Práticas recomendadas de segurança de controle de acesso e Gerenciamento de Identidade do Azure

Neste artigo, discutiremos uma coleção de práticas recomendadas de segurança de controle de acesso e gerenciamento de identidade do Azure. Essas práticas recomendadas são derivadas de nossa experiência com a ID do Microsoft Entra e das experiências de clientes como você.

Para cada prática recomendada, vamos explicar:

• O que é a prática recomendada
• Por que é ideal habilitar essa prática recomendada
• O que poderá acontecer se você não habilitar a prática recomendada
• Possíveis alternativas à prática recomendada
• Como você pode aprender a habilitar a prática recomendada

Este artigo de práticas recomendadas de segurança de controle de acesso e gerenciamento de identidade do Azure baseia-se em uma opinião de consenso e recursos e conjuntos de recursos da plataforma do Azure, como eles existem no momento em que este artigo foi escrito.

A intenção ao escrever este artigo é fornecer um roteiro geral para uma postura de segurança mais robusta após a implantação guiada por nossa lista de verificação "5 etapas para proteger sua infraestrutura de identidade", que orienta você por alguns de nossos principais recursos e serviços.

As opiniões e as tecnologias mudam ao longo do tempo e este artigo será atualizado regularmente para refletir essas alterações.

As práticas recomendadas de segurança de controle de acesso e gerenciamento de identidade do Azure discutidas neste artigo incluem:

• Tratar a identidade como o perímetro de segurança principal
• Centralizar o gerenciamento de identidade
• Gerenciar locatários conectados
• Habilitar logon único
• Ativar o Acesso Condicional
• Planejar melhorias de segurança de rotina
• Habilitar o gerenciamento de senha
• Impor a verificação multifator para usuários
• Use o controle de acesso baseado em função
• Menor exposição de contas com privilégios
• Controlar locais onde os recursos estão localizados
• Usar a ID do Microsoft Entra para autenticação de armazenamento

Tratar a identidade como o perímetro de segurança principal

Muitos consideram a identidade como o perímetro primário para segurança. Essa é uma mudança do foco tradicional na segurança de rede. Os perímetros de rede continuam ficando mais porosos e essa defesa de perímetro não pode ser tão eficaz quanto antes da explosão de dispositivos BYOD e aplicativos de nuvem.

O Microsoft Entra ID é a solução do Azure para gerenciamento de identidade e acesso. O Microsoft Entra ID é um serviço de gerenciamento de identidade e diretório multilocatário baseado em nuvem da Microsoft. Combina serviços de diretório principais, gerenciamento de acesso a aplicativos e proteção de identidade em uma única solução.

As seções a seguir listam as melhores práticas para segurança de identidade e acesso usando a ID do Microsoft Entra.

Prática recomendada: centralizar controles de segurança e detecções em torno de identidades de usuário e serviço. Detalhe: use o Microsoft Entra ID para colocar controles e identidades.

Centralizar o gerenciamento de identidade

Em um cenário de identidade híbrida, recomendamos que você integre seus diretórios locais e de nuvem. A integração permite que sua equipe de TI gerencie contas de um local, independentemente de onde uma conta seja criada. A integração também ajuda os usuários a serem mais produtivos, fornecendo uma identidade comum para acessar recursos locais e de nuvem.

Prática recomendada: estabelecer uma única instância do Microsoft Entra. A consistência e uma única fonte autoritativa aumentarão a clareza e reduzirão os riscos de segurança de erros humanos e complexidade de configuração.
Detalhe: designe um único diretório do Microsoft Entra como a fonte autoritativa para contas corporativas e organizacionais.

Prática recomendada: integrar seus diretórios locais à ID do Microsoft Entra.
Detalhe: use o Microsoft Entra Connect para sincronizar seu diretório local com o diretório de nuvem.

Observação

Há fatores que afetam o desempenho do Microsoft Entra Connect. Verifique se o Microsoft Entra Connect tem capacidade suficiente para impedir que sistemas com baixo desempenho impeçam a segurança e a produtividade. Organizações grandes ou complexas (organizações que provisionam mais de 100.000 objetos) devem seguir as recomendações para otimizar a implementação do Microsoft Entra Connect.

