Projetar estratégias de acesso em nuvem, híbridas e multicloud (incluindo Microsoft Entra ID)
Esta unidade resumiu as recomendações de design relacionadas ao gerenciamento de identidade e acesso em um ambiente de nuvem, com base na área de design de gerenciamento de identidade e acesso do Azure do Cloud Adoption Framework. Para uma discussão mais detalhada de todas as discussões de design relevantes, consulte os seguintes artigos:
- ID do Microsoft Entra e identidade híbrida
- Acesso à plataforma
- Pré-requisitos para uma zona de desembarque
Comparando soluções de identidade
Ative Directory vs Microsoft Entra ID: gerenciamento de usuários
| Conceito | Ative Directory (AD) | Microsoft Entra ID |
|---|---|---|
| Utilizadores | ||
| Provisionamento: usuários | As organizações criam usuários internos manualmente ou usam um sistema de provisionamento interno ou automatizado, como o Microsoft Identity Manager, para integração com um sistema de RH. | As organizações existentes do AD usam o Microsoft Entra Connect para sincronizar identidades com a nuvem. O Microsoft Entra ID adiciona suporte para criar automaticamente usuários a partir de sistemas de RH na nuvem. O Microsoft Entra ID pode provisionar identidades em aplicativos SaaS habilitados para SCIM para fornecer automaticamente aos aplicativos os detalhes necessários para permitir o acesso dos usuários. |
| Provisionamento: identidades externas | As organizações criam usuários externos manualmente como usuários regulares em uma floresta externa dedicada do AD, resultando em sobrecarga de administração para gerenciar o ciclo de vida de identidades externas (usuários convidados) | O Microsoft Entra ID fornece uma classe especial de identidade para suportar identidades externas. O Microsoft Entra B2B gerenciará o link para a identidade do usuário externo para garantir que eles sejam válidos. |
| Gestão de direitos e grupos | Os administradores tornam os usuários membros de grupos. Em seguida, os proprietários de aplicativos e recursos dão aos grupos acesso a aplicativos ou recursos. | Os grupos também estão disponíveis no Microsoft Entra ID e os administradores também podem usar grupos para conceder permissões a recursos. No Microsoft Entra ID, os administradores podem atribuir associação a grupos manualmente ou usar uma consulta para incluir dinamicamente usuários em um grupo. Os administradores podem usar o gerenciamento de direitos no Microsoft Entra ID para dar aos usuários acesso a uma coleção de aplicativos e recursos usando fluxos de trabalho e, se necessário, critérios baseados em tempo. |
| Gestão de administradores | As organizações usarão uma combinação de domínios, unidades organizacionais e grupos no AD para delegar direitos administrativos para gerenciar o diretório e os recursos que ele controla. | O Microsoft Entra ID fornece funções internas com seu sistema de controle de acesso baseado em função Microsoft Entra (Microsoft Entra RBAC), com suporte limitado para a criação de funções personalizadas para delegar acesso privilegiado ao sistema de identidade, aos aplicativos e aos recursos que ele controla. O gerenciamento de funções pode ser aprimorado com o Privileged Identity Management (PIM) para fornecer acesso just-in-time, com restrição de tempo ou baseado em fluxo de trabalho a funções privilegiadas. |
| Gestão de credenciais | As credenciais no Ative Directory são baseadas em senhas, autenticação de certificado e autenticação de cartão inteligente. As senhas são gerenciadas usando políticas de senha baseadas no comprimento, validade e complexidade da senha. | O Microsoft Entra ID usa proteção inteligente por senha para nuvem e local. A proteção inclui bloqueio inteligente, além de bloquear frases e substituições de senhas comuns e personalizadas. O Microsoft Entra ID aumenta significativamente a segurança através da autenticação multifator e tecnologias sem senha, como FIDO2. O Microsoft Entra ID reduz os custos de suporte fornecendo aos usuários um sistema de redefinição de senha de autoatendimento. |
Serviços baseados no Ative Directory no Azure: AD DS, ID do Microsoft Entra e Serviços de Domínio do Microsoft Entra
Para fornecer acesso a aplicativos, serviços ou dispositivos a uma identidade central, há três maneiras comuns de usar serviços baseados no Ative Directory no Azure. Essa escolha em soluções de identidade oferece a flexibilidade de usar o diretório mais apropriado para as necessidades da sua organização. Por exemplo, se você gerencia principalmente usuários somente na nuvem que executam dispositivos móveis, pode não fazer sentido criar e executar sua própria solução de identidade dos Serviços de Domínio Ative Directory (AD DS). Em vez disso, você pode simplesmente usar o Microsoft Entra ID.
