Guia de referência de operações do Microsoft Entra ID Governance
Esta seção do Guia de referência de operações do Microsoft Entra descreve as verificações e ações que você deve realizar para avaliar e atestar o acesso concedido a identidades não privilegiadas e privilegiadas, auditar e controlar as alterações no ambiente.
Observação
Essas recomendações são atuais a partir da data de publicação, mas podem mudar ao longo do tempo. As organizações devem avaliar frequentemente suas práticas de identidade à medida que os produtos e os serviços da Microsoft evoluem.
Principais processos operacionais
Atribuir tarefas importantes aos proprietários
O gerenciamento do Microsoft Entra ID requer a execução contínua das principais tarefas e processos operacionais, que podem não fazer parte de um projeto de distribuição. Ainda é importante que você configure essas tarefas para otimizar seu ambiente. As principais tarefas e seus proprietários recomendados incluem:
Tarefa | Proprietário |
---|---|
Arquivar os registros de auditoria do Microsoft Entra no sistema SIEM | Equipe de operações da InfoSec |
Descobrir aplicativos gerenciados fora de conformidade | Equipe de operações do IAM |
Revisar regularmente o acesso a aplicativos | Equipe de arquitetura da InfoSec |
Revisar regularmente o acesso a identidades externas | Equipe de arquitetura da InfoSec |
Revisar regularmente quem tem funções privilegiadas | Equipe de arquitetura da InfoSec |
Definir portões de segurança para ativar funções privilegiadas | Equipe de arquitetura da InfoSec |
Revisar regularmente as concessões de consentimento | Equipe de arquitetura da InfoSec |
Criar catálogos e pacotes de acesso para aplicativos e recursos baseados em funcionários da organização | Proprietários de aplicativos |
Definir políticas de segurança para atribuir usuários a pacotes de acesso | Equipe do InfoSec + Proprietários de Aplicativos |
Se as políticas incluírem fluxos de trabalho de aprovação, revise regularmente as aprovações de fluxo de trabalho | Proprietários de aplicativos |
Revisar exceções em políticas de segurança, como políticas de Acesso Condicional, usando revisões de acesso | Equipe de operações da InfoSec |
Ao revisar sua lista, talvez você conclua ser necessário atribuir um proprietário para tarefas sem proprietário ou ajustar a propriedade para tarefas com proprietários que não estão alinhados com as recomendações fornecidas.
Proprietário – leitura recomendada
Teste de alterações de configuração
Há alterações que exigem considerações especiais ao testar, desde técnicas simples, como a implantação de um subconjunto de destino de usuários até a implantação de uma alteração em um locatário de teste paralelo. Se você ainda não implementou uma estratégia de teste, defina uma abordagem de teste com base nas diretrizes na tabela:
Cenário | Recomendação |
---|---|
Alteração do tipo de autenticação de federado para PHS/PTA ou vice-versa | Use a distribuição em etapas para testar o impacto de alterar o tipo de autenticação. |
Distribuir uma nova política de Acesso Condicional ou Política de Proteção de Identidade | Crie uma nova política de acesso condicional e atribua a usuários de teste. |
Integração de um ambiente de teste de um aplicativo | Adicione o aplicativo a um ambiente de produção, oculte-o no painel MyApps e atribua-o aos usuários de teste durante a fase de controle de qualidade (QA). |
Alteração das regras de sincronização | Faça as alterações em um Microsoft Entra Connect de teste com a mesma configuração que está atualmente em produção, também conhecida como modo de preparação, e analise os resultados da exportação. Se forem satisfatórios, troque para produção quando estiver pronto. |
Alteração da identidade visual | Teste em um locatário de teste separado. |
Implementar novos recursos | Se o recurso der suporte à distribuição para um conjunto de usuários de destino, identifique os usuários piloto e compile. Por exemplo, a redefinição de senha de self-service e a autenticação multifator podem ter como alvo usuários ou grupos específicos. |
Migração de um aplicativo de um IdP (provedor de identidade) local, por exemplo, o Active Directory, para o Microsoft Entra ID | Se o aplicativo aceitar várias configurações de IdP, por exemplo, Salesforce, configure ambos e teste o Microsoft Entra ID durante uma janela de alteração (caso o aplicativo apresente uma página). Se o aplicativo não oferecer suporte a vários IdPs, agende o teste durante uma janela de controle de alterações e o tempo de inatividade do programa. |
Adicionar regras de grupos de associação dinâmica | Crie um grupo dinâmico paralelo com a nova regra. Compare com o resultado calculado, por exemplo, execute o PowerShell com a mesma condição. Se o teste for aprovado, troque os locais em que o grupo antigo foi usado (se possível). |
Migrar licenças de produtos | Consulte Alterar a licença de um único usuário em um grupo licenciado do Microsoft Entra ID. |
Alterar as regras do AD FS como Autorização, Emissão, MFA | Use a declaração de grupo para direcionar o subconjunto de usuários. |
Alterar AD FS de autenticação ou alterações semelhantes em todo o farm | Crie um farm paralelo com o mesmo nome de host, implemente alterações de configuração, teste de clientes usando o arquivo HOSTS, regras de roteamento NLB ou roteamento semelhante. Se a plataforma de destino não for compatível com arquivos HOSTS (por exemplo, dispositivos móveis), controle a alteração. |
Análises de acesso
Revisões de acesso para aplicativos
Com o passar do tempo, os usuários podem acumular acesso aos recursos ao passarem por diferentes equipes e posições. É importante que os proprietários de recursos revisem o acesso aos aplicativos regularmente. Esse processo de revisão pode envolver remover privilégios que não são mais necessários durante o ciclo de vida dos usuários. As análises de acesso do Microsoft Entra permitem que as organizações gerenciem com eficiência as associações de grupos, o acesso a aplicativos empresariais e as atribuições de funções. Os proprietários dos recursos devem revisar regularmente o acesso dos usuários para garantir que somente as pessoas certas continuem tendo acesso. O ideal é considerar o uso de revisões de acesso do Microsoft Entra para essa tarefa.