Prática recomendada: não sincronize contas com a ID do Microsoft Entra que tenham privilégios altos em sua instância existente do Active Directory.
Detalhe: não altere a configuração padrão do Microsoft Entra Connect que filtra essas contas. Essa configuração reduz o risco de adversários pivotarem da nuvem para os ativos locais (o que pode criar um incidente importante).

Prática recomendada: ativar a sincronização de hash de senha.
Detalhe: A Sincronização de Hash de Senha é um recurso usado para sincronizar os hashes de senha de usuário de uma instância do Active Directory local para uma instância do Microsoft Entra baseada em nuvem. A sincronização ajuda a proteger contra o uso reutilizado de credenciais vazadas em ataques anteriores.

Mesmo que você decida usar a federação com os Serviços de Federação do Active Directory (AD FS) ou outros provedores de identidade, opcionalmente você poderá configurar a sincronização de hash de senha como um backup caso os servidores locais falhem ou fiquem temporariamente indisponíveis. Essa sincronização permite que os usuários entrem no serviço usando a mesma senha que eles usam para entrar na instância do Active Directory local. Ele também permite que o Identity Protection detecte credenciais comprometidas comparando hashes de senha sincronizados com senhas conhecidas por estarem comprometidas, se um usuário tiver usado o mesmo endereço de email e senha em outros serviços que não estão conectados à ID do Microsoft Entra.

Para obter mais informações, veja Implementar a sincronização de senha com a sincronização do Microsoft Entra Connect.

Prática recomendada: para o desenvolvimento de novos aplicativos, use a ID do Microsoft Entra para autenticação.
Detalhe: use os recursos corretos para dar suporte à autenticação:

• Microsoft Entra ID para funcionários
• Microsoft Entra B2B para usuários convidados e parceiros externos
• ID Externa do Microsoft Entra para controlar como os clientes se inscrevem, entram e gerenciam seus perfis quando usam seus aplicativos

As organizações que não integram sua identidade local à sua identidade de nuvem podem ter mais sobrecarga no gerenciamento de contas. Essa sobrecarga aumenta a probabilidade de erros e violações de segurança.

Observação

Você precisa escolher em quais diretórios as contas críticas residirão e se a estação de trabalho do administrador usada é gerenciada por novos serviços de nuvem ou processos existentes. O uso de processos de gerenciamento e provisionamento de identidade existentes pode diminuir alguns riscos, mas também pode criar o risco de um invasor comprometer uma conta local e pivotar para a nuvem. Talvez você queira usar uma estratégia diferente para funções diferentes (por exemplo, administradores de TI versus administradores de unidade de negócios). Tem duas opções. A primeira opção é criar contas do Microsoft Entra que não são sincronizadas com sua instância do Active Directory local. Conecte sua estação de trabalho administrativa ao Microsoft Entra ID, que você pode gerenciar e atualizar usando o Microsoft Intune. A segunda opção é usar contas de administrador existentes sincronizando com sua instância do Active Directory local. Use estações de trabalho existentes em seu domínio do Active Directory para gerenciamento e segurança.

Gerenciar locatários conectados

Sua organização de segurança precisa de visibilidade para avaliar o risco e determinar se as políticas de sua organização e quaisquer requisitos regulatórios estão sendo seguidas. Você deve garantir que sua organização de segurança tenha visibilidade de todas as assinaturas conectadas ao seu ambiente de produção e rede (por meio do Azure ExpressRoute ou VPN site a site. Um Administrador Global no Microsoft Entra ID pode elevar seu acesso à função administrador de acesso do usuário e ver todas as assinaturas e grupos gerenciados conectados ao seu ambiente.

Confira o acesso elevado para gerenciar todas as assinaturas e grupos de gerenciamento do Azure para garantir que você e seu grupo de segurança possam exibir todas as assinaturas ou grupos de gerenciamento conectados ao seu ambiente. Você deve remover esse acesso elevado depois de avaliar os riscos.

