Share via

Introdução à administração delegada e ambientes isolados

  • Artigo

Uma arquitetura de locatário único do Microsoft Entra com administração delegada geralmente é adequada para separar ambientes. Conforme detalhado em outras seções deste artigo, a Microsoft fornece muitas ferramentas para fazer isso. No entanto, pode haver momentos em que sua organização requeira um grau de isolamento além do que pode ser alcançado em um único locatário.

Antes de discutir arquiteturas específicas, é importante entender:

  • Como funciona um locatário único típico.

  • Como funcionam as unidades administrativas no Microsoft Entra ID.

  • As relações entre recursos do Azure e locatários do Microsoft Entra.

  • Requisitos comuns que conduzem o isolamento.

Microsoft Entra locatário como um limite de segurança

Um locatário do Microsoft Entra fornece recursos de IAM (gerenciamento de identidade e acesso) para aplicativos e recursos usados pela organização.

Uma identidade é um objeto do diretório que pode ser autenticado e autorizado para acesso a um recurso. Existem objetos de identidade para identidades humanas e identidades não humanas. Para diferenciar entre identidades humanas e não humanas, as identidades humanas são referidas como identidades, e as identidades não humanas são referidas como identidades de carga de trabalho. Entidades não humanas incluem objetos de aplicativo, entidades de serviço, identidades gerenciadas e dispositivos. A terminologia é inconsistente em todo o setor, mas geralmente identidade de carga de trabalho é algo necessário para que a entidade de software se autentique em algum sistema.

Para distinguir entre identidades humanas e não humanas, diferentes termos estão surgindo em toda a indústria de TI para distinguir entre as duas:

  • Identidade – identidade iniciada descrevendo o AD (Active Directory) e o objeto do Microsoft Entra usado por humanos para autenticar. Nesta série de artigos, a identidade refere-se a objetos que representam humanos.

  • Identidade de carga de trabalho - no Microsoft Entra ID, as identidades de carga de trabalho são aplicativos, entidades de serviço e identidades gerenciadas. A identidade da carga de trabalho é usada para autenticar e acessar outros serviços e recursos.

Para obter mais informações sobre identidades de carga de trabalho, consulte O que são identidades de carga de trabalho.

O locatário do Microsoft Entra é um limite de segurança de identidade que está sob o controle dos administradores. Dentro desse limite de segurança, a administração de assinaturas, os grupos de gerenciamento e os grupos de recursos podem ser delegados para segmentar o controle administrativo dos recursos do Azure. Embora não interajam diretamente, esses agrupamentos dependem de configurações de todos os locatários de políticas e configurações. E essas definições e configurações estão sob o controle dos administradores globais do Microsoft Entra.

O Microsoft Entra ID é usado para conceder os objetos que representam o acesso de identidades a aplicativos e recursos do Azure. Nesse sentido, os recursos do Azure e os aplicativos que confiam no Microsoft Entra ID são recursos que podem ser gerenciados com o Microsoft Entra ID. No diagrama a seguir, o limite do locatário do Microsoft Entra mostra os objetos de identidade do Microsoft Entra e as ferramentas de configuração. Abaixo do diretório, estão os recursos que usam os objetos de identidade para gerenciamento de identidade e acesso. Seguindo as práticas recomendadas, o ambiente é configurado com um ambiente de teste para testar a operação adequada do IAM.

Diagrama que mostra o limite de locatário do Microsoft Entra.

Acesso a aplicativos que usam Microsoft Entra ID

As identidades podem receber acesso a muitos tipos de aplicativos. Os exemplos incluem:

  • Os serviços de produtividade do Microsoft 365, como o Exchange Online, o Microsoft Teams e o SharePoint Online

  • Serviços de TI da Microsoft, como o Azure Sentinel, o Microsoft Intune e o Microsoft 365 Defender ATP

  • As ferramentas de Microsoft Developer, como o Azure DevOps e a API do Microsoft Graph

  • Soluções de SaaS, como Salesforce e ServiceNow

  • Aplicativos locais integrados a recursos de acesso híbrido, como um proxy de aplicativo do Microsoft Entra

  • Aplicativos personalizados desenvolvidos internamente

Os aplicativos que usam o Microsoft Entra ID exigem que os objetos de directory sejam configurados e gerenciados no locatário do Microsoft Entra confiável. Exemplos de objetos de diretório incluem registros de aplicativo, entidades de serviço, grupos e extensões de atributo de esquema.

