Editar

Compartilhar via

Gerenciamento de identidades e acesso do Azure Active Directory para a AWS

Azure
azure-active-directory

Este artigo oferece aos arquitetos de identidade, administradores e analistas de segurança da AWS insights imediatos e diretrizes detalhadas para implantar as soluções de identidade e acesso do Azure AD para a AWS. Você pode configurar e testar essas soluções de segurança da Microsoft sem afetar os provedores de identidade existentes e os usuários da conta da AWS até que você esteja pronto para mudar.

Arquitetura

A AWS cria um repositório do IAM (Gerenciamento de Identidades e Acesso) separado para cada conta criada. O seguinte diagrama mostra a configuração padrão de um ambiente da AWS com uma só conta da AWS:

Diagrama que mostra um ambiente da AWS com uma só conta.

O usuário raiz controla totalmente a conta da AWS e delega acesso a outras identidades. A entidade de segurança do AWS IAM fornece uma identidade exclusiva para cada função e usuário que precisa acessar a conta da AWS. O AWS IAM pode proteger cada conta raiz, de entidade de segurança e de usuário com uma senha complexa e a MFA básica.

Muitas organizações precisam de mais de uma conta da AWS, o que resulta em silos de identidade muito complexos para gerenciar:

Diagrama que mostra um ambiente da AWS com várias contas.

Para permitir o gerenciamento centralizado de identidades e evitar a necessidade de gerenciar várias identidades e senhas, a maioria das organizações prefere usar o logon único para recursos da plataforma. Alguns clientes da AWS contam com o Microsoft Active Directory baseado em servidor para integração de SSO. Outros clientes investem em soluções de terceiros para sincronizar ou federar as identidades e fornecer SSO.

O Azure AD oferece o gerenciamento de identidade centralizado com autenticação de SSO forte. Praticamente qualquer aplicativo ou plataforma que siga os padrões comuns de autenticação da Web, incluindo a AWS, pode usar o Azure AD para o gerenciamento de identidades e acesso.

Muitas organizações já usam o Azure AD para atribuir e proteger identidades de nuvem híbrida ou do Microsoft 365. Os funcionários usam suas identidades do Azure AD para acessar emails, arquivos, mensagens instantâneas, aplicativos de nuvem e recursos locais. Você pode integrar o Azure AD às contas da AWS com rapidez e facilidade para permitir que administradores e desenvolvedores entrem nos ambientes da AWS com as identidades existentes.

O seguinte diagrama mostra como o Azure AD pode se integrar a várias contas da AWS para fornecer gerenciamento centralizado de identidades e acesso:

Diagrama que mostra a integração entre a AWS e o Azure AD.

O Azure AD oferece várias funcionalidades para integração direta com a AWS:

  • SSO em soluções de autenticação herdadas, tradicionais e modernas.
  • MFA, incluindo integração com várias soluções de terceiros de parceiros da MISA (Associação de Segurança Inteligente da Microsoft).
  • Recursos avançados de acesso condicional para autenticação forte e governança estrita. Azure AD usa políticas de Acesso Condicional e avaliações baseadas em risco para autenticar e autorizar o acesso do usuário ao Console de Gerenciamento do AWS e aos recursos da AWS.
  • Detecção de ameaças e resposta automatizada em grande escala. O Azure AD processa mais de 30 bilhões de solicitações de autenticação por dia, juntamente com trilhões de sinais sobre ameaças no mundo todo.
  • PAM (Privileged Access Management) para habilitar o provisionamento JIT (just-in-time) para recursos específicos.

Gerenciamento avançado de identidades do Azure AD com contas da AWS

Outros recursos avançados de Azure AD podem fornecer camadas extras de controle para as contas mais confidenciais da AWS. As licenças do Azure AD Premium P2 incluem estes recursos avançados:

  • PIM (Privileged Identity Management) para fornecer controles avançados a todas as funções delegadas no Azure e no Microsoft 365. Por exemplo, em vez do administrador sempre usar a função Administrador Global, ele tem permissão para ativar essa função sob demanda. Essa permissão desativa após um limite de tempo definido (uma hora, por exemplo). O PIM registra todas as ativações e tem outros controles que podem restringir ainda mais os recursos de ativação. O PIM protege ainda mais sua arquitetura de identidade, garantindo camadas extras de governança e proteção antes que os administradores possam fazer alterações.

