Introdução à administração delegada e ambientes isolados

Uma arquitetura de locatário único do Microsoft Entra com administração delegada geralmente é adequada para separar ambientes. Sua organização pode exigir um grau de isolamento que não é possível em um único locatário.

Para este artigo, é importante entender:

• Função e operação de locatário único
• Unidades administrativas (AUs) no Microsoft Entra ID
• As relações entre recursos do Azure e locatários do Microsoft Entra
• Requisitos que levam ao isolamento

Microsoft Entra locatário como um limite de segurança

Um locatário do Microsoft Entra fornece recursos de IAM (gerenciamento de identidades e acesso) para aplicativos e recursos para uma organização.

Uma identidade é um objeto do diretório autenticado e autorizado para acesso a um recurso. Existem objetos de identidade para identidades humanas e não humanas. Para diferenciar, as identidades humanas são conhecidas como identidades e identidades não humanas são identidades de carga de trabalho. Entidades não humanas incluem objetos de aplicativo, entidades de serviço, identidades gerenciadas e dispositivos. Geralmente, uma identidade de carga de trabalho é para uma entidade de software se autenticar com um sistema.

• Identidade – Objetos que representam humanos
• Identidade de carga de trabalho – Identidades de carga de trabalho são aplicativos, entidades de serviço e identidades gerenciadas.
  • A identidade de carga de trabalho autentica e acessa outros serviços e recursos

Para obter mais informações, saiba mais sobre identidades de carga de trabalho.

O locatário do Microsoft Entra é um limite de segurança de identidade controlado por administradores. No limite de segurança, a administração de assinaturas, os grupos de gerenciamento e os grupos de recursos podem ser delegados para o controle administrativo segmentado dos recursos do Azure. Esses grupos dependem de configurações de políticas e definições em todo o locatário.

O Microsoft Entra ID concede aos objetos acesso a aplicativos e recursos do Azure. Os recursos e aplicativos do Azure que confiam no Microsoft Entra ID podem ser gerenciados com o Microsoft Entra ID. Seguindo as práticas recomendadas, configure o ambiente com um ambiente de teste.

Acesso a aplicativos que usam Microsoft Entra ID

Conceda acesso de identidades a aplicativos:

• Os serviços de produtividade do Microsoft 365, como o Exchange Online, o Microsoft Teams e o SharePoint Online
• Serviços de TI da Microsoft, como o Azure Sentinel, o Microsoft Intune e a Proteção Avançada contra Ameaças (ATP) do Microsoft Defender
• Ferramentas de desenvolvedor da Microsoft, como Azure DevOps e a API do Microsoft Graph
• Soluções de SaaS, como Salesforce e ServiceNow
• Aplicativos locais integrados a recursos de acesso híbrido, como um proxy de aplicativo do Microsoft Entra
• Aplicativos desenvolvidos de maneira personalizada

Os aplicativos que usam o Microsoft Entra ID exigem a configuração de objetos do diretório e o gerenciamento no locatário confiável do Microsoft Entra. Exemplos de objetos de diretório incluem registros de aplicativo, entidades de serviço, grupos e extensões de atributo de esquema.

Acesso a recursos do Azure

Conceda funções a usuários, grupos e objetos da entidade de serviço (identidades de carga de trabalho) no locatário do Microsoft Entra. Para saber mais, consulte Controle de acesso baseado em função (RBAC) do Azure e Controle de acesso baseado em atributo (ABAC) do Azure.

Use o RBAC do Azure para fornecer acesso, com base na função, conforme determinado pela entidade de segurança, definição de função e escopo. O ABAC do Azure adiciona condições de atribuição de função, com base em atributos para ações. Para obter um controle de acesso mais refinado, adicione a condição de atribuição de função. Acessar recursos do Azure, grupos de recursos, assinaturas e grupos de gerenciamento com funções RBAC atribuídas.

Os recursos do Azure que dão suporte a identidades gerenciadas permitem que os recursos se autentiquem, recebam acesso e sejam atribuídos a funções para outros recursos no limite de locatário do Microsoft Entra.

Os aplicativos que usam o Microsoft Entra ID para entrada podem usar recursos do Azure, como computação ou armazenamento. Por exemplo, um aplicativo personalizado que é executado no Azure e confia no Microsoft Entra ID para autenticação tem objetos do directory e recursos do Azure. Os recursos do Azure no locatário do Microsoft Entra afetam as Cotas e limites do Azure em todo o locatário.

Acesso a objetos do diretório

Identidades, recursos e suas relações são representados como objetos de diretório em um locatário do Microsoft Entra. Exemplos incluem usuários, grupos, entidades de serviço e registros de aplicativo. Tenha um conjunto de objetos de diretório no limite de locatário do Microsoft Entra para os seguintes recursos:

• Visibilidade: as identidades podem descobrir ou enumerar recursos, usuários, grupos, acessar relatórios de uso e logs de auditoria com base em permissões. Por exemplo, um membro do diretório pode descobrir usuário no diretório com permissões de usuário padrão do Microsoft Entra ID.

• Efeitos sobre aplicativos: como parte de sua lógica de negócios, os aplicativos podem manipular objetos de diretório por meio do Microsoft Graph. Exemplos tópicos incluem leitura ou configuração de atributos do usuário, a atualização do calendário do usuário, o envio de emails em nome de usuários e assim por diante. O consentimento é necessário para permitir que os aplicativos afetem o locatário. Os administradores podem consentir com todos os usuários. Para obter mais informações, consulte permissões e consentimento na plataforma de identidade da Microsoft.

• Limitação e limites de serviço: o comportamento de runtime de um recurso pode disparar a limitação para evitar o uso excessivo ou a degradação do serviço. A limitação pode ocorrer no nível do aplicativo, do locatário ou de todo o serviço. Geralmente, isso ocorre quando um aplicativo tem um número grande de solicitações nos locatários ou entre eles. Da mesma forma, há limites e restrições de serviço do Microsoft Entra que podem afetar o comportamento do aplicativo.

  Observação

  Tenha cuidado ao usar permissões de aplicativo. Por exemplo, com o Exchange Online, defina o escopo das permissões do aplicativo para caixas de correio e permissões.

Unidades administrativas para gerenciamento de função

As unidades administrativas restringem as permissões em uma função a uma parte da sua organização. Você pode usar unidades administrativas para delegar a função Administrador da assistência técnica a especialistas de suporte regional, para que eles possam gerenciar os usuários na região à qual dão suporte. Uma unidade administrativa é um recurso do Microsoft Entra que pode ser um contêiner para outros recursos do Microsoft Entra. Uma unidade administrativa pode conter:

• Usuários
• Grupos
• Dispositivos

No diagrama a seguir, as AUs segmentam o locatário do Microsoft Entra com base na estrutura organizacional. Essa abordagem é útil quando as unidades de negócios ou grupos alocam uma equipe de suporte de TI dedicada. Use AUs para fornecer permissões com privilégios limitadas a uma unidade administrativa.

Para obter mais informações, consulte unidades administrativas no Microsoft Entra ID.

Motivos comuns para o isolamento de recursos

Às vezes, você isola um grupo de recursos de outros recursos por motivos de segurança, como recursos com requisitos de acesso exclusivos. Essa ação é um bom caso de uso para AUs. Determine os usuários e o acesso aos recursos da entidade de segurança e em quais funções. Motivos para isolar recursos:

• As equipes de desenvolvedores precisam iterar com segurança. Mas o desenvolvimento e o teste de aplicativos que gravam no Microsoft Entra ID podem afetar o locatário do Microsoft Entra por meio de operações de gravação:
  • Novos aplicativos que podem alterar o conteúdo do Office 365, como sites do SharePoint, OneDrive, Microsoft Teams e assim por diante
  • Aplicativos personalizados que podem alterar os dados do usuário com MS Graph ou APIs semelhantes em escala. Por exemplo, aplicativos que receberam Directory.ReadWrite.All.
  • Scripts de DevOps que atualizam conjuntos grandes de objetos
  • Os desenvolvedores de aplicativos integrados do Microsoft Entra precisam criar objetos de usuário para teste. Os objetos de usuário não têm acesso aos recursos de produção.
• Recursos e aplicativos do Azure que não são de produção que podem afetar outros recursos. Por exemplo, um novo aplicativo SaaS precisa de isolamento da instância de produção e dos objetos de usuário
• Recursos secretos a serem protegidos contra descoberta, enumeração ou tomada de controle por administradores