Acesso a recursos do Azure

Usuários, grupos e objetos de entidade de serviço (identidades de carga de trabalho) no locatário do Microsoft Entra recebem funções usando o RBAC (Controle de Acesso Baseado em Função) do Azure e o ABAC (Controle de Acesso Baseado em Atributo) do Azure.

  • O RBAC do Azure permite que você forneça acesso com base na função, conforme determinado pela entidade de segurança, definição de função e escopo.

  • O ABAC do Azure baseia-se no RBAC do Azure pela adição de condições de atribuição de função com base em atributos no contexto de ações específicas. Uma condição de atribuição de função é uma outra verificação que você pode opcionalmente adicionar à atribuição de função para fornecer controle de acesso mais refinado.

Recursos, grupos de recursos, assinaturas e grupos de gerenciamento do Azure são acessados usando essas funções RBAC atribuídas. Por exemplo, o diagrama a seguir mostra a distribuição da funcionalidade administrativa no Microsoft Entra ID usando o controle de acesso baseado em função.

Diagrama que mostra a função de hierarquia do Microsoft Entra.

Os recursos do Azure que dão suporte a Identidades Gerenciadas permitem que os recursos se autentiquem, recebam acesso e sejam atribuídos a funções para outros recursos dentro do limite de locatário do Microsoft Entra.

Os aplicativos que usam o Microsoft Entra ID para entrada também podem usar recursos do Azure, como computação ou armazenamento, como parte de sua implementação. Por exemplo, um aplicativo personalizado que é executado no Azure e confia no Microsoft Entra ID para autenticação tem objetos do directory e recursos do Azure.

Por fim, todos os recursos do Azure no locatário do Microsoft Entra afetam as Cotas e limites do Azure em todo o locatário.

Acesso a objetos de diretório

Conforme descrito no diagrama anterior, identidades, recursos e seus relacionamentos são representados em um locatário do Microsoft Entra como objetos do directory. Exemplos de objetos de diretório incluem usuários, grupos, entidades de serviço e registros de aplicativo.

Ter um conjunto de objetos do directory no limite de locatário do Microsoft Entra gera os seguintes recursos:

  • Visibilidade. As identidades podem descobrir ou enumerar recursos, usuários, grupos, relatórios de uso de acesso e logs de auditoria com base em suas permissões. Por exemplo, um membro do diretório pode descobrir usuários no diretório por permissões de usuário padrão do Microsoft Entra ID.

  • Os aplicativos podem afetar objetos. Os aplicativos podem manipular objetos de diretório por meio do Microsoft Graph como parte de sua lógica de negócios. Exemplos típicos incluem ler/definir atributos de usuário, atualizar o calendário do usuário, enviar emails em nome do usuário, etc. O consentimento é necessário para permitir que os aplicativos afetem o locatário. Os administradores podem consentir com todos os usuários. Para obter mais informações, confira Permissões e consentimento na plataforma de identidade da Microsoft.

Observação

Tenha cuidado ao usar permissões de aplicativo. Por exemplo, com o Exchange Online, você deve definir o escopo das permissões do aplicativo para caixas de correio e permissões específicas.

  • Limitação e limites de serviço. O comportamento de runtime de um recurso pode disparar a limitação para evitar o uso excessivo ou a degradação do serviço. A limitação pode ocorrer no nível do aplicativo, do locatário ou de todo o serviço. É mais comum que ocorra quando um aplicativo tem um grande número de solicitações nos locatários ou entre locatários. Da mesma forma, há limites e restrições de serviço do Microsoft Entra que podem afetar o comportamento de runtime dos aplicativos.