    Você pode expandir o PIM para qualquer permissão delegada controlando o acesso a grupos personalizados, como os que você criou para acessar as funções da AWS. Para obter mais informações sobre a implantação do PIM, confira Implantar o Azure AD Privileged Identity Management.

  • O Advanced Identity Protection aumenta a segurança de entrada do Azure AD monitorando o risco de sessão ou de usuário. O risco do usuário define o potencial das credenciais que estão sendo comprometidas, como a ID do usuário e a senha que aparecem em uma lista de violações lançada publicamente. O risco de sessão determina se a atividade de entrada vem de um local ou de um endereço IP suspeito ou de outro indicador de comprometimento. Os dois tipos de detecção se baseiam nas funcionalidades abrangentes de inteligência contra ameaças da Microsoft.

    Para obter mais informações sobre a Proteção Avançada de Identidade, confira Visão geral de segurança do Azure AD Identity Protection.

  • Microsoft Defender para Identidade protege identidades e serviços em execução em controladores de domínio do Active Directory monitorando todos os sinais de atividade e de ameaças. O Defender para Identidade identifica ameaças com base na experiência real de investigações de violações de clientes. Ele monitora o comportamento do usuário e recomenda reduções de superfície de ataque para evitar ataques avançados, como reconhecimento, movimento lateral e controle de domínio.

    Para obter mais informações sobre o Defender para Identidade, confira O que é o Microsoft Defender para Identidade.

Detalhes do cenário

As contas da AWS (Amazon Web Services) que dão suporte a cargas de trabalho críticas e informações altamente confidenciais precisam de proteção de identidade e controle de acesso rigorosos. O gerenciamento de identidades da AWS é aprimorado quando combinado com o Azure AD (Azure Active Directory). O Azure AD é uma solução de gerenciamento de identidades e acesso centralizada e baseada em nuvem que ajuda a proteger as contas e os ambientes da AWS. O Azure AD oferece SSO (logon único) centralizado e autenticação forte por meio da MFA (autenticação multifator) e das políticas de acesso condicional. O Azure AD dá suporte para gerenciamento de identidades, identidades baseadas em função e controle de acesso da AWS.

Muitas organizações que usam a AWS já contam com o Azure AD para o gerenciamento de identidades e a proteção de acesso de nuvem híbrida do Microsoft 365. Essas organizações podem usar de forma rápida e fácil Azure AD com suas contas da AWS, muitas vezes sem custo adicional. Outros recursos avançados do Azure AD, como o PIM (Privileged Identity Management) e o Advanced Identity Protection, podem ajudar a proteger as contas da AWS mais confidenciais.

Azure AD se integra facilmente a outras soluções de segurança da Microsoft, como Microsoft Defender para Aplicativos de Nuvem e Microsoft Sentinel. Para obter mais informações, confira Defender para Aplicativos de Nuvem e Microsoft Sentinel para AWS. As soluções de segurança da Microsoft são extensíveis e contam com vários níveis de proteção. As organizações podem implementar uma ou mais dessas soluções juntamente com outros tipos de proteção para obter uma arquitetura de segurança completa que proteja as implantações atuais e futuras da AWS.

Recomendações

Segurança

Os seguintes princípios e diretrizes são importantes para qualquer solução de segurança na nuvem:

  • Verifique se a organização pode monitorar, detectar e proteger automaticamente o usuário e o acesso programático em ambientes de nuvem.

  • Examine continuamente as contas atuais para garantir a governança e o controle de identidade e permissão.

  • Siga os princípios de menor privilégio e confiança zero. Verifique se cada usuário pode acessar apenas os recursos específicos necessários, de dispositivos confiáveis e locais conhecidos. Reduza as permissões de cada administrador e desenvolvedor para fornecer apenas os direitos necessários para a função que estão executando. Revise regularmente.

  • Monitore continuamente as alterações de configuração da plataforma, especialmente se elas fornecerem oportunidades de elevação de privilégio ou persistência de ataque.

  • Impeça a exfiltração de dados não autorizada inspecionando e controlando ativamente o conteúdo.

  • Aproveite as soluções que você já pode ter como Azure AD Premium P2 que podem aumentar a segurança sem mais despesas.

Segurança básica da conta da AWS

Para garantir a higiene básica de segurança para contas e recursos da AWS:

  • Examine as diretrizes de segurança da AWS nas Práticas recomendadas para proteger contas e recursos da AWS.

  • Reduza o risco de carregar e baixar malware e outros conteúdos mal-intencionados inspecionando ativamente todas as transferências de dados por meio do Console de Gerenciamento do AWS. O conteúdo que carrega ou baixa diretamente para recursos dentro da plataforma AWS, como servidores Web ou bancos de dados, pode precisar de mais proteção.

  • Considere proteger o acesso a outros recursos, incluindo:

    • Recursos criados na conta da AWS.
    • Plataformas de carga de trabalho específicas, como Windows Server, Servidor Linux ou contêineres.
    • Dispositivos que os administradores e os desenvolvedores usam para acessar o Console de Gerenciamento da AWS.

Segurança do AWS IAM

Um aspecto fundamental da proteção do Console de Gerenciamento da AWS é controlar quem pode fazer alterações em configurações confidenciais. O usuário raiz da conta da AWS tem acesso irrestrito. A equipe de segurança precisa ter o controle total da conta de usuário raiz para impedir que ela entre no Console de Gerenciamento da AWS ou trabalhe com recursos da AWS.

Para controlar a conta de usuário raiz:

  • Considere alterar as credenciais de entrada do usuário raiz do endereço de email de uma pessoa para uma conta de serviço que a equipe de segurança controle.
  • Verifique se a senha da conta de usuário raiz é complexa e imponha a MFA para o usuário raiz.
  • Monitore os logs das instâncias da conta de usuário raiz que estão sendo usadas para entrar.
  • Use a conta de usuário raiz somente em emergências.
  • Use o Azure AD para implementar o acesso administrativo delegado em vez de usar o usuário raiz para tarefas administrativas.

Compreenda e examine claramente os outros componentes da conta do AWS IAM para obter as atribuições e o mapeamento apropriados.

  • Por padrão, uma conta da AWS não tem usuários do IAM até que o usuário raiz crie uma ou mais identidades para delegar o acesso. Uma solução que sincroniza usuários existentes de outro sistema de identidade, como o Microsoft Active Directory, também pode provisionar automaticamente usuários do IAM.

  • As políticas de IAM fornecem direitos de acesso delegados aos recursos da conta da AWS. A AWS fornece mais de 750 políticas do IAM exclusivas e os clientes também podem definir políticas personalizadas.

  • As funções do IAM anexam políticas específicas a identidades. As funções são a maneira de administrar o RBAC (controle de acesso baseado em função). A solução atual usa identidades externas para implementar identidades do Azure AD assumindo funções do IAM.

  • Os grupos do IAM também são uma forma de administrar o RBAC. Em vez de atribuir políticas do IAM diretamente a usuários individuais do IAM, crie um grupo do IAM, atribua permissões anexando uma ou mais políticas do IAM e adicione usuários do IAM ao grupo para herdar os direitos apropriados de acesso aos recursos.

Algumas contas de serviço do IAM precisam continuar a ser executadas no AWS IAM para fornecer acesso programático. Verifique essas contas, armazene e restrinja de modo seguro o acesso às credenciais de segurança e faça a rotação das credenciais com regularidade.

Implantar este cenário

Esta próxima seção mostra como implantar Azure AD para logon único em uma conta da AWS individual.

Planejar e preparar

Ao se preparar para a implantação de soluções de segurança do Azure, examine e registre as informações atuais da conta da AWS e do Azure AD. Se você tiver mais de uma conta da AWS implantada, repita essas etapas para cada conta.

  1. No Console de Gerenciamento de Cobrança da AWS, registre as seguintes informações atuais da conta da AWS:

    • ID da Conta da AWS, um identificador exclusivo.
    • Nome da conta ou usuário raiz.
    • Forma de pagamento, seja atribuída a um cartão de crédito ou a um acordo entre parceiros comerciais.
    • Contatos alternativos que têm acesso às informações da conta da AWS.
    • Perguntas de segurança atualizadas e registradas com segurança para acesso de emergência.
    • Regiões da AWS habilitadas ou desabilitadas para cumprir a política de segurança de dados.

  2. No Console de gerenciamento do AWS IAM, examine e registre os seguintes componentes do AWS IAM:

    • Grupos que foram criados, incluindo políticas detalhadas anexadas de mapeamento baseado em funções e associação.
    • Usuários que foram criados, incluindo a Idade da senha das contas de usuário e a Idade da chave de acesso das contas de serviço. Confirme também se a MFA está habilitada para cada usuário.
    • Funções. Há duas funções padrão vinculadas ao serviço, AWSServiceRoleForSupport e AWSServiceRoleForTrustedAdvisor. Registre todas as outras funções, que são personalizadas. Essas funções são vinculadas a políticas de permissão, a serem usadas para o mapeamento de funções no Azure AD.
    • Diretivas. As políticas prontas para uso têm a opção Gerenciado pela AWS, Função de trabalho ou Gerenciado pelo cliente na coluna Tipo. Registre todas as outras políticas, que são personalizadas. Registre também onde cada política está atribuída por meio das entradas na coluna Usado como.
    • Provedores de identidade, para entender todos os provedores de identidade SAML (Security Assertion Markup Language) existentes. Planeje como substituir os provedores de identidade existentes por um único provedor de identidade, o Azure AD.

  3. No portal do Azure Active Directory, examine o locatário do Azure AD:

    • Avalie as informações do locatário para ver se o locatário tem uma licença Azure AD Premium P1 ou P2. Uma licença P2 fornece recursos avançados de gerenciamento de identidade do Azure AD.
    • Avalie os aplicativos empresariais para saber se os aplicativos existentes usam o tipo de aplicativo AWS, o que é mostrado por http://aws.amazon.com/ na coluna URL da home page.

Planejar a implantação do Azure AD

Os procedimentos de implantação do Azure AD consideram que o Azure AD já esteja configurado para a organização, como para uma implementação do Microsoft 365. As contas podem ser sincronizadas de um domínio do Active Directory ou podem ser contas de nuvem criadas diretamente no Azure AD.

Planejar o RBAC

Se a instalação do AWS usar grupos de IAM e funções para RBAC, você poderá mapear a estrutura RBAC existente para novas contas de usuário Azure AD e grupos de segurança.

Se a conta da AWS não tiver uma implementação de RBAC forte, comece trabalhando no acesso mais confidencial:

  1. Atualize o usuário raiz da conta da AWS.

  2. Examine os usuários, os grupos e as funções do AWS IAM anexados à política do IAM AdministratorAccess.

  3. Trabalhe com outras políticas do IAM atribuídas, começando com aquelas que podem modificar, criar ou excluir recursos e outros itens de configuração. Você pode identificar políticas em uso examinando a coluna Usado como.

Planejar a migração

O Azure AD centraliza toda a autenticação e a autorização. Você pode planejar e configurar o mapeamento de usuário e o RBAC sem afetar administradores e desenvolvedores até estar pronto para impor os novos métodos.

Veja a seguir o processo geral para migrar as contas do AWS IAM para o Azure AD. Para obter instruções detalhadas, confira Implantação.

  1. Mapeie as políticas do IAM para as funções do Azure AD e use o RBAC para mapear funções para grupos de segurança.

  2. Substitua cada usuário do IAM por um usuário do Azure AD que seja membro dos grupos de segurança apropriados para entrada e obtenção das permissões apropriadas.

  3. Faça um teste solicitando que cada usuário entre na AWS com a conta do Azure AD e confirme se tem o nível de acesso apropriado.

  4. Depois que o usuário confirmar o acesso ao Azure AD, remova a conta de usuário do AWS IAM. Repita o processo para cada usuário até que todos sejam migrados.

Para contas de serviço e acesso programático, use a mesma abordagem. Atualize cada aplicativo que usa a conta para usar uma conta de usuário do Azure AD equivalente.

Verifique se todos os usuários restantes do AWS IAM têm senhas complexas com a MFA habilitada ou uma chave de acesso que é substituída regularmente.

O seguinte diagrama mostra um exemplo das etapas de configuração e do mapeamento final de política e função entre o Azure AD e o AWS IAM:

Diagrama mostrando as etapas de configuração e o mapeamento de função final do AWS IAM para o Azure AD.

Integração de logon único

O Azure AD dá suporte à integração de logon único com o AWS SSO. Você pode conectar Azure AD à AWS em um só lugar e controlar centralmente o acesso entre centenas de contas e aplicativos integrados ao SSO do AWS. Essa funcionalidade permite que Azure AD experiência de entrada perfeita para os usuários usarem a CLI do AWS.

O procedimento de solução de segurança da Microsoft a seguir implementa o SSO para as funções de exemplo Administradores da AWS e Desenvolvedores da AWS. Repita esse processo para todas as outras funções necessárias.

Esse procedimento aborda as seguintes etapas:

  1. Criar um aplicativo empresarial do Azure AD.
  2. Configurar o SSO do Azure AD para a AWS.
  3. Atualizar o mapeamento de função.
  4. Testar o SSO do Azure AD no Console de Gerenciamento da AWS.

Os links a seguir fornecem as etapas completas de implementação detalhada e a solução de problemas:

Adicionar um aplicativo AWS aos aplicativos empresariais Azure AD

Os administradores e desenvolvedores da AWS usam um aplicativo empresarial para entrar no Azure AD, fazer a autenticação e depois voltar à AWS para autorização e acesso aos recursos da AWS. O método mais simples para ver o aplicativo é entrar no https://myapps.microsoft.com, mas você também pode publicar a URL exclusiva em qualquer lugar que forneça acesso fácil.

Siga as instruções em adicionar o Amazon Web Services (AWS) por meio da galeria para configurar o aplicativo empresarial. Essas instruções permitirão que você saiba qual aplicativo AWS adicionar aos seus aplicativos corporativos Azure AD.

Se houver mais de uma conta da AWS para ser administrada, como DevTest e Produção, use um nome exclusivo para o aplicativo empresarial que inclua um identificador da empresa e uma conta da AWS específica.

Captura de tela que mostra a criação do aplicativo empresarial no Azure AD.

Configurar o SSO do Azure AD para a AWS

Siga as etapas abaixo para configurar o SSO do Azure AD para a AWS:

  1. No Portal do Azure, siga as etapas em Configurar Azure AD SSO para configurar o Aplicativo Enterprise que você criou para logon único no AWS.

  2. No Console do AWS, siga as etapas em Configurar o SSO do AWS para configurar sua conta do AWS para logon único. Como parte dessa configuração, você criará um novo usuário do IAM que atua em nome do agente de provisionamento de Azure AD para permitir a sincronização de todas as funções de IAM do AWS disponíveis em Azure AD. A AWS precisa desse usuário do IAM para mapear os usuários às funções para que eles possam entrar no Console de Gerenciamento da AWS.

  • Facilite a identificação dos componentes criados para dar suporte a essa integração. Por exemplo, nomeie as contas de serviço com uma convenção de nomenclatura padrão como "Svc-".
  • Documente todos os novos itens.
  • Verifique se as novas credenciais incluem senhas complexas que você armazena de modo centralizado para o gerenciamento seguro do ciclo de vida.

Com base nessas etapas de configuração, você pode diagramar as interações desta forma:

Diagrama das interações de configuração.

No Console do AWS, siga as etapas abaixo para criar mais funções.

  1. No AWS IAM, selecione Funções –> Criar Função.

  2. Na página Criar função, realize as seguintes etapas:

    1. Em Selecionar tipo de entidade confiável, selecione Federação do SAML 2.0.
    2. Em Escolher um provedor do SAML 2.0, selecione o provedor do SAML criado na etapa anterior.
    3. Selecione Permitir acesso do Console de Gerenciamento do AWS e programação.
    4. Selecione Avançar: Permissões.

  3. Na caixa de diálogo Anexar políticas de permissões, selecione AdministratorAccess. Selecione Avançar: Tags.

  4. Deixe a caixa de diálogo Adicionar Marcas em branco e selecione Avançar: Examinar.

  5. Na caixa de diálogo Examinar, execute as seguintes etapas:

    • Em Nome da Função, insira o nome da função (Administrador).
    • Em Descrição da Função, insira a descrição.
    • Selecione Criar Função.

  6. Crie outra função seguindo as etapas listadas acima. Nomeie a função como Desenvolvedor e dê a ela algumas permissões selecionadas da sua escolha (como AmazonS3FullAccess).

    Você criou com êxito uma função administrador e desenvolvedor na AWS.

  7. Crie os seguintes usuários e grupos no Azure AD:

    • Usuário 1: Test-AWSAdmin
    • Usuário 2: Test-AWSDeveloper
    • Grupo 1: AWS-Account1-Administrators
    • Grupo 2: AWS-Account1-Developers
    • Adicione Test-AWSAdmin como membro de AWS-Account1-Administrators
    • Adicione Test-AWSDeveloper como membro de AWS-Account1-Developers

  8. Siga as etapas em Como configurar o provisionamento de função no AWS Single-Account Access para configurar o provisionamento automatizado de funções. Pode levar até uma hora para concluir o primeiro ciclo de provisionamento.

Como atualizar o mapeamento de função

Como você está usando duas funções, execute estas etapas extras:

  1. Confirme se o agente de provisionamento pode ver pelo menos duas funções:

    Captura de tela das duas funções no Azure AD.