Habilitar logon único

Em um mundo em que o móvel e a nuvem são prioridades, você deseja habilitar o SSO (logon único) para dispositivos, aplicativos e serviços de qualquer lugar, para que os usuários possam ser produtivos a qualquer hora e em qualquer lugar. Quando você tem várias soluções de identidade para gerenciar, isso se torna um problema administrativo não apenas para TI, mas também para usuários que precisam se lembrar de várias senhas.

Usando a mesma solução de identidade para todos os seus aplicativos e recursos, você pode obter SSO. E os usuários podem usar o mesmo conjunto de credenciais para entrar e acessar os recursos necessários, seja eles localizados no local ou na nuvem.

Prática recomendada: habilitar o SSO.
Detalhe: a ID do Microsoft Entra estende o Active Directory local para a nuvem. Os usuários podem usar sua conta principal de trabalho ou escolar para seus dispositivos associados ao domínio, recursos da empresa e todos os aplicativos Web e SaaS de que precisam para realizar seus trabalhos. Os usuários não precisam se lembrar de vários conjuntos de nomes de usuário e senhas, e seu acesso ao aplicativo pode ser provisionado automaticamente (ou desprovisionado) com base em suas associações de grupo organizacional e seu status como funcionário. E você pode controlar esse acesso de aplicativos da galeria ou dos seus aplicativos locais que você desenvolveu e publicou pelo Proxy de aplicativo do Microsoft Entra.

Use o SSO para permitir que os usuários acessem seus aplicativos SaaS com base em sua conta corporativa ou de estudante na ID do Microsoft Entra. Isso é aplicável não apenas para aplicativos SaaS da Microsoft, mas também para outros aplicativos, como Google Apps e Salesforce. Você pode configurar seu aplicativo para usar a ID do Microsoft Entra como um provedor de identidade baseado em SAML . Como um controle de segurança, a ID do Microsoft Entra não emite um token que permita que os usuários entrem no aplicativo, a menos que tenham recebido acesso por meio da ID do Microsoft Entra. Você pode conceder acesso diretamente ou por meio de um grupo do qual os usuários são membros.

As organizações que não criam uma identidade comum para estabelecer o SSO para seus usuários e aplicativos são mais expostas a cenários em que os usuários têm várias senhas. Esses cenários aumentam a probabilidade de usuários reutilizando senhas ou usando senhas fracas.

Ativar o Acesso Condicional

Os usuários podem acessar os recursos da sua organização usando uma variedade de dispositivos e aplicativos de qualquer lugar. Como administrador de TI, você deseja que esses dispositivos atendam aos padrões de segurança e conformidade. Apenas focar em quem pode acessar um recurso não é mais suficiente.

Para dominar o equilíbrio entre segurança e produtividade, você também precisa considerar como um recurso é acessado em uma decisão sobre o controle de acesso. Com o Acesso Condicional do Microsoft Entra, você pode atender a esse requisito. Com o acesso condicional, você pode tomar decisões de controle de acesso automatizado com base em condições de acesso a aplicativos de nuvem.

Melhor prática: Gerenciar e controlar o acesso aos recursos corporativos.
Detalhamento: Configure políticas comuns de Acesso Condicional do Microsoft Entra com base em um grupo, localização e sensibilidade do aplicativo para aplicativos SaaS e aplicativos conectados à ID do Microsoft Entra.

Melhor prática: Bloquear protocolos de autenticação herdados.
Detalhe: Todos os dias, invasores exploram os pontos fracos nos protocolos mais antigos, especialmente para ataques de irrigação de senha. Configure o Acesso Condicional para bloquear protocolos herdados.

Planejar melhorias de segurança de rotina

A segurança está sempre evoluindo e é importante criar em sua estrutura de gerenciamento de nuvem e identidade uma maneira de mostrar regularmente o crescimento e descobrir novas maneiras de proteger seu ambiente.

A Pontuação de Segurança de Identidade é um conjunto de controles de segurança recomendados que a Microsoft publica que funciona para fornecer uma pontuação numérica para medir objetivamente sua postura de segurança e ajudar a planejar melhorias futuras de segurança. Você também pode exibir sua pontuação em comparação com as de outros setores, bem como suas próprias tendências ao longo do tempo.

