Memo 22-09 Sistema de gerenciamento de identidade em toda a empresa
M 22-09 Memorando para Chefes de Departamentos Executivos e Agências exige que as agências desenvolvam um plano de consolidação para suas plataformas de identidade. O objetivo é ter o menor número possível de sistemas de identidade gerenciados por agências dentro de 60 dias da data de publicação (28 de março de 2022). Existem várias vantagens em consolidar a plataforma de identidade:
- Centralize o gerenciamento do ciclo de vida da identidade, da aplicação de políticas e dos controles auditáveis
- Capacidade uniforme e paridade de execução
- Reduza a necessidade de treinar recursos em vários sistemas
- Permitir que os usuários entrem uma vez e, em seguida, acessem aplicativos e serviços no ambiente de TI
- Integre com o maior número possível de aplicativos de agência
- Use serviços de autenticação compartilhada e relações de confiança para facilitar a integração entre agências
Porquê o Microsoft Entra ID?
Use o Microsoft Entra ID para implementar as recomendações do memorando 22-09. O Microsoft Entra ID tem controles de identidade que oferecem suporte a iniciativas Zero Trust. Com o Microsoft Office 365 ou Azure, o Microsoft Entra ID é um provedor de identidade (IdP). Conecte seus aplicativos e recursos ao Microsoft Entra ID como seu sistema de identidade em toda a empresa.
Requisitos de início de sessão único
O memorando exige que os usuários entrem uma vez e, em seguida, acessem os aplicativos. Com o logon único (SSO) da Microsoft, os usuários entram uma vez e, em seguida, acessam serviços e aplicativos em nuvem. Consulte Microsoft Entra logon único contínuo.
Integração entre agências
Use a colaboração B2B do Microsoft Entra para atender ao requisito de facilitar a integração e a colaboração entre agências. Os usuários podem residir em um locatário da Microsoft na mesma nuvem. Os locatários podem estar em outra nuvem da Microsoft ou em um locatário do AD que não seja do Azure (provedor de identidade SAML/WS-Fed).
Com as configurações de acesso entre locatários do Microsoft Entra, as agências gerenciam como colaboram com outras organizações do Microsoft Entra e outras nuvens do Microsoft Azure:
- Limitar o que os usuários locatários da Microsoft podem acessar
- Configurações para acesso de usuário externo, incluindo imposição de autenticação multifator e sinal de dispositivo
Saiba mais:
- Visão geral da colaboração B2B
- Microsoft Entra B2B em nuvens governamentais e nacionais
- Federação com provedores de identidade SAML/WS-Fed para usuários convidados
Conectando aplicativos
Para consolidar e usar o Microsoft Entra ID como o sistema de identidade em toda a empresa, revise os ativos que estão no escopo.
Aplicações e serviços de documentos
Crie um inventário dos aplicativos e serviços que os usuários acessam. Um sistema de gestão de identidade protege o que sabe.
Classificação de ativos:
- A sensibilidade dos dados aí contidos
- Leis e regulamentos para confidencialidade, integridade ou disponibilidade de dados e/ou informações nos principais sistemas
- As referidas leis e regulamentos que se aplicam aos requisitos de proteção de informações do sistema
Para seu inventário de aplicativos, determine os aplicativos que usam protocolos prontos para nuvem ou protocolos de autenticação herdados:
- As aplicações preparadas para a nuvem suportam protocolos modernos para autenticação:
- SAML
- WS-Federação/Confiança
- Conexão OpenID (OIDC)
- OAuth 2.0.
- Os aplicativos de autenticação herdados dependem de métodos de autenticação mais antigos ou proprietários:
- Kerberos/NTLM (autenticação do Windows)
- Autenticação baseada em cabeçalho
- LDAP
- Autenticação básica
Saiba mais sobre as integrações do Microsoft Entra com protocolos de autenticação.
Ferramentas de descoberta de aplicativos e serviços
A Microsoft oferece as seguintes ferramentas para dar suporte à descoberta de aplicativos e serviços.
