Guia de referência de operações de gerenciamento de identidade e acesso do Microsoft Entra
Esta seção do guia de referência de operações do Microsoft Entra descreve as verificações e ações que você deve considerar para proteger e gerenciar o ciclo de vida das identidades e suas atribuições.
Nota
Estas recomendações estão atualizadas a partir da data de publicação, mas podem mudar ao longo do tempo. As organizações devem avaliar continuamente suas práticas de identidade à medida que os produtos e serviços da Microsoft evoluem ao longo do tempo.
Principais processos operacionais
Atribuir proprietários a tarefas principais
O gerenciamento do Microsoft Entra ID requer a execução contínua de tarefas e processos operacionais importantes que podem não fazer parte de um projeto de implantação. Ainda é importante configurar essas tarefas para manter seu ambiente. As principais tarefas e seus proprietários recomendados incluem:
| Tarefa | Proprietário |
|---|---|
| Definir o processo como criar assinaturas do Azure | Varia de acordo com a organização |
| Decida quem obtém licenças do Enterprise Mobility + Security | Equipe de Operações do IAM |
| Decida quem obtém licenças do Microsoft 365 | Equipa de Produtividade |
| Decida quem obtém outras licenças, por exemplo, Dynamics, Visual Studio Codespaces | Proprietário do aplicativo |
| Atribuir licenças | Equipe de Operações do IAM |
| Solucionar problemas e corrigir erros de atribuição de licença | Equipe de Operações do IAM |
| Provisionar identidades para aplicativos no Microsoft Entra ID | Equipe de Operações do IAM |
À medida que você revisa sua lista, pode achar que precisa atribuir um proprietário para tarefas que estão faltando um proprietário ou ajustar a propriedade para tarefas com proprietários que não estão alinhadas com as recomendações fornecidas.
Atribuindo aos proprietários leitura recomendada
Sincronização de identidade local
Identificar e resolver problemas de sincronização
A Microsoft recomenda que você tenha uma boa linha de base e compreensão dos problemas em seu ambiente local que podem resultar em problemas de sincronização com a nuvem. Como ferramentas automatizadas, como o IdFix e o Microsoft Entra Connect Health, podem gerar um grande volume de falsos positivos, recomendamos que você identifique erros de sincronização que ainda precisam ser resolvidos há mais de 100 dias, limpando esses objetos com erro. Erros de sincronização não resolvidos a longo prazo podem gerar incidentes de suporte. A solução de problemas de erros durante a sincronização fornece uma visão geral de diferentes tipos de erros de sincronização, alguns dos cenários possíveis que causam esses erros e possíveis maneiras de corrigir os erros.
Configuração do Microsoft Entra Connect Sync
Para habilitar todas as experiências híbridas, postura de segurança baseada em dispositivo e integração com o Microsoft Entra ID, exigimos que você sincronize as contas de usuário que seus funcionários usam para entrar em suas áreas de trabalho.
Se você não sincronizar o login dos usuários da floresta, altere a sincronização para vir da floresta adequada.
Escopo de sincronização e filtragem de objetos
A remoção de buckets conhecidos de objetos que não precisam ser sincronizados tem os seguintes benefícios operacionais:
- Menos fontes de erros de sincronização
- Ciclos de sincronização mais rápidos
- Menos "lixo" para transportar do local, por exemplo, poluição da lista de endereços global para contas de serviço locais que não são relevantes na nuvem
Nota
Se você achar que está importando muitos objetos que não estão sendo exportados para a nuvem, deverá filtrar por UO ou atributos específicos.
Exemplos de objetos a serem excluídos são:
- Contas de serviço que não são usadas para aplicativos na nuvem
- Grupos que não devem ser usados em cenários de nuvem, como aqueles usados para conceder acesso a recursos
- Usuários ou contatos que são identidades externas que devem ser representadas com a Colaboração B2B do Microsoft Entra
- Contas de computador em que os funcionários não devem acessar aplicativos em nuvem de, por exemplo, servidores
Nota
Se uma única identidade humana tiver várias contas provisionadas a partir de algo como uma migração, fusão ou aquisição de domínio herdado, você só deverá sincronizar a conta usada pelo usuário no dia a dia, por exemplo, o que ele usa para fazer login no computador.
