Partilhar via


Memo 22-09 Sistema de gerenciamento de identidade em toda a empresa

M 22-09 Memorando para Chefes de Departamentos Executivos e Agências exige que as agências desenvolvam um plano de consolidação para suas plataformas de identidade. O objetivo é ter o menor número possível de sistemas de identidade gerenciados por agências dentro de 60 dias da data de publicação (28 de março de 2022). Existem várias vantagens em consolidar a plataforma de identidade:

  • Centralize o gerenciamento do ciclo de vida da identidade, da aplicação de políticas e dos controles auditáveis
  • Capacidade uniforme e paridade de execução
  • Reduza a necessidade de treinar recursos em vários sistemas
  • Permitir que os usuários entrem uma vez e, em seguida, acessem aplicativos e serviços no ambiente de TI
  • Integre com o maior número possível de aplicativos de agência
  • Use serviços de autenticação compartilhada e relações de confiança para facilitar a integração entre agências

Porquê o Microsoft Entra ID?

Use o Microsoft Entra ID para implementar as recomendações do memorando 22-09. O Microsoft Entra ID tem controles de identidade que oferecem suporte a iniciativas Zero Trust. Com o Microsoft Office 365 ou Azure, o Microsoft Entra ID é um provedor de identidade (IdP). Conecte seus aplicativos e recursos ao Microsoft Entra ID como seu sistema de identidade em toda a empresa.

Requisitos de início de sessão único

O memorando exige que os usuários entrem uma vez e, em seguida, acessem os aplicativos. Com o logon único (SSO) da Microsoft, os usuários entram uma vez e, em seguida, acessam serviços e aplicativos em nuvem. Consulte Microsoft Entra logon único contínuo.

Integração entre agências

Use a colaboração B2B do Microsoft Entra para atender ao requisito de facilitar a integração e a colaboração entre agências. Os usuários podem residir em um locatário da Microsoft na mesma nuvem. Os locatários podem estar em outra nuvem da Microsoft ou em um locatário do AD que não seja do Azure (provedor de identidade SAML/WS-Fed).

Com as configurações de acesso entre locatários do Microsoft Entra, as agências gerenciam como colaboram com outras organizações do Microsoft Entra e outras nuvens do Microsoft Azure:

  • Limitar o que os usuários locatários da Microsoft podem acessar
  • Configurações para acesso de usuário externo, incluindo imposição de autenticação multifator e sinal de dispositivo

Saiba mais:

Conectando aplicativos

Para consolidar e usar o Microsoft Entra ID como o sistema de identidade em toda a empresa, revise os ativos que estão no escopo.

Aplicações e serviços de documentos

Crie um inventário dos aplicativos e serviços que os usuários acessam. Um sistema de gestão de identidade protege o que sabe.

Classificação de ativos:

  • A sensibilidade dos dados aí contidos
  • Leis e regulamentos para confidencialidade, integridade ou disponibilidade de dados e/ou informações nos principais sistemas
    • As referidas leis e regulamentos que se aplicam aos requisitos de proteção de informações do sistema

Para seu inventário de aplicativos, determine os aplicativos que usam protocolos prontos para nuvem ou protocolos de autenticação herdados:

  • As aplicações preparadas para a nuvem suportam protocolos modernos para autenticação:
    • SAML
    • WS-Federação/Confiança
    • Conexão OpenID (OIDC)
    • OAuth 2.0.
  • Os aplicativos de autenticação herdados dependem de métodos de autenticação mais antigos ou proprietários:
    • Kerberos/NTLM (autenticação do Windows)
    • Autenticação baseada em cabeçalho
    • LDAP
    • Autenticação básica

Saiba mais sobre as integrações do Microsoft Entra com protocolos de autenticação.

Ferramentas de descoberta de aplicativos e serviços

A Microsoft oferece as seguintes ferramentas para dar suporte à descoberta de aplicativos e serviços.

Ferramenta Utilização
Análise de Utilização dos Serviços de Federação do Ative Directory (AD FS) Analisa o tráfego de autenticação do servidor federado. Consulte Monitorar o AD FS usando o Microsoft Entra Connect Health
Microsoft Defender for Cloud Apps Analisa os registos da firewall para detetar aplicações na nuvem, serviços de infraestrutura como serviço (IaaS) e serviços de plataforma como serviço (PaaS). Integre o Defender for Cloud Apps com o Defender for Endpoint para dados de descoberta analisados a partir de dispositivos cliente Windows. Consulte Visão geral do Microsoft Defender for Cloud Apps
Planilha de descoberta de aplicativos Documente os estados atuais de seus aplicativos. Consulte a planilha Descoberta de aplicativos

Seus aplicativos podem estar em sistemas diferentes da Microsoft e as ferramentas da Microsoft podem não descobrir esses aplicativos. Garanta um inventário completo. Os provedores precisam de mecanismos para descobrir aplicativos que usam seus serviços.

Priorize aplicativos para conexão

Depois de descobrir os aplicativos em seu ambiente, priorize-os para migração. Considere:

  • Importância crítica para a empresa
  • Perfis de utilizador
  • Utilização
  • Tempo de vida útil

Saiba mais: Migrar a autenticação de aplicativos para o Microsoft Entra ID.

Ligue as suas aplicações prontas para a nuvem por ordem de prioridade. Determine os aplicativos que usam protocolos de autenticação herdados.

Para aplicativos que usam protocolos de autenticação herdados:

  • Para aplicativos com autenticação moderna, reconfigure-os para usar o Microsoft Entra ID
  • Para aplicativos sem autenticação moderna, há duas opções:
    • Atualize o código do aplicativo para usar protocolos modernos integrando a Biblioteca de Autenticação da Microsoft (MSAL)
    • Use o proxy de aplicativo Microsoft Entra ou o acesso seguro de parceiro híbrido para acesso seguro
  • Descomissionar o acesso a aplicativos que não são mais necessários ou que não são suportados

Saber mais

Ligar dispositivos

Parte da centralização de um sistema de gerenciamento de identidade é permitir que os usuários entrem em dispositivos físicos e virtuais. Você pode conectar dispositivos Windows e Linux em seu sistema Microsoft Entra centralizado, o que elimina vários sistemas de identidade separados.

Durante o inventário e o escopo, identifique os dispositivos e a infraestrutura a serem integrados ao Microsoft Entra ID. A integração centraliza sua autenticação e gerenciamento usando políticas de Acesso Condicional com autenticação multifator imposta por meio do Microsoft Entra ID.

Ferramentas para descobrir dispositivos

Você pode usar contas de Automação do Azure para identificar dispositivos por meio da coleta de inventário conectada ao Azure Monitor. O Microsoft Defender for Endpoint tem recursos de inventário de dispositivos. Descubra os dispositivos que têm o Defender for Endpoint configurado e os que não têm. O inventário de dispositivos vem de sistemas locais, como o System Center Configuration Manager ou outros sistemas que gerenciam dispositivos e clientes.

Saiba mais:

Integre dispositivos com o Microsoft Entra ID

Os dispositivos integrados com o Microsoft Entra ID são dispositivos associados a híbridos ou dispositivos associados ao Microsoft Entra. Separe a integração de dispositivos por dispositivos cliente e usuário e por máquinas físicas e virtuais que operam como infraestrutura. Para obter mais informações sobre a estratégia de implantação para dispositivos do usuário, consulte as diretrizes a seguir.

Próximos passos

Os seguintes artigos fazem parte deste conjunto de documentação: