Isolamento de recursos em um locatário único
Muitos cenários de separação podem ser alcançados em um locatário único. Se possível, recomendamos que você delegue a administração para separar ambientes em um locatário único para fornecer a melhor experiência de produtividade e colaboração para sua organização.
Resultados
Separação de recursos – Com as funções de diretório do Microsoft Entra, os grupos de segurança, as políticas de acesso condicional, os grupos de recursos do Azure, os grupos de gerenciamento do Azure, as UAs (unidades administrativas) e os outros controles, você pode restringir o acesso de recursos a usuários, grupos e entidades de serviço específicos. Os recursos podem ser gerenciados por administradores separados e ter usuários, permissões e requisitos de acesso separados.
Se um conjunto de recursos exigir configurações exclusivas que abrangem todo o locatário ou se houver tolerância mínima de risco para acesso não autorizado por membros do locatário ou se um impacto crítico pode ser causado por alterações de configuração, você deverá obter isolamento em vários locatários.
Separação de configuração – Em alguns casos, recursos como aplicativos têm dependências de configurações que abrangem todo o locatário, como métodos de autenticação ou localizações nomeadas. Você deve considerar essas dependências ao isolar recursos. Os Administradores Globais podem definir as configurações de recursos e as configurações que abrangem todo o locatário que afetam os recursos.
Se um conjunto de recursos exigir configurações exclusivas que abrangem todo o locatário ou as configurações do locatário precisarem ser administradas por uma entidade diferente, você deverá obter isolamento com vários locatários.
Separação administrativa – Com a administração delegada do Microsoft Entra ID, você pode separar a administração de recursos como aplicativos e APIs, usuários e grupos, grupos de recursos e políticas de acesso condicional.
Os Administradores Globais podem descobrir e obter acesso total a todos os recursos confiáveis. Você pode configurar a auditoria e os alertas para saber quando um administrador altera um recurso se ele estiver autenticado.
Você também pode usar UAs (unidades administrativas) no Microsoft Entra ID para fornecer algum nível de separação administrativa. As unidades administrativas restringem as permissões de uma função a qualquer parte da organização que você definir. Você pode, por exemplo, usar unidades administrativas para delegar a função de Administrador da assistência técnica a especialistas de suporte regional, para que eles possam gerenciar os usuários somente na região à qual dão suporte.
As unidades administrativas podem ser usadas para separar usuários, grupos e objetos de dispositivo. As atribuições dessas unidades podem ser gerenciadas por regras de associação dinâmica.
Usando o PIM (Privileged Identity Management), você pode definir quem na sua organização é a melhor pessoa para aprovar a solicitação de funções altamente privilegiadas. Por exemplo, administradores que exigem acesso de Administrador Global para fazer alterações que abrangem todo o locatário.
Observação
O uso do PIM requer uma licença do Microsoft Entra ID P2 por pessoa.
Se você precisar garantir que os Administradores Globais não consigam gerenciar um recurso específico, será preciso isolar esse recurso em um locatário separado com administradores globais separados. Isso pode ser especialmente importante para backups. Confira as diretrizes de autorização de vários usuários para obter exemplos disso.
Uso comum
Um dos usos mais comuns de vários ambientes em um único locatário é separar a os recursos de produção dos de não produção. Em um único locatário, as equipes de desenvolvimento e os proprietários de aplicativos podem criar e gerenciar um ambiente separado com aplicativos de teste, usuários e grupos de teste e políticas de teste para esses objetos; da mesma forma, eles podem criar instâncias de não produção de recursos do Azure e aplicativos confiáveis.
O seguinte diagrama ilustra os ambientes de não produção e o ambiente de produção.
Neste diagrama, há recursos do Azure que não são de produção e instâncias de não produção de aplicativos integrados ao Microsoft Entra com objetos do diretório equivalentes que não de produção. Neste exemplo, os recursos que não são de produção no diretório são usados para fins de teste.
Observação
Não é possível ter mais de um ambiente do Microsoft 365 em um único locatário do Microsoft Entra. No entanto, você pode ter vários ambientes do Dynamics 365 em um único locatário do Microsoft Entra.
Outro cenário de isolamento em um locatário único pode ser a separação entre localizações, subsidiárias ou implementação de administração em camadas (de acordo com o "Modelo de Acesso Empresarial").
As atribuições de função RBAC do Azure permitem a administração com escopo dos recursos do Azure. Da mesma forma, o Microsoft Entra ID permite o gerenciamento granular dos aplicativos de confiança do Microsoft Entra ID por meio de vários recursos, como acesso condicional, filtragem de usuários e grupos, atribuições de unidades administrativas e atribuições de aplicativos.
Se você precisar garantir o isolamento total (incluindo o preparo da configuração no nível da organização) dos serviços do Microsoft 365, será necessário escolher um isolamento multilocatário.
Gerenciamento com escopo em um locatário único
Gerenciamento com escopo para recursos do Azure
O RBAC do Azure permite que você crie um modelo de administração com escopos granulares e área de superfície. Considere a hierarquia de gerenciamento no seguinte exemplo:
Observação
Há várias maneiras de definir a hierarquia de gerenciamento com base nos requisitos, nas restrições e nas metas individuais de uma organização. Para obter mais informações, confira as diretrizes do Cloud Adoption Framework sobre como Organizar recursos do Azure.