Observação
Cada usuário que interage com as revisões de acesso deve ter uma licença paga do Microsoft Entra ID P2.
Revisões de acesso a identidades externas
É crucial manter o acesso a identidades externas restritas somente aos recursos necessários durante o tempo necessário. Estabeleça um processo regular de revisão de acesso automatizado para todas as identidades externas e acesso a aplicativos utilizando as revisões de acesso do Microsoft Entra. Se um processo já existir no local, considere utilizar as revisões de acesso do Microsoft Entra. Depois que um aplicativo for removido ou não for mais usado, remova todas as identidades externas que tinham acesso ao aplicativo.
Observação
Cada usuário que interage com as revisões de acesso deve ter uma licença paga do Microsoft Entra ID P2.
Gerenciamento de contas com privilégios
Uso de conta privilegiada
Contas de administrador de destino com frequência e outros elementos de acesso privilegiado são frequentemente visados por hackers para obter acesso a dados confidenciais e sistemas. Como os usuários com funções privilegiadas tendem a se acumular ao longo do tempo, é importante revisar e gerenciar o acesso de administrador regularmente e fornecer acesso privilegiado just-in-time aos recursos do Microsoft Entra ID e do Azure.
Se não houver nenhum processo em sua organização para gerenciar contas privilegiadas ou se você tiver administradores que usam suas contas de usuário regulares para gerenciar serviços e recursos, você deverá começar a usar contas separadas imediatamente. Por exemplo, uma para atividades comuns do dia-a-dia e outra para acesso privilegiado e configurada com MFA. Melhor ainda, se sua organização tiver uma assinatura do Microsoft Entra ID P2, você deve implantar imediatamente o Microsoft Entra Privileged Identity Management (PIM). No mesmo token, você também deve examinar essas contas com privilégios e atribuir funções menos privilegiadas, se aplicável.
Outro aspecto do gerenciamento de contas privilegiadas que deve ser implementado é a definição de revisões de acesso para essas contas, seja manual ou automatizada por meio do PIM.
Leitura recomendada de gerenciamento de contas privilegiadas
Contas de acesso de emergência
A Microsoft recomenda que as organizações tenham duas contas de acesso de emergência somente na nuvem atribuídas permanentemente à função Administrador Global. Essas contas são altamente privilegiadas e não são atribuídas a indivíduos específicos. As contas são limitadas a cenários de emergência ou de "acesso de emergência" em que as contas normais não podem ser usadas ou em que todos os outros administradores estão acidentalmente bloqueados. Essas contas devem ser criadas de acordo com as recomendações para as contas de acesso de emergência.
Acesso privilegiado ao portal Azure EA
O portal do Azure EA (Azure Enterprise Agreement) permite que você crie assinaturas do Azure em um contrato Enterprise mestre, que é uma função poderosa na empresa. É comum inicializar a criação desse portal antes mesmo de ter o Microsoft Entra ID em vigor. Nesse caso, é necessário usar as identidades do Microsoft Entra para bloqueá-lo, remover contas pessoais do portal, garantir que a delegação adequada esteja em vigor e reduzir o risco de bloqueio.
Para deixar claro, se o nível de autorização do portal do EA estiver atualmente configurado como "modo misto", você deverá remover quaisquer contas Microsoft de todos os acessos privilegiados no portal do EA e configurar o portal do EA para utilizar apenas as contas do Microsoft Entra. Se as funções delegadas do portal do EA não estiverem configuradas, você também deverá encontrar e implementar funções delegadas para departamentos e contas.
Acesso privilegiado – leitura recomendada
Gerenciamento de direitos
Ogerenciamento de direitos (EM) permite que os proprietários do aplicativo aloquem recursos e atribuam-nos a personas específicas na organização (internas e externas). O EM permite a entrada e a delegação de autoatendimento aos proprietários de negócios, mantendo as políticas de governança para conceder acesso, definir durações de acesso e permitir fluxos de trabalho de aprovação.
Observação
O Gerenciamento de Direitos do Microsoft Entra exige as licenças do Microsoft Entra ID P2.
Resumo
Há oito aspectos para um controle de identidade seguro. Essa lista ajudará você a identificar as ações que você deve tomar para avaliar e atestar o acesso concedido a identidades sem privilégios e com privilégios, auditoria e alterações de controle no ambiente.
- Atribua proprietários a tarefas importantes.
- Implemente uma estratégia de teste.
- Use as revisões de acesso do Microsoft Entra para gerenciar com eficiência as associações de grupos, o acesso a aplicativos empresariais e as atribuições de funções.
- Estabeleça um processo regular de revisão de acesso automatizado para todas as identidades externas e o acesso ao aplicativo.
- Estabeleça um processo de revisão de acesso para revisar e gerenciar o acesso de administrador regularmente e forneça acesso privilegiado just-in-time aos recursos do Microsoft Entra ID e do Azure.
- Provisione contas de emergência que serão preparadas para gerenciar o Microsoft Entra ID em caso de interrupções inesperadas.
- Bloqueie o acesso ao portal do EA do Azure.
- Implemente o Gerenciamento de Direitos para fornecer acesso regido a uma coleção de recursos.
Próximas etapas
Introdução às verificações e ações operacionais do Microsoft Entra.