Prática recomendada: planeje revisões de segurança de rotina e melhorias com base nas práticas recomendadas em seu setor.
Detalhe: use o recurso Pontuação de Segurança de Identidade para classificar suas melhorias ao longo do tempo.

Habilitar o gerenciamento de senha

Se você tiver vários locatários ou quiser permitir que os usuários redefinam suas próprias senhas, é importante que você use as políticas de segurança apropriadas para evitar abusos.

Prática recomendada: configurar a SSPR (redefinição de senha de autoatendimento) para seus usuários.
Detalhe: use o recurso de redefinição de senha de autoatendimento da ID do Microsoft Entra.

Prática recomendada: monitore como ou se a SSPR está realmente sendo usada.
Detalhe: monitore os usuários que estão se registrando usando o relatório atividade de registro de redefinição de senha do Microsoft Entra ID. O recurso de relatório fornecido pelo Microsoft Entra ID ajuda você a responder a perguntas usando relatórios predefinidos. Se você estiver licenciado adequadamente, também poderá criar consultas personalizadas.

Prática recomendada: estender políticas de senha baseadas em nuvem para sua infraestrutura local.
Detalhe: aprimore as políticas de senha em sua organização executando as mesmas verificações de alterações de senha locais como você faz para alterações de senha baseadas em nuvem. Instale a proteção de senha do Microsoft Entra para agentes do Active Directory do Windows Server local para estender listas de senhas proibidas para sua infraestrutura existente. Os usuários e administradores que alteram, definem ou redefinem senhas locais são obrigados a cumprir a mesma política de senha que os usuários somente na nuvem.

Impor a verificação multifator para usuários

É recomendável que você exija a verificação em duas etapas para todos os seus usuários. Isso inclui os administradores e outros em sua organização que pode ter um impacto significativo se sua conta for comprometida (por exemplo, gerentes financeiros).

Há várias opções para exigir a verificação em duas etapas. A melhor opção para você depende de suas metas, da edição do Microsoft Entra que você está executando e do seu programa de licenciamento. Consulte Como exigir verificação em duas etapas para um usuário para determinar a melhor opção para você. Consulte as páginas de preços do Microsoft Entra ID e da Autenticação multifator do Microsoft Entra para obter mais informações sobre licenças e preços.

Estas são as opções e benefícios para habilitar a verificação em duas etapas:

Opção 1: habilite a MFA para todos os usuários e métodos de logon com padrões de segurança do Microsoft Entra
Benefício: essa opção permite que você imponha facilmente e rapidamente a MFA para todos os usuários em seu ambiente com uma política rigorosa para:

• Desafiar contas administrativas e mecanismos de logon administrativo
• Exigir desafio de MFA por meio do Microsoft Authenticator para todos os usuários
• Restringir protocolos de autenticação herdados.

Esse método está disponível a todos os níveis de licenciamento, mas não pode ser misturado com políticas de acesso condicional existentes. Você pode encontrar mais informações em Padrões de segurança do Microsoft Entra

Opção 2: habilite a autenticação multifator alterando o estado do usuário.
Benefício: Esse é o método tradicional para exigir a verificação em duas etapas. Ele funciona com a autenticação multifator do Microsoft Entra na nuvem e com o Servidor de Autenticação Multifator do Microsoft Azure. O uso desse método exigirá que os usuários realizem a verificação em duas etapas sempre que entrarem e substituírem as políticas de acesso condicional.

Para determinar onde a autenticação multifator precisa ser habilitada, confira Qual versão da autenticação multifator do Microsoft Entra é adequada para minha organização?.

Opção 3: habilite a autenticação multifator com a política de Acesso Condicional.
Benefício: Essa opção permite que você solicite a verificação em duas etapas sob condições específicas usando o acesso condicional. As condições específicas podem ser entrada do usuário de locais diferentes, não confiável de dispositivos ou aplicativos que você considere arriscadas. Definir condições específicas em que você exige verificação em duas etapas permite que você evite solicitação constante para seus usuários, que podem ser uma experiência de usuário desagradáveis.

Essa é a maneira mais flexível para habilitar a verificação em duas etapas para seus usuários. A habilitação de uma política de Acesso Condicional funciona apenas para a autenticação multifator do Microsoft Entra na nuvem e é um recurso premium do Microsoft Entra ID. Você pode encontrar mais informações sobre esse método em Implantar a autenticação multifator do Microsoft Entra baseada em nuvem.

