicativo não suportar vários IdPs, agende o teste durante uma janela de controle de alterações e o tempo de inatividade do programa. |
| Atualizar regras para grupos dinâmicos de associação | Crie um grupo dinâmico paralelo com a nova regra. Compare com o resultado calculado, por exemplo, execute o PowerShell com a mesma condição. Se o teste for aprovado, troque os locais onde o grupo antigo foi usado (se possível). |
| Migrar licenças de produtos | Consulte Alterar a licença para um único usuário em um grupo licenciado no Microsoft Entra ID. |
| Alterar regras do AD FS, como Autorização, Emissão, MFA | Use a declaração de grupo para segmentar um subconjunto de usuários. |
| Alterar a experiência de autenticação do AD FS ou alterações semelhantes em todo o farm | Crie um farm paralelo com o mesmo nome de host, implemente alterações de configuração, teste de clientes usando o arquivo HOSTS, regras de roteamento NLB ou roteamento semelhante. Se a plataforma de destino não suportar ficheiros HOSTS (por exemplo, dispositivos móveis), controle a mudança. |
Revisões de acesso
Aceda a análises a candidaturas
Com o tempo, os usuários podem acumular acesso a recursos à medida que se movem por diferentes equipes e posições. É importante que os proprietários de recursos analisem o acesso aos aplicativos regularmente. Esse processo de revisão pode envolver a remoção de privilégios que não são mais necessários durante todo o ciclo de vida dos usuários. As revisões de acesso do Microsoft Entra permitem que as organizações gerenciem com eficiência associações de grupo, acesso a aplicativos corporativos e atribuições de função. Os proprietários de recursos devem revisar o acesso dos usuários regularmente para garantir que apenas as pessoas certas continuem a ter acesso. Idealmente, você deve considerar o uso de revisões de acesso do Microsoft Entra para essa tarefa.
Nota
Cada usuário que interage com as avaliações de acesso deve ter uma licença paga do Microsoft Entra ID P2.
Acessar revisões para identidades externas
É crucial manter o acesso a identidades externas limitado apenas aos recursos necessários, durante o tempo necessário. Estabeleça um processo regular de revisão de acesso automatizado para todas as identidades externas e acesso a aplicativos usando revisões de acesso do Microsoft Entra. Se já existir um processo no local, considere usar as revisões de acesso do Microsoft Entra. Quando um aplicativo for retirado ou não for mais usado, remova todas as identidades externas que tiveram acesso ao aplicativo.
Nota
Cada usuário que interage com as avaliações de acesso deve ter uma licença paga do Microsoft Entra ID P2.
Gestão privilegiada de contas
Uso privilegiado da conta
Os hackers geralmente têm como alvo contas de administrador e outros elementos de acesso privilegiado para obter acesso rápido a dados e sistemas confidenciais. Como os usuários com funções privilegiadas tendem a se acumular ao longo do tempo, é importante revisar e gerenciar o acesso de administrador regularmente e fornecer acesso privilegiado just-in-time aos recursos do Microsoft Entra ID e do Azure.
Se não existir nenhum processo em sua organização para gerenciar contas privilegiadas ou se você tiver administradores que usam suas contas de usuário regulares para gerenciar serviços e recursos, você deve começar imediatamente a usar contas separadas. Por exemplo, um para atividades regulares do dia-a-dia e outro para acesso privilegiado e configurado com MFA. Melhor ainda, se sua organização tiver uma assinatura do Microsoft Entra ID P2, você deverá implantar imediatamente o Microsoft Entra Privileged Identity Management (PIM). Da mesma forma, você também deve revisar essas contas privilegiadas e atribuir funções menos privilegiadas , se aplicável.
Outro aspeto do gerenciamento de contas privilegiadas que deve ser implementado é na definição de revisões de acesso para essas contas, manualmente ou automatizadas por meio do PIM.
Gerenciamento privilegiado de contas leitura recomendada
Contas de acesso de emergência
A Microsoft recomenda que as organizações tenham duas contas de acesso de emergência somente na nuvem permanentemente atribuídas à função de Administrador Global . Essas contas são altamente privilegiadas e não são atribuídas a indivíduos específicos. As contas são limitadas a cenários de emergência ou de "quebra de vidro" em que as contas normais não podem ser usadas ou todos os outros administradores são bloqueados acidentalmente. Essas contas devem ser criadas seguindo as recomendações da conta de acesso de emergência.
Acesso privilegiado ao portal do Azure EA
O portal do Azure Enterprise Agreement (Azure EA) permite que você crie assinaturas do Azure em relação a um Enterprise Agreement principal, que é uma função poderosa dentro da empresa. É comum inicializar a criação deste portal antes mesmo de colocar o Microsoft Entra ID no lugar. Nesse caso, é necessário usar as identidades do Microsoft Entra para bloqueá-lo, remover contas pessoais do portal, garantir que a delegação adequada esteja em vigor e mitigar o risco de bloqueio.
Para ser claro, se o nível de autorização do portal EA estiver atualmente definido como "modo misto", você deverá remover todas as contas da Microsoft de todo o acesso privilegiado no portal EA e configurar o portal EA para usar apenas contas do Microsoft Entra. Se as funções delegadas do portal EA não estiverem configuradas, você também deverá localizar e implementar funções delegadas para departamentos e contas.
Acesso privilegiado leitura recomendada
Gestão de direitos
O gerenciamento de direitos (EM) permite que os proprietários de aplicativos agrupem recursos e os atribuam a personas específicas na organização (internas e externas). O EM permite a inscrição e delegação de autoatendimento aos proprietários de empresas, mantendo as políticas de governança para conceder acesso, definir durações de acesso e permitir fluxos de trabalho de aprovação.
Nota
O Microsoft Entra Entitlement Management requer licenças do Microsoft Entra ID P2.
Resumo
Há oito aspetos para uma governança de identidade segura. Essa lista ajuda a identificar as ações que você deve tomar para avaliar e atestar o acesso concedido a identidades não privilegiadas e privilegiadas, auditar e controlar alterações no ambiente.
- Atribua proprietários a tarefas principais.
- Implementar uma estratégia de teste.
- Use as revisões de acesso do Microsoft Entra para gerenciar com eficiência associações de grupo, acesso a aplicativos corporativos e atribuições de função.
- Estabeleça um processo de revisão de acesso regular e automatizado para todos os tipos de identidades externas e acesso a aplicativos.
- Estabeleça um processo de revisão de acesso para revisar e gerenciar o acesso de administrador regularmente e forneça acesso privilegiado just-in-time aos recursos do Microsoft Entra ID e do Azure.
- Provisione contas de emergência para estar preparado para gerenciar o Microsoft Entra ID em caso de interrupções inesperadas.
- Bloqueie o acesso ao portal do Azure EA.
- Implemente o Gerenciamento de Direitos para fornecer acesso controlado a uma coleção de recursos.
Próximos passos
Comece com as verificações e ações operacionais do Microsoft Entra.