Unidades administrativas para gerenciamento de função

As unidades administrativas restringem as permissões de uma função a qualquer parte da organização que você definir. Você pode, por exemplo, usar unidades administrativas para delegar a função de Administrador da assistência técnica a especialistas de suporte regional, para que eles possam gerenciar os usuários somente na região à qual dão suporte. Uma unidade administrativa é um recurso do Microsoft Entra que pode ser um contêiner para outros recursos do Microsoft Entra. Uma unidade administrativa pode conter apenas:

  • Usuários

  • Grupos

  • Dispositivos

No diagrama a seguir, as unidades administrativas são usadas para segmentar ainda mais o locatário do Microsoft Entra com base na estrutura empresarial ou organizacional. Isso é útil quando diferentes unidades de negócios ou grupos têm equipe de suporte de TI dedicada. As unidades administrativas podem ser usadas para fornecer permissões privilegiadas limitadas a uma unidade administrativa designada.

Diagrama que mostra unidades administrativas do Microsoft Entra.

Para obter mais informações sobre unidades administrativas, consulte Unidades administrativas no Microsoft Entra ID.

Motivos comuns para o isolamento de recursos

Às vezes, um grupo de recursos deve ser isolado de outros recursos por segurança ou outros motivos, por exemplo, os recursos têm requisitos de acesso exclusivos. Esse é um bom caso de uso para usar unidades administrativas. Você deve determinar quais usuários e entidades de segurança devem ter acesso a recursos e em quais funções. Os motivos para isolar recursos podem incluir:

  • As equipes de desenvolvedores precisam de flexibilidade para iterar com segurança durante o ciclo de vida de desenvolvimento de software de aplicativos. Mas o desenvolvimento e o teste de aplicativos que gravam no Microsoft Entra ID podem potencialmente afetar o locatário do Microsoft Entra por meio de operações de gravação. Alguns exemplos disso incluem:

    • Novos aplicativos que podem alterar conteúdo do Office 365, como sites do SharePoint, OneDrive, MS Teams etc.

    • Aplicativos personalizados que podem alterar dados de usuários com MS Graph ou APIs semelhantes em escala (por exemplo, aplicativos que têm Directory.ReadWrite.All concedido)

    • Scripts de DevOps que atualizam grandes conjuntos de objetos como parte de um ciclo de vida de implantação.

    • Os desenvolvedores de aplicativos integrados do Microsoft Entra precisam da capacidade de criar objetos de usuário para teste, e esses objetos de usuário não devem ter acesso aos recursos de produção.

  • Recursos e aplicativos do Azure que não são de produção que podem afetar outros recursos. Por exemplo, uma nova versão beta de um aplicativo SaaS pode precisar ser isolada da instância de produção dos objetos de usuário de aplicativo e de produção

  • Recursos secretos que devem ser protegidos contra descoberta, enumeração ou tomada de controle por administradores existentes por motivos críticos regulatórios ou comerciais.

Configuração em um locatário

As definições de configuração no Microsoft Entra ID podem afetar qualquer recurso no locatário do Microsoft Entra por meio de ações de gerenciamento direcionadas ou em todo o locatário. Exemplos de configurações em todo o locatário incluem:

  • Identidades externas: os administradores identificam e controlam as identidades externas que podem ser provisionadas no locatário.

    • Se deseja permitir identidades externas no locatário.

    • A partir de quais domínios as identidades externas podem ser adicionadas.

    • Se os usuários podem convidar usuários de outros locatários.

  • Locais Nomeados: Os administradores podem criar locais nomeados, que podem então ser usados para

    • Bloquear entradas de locais específicos.

    • Disparar políticas de acesso condicional, como a MFA.

    • Efetuar bypass de requisitos de segurança

  • Opções de autoatendimento. Os administradores definem opções de autoatendimento, como redefinição de senha de autoatendimento e criam grupos do Microsoft 365 no nível do locatário.

A implementação de algumas configurações de todo o locatário pode ter escopo desde que não sejam substituídas por políticas globais. Por exemplo:

  • Se o locatário estiver configurado para permitir identidades externas, um administrador de recursos ainda poderá excluir essas identidades do acesso a um recurso.