O ideal é alcançar um equilíbrio entre a redução do número de objetos a sincronizar e a complexidade das regras. Geralmente, uma combinação entre filtragem de UO/contêiner mais um mapeamento de atributo simples para o atributo cloudFiltered é uma combinação de filtragem eficaz.
Importante
Se você usar a filtragem de grupo na produção, deverá fazer a transição para outra abordagem de filtragem.
Sincronize failover ou recuperação de desastres
O Microsoft Entra Connect desempenha um papel fundamental no processo de provisionamento. Se o Servidor de Sincronização ficar offline por qualquer motivo, as alterações no local não poderão ser atualizadas na nuvem e poderão resultar em problemas de acesso para os usuários. Portanto, é importante definir uma estratégia de failover que permita aos administradores retomar rapidamente a sincronização depois que o servidor de sincronização ficar offline. Tais estratégias podem enquadrar-se nas seguintes categorias:
- Implantar o(s) servidor(es) do Microsoft Entra Connect no modo de preparo - permite que um administrador "promova" o servidor de preparo para produção por meio de uma simples opção de configuração.
- Usar virtualização - Se o Microsoft Entra Connect for implantado em uma máquina virtual (VM), os administradores poderão aplicar sua pilha de virtualização para viver, migrar ou reimplantar rapidamente a VM e, portanto, retomar a sincronização.
Se a sua organização não tiver uma estratégia de recuperação de desastres e failover para o Sync, você não hesite em implantar o Microsoft Entra Connect no Modo de Preparo. Da mesma forma, se houver uma incompatibilidade entre a configuração de produção e de preparação, você deve redefinir a linha de base do modo de preparo do Microsoft Entra Connect para corresponder à configuração de produção, incluindo versões e configurações de software.
Mantenha-se atualizado
A Microsoft atualiza o Microsoft Entra Connect regularmente. Mantenha-se atualizado para aproveitar as melhorias de desempenho, correções de bugs e novos recursos que cada nova versão oferece.
Se a sua versão do Microsoft Entra Connect estiver com mais de seis meses de atraso, você deve atualizar para a versão mais recente.
Âncora de origem
O uso do ms-DS-consistencyguid como âncora de origem permite uma migração mais fácil de objetos entre florestas e domínios, o que é comum na consolidação/limpeza, fusões, aquisições e alienações de domínios do AD.
Se você estiver usando atualmente o ObjectGuid como âncora de origem, recomendamos alternar para usar o ms-DS-ConsistencyGuid.
Regras personalizadas
As regras personalizadas do Microsoft Entra Connect oferecem a capacidade de controlar o fluxo de atributos entre objetos locais e objetos na nuvem. No entanto, o uso excessivo ou indevido de regras personalizadas pode introduzir os seguintes riscos:
- Complexidade da solução de problemas
- Degradação do desempenho ao executar operações complexas entre objetos
- Maior probabilidade de divergência de configuração entre o servidor de produção e o servidor de preparo
- Sobrecarga adicional ao atualizar o Microsoft Entra Connect se as regras personalizadas forem criadas dentro da precedência maior que 100 (usada por regras internas)
Se você estiver usando regras excessivamente complexas, deve investigar as razões da complexidade e encontrar oportunidades de simplificação. Da mesma forma, se você criou regras personalizadas com valor de precedência acima de 100, deve corrigir as regras para que elas não estejam em risco ou entrem em conflito com o conjunto padrão.
Exemplos de uso indevido de regras personalizadas incluem:
- Compensar dados sujos no diretório - Nesse caso, recomendamos que você trabalhe com os proprietários da equipe do AD e limpe os dados no diretório como uma tarefa de correção e ajuste os processos para evitar a reintrodução de dados incorretos.
- Remediação pontual de usuários individuais - É comum encontrar regras que excedem casos especiais, geralmente devido a um problema com um usuário específico.