Ferramenta | Utilização |
---|---|
Análise de Utilização dos Serviços de Federação do Ative Directory (AD FS) | Analisa o tráfego de autenticação do servidor federado. Consulte Monitorar o AD FS usando o Microsoft Entra Connect Health |
Microsoft Defender for Cloud Apps | Analisa os registos da firewall para detetar aplicações na nuvem, serviços de infraestrutura como serviço (IaaS) e serviços de plataforma como serviço (PaaS). Integre o Defender for Cloud Apps com o Defender for Endpoint para dados de descoberta analisados a partir de dispositivos cliente Windows. Consulte Visão geral do Microsoft Defender for Cloud Apps |
Planilha de descoberta de aplicativos | Documente os estados atuais de seus aplicativos. Consulte a planilha Descoberta de aplicativos |
Seus aplicativos podem estar em sistemas diferentes da Microsoft e as ferramentas da Microsoft podem não descobrir esses aplicativos. Garanta um inventário completo. Os provedores precisam de mecanismos para descobrir aplicativos que usam seus serviços.
Priorize aplicativos para conexão
Depois de descobrir os aplicativos em seu ambiente, priorize-os para migração. Considere:
- Importância crítica para a empresa
- Perfis de utilizador
- Utilização
- Tempo de vida útil
Saiba mais: Migrar a autenticação de aplicativos para o Microsoft Entra ID.
Ligue as suas aplicações prontas para a nuvem por ordem de prioridade. Determine os aplicativos que usam protocolos de autenticação herdados.
Para aplicativos que usam protocolos de autenticação herdados:
- Para aplicativos com autenticação moderna, reconfigure-os para usar o Microsoft Entra ID
- Para aplicativos sem autenticação moderna, há duas opções:
- Atualize o código do aplicativo para usar protocolos modernos integrando a Biblioteca de Autenticação da Microsoft (MSAL)
- Use o proxy de aplicativo Microsoft Entra ou o acesso seguro de parceiro híbrido para acesso seguro
- Descomissionar o acesso a aplicativos que não são mais necessários ou que não são suportados
Saber mais
- Integrações do Microsoft Entra com protocolos de autenticação
- O que é a plataforma de identidade da Microsoft?
- Acesso híbrido seguro: proteja aplicativos herdados com o Microsoft Entra ID
Ligar dispositivos
Parte da centralização de um sistema de gerenciamento de identidade é permitir que os usuários entrem em dispositivos físicos e virtuais. Você pode conectar dispositivos Windows e Linux em seu sistema Microsoft Entra centralizado, o que elimina vários sistemas de identidade separados.
Durante o inventário e o escopo, identifique os dispositivos e a infraestrutura a serem integrados ao Microsoft Entra ID. A integração centraliza sua autenticação e gerenciamento usando políticas de Acesso Condicional com autenticação multifator imposta por meio do Microsoft Entra ID.
Ferramentas para descobrir dispositivos
Você pode usar contas de Automação do Azure para identificar dispositivos por meio da coleta de inventário conectada ao Azure Monitor. O Microsoft Defender for Endpoint tem recursos de inventário de dispositivos. Descubra os dispositivos que têm o Defender for Endpoint configurado e os que não têm. O inventário de dispositivos vem de sistemas locais, como o System Center Configuration Manager ou outros sistemas que gerenciam dispositivos e clientes.
Saiba mais:
- Gerenciar a coleta de inventário de VMs
- Visão geral do Microsoft Defender for Endpoint
- Introdução ao inventário de hardware
Integre dispositivos com o Microsoft Entra ID
Os dispositivos integrados com o Microsoft Entra ID são dispositivos associados a híbridos ou dispositivos associados ao Microsoft Entra. Separe a integração de dispositivos por dispositivos cliente e usuário e por máquinas físicas e virtuais que operam como infraestrutura. Para obter mais informações sobre a estratégia de implantação para dispositivos do usuário, consulte as diretrizes a seguir.
- Planeje a implantação do dispositivo Microsoft Entra
- Microsoft Entra dispositivos híbridos associados
- Dispositivos associados do Microsoft Entra
- Faça logon em uma máquina virtual do Windows no Azure usando a ID do Microsoft Entra, incluindo sem senha
- Inicie sessão numa máquina virtual Linux no Azure utilizando o Microsoft Entra ID e o OpenSSH
- Microsoft Entra join para a Área de Trabalho Virtual do Azure
- Identidade de dispositivo e virtualização de ambiente de trabalho
Próximos passos
Os seguintes artigos fazem parte deste conjunto de documentação: