Visão geral da segurança de gerenciamento de identidade do Azure

Gerenciamento de identidade é o processo de autenticação e autorização das entidades de segurança. Também envolve controlar informações sobre as entidades (identidades). As entidades de segurança (identidades) podem incluir serviços, aplicativos, usuários, grupos etc. As soluções de gerenciamento de acesso e identidade da Microsoft ajudam a TI a proteger o acesso a aplicativos e recursos no datacenter corporativo e na nuvem. Esse tipo de proteção permite níveis adicionais de validação, tais como autenticação multifator e políticas de acesso condicional. O monitoramento de atividade suspeita por meio de alertas, auditoria e relatórios de segurança avançados ajuda a reduzir potenciais problemas de segurança. O Microsoft Entra ID P1 ou P2 fornece SSO (logon único) para milhares de aplicativos SaaS (software como serviço) de nuvem e acesso a aplicativos Web executados localmente.

Aproveitando os benefícios de segurança do Microsoft Entra ID, você pode:

• Crie e gerencie uma identidade única para cada usuário em sua empresa híbrida, mantendo usuários, grupos e dispositivos em sincronia.
• Fornecer acesso de SSO para seus aplicativos, incluindo milhares de aplicativos de SaaS pré-integrados.
• Habilitar segurança de acesso do aplicativo por meio da aplicação da autenticação multifator com base em regras para aplicativos locais e na nuvem.
• Provisionar o acesso remoto seguro a aplicativos Web locais por meio do proxy de aplicativo do Microsoft Entra.

O objetivo deste artigo é fornecer uma visão geral dos recursos de segurança centrais do Azure que ajudam com o gerenciamento de identidades. Também fornecemos links para artigos que dão os detalhes de cada recurso para que você possa saber mais.

O artigo se concentra nas seguintes funcionalidades de gerenciamento de identidade centrais do Azure:

• Logon único
• Proxy reverso
• Autenticação multifator
• RBAC do Azure (controle de acesso baseado em função do Azure)
• Relatórios baseados em aprendizado de máquina, alertas e monitoramento de segurança
• Gerenciamento de acesso e identidade do consumidor
• Registro de dispositivos
• Privileged Identity Management
• Proteção de identidade
• Gerenciamento de identidade híbrida/conectar Azure Active Directory
• Revisões de acesso do Microsoft Entra

Logon Único

SSO (logon único) significa poder acessar todos os aplicativos e recursos de que você precisa para fazer negócios, conectando-se apenas uma vez usando uma única conta de usuário. Depois de conectado, você pode acessar todos os aplicativos necessários sem a exigência de autenticação (por exemplo, digitar uma senha) uma segunda vez.

Muitas organizações contam com aplicativos de SaaS como o Microsoft 365, o Box e o Salesforce, para aumentar a produtividade do usuário. Historicamente, a equipe de TI precisava criar e atualizar individualmente as contas de usuário em cada aplicativo SaaS e os usuários precisavam lembrar uma senha para cada aplicativo SaaS.

O Microsoft Entra ID estende os ambientes do Active Directory local para a nuvem, permitindo que os usuários usem suas contas organizacionais primárias para se conectar não apenas a recursos corporativos e dispositivos ingressados no domínio, mas também a todos os aplicativos Web e de SaaS necessários para seus trabalhos.

Os usuários não precisam apenas gerenciar vários conjuntos de nomes de usuário e senhas, mas também podem provisionar ou desprovisionar o acesso automaticamente com base nos grupos organizacionais e no status de funcionário deles. O Microsoft Entra ID introduz controles de governança de acesso e segurança com os quais você pode gerenciar centralmente o acesso dos usuários a aplicativos de SaaS.

Saiba mais:

• Visão geral do SSO
• Vídeo sobre conceitos básicos de autenticação
• Série de Início Rápido no Gerenciamento de Aplicativos

Proxy reverso

O proxy de aplicativo do Microsoft Entra permite que você publique aplicativos em uma rede privada, como sites do SharePoint, o Outlook Web App e aplicativos baseados no IIS, em sua rede privada e fornece acesso seguro aos usuários fora da rede. O Proxy de Aplicativo fornece acesso removo e SSO para diversos tipos de aplicativos Web locais com milhares de aplicativos SaaS para os quais o Microsoft Entra ID já oferece suporte. Os funcionários podem entrar nos aplicativos em casa, em seus próprios dispositivos, e se autenticarem por meio desse proxy baseado em nuvem.