Embora as três soluções de identidade baseadas no Ative Directory compartilhem um nome e uma tecnologia comuns, elas foram projetadas para fornecer serviços que atendam às diferentes demandas dos clientes. Em alto nível, essas soluções de identidade e conjuntos de recursos são:
- Serviços de Domínio Ative Directory (AD DS) - Servidor LDAP (lightweight directory access protocol) pronto para a empresa que fornece recursos importantes, como identidade e autenticação, gerenciamento de objetos de computador, diretiva de grupo e relações de confiança.
- O AD DS é um componente central em muitas organizações com um ambiente de TI local e fornece recursos principais de autenticação de conta de usuário e gerenciamento de computador.
- Microsoft Entra ID - Gerenciamento de identidade e dispositivo móvel baseado em nuvem que fornece conta de usuário e serviços de autenticação para recursos como o Microsoft 365, o portal do Azure ou aplicativos SaaS.
- O Microsoft Entra ID pode ser sincronizado com um ambiente AD DS local para fornecer uma única identidade aos usuários que funciona nativamente na nuvem.
- Serviços de Domínio Microsoft Entra (Serviços de Domínio Microsoft Entra) - Fornece serviços de domínio gerenciado com um subconjunto de recursos tradicionais do AD DS totalmente compatíveis, como ingresso no domínio, política de grupo, LDAP e autenticação Kerberos/NTLM.
- Os Serviços de Domínio do Microsoft Entra integram-se com o Microsoft Entra ID, que pode ser sincronizado com um ambiente AD DS local. Essa capacidade estende os casos de uso de identidade central para aplicativos Web tradicionais que são executados no Azure como parte de uma estratégia de elevação e mudança.
Para obter uma discussão mais extensa comparando essas três opções, consulte Comparar Serviços de Domínio Ative Directory autogerenciados, ID do Microsoft Entra e Serviços de Domínio Microsoft Entra gerenciados.
Recomendações de design transversal
- Use responsabilidades centralizadas e delegadas com base em requisitos de função e segurança para gerenciar recursos dentro da zona de pouso.
- Os seguintes tipos de operações privilegiadas requerem permissões especiais. Considere quais usuários lidarão com essas solicitações e como proteger e monitorar adequadamente suas contas.
- Criação de objetos de entidade de serviço.
- Registrando aplicativos no Microsoft Entra ID.
- Aquisição e manipulação de certificados ou certificados curinga.
- Para acessar aplicativos que usam autenticação local remotamente por meio do Microsoft Entra ID, use o proxy de aplicativo Microsoft Entra.
- Avalie a compatibilidade de cargas de trabalho para os Serviços de Domínio Microsoft Entra e para o AD DS no Windows Server.
- Certifique-se de projetar sua rede para que os recursos que exigem AD DS no Windows Server para autenticação e gerenciamento locais possam acessar seus controladores de domínio. Para o AD DS no Windows Server, considere ambientes de serviço compartilhado que ofereçam autenticação local e gerenciamento de host em um contexto de rede maior em toda a empresa.
- Ao implantar os Serviços de Domínio do Microsoft Entra ou integrar ambientes locais ao Azure, use locais com Zonas de Disponibilidade para aumentar a disponibilidade.
- Implante os Serviços de Domínio Microsoft Entra na região primária, pois você só pode projetar esse serviço em uma assinatura. Você pode expandir os Serviços de Domínio do Microsoft Entra para outras regiões com conjuntos de réplicas.
- Utilize identidades geridas em vez de principais de serviço para autenticação nos serviços do Azure. Esta abordagem reduz a exposição ao roubo de credenciais.
Azure e identidade híbrida local - Recomendações de design
Para soluções de identidade híbrida de infraestrutura como serviço (IaaS), avalie as seguintes recomendações:
- Para aplicativos hospedados parcialmente no local e em parte no Azure, verifique qual integração faz sentido com base no seu cenário. Para obter mais informações, consulte Implantar o AD DS em uma rede virtual do Azure.
- Se você tiver o AD FS, mude para a nuvem para centralizar a identidade e reduzir o esforço operacional. Se o AD FS ainda fizer parte da sua solução de identidade, instale e use o Microsoft Entra Connect.
Identidade para recursos da plataforma Azure - recomendações de design
Uma identidade centralizada usa um único local na nuvem e a integração do Serviço Ative Directory, controle de acesso, autenticação e aplicativos. Essa abordagem fornece um melhor gerenciamento para a equipe de TI. Para serviços de diretório centralizados, a prática recomendada é ter apenas um locatário do Microsoft Entra.
Ao conceder acesso a recursos, use grupos somente Microsoft Entra-somente para recursos do plano de controle do Azure e Microsoft Entra Privileged Identity Management. Adicione grupos locais ao grupo somente Microsoft Entra, se um sistema de gerenciamento de grupo já estiver em vigor. Observe que o Microsoft Entra-only também é conhecido como somente nuvem.
Usando grupos somente Microsoft Entra, você pode adicionar usuários e grupos que são sincronizados a partir do local usando o Microsoft Entra Connect. Você também pode adicionar usuários e grupos somente Microsoft Entra, a um único grupo somente Microsoft Entra, incluindo usuários convidados.
Os grupos sincronizados no local só podem ser gerenciados e atualizados a partir da fonte de identidade verdadeira, que é o Ative Directory local. Esses grupos só podem conter membros da mesma fonte de identidade, o que não oferece flexibilidade da mesma forma que os grupos somente do Microsoft Entra.
Integre os logs do Microsoft Entra com o espaço de trabalho do Log Analytics central da plataforma. Essa abordagem permite uma única fonte de verdade em torno de dados de log e monitoramento no Azure. Essa fonte oferece às organizações opções nativas da nuvem para atender aos requisitos de coleta e retenção de logs.
As políticas de usuário personalizadas podem impor quaisquer requisitos de soberania de dados para a organização.
Se a proteção de identidade for usada como parte de sua solução de identidade, certifique-se de excluir a conta de administrador do quebra-vidro.
Recomendações de design - Identidade e acesso do Azure para zonas de aterrissagem
Implante políticas de Acesso Condicional do Microsoft Entra para usuários com direitos em ambientes do Azure. O Acesso Condicional fornece outro mecanismo para ajudar a proteger um ambiente controlado do Azure contra acesso não autorizado.
Impor autenticação multifator (MFA) para usuários com direitos para os ambientes do Azure. Muitas estruturas de conformidade exigem imposição de autenticação multifator. A autenticação multifator reduz consideravelmente o risco de roubo de credenciais e acesso não autorizado.
Considere o uso de entidades de serviço para entradas de recursos não interativas, para que a autenticação multifator e as atualizações de token não afetem as operações.
Use identidades gerenciadas do Microsoft Entra para recursos do Azure para evitar a autenticação baseada em credenciais. Muitas violações de segurança de recursos de nuvem pública têm origem no roubo de credenciais incorporadas em código ou outro texto. A imposição de identidades gerenciadas para acesso programático reduz consideravelmente o risco de roubo de credenciais.
Use o Microsoft Defender for Cloud para acesso just-in-time a todos os recursos de infraestrutura como serviço (IaaS). O Defender for Cloud permite habilitar a proteção em nível de rede para acesso efêmero de usuários a máquinas virtuais IaaS.
Privileged Identity Management (PIM)
Use o Microsoft Entra Privileged Identity Management (PIM) para estabelecer confiança zero e acesso com privilégios mínimos. Mapeie as funções da sua organização para os níveis mínimos de acesso necessários. O Microsoft Entra PIM pode usar ferramentas nativas do Azure, estender ferramentas e processos atuais ou usar ferramentas atuais e nativas conforme necessário.
Use as revisões de acesso do Microsoft Entra PIM para validar periodicamente os direitos dos recursos. As revisões de acesso fazem parte de muitas estruturas de conformidade, portanto, muitas organizações já têm um processo de revisão de acesso em vigor.
Utilize identidades privilegiadas para runbooks de automatização que requerem permissões de acesso elevadas. Use as mesmas ferramentas e políticas para controlar fluxos de trabalho automatizados que acessam limites críticos de segurança que você usa para governar usuários de privilégios equivalentes.
Recomendações do RBAC
Use o RBAC do Azure para gerenciar o acesso do plano de dados aos recursos, se possível. Exemplos de pontos de extremidade do plano de dados são o Cofre de Chaves do Azure, uma conta de armazenamento ou um Banco de Dados SQL.
Não adicione utilizadores diretamente aos âmbitos de recursos do Azure. As atribuições diretas de usuários contornam o gerenciamento centralizado, tornando mais difícil impedir o acesso não autorizado a dados restritos. Em vez disso, adicione usuários a funções definidas e atribua as funções a escopos de recursos.
Use as funções internas do Microsoft Entra para gerenciar as seguintes configurações de identidade:
| Role | Utilização | Nota |
|---|---|---|
| Admin Global | Não atribua mais de cinco pessoas a esta função. | |
| Ambiente híbrido | Administrador de identidade híbrida | |
| Autenticação | Administrador de Segurança | |
| Aplicativo corporativo ou proxy de aplicativo | Administrador da Aplicação | Nenhum administrador global de consentimento. |
Se as funções internas do Azure não atenderem às necessidades específicas da sua organização, você poderá criar suas próprias funções personalizadas.