  • Se o locatário estiver configurado para permitir o registro de dispositivo pessoal, um administrador de recursos poderá excluir esses dispositivos do acesso a recursos específicos.

  • Se os locais nomeados estiverem configurados, um administrador de recursos poderá configurar políticas permitindo ou excluindo o acesso desses locais.

Motivos comuns para o isolamento de configuração

As configurações, controladas pelos administradores, afetam os recursos. Embora alguma configuração em todo o locatário possa ter escopo com políticas para não se aplicar ou se aplicar parcialmente a um recurso específico, outras não podem. Se um recurso tiver necessidades de configuração exclusivas, isole-o em um locatário separado. Exemplos de cenários de isolamento de configuração incluem:

  • Recursos com requisitos que entram em conflito com posturas de colaboração ou segurança existentes em todo o locatário. (por exemplo, tipos de autenticação permitidos, políticas de gerenciamento de dispositivos, capacidade de autoatendimento, revisão de identidade para identidades externas etc.).

  • Requisitos de conformidade que abrangem a certificação para todo o ambiente, incluindo todos os recursos e o próprio locatário do Microsoft Entra, especialmente quando esses requisitos entram em conflito ou devem excluir outros recursos organizacionais.

  • Requisitos de acesso de usuário externo que entram em conflito com políticas de produção ou de recursos confidenciais.

  • Organizações que abrangem vários países/regiões e empresas hospedadas em um único locatário do Microsoft Entra. Por exemplo, quais configurações e licenças são usadas em diferentes países/regiões ou subsidiárias de negócios.

Administração em um locatário

Identidades com funções privilegiadas no locatário do Microsoft Entra têm a visibilidade e as permissões para executar as tarefas de configuração descritas nas seções anteriores. A administração inclui a administração de objetos de identidade, como usuários, grupos e dispositivos, e a implementação com escopo de configurações de todo o locatário para autenticação, autorização etc.

Administração de objetos de diretório

Os administradores gerenciam como os objetos de identidade podem acessar recursos e em quais circunstâncias. Eles também podem desabilitar, excluir ou modificar objetos de diretório com base em seus privilégios. Os objetos de identidade incluem:

  • Identidades organizacionais, como a seguinte, são representadas por objetos de usuário:

    • Administradores

    • Usuários da organização

    • Desenvolvedores organizacionais

    • Contas de serviço

    • Usuários de teste

  • Identidades externas representam usuários de fora da organização, como:

    • Parceiros, provedores ou fornecedores provisionados com contas locais para o ambiente da organização

    • Parceiros, provedores ou fornecedores provisionados por meio da colaboração B2B do Azure

  • Os grupos são representados por objetos como:

  • Os dispositivos são representados por objetos como:

    • Dispositivos Microsoft Entra híbridos ingressados (computadores locais sincronizados do Active Directory local)

    • Dispositivos conectados ao Microsoft Entra

    • Dispositivos móveis registrados do Microsoft Entra usados pelos funcionários para acessar seus aplicativos no local de trabalho.

    • Dispositivos de nível inferior registrados do Microsoft Entra (herdados). Por exemplo, Windows 2012 R2.

  • Identidades de carga de trabalho

    • Identidades gerenciadas

    • Entidades de serviço

    • Aplicativos

Em um ambiente híbrido, as identidades normalmente são sincronizadas do ambiente do Active Directory local usando o Microsoft Entra Connect.

Administração de serviços de identidade

Os administradores com permissões apropriadas também podem gerenciar como as políticas em todo o locatário são implementadas no nível de grupos de recursos, grupos de segurança ou aplicativos. Ao considerar a administração de recursos, lembre-se do seguinte. Cada um pode ser um motivo para manter os recursos juntos ou isolá-los.

  • Um Administrador Global pode assumir o controle de qualquer assinatura do Azure vinculada ao Locatário.