Saiba mais:

• Como habilitar o proxy de aplicativo do Microsoft Entra
• Publicar aplicativos usando o proxy de aplicativo do Microsoft Entra
• Logon único com Proxy de Aplicativo
• Trabalhando com acesso condicional

Autenticação multifator

A autenticação multifator do Microsoft Entra é um método de autenticação que exige o uso de mais de um método de verificação e adiciona uma segunda camada de segurança crítica às entradas e transações dos usuários. A autenticação multifator ajuda a proteger o acesso a dados e aplicativos enquanto atende à demanda dos usuários para um processo de logon simples. Ela fornece autenticação forte por meio de uma variedade de opções de verificação: chamada telefônica, mensagem de texto, notificações de aplicativo móvel ou códigos de verificação e tokens OAuth de terceiros.

Saiba mais: como funciona a autenticação multifator do Microsoft Entra

RBAC do Azure

O RBAC do Azure é um sistema de autorização baseado no Azure Resource Manager que fornece gerenciamento de acesso refinado aos recursos no Azure. O RBAC do Azure permite controlar de modo granular o nível de acesso que os usuários têm. Por exemplo, você pode limitar um usuário para somente gerenciar redes virtuais e outro usuário para gerenciar todos os recursos em um grupo de recursos. O Azure inclui várias funções internas que você pode usar. A seguir são listadas quatro funções internas fundamentais. As três primeiras se aplicam a todos os tipos de recursos.

• Proprietário - Possui acesso total a todos os recursos, inclusive o direito de delegar acesso a outros usuários.
• Colaborador – Pode criar e gerenciar todos os tipos de recursos do Azure, mas não pode permitir acesso a outras pessoas.
• Leitor - Pode exibir os recursos existentes do Azure.
• Administrador de Acesso do Usuário - Permite gerenciar o acesso do usuário aos recursos do Azure.

Saiba mais:

• O que é o RBAC do Azure (controle de acesso baseado em função do Azure)?
• Funções internas do Azure

Relatórios baseados em aprendizado de máquina, alertas e monitoramento de segurança

Monitoramento de segurança, alertas e relatórios baseados no aprendizado de máquina que identificam padrões de acesso inconsistentes podem ajudá-lo a proteger seus negócios. Você pode usar os relatórios de uso e de acesso do Microsoft Entra ID para obter visibilidade quanto à integridade e segurança do diretório da sua organização. Com essas informações, um administrador de diretório pode determinar melhor onde possíveis riscos de segurança podem estar, de modo que pode fazer planos adequados para mitigar esses riscos.

No portal do Azure, os relatórios se enquadram nas categorias a seguir:

• Relatórios de anomalias: contêm eventos de entrada que nós identificamos como anômalos. Nossa meta é que você fique ciente dessas atividades e possa determinar se um evento é suspeito ou não.
• Relatórios de aplicativos integrados: fornecem um panorama de como os aplicativos em nuvem estão sendo usados na sua organização. O Microsoft Entra ID oferece integração com milhares de aplicativos em nuvem.
• Relatórios de erros: indicam erros que podem ocorrer ao provisionar contas para aplicativos externos.
• Relatórios específicos do usuário: exibem dados de atividade de entrada/dispositivo de um usuário específico.
• Logs de atividades: contêm um registro de todos os eventos auditados nas últimas 24 horas, nos últimos 7 dias ou 30 dias, bem como alterações de atividades do grupo e atividades de registro e redefinição de senha.

Saiba mais: guia de relatório do Microsoft Entra ID

Gerenciamento de acesso e identidade do consumidor

O Azure AD B2C é um serviço de gerenciamento de identidade global e altamente disponível para aplicativos voltados para o consumidor que pode ser dimensionado para centenas de milhões de identidades. Ele pode ser integrado a plataformas móveis e da Web. Seus clientes podem fazer logon em todos os seus aplicativos por meio de experiências personalizáveis usando suas contas sociais existentes ou criando novas credenciais.

No passado, desenvolvedores de aplicativos que desejavam inscrever e conectar clientes a seus aplicativos teriam escrito seu próprio código. E eles teriam usado sistemas ou bancos de dados locais para armazenar nomes de usuário e senhas. O Azure AD B2C oferece à sua organização uma maneira melhor de integrar o gerenciamento de identidade do consumidor a aplicativos com a ajuda de uma plataforma segura baseada em padrões e um grande conjunto de políticas extensíveis.

Quando você usa o Azure AD B2C, os consumidores poderão se inscrever nos seus aplicativos usando suas contas sociais existentes (Facebook, Google, Amazon, LinkedIn) ou criando novas credenciais (endereço de email e senha ou o nome de usuário e a senha).

Saiba mais:

• O que é o Azure Active Directory B2C?
• Azure Active Directory B2C: tipos de aplicativos

Registro de dispositivos

O registro de dispositivos do Microsoft Entra é a base para cenários de Acesso Condicional baseado em dispositivo. Quando um dispositivo é registrado, o registro de dispositivos do Microsoft Entra fornece ao dispositivo uma identidade que ele usa para autenticar o dispositivo quando um usuário entra. O dispositivo autenticado e os atributos desse dispositivo podem ser usados para impor políticas de Acesso Condicional para aplicativos locais e hospedados em nuvem.

Quando combinada com uma solução de gerenciamento de dispositivo móvel, como o Intune, os atributos do dispositivo no Microsoft Entra ID são atualizados com informações adicionais sobre o dispositivo. Você pode então criar regras de acesso condicional que imponham que o acesso dos dispositivos atenda aos padrões de segurança e conformidade.

Saiba mais:

• Introdução ao registro de dispositivos do Microsoft Entra
• Registro de dispositivo automático com o Microsoft Entra ID para dispositivos ingressados no domínio do Windows

Privileged Identity Management

Com o Microsoft Entra Privileged Identity Management, você pode gerenciar, controlar e monitorar suas identidades privilegiadas e acessar recursos no Microsoft Entra ID, bem como em outros serviços online da Microsoft, como o Microsoft 365 e o Microsoft Intune.

Às vezes, os usuários precisam executar operações privilegiadas em recursos do Azure ou do Microsoft 365 ou em outros aplicativos SaaS. Essa necessidade geralmente significa que as organizações precisam conceder acesso privilegiado permanente no Microsoft Entra ID aos usuários. Esse acesso é um risco de segurança cada vez maior para recursos hospedados em nuvem porque as organizações não podem monitorar de maneira suficiente o que esses usuários estão fazendo com seus privilégios de administrador. Além disso, se uma conta de usuário com acesso privilegiado for comprometida, essa violação de segurança poderá afetar a segurança geral da nuvem da organização. O Microsoft Entra Privileged Identity Management ajuda a mitigar esse risco.

Com o Microsoft Entra Privileged Identity Management, você pode:

• Confira quais usuários são administradores do Microsoft Entra.
• Habilitar o acesso administrativo JIT (Just-In-Time) para serviços online da Microsoft como o Microsoft 365 e o Intune.
• Obter relatórios sobre o histórico de acesso de administrador e as alterações nas atribuições de administrador.
• Receber alertas sobre o acesso a uma função com privilégios.

Saiba mais:

• O que é o Privileged Identity Management do Microsoft Entra?
• Atribuir funções de diretório do Microsoft Entra no PIM

Proteção de identidade

O Microsoft Entra ID Protection é um serviço de segurança que fornece uma visão consolidada de detecções de risco e das possíveis vulnerabilidades que afetam as identidades da sua organização. O Identity Protection tira proveito das funcionalidades de detecção de anomalias existentes do Microsoft Entra, que estão disponíveis por meio dos Relatórios de atividades anômalas do Microsoft Entra. O Identity Protection também apresenta novos tipos de detecção de risco que podem detectar anomalias em tempo real.

Saiba mais: Microsoft Entra ID Protection

Gerenciamento de identidades híbridas (Microsoft Entra Connect)

As soluções de identidade da Microsoft abrangem locais e recursos baseados em nuvem, criando uma identidade de usuário único para autenticação e autorização em todos os recursos, independentemente do local. Chamamos isso de identidade híbrida. O Microsoft Entra Connect é a ferramenta da Microsoft criada para atender e atingir suas metas de identidade híbrida. Isso permite que você forneça uma identidade comum para os usuários dos aplicativos do Microsoft 365, Azure e SaaS integrados a ID do Microsoft Entra. Ela fornece os seguintes recursos:

• Sincronização
• AD FS e integração de federação
• Autenticação de passagem
• Monitoramento de integridade

Saiba mais:

• Hybrid identity white paper
• Microsoft Entra ID

Revisões de acesso do Microsoft Entra

As análises de acesso do Microsoft Entra permitem que as organizações gerenciem com eficiência as associações de grupos, o acesso a aplicativos empresariais e as atribuições de funções privilegiadas.

Saiba mais: Revisões de acesso do Microsoft Entra