Opção 4: habilite a autenticação multifator com políticas de Acesso Condicional avaliando as políticas de Acesso Condicional baseadas em risco.
Benefício: Essa opção permite que você:

• Detecte possíveis vulnerabilidades que afetam as identidades da sua organização.
• Configure respostas automatizadas para ações suspeitas detectadas relacionadas às identidades da sua organização.
• Investigar incidentes suspeitos e tomar as devidas providências para resolvê-los.

Este método usa a avaliação de risco do Microsoft Entra ID Protection para determinar se a verificação em duas etapas é necessária com base no risco do usuário e de entrada para todos os aplicativos em nuvem. Esse método requer o licenciamento do Microsoft Entra ID P2. Você pode encontrar mais informações sobre esse método no Microsoft Entra ID Protection.

Observação

A opção 2, permitindo a autenticação multifator alterando o estado do usuário, substitui as políticas de Acesso Condicional. Como as opções 3 e 4 usam políticas de Acesso Condicional, você não pode usar a opção 2 com eles.

As organizações que não adicionam camadas extras de proteção de identidade, como verificação em duas etapas, são mais suscetíveis a ataques de roubo de credenciais. Um ataque de roubo de credencial pode levar ao comprometimento de dados.

Use o controle de acesso baseado em função

O gerenciamento de acesso para recursos de nuvem é fundamental para qualquer organização que use a nuvem. O RBAC do Azure (controle de acesso baseado em funções do Azure) ajuda a gerenciar quem tem acesso aos recursos do Azure, o que pode fazer com esses recursos e a quais áreas tem acesso.

Designar grupos ou funções individuais responsáveis por funções específicas no Azure ajuda a evitar confusão que pode levar a erros humanos e de automação que criam riscos de segurança. Restringir o acesso com base nos princípios de segurança de necessidade de saber e menor privilégio é fundamental para organizações que desejam impor políticas de segurança para acesso a dados.

Sua equipe de segurança precisa de visibilidade dos recursos do Azure para avaliar e corrigir riscos. Se a equipe de segurança tiver responsabilidades operacionais, ela precisará de permissões adicionais para realizar seus trabalhos.

Você pode usar o RBAC do Azure para atribuir permissões a usuários, grupos e aplicativos em um determinado escopo. O escopo de uma atribuição de função pode ser uma assinatura, um grupo de recursos ou um único recurso.

Prática recomendada: segregar tarefas em sua equipe e conceder apenas a quantidade de acesso aos usuários que eles precisam para executar seus trabalhos. Em vez de conceder permissões irrestrita a todos em sua assinatura ou recursos do Azure, permita apenas determinadas ações em um escopo específico.
Detalhe: use as Funções internas do Azure no Azure para atribuir privilégios aos usuários.

Observação

Permissões específicas criam complexidade e confusão desnecessárias, acumulando-se em uma configuração "herdada" difícil de corrigir sem medo de quebrar algo. Evite permissões específicas para cada recurso. Em vez disso, use grupos de gerenciamento para permissões de toda a empresa e grupos de recursos para permissões dentro de assinaturas. Evite permissões específicas do usuário. Em vez disso, atribua acesso a grupos na ID do Microsoft Entra.

Prática recomendada: conceda às equipes de segurança acesso às responsabilidades do Azure para ver os recursos do Azure para que possam avaliar e corrigir riscos.
Detalhe: conceda às equipes de segurança a função leitor de segurança do RBAC do Azure. Você pode usar o grupo de gerenciamento raiz ou o grupo de gerenciamento de segmento, dependendo do escopo das responsabilidades:

• Grupo de gerenciamento raiz para equipes responsáveis por todos os recursos corporativos
• Grupo de gestão de segmentos para equipes com escopo limitado (geralmente devido a limites regulatórios ou outras fronteiras organizacionais)

Prática recomendada: conceda as permissões apropriadas às equipes de segurança que têm responsabilidades operacionais diretas.
Detalhe: examine as funções internas do Azure para a atribuição de função apropriada. Se as funções internas não atenderem às necessidades específicas da sua organização, você poderá criar funções personalizadas do Azure. Assim como as funções internas, você pode atribuir funções personalizadas a usuários, grupos e entidades de serviço na assinatura, no grupo de recursos e nos escopos de recurso.

Práticas recomendadas: conceda ao Microsoft Defender para Nuvem acesso a funções de segurança que precisam dele. O Defender para Nuvem permite que as equipes de segurança identifiquem e corrijam rapidamente os riscos.
Detalhe: adicione equipes de segurança com essas necessidades à função de Administrador de Segurança do RBAC do Azure para que elas possam exibir políticas de segurança, exibir estados de segurança, editar políticas de segurança, exibir alertas e recomendações e ignorar alertas e recomendações. Você pode fazer isso usando o grupo de gerenciamento raiz ou o grupo de gerenciamento de segmento, dependendo do escopo das responsabilidades.

As organizações que não impõem o controle de acesso a dados usando recursos como o RBAC do Azure podem estar dando mais privilégios do que o necessário para seus usuários. Isso pode levar ao comprometimento de dados permitindo que os usuários acessem tipos de dados (por exemplo, alto impacto nos negócios) que eles não deveriam ter.

Menor exposição de contas com privilégios

Proteger o acesso privilegiado é um primeiro passo fundamental para proteger recursos empresariais. Minimizando o número de pessoas que têm acesso a informações seguras ou recursos reduz a chance de um usuário mal-intencionado obter acesso, ou um usuário autorizado afetar acidentalmente um recurso confidencial.

As contas privilegiadas são aquelas que administram e gerenciam sistemas de TI. Os invasores virtuais visam essas contas para obter acesso aos sistemas e aos dados de uma organização. Para proteger o acesso privilegiado, isole as contas e os sistemas do risco de exposição a um usuário mal-intencionado.

Recomendamos que você desenvolva e siga um roteiro para proteger o acesso privilegiado contra invasores cibernéticos. Para obter informações sobre como criar um roteiro detalhado para proteger identidades e acesso que são gerenciados ou relatados no Microsoft Entra ID, Microsoft Azure, Microsoft 365 e outros serviços de nuvem, examine a proteção de acesso privilegiado para implantações híbridas e de nuvem no Microsoft Entra ID.

O seguinte resume as práticas recomendadas encontradas na proteção de acesso privilegiado para implantações híbridas e na nuvem na ID do Microsoft Entra:

Melhor prática: Gerenciar, controlar e monitorar o acesso a contas privilegiadas.
Detalhe: ative o Microsoft Entra Privileged Identity Management. Depois de ativar o Privileged Identity Management, você receberá mensagens de notificação por email para alterações da função de acesso privilegiado. Essas notificações fornecem aviso antecipado quando usuários adicionais são adicionados a funções altamente privilegiadas em seu diretório.

Melhor prática: Certifique-se de que todas as contas críticas de administrador sejam gerenciadas por contas do Microsoft Entra. Detalhe: Remova todas as contas de consumidor das funções de administrador críticas (ex.: contas da Microsoft, como hotmail.com, live.com e outlook.com).

Melhor prática: Verifique se todas as funções de administrador críticas têm uma conta separada para tarefas administrativas para evitar phishing e outros ataques que comprometam os privilégios administrativos.
Detalhe: Crie uma conta de administrador separada com privilégios necessários para executar tarefas administrativas. Bloqueie o uso dessas contas administrativas em ferramentas de produtividade diárias, como o email do Microsoft 365 ou navegação arbitrária na Web.

Melhor prática: Identificar e categorizar as contas que estão em funções altamente privilegiadas.
Detalhes: Após ativar o Microsoft Entra Privileged Identity Management, exiba os usuários que estão no administrador global, no administrador de funções com privilégios e em outras funções altamente privilegiadas. Remova as contas que não são mais necessárias nessas funções e categorize as contas que são atribuídas a funções de administrador:

• Atribuído individualmente a usuários administrativos e pode ser usado para fins não administrativos (por exemplo, email pessoal)
• Individualmente atribuídas para usuários administrativos e designadas para fins administrativos apenas
• Compartilhado entre vários usuários
• Para cenários de acesso de emergência
• Para scripts automatizados
• Para usuários externos

Melhor prática: Implementar acesso JIT ("Just-In-Time") para reduzir ainda mais o tempo de exposição de privilégios e aumentar sua visibilidade sobre o uso de contas privilegiadas.
Detalhe: o Microsoft Entra Privileged Identity Management permite:

• Limitar os usuários a assumir seus privilégios JIT.
• Atribua funções por uma duração reduzida com confiança de que os privilégios são revogados automaticamente.

Prática recomendada: defina pelo menos duas contas de acesso de emergência.
Detalhe: contas de acesso de emergência ajudam as organizações a restringir o acesso privilegiado em um ambiente existente do Microsoft Entra. Essas contas são altamente privilegiadas e não são atribuídas a indivíduos específicos. As contas de acesso de emergência são limitadas a cenários em que contas administrativas normais não podem ser usadas. As organizações devem limitar o uso da conta de emergência apenas ao tempo necessário.

Avalie as contas atribuídas ou qualificadas para a função de administrador global. Se você não vir nenhuma conta somente na nuvem usando o domínio *.onmicrosoft.com (usado para acesso de emergência), providencie a criação dessas contas. Para obter mais informações, consulte Gerenciar contas administrativas de acesso de emergência na ID do Microsoft Entra.

Prática recomendada: tenha um processo de "quebra de vidro" definido para emergências.
Detalhe: siga as etapas em Proteger o acesso privilegiado para implantações híbridas e na nuvem na ID do Microsoft Entra.

Prática recomendada: exigir que todas as contas de administrador críticas sejam sem senha (preferenciais) ou exijam autenticação multifator.
Detalhe: use o aplicativo Microsoft Authenticator para entrar em qualquer conta do Microsoft Entra sem usar uma senha. Assim como o Windows Hello para Empresas, o Microsoft Authenticator usa a autenticação baseada em chave para habilitar uma credencial de usuário vinculada a um dispositivo e usa a autenticação biométrica ou um PIN.

Exigir a autenticação multifator do Microsoft Entra no momento do login para todos os usuários que são permanentemente atribuídos a uma ou mais das funções de administrador do Microsoft Entra: Administrador Global, Administrador de Funções Privilegiadas, Administrador do Exchange Online e Administrador do SharePoint Online. Habilite a autenticação multifator para suas contas de administrador e verifique se os usuários da conta de administrador se registraram.

Prática recomendada: para contas de administrador críticas, tenha uma estação de trabalho de administrador em que as tarefas de produção não são permitidas (por exemplo, navegação e email). Isso protegerá suas contas de administrador contra vetores de ataque que usam navegação e email e reduzirá significativamente o risco de um incidente importante.
Detalhe: use uma estação de trabalho de administrador. Escolha um nível de segurança de estação de trabalho:

• Dispositivos de produtividade altamente seguros fornecem segurança avançada para navegação e outras tarefas de produtividade.
• As PAWs (Estações de Trabalho de Acesso Privilegiado) fornecem um sistema operacional dedicado protegido contra ataques da Internet e vetores de ameaças para tarefas confidenciais.

Prática recomendada: desprovisionar contas de administrador quando os funcionários deixam sua organização.
Detalhe: tenha um processo em vigor que desabilite ou exclua contas de administrador quando os funcionários deixarem sua organização.

Prática recomendada: teste regularmente contas de administrador usando técnicas de ataque atuais.
Detalhe: use o Simulador de Ataque do Microsoft 365 ou uma oferta de terceiros para executar cenários de ataque realistas em sua organização. Isso pode ajudá-lo a encontrar usuários vulneráveis antes que ocorra um ataque real.

Prática recomendada: execute as etapas para atenuar as técnicas atacadas mais usadas.
Detalhe: Identificar contas da Microsoft em funções administrativas que precisam ser alteradas para contas de trabalho ou escolares

Garantir contas de usuário separadas e encaminhamento de email para contas de administrador global

Verifique se as senhas das contas administrativas foram alteradas recentemente

Ativar a sincronização de hash de senha

Exigir autenticação multifator para usuários em todas as funções privilegiadas, bem como usuários expostos

Obter sua Pontuação de Segurança do Microsoft 365 (se estiver usando o Microsoft 365)

Examine as diretrizes de segurança do Microsoft 365 (se estiver usando o Microsoft 365)

Configurar o Monitoramento de Atividades do Microsoft 365 (se estiver usando o Microsoft 365)

Estabelecer proprietários do plano de resposta a incidentes/emergências

Proteger contas administrativas com privilégios locais

Se você não proteger o acesso privilegiado, poderá descobrir que tem muitos usuários em funções altamente privilegiadas e é mais vulnerável a ataques. Atores mal-intencionados, incluindo invasores cibernéticos, geralmente direcionam contas de administrador e outros elementos de acesso privilegiado para obter acesso a dados e sistemas confidenciais usando o roubo de credenciais.

Controlar locais onde os recursos são criados

Habilitar operadores de nuvem para executar tarefas, impedindo-os de interromper convenções necessárias para gerenciar os recursos da sua organização é muito importante. As organizações que desejam controlar os locais onde os recursos são criados devem codificar esses locais.

Você pode usar o Azure Resource Manager para criar políticas de segurança cujas definições descrevem as ações ou recursos negados especificamente. Você atribui essas definições de política no escopo desejado, como a assinatura, o grupo de recursos ou um recurso individual.

Observação

As políticas de segurança não são as mesmas que o RBAC do Azure. Na verdade, eles usam o RBAC do Azure para autorizar os usuários a criar esses recursos.

As organizações que não estão controlando como os recursos são criados são mais suscetíveis a usuários que podem abusar do serviço criando mais recursos do que precisam. Proteger o processo de criação de recursos é uma etapa importante para proteger um cenário de multilocatário.

Monitorar ativamente atividades suspeitas

Um sistema de monitoramento de identidade ativo pode detectar rapidamente comportamentos suspeitos e disparar um alerta para uma investigação mais aprofundada. A tabela a seguir lista os recursos do Microsoft Entra que podem ajudar as organizações a monitorar suas identidades:

Prática recomendada: tenha um método para identificar:

• Tenta entrar em sem rastreamento.
• Ataques de força bruta contra uma conta específica.
• Tentativas de login a partir de vários locais.
• Entradas de dispositivos infectados.
• Endereços IP suspeitos.

Detalhe: utilize relatórios de anomalias do Microsoft Entra ID P1 ou P2. Tenha processos e procedimentos em vigor para que os administradores de TI executem esses relatórios diariamente ou sob demanda (geralmente em um cenário de resposta a incidentes).

Prática recomendada: tenha um sistema de monitoramento ativo que notifique você sobre riscos e possa ajustar o nível de risco (alto, médio ou baixo) aos seus requisitos de negócios.
Detalhe: use o Microsoft Entra ID Protection, que sinaliza os riscos atuais em seu próprio painel e envia notificações resumo diárias por email. Para ajudar a proteger as identidades da sua organização, você pode configurar políticas baseadas em risco que respondem automaticamente a problemas detectados quando um nível de risco especificado é atingido.

As organizações que não monitoram ativamente seus sistemas de identidade correm o risco de ter as credenciais do usuário comprometidas. Sem saber que atividades suspeitas estão ocorrendo por meio dessas credenciais, as organizações não podem atenuar esse tipo de ameaça.

Usar a ID do Microsoft Entra para autenticação de armazenamento

O Armazenamento do Azure dá suporte à autenticação e autorização com o Microsoft Entra ID para Armazenamento de Blobs e Armazenamento de Filas. Com a autenticação do Microsoft Entra, você pode usar o controle de acesso baseado em função do Azure para conceder permissões específicas a usuários, grupos e aplicativos até o escopo de um contêiner ou fila de blob individual.

Recomendamos que você use a ID do Microsoft Entra para autenticar o acesso ao armazenamento.

Próxima etapa

Veja Melhores práticas e padrões de segurança do Azure para obter melhores práticas segurança complementares a serem usadas ao projetar, implantar e gerenciar as soluções de nuvem, usando o Azure.