- "CloudFiltering" excessivamente complicado - Embora reduzir o número de objetos seja uma boa prática, há o risco de criar um escopo de sincronização excessivamente complicado usando muitas regras de sincronização. Se você estiver usando lógica complexa para incluir/excluir objetos além do processo de filtragem de UO, recomendamos que você manipule essa lógica fora da sincronização. Você pode fazer isso rotulando os objetos com um atributo "cloudFiltered" simples que pode fluir com uma regra de sincronização simples.
Documentador de configuração do Microsoft Entra Connect
O Documentador de Configuração do Microsoft Entra Connect é uma ferramenta que você pode usar para gerar documentação de uma instalação do Microsoft Entra Connect. Esta ferramenta dá-lhe uma melhor compreensão da configuração de sincronização e ajuda-o a criar confiança para fazer as coisas certas. A ferramenta também informa quais alterações ocorreram, quando você aplicou uma nova compilação ou configuração do Microsoft Entra Connect e quais regras de sincronização personalizadas foram adicionadas ou atualizadas.
As capacidades atuais da ferramenta incluem:
- Documentação da configuração completa do Microsoft Entra Connects Sync.
- Documentação de quaisquer alterações na configuração de dois servidores Microsoft Entra Connect Sync ou alterações de uma determinada linha de base de configuração.
- Geração de um script de implantação do PowerShell para migrar as diferenças ou personalizações da regra de sincronização de um servidor para outro.
Atribuição a aplicações e recursos
Licenciamento baseado em grupo para serviços de nuvem da Microsoft
O Microsoft Entra ID simplifica o gerenciamento de licenças por meio do licenciamento baseado em grupo para serviços de nuvem da Microsoft. Desta forma, o IAM fornece a infraestrutura do grupo e delega o gerenciamento desses grupos para as equipes adequadas nas organizações. Há várias maneiras de configurar a associação de grupos no Microsoft Entra ID, incluindo:
Sincronizado a partir do local - Os grupos podem vir de diretórios locais, o que pode ser uma boa opção para organizações que estabeleceram processos de gerenciamento de grupo que podem ser estendidos para atribuir licenças no Microsoft 365.
Grupos de associação dinâmicos - Grupos baseados em atributos podem ser criados na nuvem com base em uma expressão baseada em atributos de usuário, por exemplo, Departamento é igual a "vendas". O Microsoft Entra ID mantém os membros do grupo, mantendo-o consistente com a expressão definida. O uso de grupos dinâmicos de associação para atribuição de licenças permite uma atribuição de licença baseada em atributos, o que é uma boa opção para organizações que têm alta qualidade de dados em seu diretório.
Propriedade delegada - Os grupos podem ser criados na nuvem e podem ser designados proprietários. Dessa forma, você pode capacitar os proprietários de empresas, por exemplo, equipe de colaboração ou equipe de BI, para definir quem deve ter acesso.
Se você estiver usando um processo manual para atribuir licenças e componentes aos usuários, recomendamos implementar o licenciamento baseado em grupo. Se o seu processo atual não monitorar erros de licenciamento ou determinar quais licenças são Atribuídas versus Disponíveis, você deve definir melhorias para o processo. Certifique-se de que o seu processo aborda erros de licenciamento e monitoriza as atribuições de licenciamento.
Outro aspeto do gerenciamento de licenças é a definição de planos de serviço (componentes da licença) que devem ser habilitados com base nas funções de trabalho na organização. Conceder acesso a planos de serviço que não são necessários pode fazer com que os usuários vejam ferramentas no portal do Microsoft 365 nas quais ainda precisam ser treinados ou não deveriam usar. Esses cenários podem gerar volume adicional de suporte técnico, provisionamento desnecessário e colocar em risco sua conformidade e governança; por exemplo, ao provisionar o OneDrive para indivíduos que podem não ter permissão para compartilhar conteúdo.
Use as seguintes diretrizes para definir planos de serviço para os usuários:
- Os administradores devem definir "pacotes" de planos de serviço a serem oferecidos aos usuários com base em sua função; por exemplo, trabalhador de colarinho branco versus trabalhador de chão.
- Crie grupos por cluster e atribua a licença com o plano de serviço.
- Opcionalmente, um atributo pode ser definido para armazenar os pacotes para os usuários.
