Compartilhar via


Guia de referência de operações do Microsoft Entra ID Governance

Esta seção do Guia de referência de operações do Microsoft Entra descreve as verificações e ações que você deve realizar para avaliar e atestar o acesso concedido a identidades não privilegiadas e privilegiadas, auditar e controlar as alterações no ambiente.

Anotação

Essas recomendações são atuais a partir da data de publicação, mas podem mudar ao longo do tempo. As organizações devem avaliar frequentemente suas práticas de governança à medida que os produtos e os serviços da Microsoft evoluem.

Principais processos operacionais

Atribuir tarefas importantes aos proprietários

O gerenciamento do Microsoft Entra ID requer a execução contínua das principais tarefas e processos operacionais, que podem não fazer parte de um projeto de distribuição. Ainda é importante que você configure essas tarefas para otimizar seu ambiente. As principais tarefas e seus proprietários recomendados incluem:

Tarefa Proprietário
Arquivar os registros de auditoria do Microsoft Entra no sistema SIEM Equipe de operações da InfoSec
Descobrir aplicativos gerenciados fora de conformidade Equipe de operações do IAM
Revisar regularmente o acesso a aplicativos Equipe de arquitetura da InfoSec
Revisar regularmente o acesso a identidades externas Equipe de arquitetura da InfoSec
Revisar regularmente quem tem funções privilegiadas Equipe de arquitetura da InfoSec
Definir portões de segurança para ativar funções privilegiadas Equipe de arquitetura da InfoSec
Revisar regularmente as concessões de consentimento Equipe de arquitetura da InfoSec
Criar catálogos e pacotes de acesso para aplicativos e recursos baseados em funcionários da organização Proprietários de aplicativos
Definir políticas de segurança para atribuir usuários a pacotes de acesso Equipe do InfoSec + Proprietários de Aplicativos
Se as políticas incluírem fluxos de trabalho de aprovação, revise regularmente as aprovações de fluxo de trabalho Proprietários de aplicativos
Revisar exceções em políticas de segurança, como políticas de Acesso Condicional, usando revisões de acesso Equipe de operações da InfoSec

Ao revisar sua lista, talvez você conclua ser necessário atribuir um proprietário para tarefas sem proprietário ou ajustar a propriedade para tarefas com proprietários que não estão alinhados com as recomendações fornecidas.

Teste de alterações de configuração

Há alterações que exigem considerações especiais ao testar, desde técnicas simples, como a implantação de um subconjunto de destino de usuários até a implantação de uma alteração em um locatário de teste paralelo. Se você ainda não implementou uma estratégia de teste, defina uma abordagem de teste com base nas diretrizes na tabela a seguir:

Cenário Recomendação
Alterando o tipo de autenticação de federado para PHS/PTA ou vice-versa Use a rollout em etapas para testar o impacto da alteração do tipo de autenticação.
Distribuindo uma nova política de Acesso Condicional Crie uma nova política de acesso condicional e atribua a usuários de teste.
Integração de um ambiente de teste de um aplicativo Adicione o aplicativo a um ambiente de produção, oculte-o no painel MyApps e atribua-o aos usuários de teste durante a fase de controle de qualidade (QA).
Alteração de regras de sincronização Realize as alterações em um Microsoft Entra Connect de teste com a mesma configuração que está atualmente em produção, também conhecido como modo de preparação. Analise os resultados exportados. Se forem satisfatórios, troque para produção quando estiver pronto.
Alteração de identidade visual Teste em um locatário de teste separado.
Implementar novos recursos Se o recurso der suporte à distribuição para um conjunto de usuários de destino, identifique os usuários piloto e compile. Por exemplo, a redefinição de senha de autoatendimento e a autenticação multifator podem ter como destino usuários ou grupos específicos.
Substituição de um aplicativo de um provedor de identidade (IdP) local, por exemplo, Active Directory, para o Microsoft Entra ID Se o aplicativo der suporte a várias configurações de IdP, por exemplo, Salesforce, configure ambos e teste o Microsoft Entra ID durante uma janela de alteração (caso o aplicativo apresente a página HRD). Se o aplicativo não oferecer suporte a vários IdPs, agende o teste durante uma janela de controle de alterações e o tempo de inatividade do programa.
Gerenciar regras de grupos de associação dinâmica Crie um grupo dinâmico paralelo com a nova regra. Compare com o resultado calculado, por exemplo, execute o PowerShell com a mesma condição.
Se o teste for aprovado, troque os locais em que o grupo antigo foi usado (se possível).
Migrar licenças de produtos Consulte Alterar a licença de um único usuário em um grupo licenciado do Microsoft Entra ID.
Alterar as regras do AD FS como Autorização, Emissão, MFA Use a declaração de grupo para direcionar o subconjunto de usuários.
Alterar AD FS de autenticação ou alterações semelhantes em todo o farm Crie um farm paralelo com o mesmo nome de host, implemente alterações de configuração, teste de clientes usando o arquivo HOSTS, regras de roteamento NLB ou roteamento semelhante.
Se a plataforma de destino não for compatível com arquivos HOSTS (por exemplo, dispositivos móveis), controle a alteração.

Revisões de acesso

Revisões de acesso para aplicativos

Ao longo do tempo, os usuários podem acumular acesso aos recursos conforme eles se movem em diferentes equipes e posições. É importante que os proprietários de recursos examinem o acesso aos aplicativos regularmente. Esse processo de revisão pode envolver a remoção de privilégios que não são mais necessários durante todo o ciclo de vida dos usuários. As análises de acesso do Microsoft Entra permitem que as organizações gerenciem com eficiência as associações de grupos, o acesso a aplicativos empresariais e as atribuições de funções. Os proprietários dos recursos devem revisar regularmente o acesso dos usuários aos aplicativos para garantir que somente as pessoas corretas tenham acesso contínuo. O ideal é considerar o uso de revisões de acesso do Microsoft Entra para essa tarefa.