  • Uma identidade atribuída a uma função de Administrador de Autenticação pode exigir que não administradores registrem-se novamente para autenticação MFA ou FIDO.

  • Um Administrador de Acesso Condicional pode criar políticas de acesso condicional que exigem que os usuários entrem em aplicativos específicos para fazê-lo somente de dispositivos de propriedade da organização. Eles também podem definir o escopo das configurações. Por exemplo, mesmo que identidades externas sejam permitidas no locatário, elas podem excluir essas identidades de acessar um recurso.

  • Um Administrador de Aplicativos de Nuvem pode consentir com permissões de aplicativo em nome de todos os usuários.

Motivos comuns para isolamento administrativo

Quem deve ter a capacidade de administrar o ambiente e seus recursos? Há momentos em que os administradores de um ambiente não devem ter acesso a outro ambiente. Os exemplos incluem:

  • Separação de responsabilidades administrativas em todo o locatário para atenuar ainda mais o risco de segurança e erros operacionais que afetam recursos críticos.

  • Regulamentos que restringem quem pode administrar o ambiente com base em condições como cidadania, residência, nível de autorização etc. que não podem ser acomodados com a equipe.

Considerações sobre segurança e operações

Dada a interdependência entre um locatário do Microsoft Entra e seus recursos, é fundamental entender os riscos operacionais e de segurança de comprometimento ou erro. Se você estiver operando em um ambiente federado com contas sincronizadas, um comprometimento local poderá levar a um comprometimento do Microsoft Entra ID.

  • Comprometimento de identidade – dentro do limite de um locatário, qualquer identidade pode ser atribuída a qualquer função, dado que aquele que fornece acesso tem privilégios suficientes. Embora o efeito de identidades não privilegiadas comprometidas seja amplamente contido, os administradores comprometidos podem ter amplas implicações. Por exemplo, se uma conta de administrador global do Microsoft Entra estiver comprometida, os recursos do Azure poderão ser comprometidos. Para reduzir o risco de comprometimento de identidade ou atores inválidos, implemente a administração em camadas e verifique se você segue os princípios de privilégio mínimo para Funções de Administrador do Microsoft Entra. Da mesma forma, certifique-se de criar políticas de acesso condicional que excluam especificamente contas de teste e entidades de serviço de teste de acessar recursos fora dos aplicativos de teste. Para obter mais informações sobre a estratégia de acesso privilegiado, consulte Acesso privilegiado: estratégia.

  • Comprometimento do ambiente federado

  • Comprometimento de recursos confiáveis – identidades humanas não são a única consideração de segurança. Qualquer componente comprometido do locatário do Microsoft Entra pode afetar recursos confiáveis com base em seu nível de permissões no nível do locatário e do recurso. O efeito de um componente comprometido de um recurso confiável do Microsoft Entra é determinado pelos privilégios do recurso; os recursos profundamente integrados ao diretório para executar operações de gravação podem ter um impacto profundo em todo o locatário. Seguir diretrizes para confiança zero pode ajudar a limitar o impacto do comprometimento.

  • Desenvolvimento de aplicativos – estágios iniciais do ciclo de vida de desenvolvimento para aplicativos com privilégios de gravação no Microsoft Entra ID, em que bugs podem gravar alterações involuntariamente nos objetos do Microsoft Entra, apresentam um risco. Siga as melhores práticas da plataforma de identidade da Microsoft durante o desenvolvimento para atenuar esses riscos.

  • Erro operacional – Um incidente de segurança pode ocorrer não apenas devido a atores inválidos, mas também devido a um erro operacional por parte dos administradores de locatários ou dos proprietários de recursos. Esses riscos ocorrem em qualquer arquitetura. Reduza esses riscos com a separação de tarefas, administração em camadas, seguindo princípios de privilégios mínimos e as práticas recomendadas antes de tentar atenuar usando um locatário separado.

Incorporar princípios de confiança zero em sua estratégia de design do Microsoft Entra ID pode ajudar a orientar seu design para atenuar essas considerações. Para obter mais informações, visite Adotar a segurança proativa com a Confiança Zero.

Próximas etapas