Importante
O licenciamento baseado em grupo no Microsoft Entra ID introduz o conceito de usuários em um estado de erro de licenciamento. Se você notar quaisquer erros de licenciamento, então você deve identificar e resolver imediatamente quaisquer problemas de atribuição de licença.
Gestão do ciclo de vida
Se você estiver usando uma ferramenta, como o Microsoft Identity Manager ou um sistema de terceiros que depende de uma infraestrutura local, recomendamos descarregar a atribuição da ferramenta existente. Em vez disso, você deve implementar o licenciamento baseado em grupo e definir um gerenciamento do ciclo de vida do grupo com base em grupos dinâmicos de associação.
Se o processo existente não levar em conta novos funcionários ou funcionários que saem da organização, você deverá implantar o licenciamento baseado em grupo com base em grupos dinâmicos de associação e definir seu ciclo de vida. Por fim, se o licenciamento baseado em grupo for implantado em grupos locais que não têm gerenciamento de ciclo de vida, considere o uso de grupos de nuvem para habilitar recursos como propriedade delegada ou grupos de associação dinâmica baseados em atributos.
Atribuição de aplicativos com o grupo "Todos os usuários"
Os proprietários de recursos podem acreditar que o grupo Todos os usuários contém apenas Funcionários da Empresa quando, na verdade, eles podem conter Funcionários da Empresa e Convidados. Como resultado, você deve ter cuidado especial ao usar o grupo Todos os usuários para atribuição de aplicativos e conceder acesso a recursos como conteúdo ou aplicativos do SharePoint.
Importante
Se o grupo Todos os usuários estiver habilitado e usado para políticas de Acesso Condicional, atribuição de aplicativos ou recursos, certifique-se de proteger o grupo se não quiser que ele inclua usuários convidados. Além disso, você deve corrigir suas atribuições de licenciamento criando e atribuindo a grupos que contenham apenas Funcionários Corporativos . Por outro lado, se você achar que o grupo Todos os usuários está habilitado, mas não está sendo usado para conceder acesso a recursos, certifique-se de que a orientação operacional da sua organização é usar intencionalmente esse grupo (que inclui Funcionários da Empresa e Convidados).
Provisionamento automatizado de usuários para aplicativos
O provisionamento automatizado de usuários para aplicativos é a melhor maneira de criar um provisionamento, desprovisionamento e ciclo de vida consistentes de identidades em vários sistemas.
Se você estiver atualmente provisionando aplicativos de maneira ad-hoc ou usando arquivos CSV, JIT ou uma solução local que não aborda o gerenciamento do ciclo de vida, recomendamos implementar o provisionamento de aplicativos com o Microsoft Entra ID. Esta solução fornece aplicações suportadas e define um padrão consistente para aplicações que ainda não são suportadas pelo Microsoft Entra ID.
Linha de base do ciclo de sincronização delta do Microsoft Entra Connect
É importante entender o volume de alterações em sua organização e certificar-se de que não está demorando muito para ter um tempo de sincronização previsível.
A frequência de sincronização delta padrão é de 30 minutos. Se a sincronização delta estiver demorando mais de 30 minutos consistentemente ou se houver discrepâncias significativas entre o desempenho da sincronização delta de preparação e produção, você deve investigar e revisar os fatores que influenciam o desempenho do Microsoft Entra Connect.
Leitura recomendada para solução de problemas do Microsoft Entra Connect
- Preparar atributos de diretório para sincronização com o Microsoft 365 usando a ferramenta IdFix
- Microsoft Entra Connect: Solução de problemas de erros durante a sincronização
Resumo
Há cinco aspetos para uma infraestrutura de identidade segura. Essa lista ajuda você a encontrar e tomar rapidamente as ações necessárias para proteger e gerenciar o ciclo de vida das identidades e seus direitos em sua organização.
- Atribua proprietários a tarefas principais.
- Encontre e resolva problemas de sincronização.
- Defina uma estratégia de failover para recuperação de desastres.
- Agilize o gerenciamento de licenças e atribuição de aplicativos.
- Automatize o provisionamento de usuários para aplicativos.
Próximos passos
Comece com as verificações e ações de gerenciamento de autenticação.