Visão geral da segurança de gerenciamento de identidades do Azure

O gerenciamento de identidade é o processo de autenticação e autorização de entidades de segurança. Também envolve controlar informações sobre as entidades (identidades). Entidades de segurança (identidades) podem incluir serviços, aplicativos, usuários, grupos, etc. Soluções de gerenciamento e de identidade da Microsoft ajudam a TI a proteger o acesso a aplicativos e recursos pelo datacenter corporativo e para a nuvem. Essa proteção permite níveis adicionais de validação, como autenticação multifator e políticas de Acesso Condicional. O monitoramento de atividades suspeitas por meio de relatórios de segurança, auditoria e alertas avançados ajuda a atenuar possíveis problemas de segurança. O Microsoft Entra ID P1 ou P2 fornece SSO (logon único) para milhares de aplicativos saaS (software como serviço) de nuvem e acesso a aplicativos Web executados localmente.

Aproveitando os benefícios de segurança da ID do Microsoft Entra, você pode:

• Crie e gerencie uma identidade única para cada usuário em sua empresa híbrida, mantendo usuários, grupos e dispositivos em sincronia.
• Forneça acesso de SSO aos seus aplicativos, incluindo milhares de aplicativos SaaS pré-integrados.
• Habilitar segurança de acesso do aplicativo por meio da aplicação da autenticação multifator com base em regras para aplicativos locais e na nuvem.
• Provisionar o acesso remoto seguro a aplicativos Web locais por meio do proxy de aplicativo do Microsoft Entra.

O objetivo deste artigo é fornecer uma visão geral dos principais recursos de segurança do Azure que ajudam no gerenciamento de identidades. Também fornecemos links para artigos que fornecem detalhes de cada recurso para que você possa saber mais.

O artigo se concentra nos seguintes recursos principais de gerenciamento de Identidade do Azure:

• Logon único
• Proxy reverso HTTP
• Autenticação multifator
• RBAC do Azure (controle de acesso baseado em funções)
• Relatórios baseados em aprendizado de máquina, alertas e monitoramento de segurança
• Gerenciamento de acesso e identidade do consumidor
• Registro de dispositivos
• Gerenciamento de Identidades Privilegiadas
• Proteção de identidade
• Gerenciamento de identidade híbrida/conexão do Azure AD
• Revisões de acesso do Microsoft Entra

Logon único

O SSO (logon único) significa poder acessar todos os aplicativos e recursos necessários para fazer negócios, entrando apenas uma vez usando uma única conta de usuário. Depois de conectado, você pode acessar todos os aplicativos necessários sem precisar autenticar (por exemplo, digitar uma senha) uma segunda vez.

Muitas organizações dependem de aplicativos SaaS, como Microsoft 365, Box e Salesforce, para produtividade do usuário. Historicamente, a equipe de TI precisava criar e atualizar individualmente as contas de usuário em cada aplicativo SaaS e os usuários precisavam lembrar uma senha para cada aplicativo SaaS.

O Microsoft Entra ID estende os ambientes do Active Directory local para a nuvem, permitindo que os usuários usem suas contas organizacionais primárias para se conectar não apenas a recursos corporativos e dispositivos ingressados no domínio, mas também a todos os aplicativos Web e de SaaS necessários para seus trabalhos.

Além de os usuários não precisarem gerenciar vários conjuntos de nomes de usuário e senhas, você pode provisionar ou desprovisionar o acesso de aplicativos automaticamente, com base em seus grupos organizacionais e em seu status de funcionário. O Microsoft Entra ID apresenta controles de governança de segurança e acesso com os quais você pode gerenciar centralmente o acesso dos usuários em aplicativos SaaS.

Saiba Mais:

• Visão geral do SSO
• Conceitos básicos de autenticação em vídeo
• Série de início rápido sobre gerenciamento de aplicativos

Proxy reverso HTTP

O proxy de aplicativo do Microsoft Entra permite que você publique aplicativos em uma rede privada, como sites do SharePoint , Outlook Web App e aplicativos baseados em IIS dentro de sua rede privada e fornece acesso seguro aos usuários fora de sua rede. O Proxy de Aplicativo fornece acesso remoto e SSO para muitos tipos de aplicativos Web locais com os milhares de aplicativos SaaS compatíveis com o Microsoft Entra ID. Os funcionários podem entrar em seus aplicativos de casa em seus próprios dispositivos e autenticar por meio desse proxy baseado em nuvem.

Saiba Mais:

• Habilitando o proxy de aplicativo do Microsoft Entra
• Publicar aplicativos usando o proxy de aplicativo do Microsoft Entra
• Autenticação única com o Proxy de Aplicações
• Trabalhando com acesso condicional

Autenticação multifator

A autenticação multifator do Microsoft Entra é um método de autenticação que requer o uso de mais de um método de verificação e adiciona uma segunda camada crítica de segurança a entradas e transações do usuário. A autenticação multifator ajuda a proteger o acesso a dados e aplicativos enquanto atende à demanda dos usuários para um processo de logon simples. Ele fornece autenticação forte por meio de uma variedade de opções de verificação: chamadas telefônicas, mensagens de texto ou notificações de aplicativo móvel ou códigos de verificação e tokens OAuth de terceiros.

Saiba mais: Como funciona a autenticação multifator do Microsoft Entra

Azure RBAC

O RBAC do Azure é um sistema de autorização criado no Azure Resource Manager que fornece gerenciamento de acesso refinado de recursos no Azure. O RBAC do Azure permite que você controle granularmente o nível de acesso que os usuários têm. Por exemplo, você pode limitar um usuário a gerenciar apenas redes virtuais e outro usuário para gerenciar todos os recursos em um grupo de recursos. O Azure inclui várias funções internas que você pode usar. A seguir são listadas quatro funções internas fundamentais. As três primeiras se aplicam a todos os tipos de recursos.

• Proprietário – Tem acesso total a todos os recursos, incluindo o direito de delegar acesso a outras pessoas.
• Colaborador – Pode criar e gerenciar todos os tipos de recursos do Azure, mas não pode conceder acesso a outras pessoas.
• Leitor – Pode exibir recursos existentes do Azure.
• Administrador de Acesso do Usuário – permite gerenciar o acesso do usuário aos recursos do Azure.

Saiba Mais:

• O que é o RBAC (controle de acesso baseado em função) do Azure?
• Funções internas do Azure

Relatórios baseados em aprendizado de máquina, alertas e monitoramento de segurança

Monitoramento de segurança, alertas e relatórios baseados em machine learning que identificam padrões de acesso inconsistentes podem ajudá-lo a proteger sua empresa. Você pode usar os relatórios de acesso e uso da ID do Microsoft Entra para obter visibilidade da integridade e segurança do diretório da sua organização. Com essas informações, um administrador de diretório pode determinar melhor onde os possíveis riscos de segurança podem estar para que eles possam planejar adequadamente a mitigação desses riscos.

No portal do Azure, os relatórios se enquadram nas seguintes categorias:

• Relatórios de anomalias: contêm eventos de entrada que achamos anômalos. Nosso objetivo é fazer você conhecer essa atividade e permitir que você determine se um evento é suspeito.
• Relatórios de aplicativos integrados: forneça insights sobre como os aplicativos de nuvem estão sendo usados em sua organização. A ID do Microsoft Entra oferece integração com milhares de aplicativos de nuvem.
• Relatórios de erros: indique erros que podem ocorrer quando você provisiona contas para aplicativos externos.
• Relatórios específicos do usuário: exibem dados de atividade de entrada/dispositivo de um usuário específico.
• Logs de atividades: contêm um registro de todos os eventos auditados nas últimas 24 horas, últimos 7 dias ou últimos 30 dias, e alterações de atividade de grupo e atividade de redefinição de senha e atividade de registro.

Saiba mais: Guia de relatório do Microsoft Entra ID

Gerenciamento de acesso e identidade do consumidor

A ID externa do Microsoft Entra nos locatários externos é um serviço de gerenciamento de identidade global, altamente disponível para aplicativos voltados para o consumidor, que pode ser dimensionado para centenas de milhões de identidades. Ele pode ser integrado a plataformas móveis e da Web. Seus consumidores podem entrar em todos os seus aplicativos por meio de experiências personalizáveis usando suas contas sociais existentes ou criando novas credenciais.

No passado, os desenvolvedores de aplicativos que queriam inscrever clientes e inscrevê-los em seus aplicativos teriam escrito seu próprio código. E eles teriam usado sistemas ou bancos de dados locais para armazenar nomes de usuário e senhas. A ID Externa do Microsoft Entra oferece à sua organização uma maneira melhor de integrar o gerenciamento de identidade do consumidor a aplicativos com a ajuda de uma plataforma segura baseada em padrões e um grande conjunto de políticas extensíveis.

Quando você usa a ID Externa do Microsoft Entra, seus consumidores podem se inscrever em seus aplicativos usando suas contas sociais existentes (Facebook, Google, Amazon, LinkedIn) ou criando novas credenciais (endereço de email e senha, ou nome de usuário e senha).

Saiba mais sobre a ID externa do Microsoft Entra em locatários externos

Registro de dispositivos

O registro de dispositivo do Microsoft Entra é a base para cenários de Acesso Condicional baseados em dispositivo. Quando um dispositivo é registrado, o registro de dispositivo do Microsoft Entra fornece ao dispositivo uma identidade que ele usa para autenticar o dispositivo quando um usuário entra. O dispositivo autenticado e os atributos do dispositivo podem ser usados para impor políticas de acesso condicional para aplicativos hospedados na nuvem e no local.

Quando combinados com uma solução de gerenciamento de dispositivo móvel, como o Intune, os atributos do dispositivo na ID do Microsoft Entra são atualizados com informações adicionais sobre o dispositivo. Em seguida, você pode criar regras de Acesso Condicional que impõem o acesso de dispositivos para atender aos seus padrões de segurança e conformidade.

Saiba Mais:

• Introdução ao registro de dispositivo do Microsoft Entra
• Registro automático de dispositivos no Microsoft Entra ID para dispositivos associados ao domínio do Windows

Gerenciamento de Identidades Privilegiadas

Com o Microsoft Entra Privileged Identity Management, você pode gerenciar, controlar e monitorar suas identidades privilegiadas e o acesso a recursos na ID do Microsoft Entra, bem como outros serviços online da Microsoft, como o Microsoft 365 e o Microsoft Intune.

Às vezes, os usuários precisam realizar operações privilegiadas em recursos do Azure ou do Microsoft 365 ou em outros aplicativos SaaS. Essa necessidade geralmente significa que as organizações precisam conceder aos usuários acesso privilegiado permanente na ID do Microsoft Entra. Esse acesso é um risco de segurança crescente para recursos hospedados na nuvem, pois as organizações não podem monitorar o que os usuários estão fazendo com seus privilégios de administrador. Além disso, se uma conta de usuário com acesso privilegiado estiver comprometida, essa violação poderá afetar a segurança geral da nuvem da organização. O Microsoft Entra Privileged Identity Management ajuda a atenuar esse risco.

Com o Microsoft Entra Privileged Identity Management, você pode:

• Veja quais usuários são administradores do Microsoft Entra.
• Habilite o acesso administrativo just-in-time (JIT) sob demanda aos serviços da Microsoft, como o Microsoft 365 e o Intune.
• Obter relatórios sobre o histórico de acesso de administrador e as alterações nas atribuições de administrador.
• Receber alertas sobre o acesso a uma função com privilégios.

Saiba Mais:

• O que é o Microsoft Entra Privileged Identity Management?
• Atribuir funções de diretório do Microsoft Entra no PIM

Proteção de identidade

O Microsoft Entra ID Protection é um serviço de segurança que fornece uma exibição consolidada sobre detecções de risco e possíveis vulnerabilidades que afetam as identidades da sua organização. O Identity Protection aproveita os recursos existentes de detecção de anomalias do Microsoft Entra, que estão disponíveis por meio de relatórios de Atividade Anômala do Microsoft Entra. O Identity Protection também apresenta novos tipos de detecção de risco que podem detectar anomalias em tempo real.

Saiba mais: Microsoft Entra ID Protection

Gerenciamento de identidade híbrida (Microsoft Entra Connect)

As soluções de identidade da Microsoft abrangem recursos locais e baseados em nuvem, criando uma única identidade de usuário para autenticação e autorização para todos os recursos, independentemente da localização. Chamamos isso de identidade híbrida. O Microsoft Entra Connect é a ferramenta da Microsoft criada para atender e atingir suas metas de identidade híbrida. Isso permite que você forneça uma identidade comum para seus usuários para aplicativos Microsoft 365, Azure e SaaS integrados à ID do Microsoft Entra. Ela fornece os seguintes recursos:

• Sincronização
• AD FS e integração federativa
• Autenticação de passagem
• Monitoramento de saúde

Saiba Mais:

• Relatório técnico de identidade híbrida
• Microsoft Entra ID

Revisões de acesso do Microsoft Entra

As revisões de acesso do Microsoft Entra permitem que as organizações gerenciem com eficiência associações de grupo, acesso a aplicativos empresariais e atribuições de função privilegiadas.

Saiba mais: Revisões de acesso do Microsoft Entra