Configuração em um locatário

As definições de configuração no Microsoft Entra ID podem afetar os recursos no locatário do Microsoft Entra por meio de ações de gerenciamento direcionadas ou em todo o locatário:

• Identidades externas: os administradores identificam e controlam as identidades externas que podem ser provisionadas no locatário
  • Se deseja permitir identidades externas no locatário
  • A partir de quais domínios as identidades externas são adicionadas
  • Se os usuários podem convidar usuários de outros locatários
• Localizações nomeadas: os administradores criam localizações nomeadas para:
  • Bloquear a entrada de localizações
  • Disparar políticas de acesso condicional, como autenticação multifator
  • Efetuar bypass de requisitos de segurança
• Opções de autoatendimento: os administradores definem a redefinição de senha de autoatendimento e criam grupos do Microsoft 365 no nível do locatário

Se não for substituída por políticas globais, você poderá definir o escopo de algumas configurações em todo o locatário:

• A configuração do locatário permite identidades externas. Um administrador de recursos pode excluir essas identidades do acesso.
• A configuração do locatário permite o registro de dispositivo pessoal. Um administrador de recursos pode excluir dispositivos do acesso.
• As localizações nomeadas estão configuradas. Um administrador de recursos pode configurar políticas para permitir ou excluir o acesso.

Motivos comuns para o isolamento de configuração

As configurações controladas pelos administradores afetam os recursos. Embora algumas configurações em todo o locatário possam ter escopo com políticas que não se aplicam ou se aplicam parcialmente a um recurso, outras não podem. Se um recurso tiver uma configuração exclusiva, isole-o em um locatário separado. Os exemplos incluem:

• Recursos com requisitos que entram em conflito com posturas de colaboração ou segurança em todo o locatário
  • Por exemplo, tipos de autenticação permitidos, políticas de gerenciamento de dispositivo, autoatendimento, verificação de identidade para identidades externas, etc.
• Requisitos de conformidade que definem a certificação para todo o ambiente
  • Essa ação inclui todos os recursos e o locatário do Microsoft Entra, especialmente quando os requisitos entram em conflito com, ou excluem, outros recursos organizacionais
• Requisitos de acesso de usuário externo que entram em conflito com políticas de produção ou de recursos confidenciais
• Organizações que abrangem vários países ou regiões e empresas hospedadas em um locatário do Microsoft Entra.
  • Por exemplo, configurações e licenças usadas em países, regiões ou subsidiárias de negócios

Administração de locatário

Identidades com funções privilegiadas em um locatário do Microsoft Entra têm a visibilidade e as permissões para executar as tarefas de configurações descritas nas seções anteriores. A administração inclui a propriedade de objetos de identidade, como usuários, grupos e dispositivos. Ele também inclui a implementação com escopo de configurações em todo o locatário para autenticação, autorização e assim por diante.

Administração de objetos de diretório

Os administradores gerenciam como os objetos de identidade acessam recursos e em quais circunstâncias. Eles também desabilitam, excluem ou modificam objetos de diretório, com base em seus privilégios. Os objetos de identidade incluem:

• Identidades organizacionais como a seguinte, são representadas por objetos de usuário:
  • Administradores
  • Usuários da organização
  • Desenvolvedores organizacionais
  • Contas de serviço
  • Usuários de teste
• Identidades externas representam usuários de fora da organização:
  • Parceiros, provedores ou fornecedores provisionados com contas no ambiente da organização
  • Parceiros, provedores ou fornecedores provisionados com a colaboração B2B do Azure
• Os grupos são representados por objetos:
  • Grupos de segurança
  • Grupos do Microsoft 365
  • Grupos dinâmicos
  • Unidades administrativas
• Os dispositivos são representados por objetos:
  • Dispositivos ingressados de forma híbrida no Microsoft Entra. Computadores locais sincronizados no local.
  • Dispositivos ingressados no Microsoft Entra
  • Dispositivos móveis registrados do Microsoft Entra usados por funcionários para acessar o aplicativo no local de trabalho
  • Dispositivos de nível inferior registrados do Microsoft Entra (herdados). Por exemplo, Windows 2012 R2.
• Identidades de carga de trabalho
  • Identidades gerenciadas
  • Entidades de Serviço
  • Aplicativos

Em um ambiente híbrido, as identidades normalmente são sincronizadas do ambiente local usando o Microsoft Entra Connect.

Administração de serviços de identidade

Os administradores com determinadas permissões gerenciam como as políticas em todo o locatário são implementadas para grupos de recursos, grupos de segurança ou aplicativos. Ao considerar a administração de recursos, tenha em mente os seguintes motivos para agrupar recursos ou isolá-los.

• Administradores Globais controlam as assinaturas do Azure vinculadas ao locatário
• Asidentidades atribuídas a uma função de Administrador de Autenticação exigem que não administradores registrem-se novamente para autenticação multifator ou FIDO (Fast IDentity Online).
• Administradores de acesso condicional criam políticas de acesso condicional para entrada do usuário em aplicativos, de dispositivos de propriedade da organização. Esses administradores definem o escopo de configurações. Por exemplo, se identidades externas forem permitidas no locatário, elas poderão excluir o acesso aos recursos.
• Administradores de aplicativos de nuvem dão o consentimento às permissões de aplicativo em nome dos usuários

Motivos comuns para isolamento administrativo

Quem deve administrar o ambiente e seus recursos? Às vezes, os administradores de um ambiente não têm acesso a outro ambiente:

• Separação de responsabilidades administrativas em todo o locatário para atenuar o risco de segurança e erros operacionais que afetam recursos críticos
• Regulamentos que restringem quem pode administrar o ambiente, com base em condições como cidadania, residência, nível de autorização e assim por diante

Considerações sobre segurança e operações

Dada a interdependência entre um locatário do Microsoft Entra e seus recursos, é importante entender os riscos operacionais e de segurança de comprometimento ou erro. Se você operar em um ambiente federado com contas sincronizadas, um comprometimento local poderá levar a um comprometimento do Microsoft Entra ID.

• Comprometimento de identidade: no limite do locatário, as identidades receberão qualquer função, se o administrador que fornece acesso tiver privilégios suficientes. Embora o efeito de identidades sem privilégio comprometidas seja amplamente contido, os administradores comprometidos pode causar problemas amplos. Por exemplo, se uma conta com privilégios elevados for comprometida, os recursos do Azure poderão ser comprometidos. Para reduzir o risco de comprometimento de identidade ou atores mal-intencionados, implemente a administração em camadas e siga os princípios de privilégio mínimo para funções de administrador do Microsoft Entra. Crie políticas de acesso condicional que excluam contas de teste e entidades de serviço de teste de acessar recursos fora dos aplicativos de teste. Para obter mais informações sobre a estratégia de acesso privilegiado, consulte acesso privilegiado: estratégia.
• Comprometimento do ambiente federado
• Comprometimento de recursos confiáveis: qualquer componente comprometido de um locatário do Microsoft Entra afeta recursos confiáveis, com base em permissões no nível do locatário e do recurso. Os privilégios de um recurso determinam o efeito de um componente comprometido. Os recursos integrados para executar operações de gravação podem afetar todo o locatário. Seguir diretrizes de Confiança Zero pode ajudar a limitar os efeitos do comprometimento.
• Desenvolvimento de aplicativos: há risco nos estágios iniciais do ciclo de vida de desenvolvimento de aplicativos com privilégios de gravação no Microsoft Entra ID. Bugs podem gravar alterações acidentalmente em objetos do Microsoft Entra. Para saber mais, consulte Práticas recomendadas da plataforma de identidade da Microsoft.
• Erro operacional: atores mal-intencionados e erros operacionais por administradores de locatários ou proprietários de recursos ajudam a causar incidentes de segurança. Esses riscos ocorrem em qualquer arquitetura. Use a separação de funções, administração em camadas, princípios de privilégios mínimos e as práticas recomendadas a seguir. Evite usar um locatário separado.

Princípios de Confiança Zero

Incorpore princípios de Confiança Zero em sua estratégia de design do Microsoft Entra ID para orientar o design seguro. Você pode adotar a segurança proativa com Confiança Zero.

Próximas etapas

• Conceitos básicos do Microsoft Entra
• Conceitos básicos de gerenciamento de recursos do Azure
• Isolamento de recursos em um locatário único
• Isolamento de recursos com vários locatários
• Práticas recomendadas