Página inicial das revisões de acesso

Anotação

Cada usuário que interage com as revisões de acesso deve ter uma licença paga do Microsoft Entra ID P2.

Revisões de acesso a identidades externas

É crucial manter o acesso a identidades externas restritas somente aos recursos necessários durante o tempo necessário. Estabeleça um processo regular de revisão de acesso automatizado para todas as identidades externas e acesso a aplicativos utilizando as revisões de acesso do Microsoft Entra. Se um processo já existir no local, considere utilizar as revisões de acesso do Microsoft Entra. Depois que um aplicativo for removido ou não for mais usado, remova todas as identidades externas que tinham acesso ao aplicativo.

Anotação

Cada usuário que interage com as revisões de acesso deve ter uma licença paga do Microsoft Entra ID P2.

Gerenciamento de contas com privilégios

Uso de conta privilegiada

Contas de administrador de destino com frequência e outros elementos de acesso privilegiado são frequentemente visados por hackers para obter acesso a dados confidenciais e sistemas. Como os usuários com funções privilegiadas tendem a se acumular ao longo do tempo, é importante revisar e gerenciar o acesso de administrador regularmente e fornecer acesso privilegiado na hora certa aos recursos do Microsoft Entra ID e do Azure.

Quando não ha nenhum processo em sua organização para gerenciar contas privilegiadas, ou se você tem administradores que usam suas contas de usuário regulares para gerenciar serviços e recursos, você deve começar imediatamente a usar contas separadas. Por exemplo, uma para atividades regulares cotidianas e outra para acesso privilegiado e configurado com MFA. Melhor ainda, se sua organização tiver uma assinatura do Microsoft Entra ID P2, você deve implantar imediatamente o Microsoft Entra Privileged Identity Management (PIM). No mesmo token, você também deve examinar essas contas com privilégios e atribuir funções menos privilegiadas, se aplicável.

Outro aspecto do gerenciamento de contas privilegiadas que deve ser implementado é a definição de revisões de acesso para essas contas, seja manual ou automatizada por meio do PIM.

Contas de acesso de emergência

A Microsoft recomenda que as organizações tenham duas contas de acesso de emergência somente na nuvem atribuídas permanentemente à função de Administrador Global. Essas contas são altamente privilegiadas e não são atribuídas a indivíduos específicos. As contas são limitadas a cenários de emergência ou de "acesso de emergência" em que as contas normais não podem ser usadas ou em que todos os outros administradores estão acidentalmente bloqueados. Essas contas devem ser criadas conforme as recomendações para as contas de acesso de emergência.

Acesso privilegiado ao portal Azure EA

O portal do Azure Enterprise Agreement (Azure EA) permite que você crie assinaturas do Azure em um contrato Enterprise mestre, que é uma função avançada na empresa. É comum inicializar a criação desse portal antes mesmo de obter o Microsoft Entra ID. É comum iniciar a criação desse portal antes mesmo de instalar o Microsoft Entra ID, portanto, é necessário usar as identidades do Microsoft Entra para bloqueá-lo, remover contas pessoais do portal, garantir que a delegação adequada esteja em vigor e reduzir o risco de bloqueio.

Para deixar claro, quando o nível de autorização do portal do EA está atualmente configurado como "modo misto", você deve remover todas as contas Microsoft de todos os acessos privilegiados no portal do EA e configurar o portal do EA para utilizar apenas as contas do Microsoft Entra. Quando as funções delegadas do portal do EA não estão configuradas, você também deve encontrar e implementar funções delegadas para departamentos e contas.

Gerenciamento de direitos

Ogerenciamento de direitos (EM) permite que os proprietários do aplicativo aloquem recursos e atribuam-nos a personas específicas na organização (internas e externas). O EM permite a entrada e a delegação de autoatendimento aos proprietários de negócios, mantendo as políticas de governança para conceder acesso, definir durações de acesso e permitir fluxos de trabalho de aprovação.

Anotação

O Gerenciamento de Direitos do Microsoft Entra exige as licenças do Microsoft Entra ID P2.

Resumo

Há oito aspectos para um controle de identidade seguro. Essa lista ajudará você a identificar as ações que você deve tomar para avaliar e atestar o acesso concedido a identidades sem privilégios e com privilégios, auditoria e alterações de controle no ambiente.

  • Atribuir proprietários a tarefas importantes.
  • Implemente uma estratégia de teste.
  • Use as revisões de acesso do Microsoft Entra para gerenciar com eficiência as associações de grupos, o acesso a aplicativos empresariais e as atribuições de funções.
  • Estabeleça um processo regular de revisão de acesso automatizado para todas as identidades externas e o acesso ao aplicativo.
  • Estabeleça um processo de revisão de acesso para revisar e gerenciar o acesso de administrador regularmente e forneça acesso privilegiado just-in-time aos recursos do Microsoft Entra ID e do Azure.
  • Provisione contas de emergência que serão preparadas para gerenciar o Microsoft Entra ID em caso de interrupções inesperadas.
  • Bloqueie o acesso ao portal do EA do Azure.
  • Implemente o Gerenciamento de Direitos para fornecer acesso regido a uma coleção de recursos.

Próximas etapas

Introdução às verificações e ações operacionais do Microsoft Entra.