  2. Acesse Usuários e grupos e selecione Adicionar Usuário.

  3. Selecione AWS-Account1-Administrators.

  4. Selecione a função associada.

    Captura de tela da seleção de uma função associada.

  5. Repita as etapas anteriores para cada mapeamento de grupo-função. Após a conclusão, haverá dois grupos do Azure AD mapeados corretamente para as funções do AWS IAM:

    Captura de tela mostrando os grupos mapeados para funções corretas.

Se você não conseguir ver nem selecionar uma função, volte à página Provisionamento para confirmar o provisionamento bem-sucedido no agente de provisionamento do Azure AD e verifique se a conta de usuário do IAM tem as permissões corretas. Você também pode reiniciar o mecanismo de provisionamento para tentar a importação novamente:

Captura de tela da opção Reiniciar provisionamento na barra de menus.

Testar o SSO do Azure AD no Console de Gerenciamento da AWS

Teste a entrada como cada um dos usuários de teste para confirmar se o SSO funciona.

  1. Inicie uma nova sessão privada do navegador para garantir que outras credenciais armazenadas não entrem em conflito com os testes.

  2. Acesse https://myapps.microsoft.com usando as credenciais das contas de usuário do Azure AD Test-AWSAdmin ou Test-AWSDeveloper que você criou.

  3. Você verá o novo ícone do aplicativo Console da AWS. Selecione o ícone e siga todos os prompts de autenticação:

    Captura de tela do ícone do aplicativo Console da AWS.

  4. Depois de entrar no Console da AWS, navegue pelos recursos para confirmar se essa conta tem o acesso delegado apropriado.

  5. Observe o formato de nomenclatura da sessão de entrada do usuário:

    FUNÇÃO/UPN/Número da Conta da AWS

    Você pode usar essas informações de sessão de entrada do usuário para acompanhar a atividade de entrada do usuário no Defender para Aplicativos de Nuvem ou no Microsoft Sentinel.

    Captura de tela das informações da sessão de entrada.

  6. Saia e repita o processo na outra conta de usuário de teste para confirmar as diferenças no mapeamento de função e nas permissões.

Habilitar o Acesso Condicional

Para criar uma política de acesso condicional que exija MFA:

  1. No portal do Azure, acesse Azure AD>Segurança e selecione Acesso Condicional.

  2. Na navegação à esquerda, selecione Políticas.

    Captura da tela Acesso Condicional do Azure AD com a opção Políticas selecionada.

  3. Selecione Nova política e preencha o formulário da seguinte maneira:

    • Nome: insira Console da AWS – MFA
    • Usuários e Grupos: selecione os dois grupos de funções que você já criou:
      • AWS-Account1-Administrators
      • AWS-Account1-Developers
    • Concessão: selecione Exigir a autenticação multifator

  4. Defina Habilitar política como Ativo.

    Captura de tela do formulário de nova política preenchido.

  5. Selecione Criar. A política entra em vigor imediatamente.

  6. Para testar a política de acesso condicional, saia das contas de teste, abra uma nova sessão de navegação privada e entre com uma das contas do grupo de funções. Você verá o prompt da MFA:

    Captura de tela do prompt de entrada da MFA.

  7. Conclua o processo de configuração da MFA. É melhor usar o aplicativo móvel para autenticação, em vez de depender de SMS.

    Captura da tela de configuração da MFA no aplicativo móvel.

Talvez seja necessário criar várias políticas de acesso condicional para atender às necessidades de negócios relacionadas a autenticação forte. Considere a convenção de nomenclatura que você usa ao criar as políticas para garantir a facilidade de identificação e a manutenção contínua. Além disso, a menos que a MFA já esteja amplamente implantada, verifique se a política tem escopo para afetar apenas os usuários pretendidos. Outras políticas devem abranger as necessidades de outros grupos de usuários.

Depois de habilitar o Acesso Condicional, você poderá impor outros controles, como o PAM e o provisionamento JIT (Just-In-Time). Para obter mais informações, confira O que é o provisionamento de usuários do aplicativo SaaS automatizado no Azure AD.

Se você tiver o Defender para Aplicativos de Nuvem, use o acesso condicional para configurar as políticas de sessão desse serviço. Para obter mais informações, confira Configurar as políticas de sessão do Azure AD para atividades da AWS.

Próximas etapas