Grupo de gerenciamento – Você pode atribuir funções a grupos de gerenciamento específicos para que eles não afetem nenhum outro grupo de gerenciamento. No cenário acima, a equipe de RH pode definir um uma política do Azure para auditar as regiões em que os recursos são implantados nas assinaturas de RH.
Assinatura – Você pode atribuir funções a uma assinatura específica para evitar que ela afete outros grupos de recursos. No exemplo acima, a equipe de RH pode atribuir a função de Leitor para a assinatura de Benefícios, sem a possibilidade de leitura de nenhuma outra assinatura de RH ou assinatura de qualquer outra equipe.
Grupo de recursos – Você pode atribuir funções a grupos de recursos específicos para que eles não impactem outros grupos de recursos. No exemplo acima, a equipe de engenharia de benefícios pode atribuir a função de Colaborador ao líder de teste para que eles possam gerenciar o banco de dados de teste e o aplicativo Web de teste ou adicionar mais recursos.
Recursos individuais – Você pode atribuir funções a recursos específicos para que eles não afetem outros recursos. No exemplo acima, a equipe de engenharia de benefícios pode atribuir a função Leitor da Conta do Cosmos DB a um analista de dados apenas na instância de teste do banco de dados do Azure Cosmos DB, sem interferir no aplicativo Web de teste ou em qualquer recurso de produção.
Para obter mais informações, confira Funções internas do Azure e O que é o RBAC (controle de acesso baseado em função) do Azure?.
Essa é uma estrutura hierárquica, portanto, quanto mais alto na hierarquia, maior o escopo, a visibilidade e o impacto nos níveis inferiores. Os escopos de nível superior afetam todos os recursos do Azure no limite do locatário do Microsoft Entra. Isso também significa que as permissões podem ser aplicadas a vários níveis. O risco que isso apresenta é que atribuir funções mais elevadas à hierarquia pode fornecer mais acesso abaixo do escopo do que é pretendido. Microsoft Entra (formalmente CloudKnox) é um produto da Microsoft que fornece visibilidade e correção para ajudar a reduzir o risco. Confira alguns detalhes:
O grupo de gerenciamento raiz define as atribuições de função RBAC e políticas do Azure que serão aplicadas a todas as assinaturas e recursos.
Os Administradores globais podem elevar o acesso de todas as assinaturas e grupos de gerenciamento.
Ambos os escopos de nível superior devem ser rigorosamente monitorados. É importante planejar outras dimensões do isolamento de recursos, como rede. Para obter diretrizes gerais sobre a Rede do Azure, confira as melhores práticas do Azure para segurança de rede. As cargas de trabalho de IaaS (infraestrutura como serviço) têm cenários especiais em que o isolamento de identidade e de recurso precisa fazer parte do design e da estratégia gerais.
Considere isolar recursos confidenciais ou de teste de acordo com a arquitetura conceitual da zona de destino do Azure. Por exemplo, a assinatura de identidade deve ser atribuída ao grupo de gerenciamento separado e todas as assinaturas para fins de desenvolvimento podem ser separadas no grupo de gerenciamento de "Área Restrita". Mais detalhes podem ser encontrados na Documentação sobre escala empresarial. A separação para fins de teste em um locatário único também é considerada na hierarquia do grupo de gerenciamento da arquitetura de referência.
Gerenciamento com escopo para aplicativos de confiança do Microsoft Entra ID
O padrão para o gerenciamento do escopo dos aplicativos de confiança do Microsoft Entra ID é descrito na seção a seguir.
O Microsoft Entra ID dá suporte para a configuração de várias instâncias de aplicativos SaaS e personalizados, mas não para a maioria dos serviços da Microsoft, no mesmo diretório com atribuições de usuário independentes. O exemplo acima contém uma versão de produção e de teste do aplicativo de viagem. Você pode implantar versões de produção prévia no locatário corporativo para obter a configuração específica do aplicativo e uma separação de políticas que perma que os proprietários de carga de trabalho realizem testes com suas credenciais corporativas. Os objetos de diretório de não produção, como usuários de teste e grupos de teste, são associados ao aplicativo de não produção com a propriedade separada desses objetos.
Há aspectos que abrangem todo o locatário que afetam todos os aplicativos confiáveis no limite do locatário do Microsoft Entra, incluindo:
Os administradores globais podem gerenciar todas as configurações que abrangem todo o locatário.
Outras funções de diretório, como Administrador de Usuário, Administrador de Aplicativo e Administrador de Acesso Condicional, podem gerenciar as configurações que abrangem todo o locatário no escopo da função.
Definições de configuração como métodos de autenticação permitidos, configurações híbridas, lista de permissões de Colaboração B2B de domínios e localizações nomeadas abrangem todo o locatário.
Observação
Permissões da API do Microsoft Graph e permissões de consentimento não podem ter escopo para um grupo ou membros de unidades administrativas. Essas permissões serão atribuídas no nível do diretório, somente o consentimento específico do recurso permite o escopo no nível do recurso (atualmente limitado às permissões de chat do Microsoft Teams)
Importante
O ciclo de vida dos serviços de SaaS da Microsoft, como Office 365, Microsoft Dynamics e Microsoft Exchange, está associado ao locatário do Microsoft Entra. Como resultado, várias instâncias desses serviços exigem necessariamente vários locatários do Microsoft Entra. Verifique a documentação de serviços individuais para saber mais sobre recursos específicos de escopo de gerenciamento.
Próximas etapas
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de