Isolamento de recursos seguro em um único locatário no Microsoft Entra ID
Muitos cenários de separação podem ser alcançados em um locatário único. Se possível, recomendamos que você delegue a administração a ambientes separados em um locatário único para obter a melhor experiência de produtividade e colaboração.
Resultados
Separação de recursos – Para restringir o acesso de recursos a usuários, grupos e entidades de serviço, use as funções de diretório do Microsoft Entra, os grupos de segurança, as políticas de acesso condicional, os grupos de recursos do Azure, os grupos de gerenciamento do Azure, as UAs (unidades administrativas) e os outros controles. Habilite administradores separados para gerenciar recursos. Use usuários, permissões e requisitos de acesso separados.
Use o isolamento em vários locatários se houver:
- Conjuntos de recursos que exigem configurações em todo o locatário
- Tolerância mínima ao risco de acesso não autorizado por membros do locatário
- Alterações de configuração causam efeitos indesejados
Separação de configuração – Em alguns casos, recursos como aplicativos têm dependências de configurações que abrangem todo o locatário, como métodos de autenticação ou localizações nomeadas. Considere dependências ao isolar recursos. Os Administradores Globais podem definir as configurações de recursos e as configurações que abrangem todo o locatário que afetam os recursos.
Se um conjunto de recursos exigir configurações exclusivas que abrangem todo o locatário, ou se uma entidade diferente administrar as configurações do locatário, use o isolamento com vários locatários.
Separação administrativa – Com a administração delegada do Microsoft Entra ID, separe a administração de recursos como aplicativos e APIs, usuários e grupos, grupos de recursos e políticas de acesso condicional.
Os Administradores Globais podem descobrir e obter acesso a todos os recursos confiáveis. Configure a auditoria e os alertas para alterações de administrador autenticadas em um recurso.
Você também pode usar UAs (unidades administrativas) no Microsoft Entra ID para separação administrativa. As UAs restringem as permissões de uma função a qualquer parte da organização que você definir. Use as AUs para delegar a função de Administrador de assistência técnica a especialistas de suporte regional. Eles podem gerenciar usuários na região a que oferecem suporte.
Use as UAs para separar usuários, grupos e objetos de dispositivo. Atribua unidades com regras de grupos de associação dinâmica.
Com o PIM (Privileged Identity Management), escolha uma pessoa para aprovar solicitações de funções altamente privilegiadas. Por exemplo, escolha os administradores que precisam de acesso ao Administrador de Autenticação para fazer alterações no método de autenticação do usuário.
Observação
O uso do PIM requer uma licença do Microsoft Entra ID P2 por pessoa.
Para confirmar que os Administradores de Autenticação não podem gerenciar um recurso, isole o recurso em um locatário separado com Administradores de Autenticação separados. Use este método para backups. Consulte as diretrizes de autorização multiusuário para obter exemplos.
Uso comum
Um uso comum de vários ambientes em um único locatário é separar a os recursos de produção dos de não produção. Em um locatário, as equipes de desenvolvimento e os proprietários de aplicativos criam e gerenciam um ambiente separado com aplicativos de teste, usuários e grupos de teste e políticas de teste para esses objetos. Da mesma forma, as equipes criam instâncias de não produção de recursos do Azure e aplicativos confiáveis.
Use recursos do Azure que não são de produção e instâncias de não produção de aplicativos integrados do Microsoft Entra com objetos do diretório não de produção equivalentes. Os recursos que não são de produção no diretório são usados para fins de teste.
Observação
Evite mais de um ambiente do Microsoft 365 em um único locatário do Microsoft Entra. No entanto, você pode ter vários ambientes do Dynamics 365 em um único locatário do Microsoft Entra.
Outro cenário de isolamento em um único locatário é uma separação entre locais, subsidiária ou administração em camadas. Consulte o modelo de acesso empresarial.
Use atribuições do Azure RBAC (controle de acesso baseado em função do Azure) para administração com escopo de recursos do Azure. Da mesma forma, habilite o gerenciamento do Microsoft Entra ID de aplicativos confiáveis do Microsoft Entra ID por meio de vários recursos. Os exemplos incluem Acesso Condicional, filtragem de usuário e grupo, atribuições de unidade administrativa e atribuições de aplicativo.
Para garantir o isolamento dos serviços do Microsoft 365, incluindo teste da configuração no nível da organização, escolha um isolamento multilocatário.
Gerenciamento com escopo para recursos do Azure
O Azure RBAC permite que você crie um modelo de administração com escopos granulares e área de superfície. Considere a hierarquia de gerenciamento no seguinte exemplo:
Observação
Você pode definir a hierarquia de gerenciamento com base nos requisitos, nas restrições e nas metas de uma organização. Para mais informações, confira as diretrizes do Cloud Adoption Framework: Organizar recursos do Azure.
- Grupo de gerenciamento – Atribua funções a grupos de gerenciamento para que eles não afetem nenhum outro grupo de gerenciamento. No cenário acima, a equipe de RH define uma política do Azure para auditar as regiões em que os recursos são implantados nas assinaturas de RH.
- Assinatura – Atribua funções a uma assinatura para evitar que ela afete outros grupos de recursos. No exemplo acima, a equipe de RH atribuiu a função de Leitor para a assinatura de Benefícios, sem ler nenhuma outra assinatura de RH ou assinatura de qualquer outra equipe.
- Grupo de recursos – Atribua funções a grupos de recursos para que eles não impactem outros grupos de recursos. A equipe de engenharia de benefícios atribui a função de Colaborador a uma pessoa para gerenciar o banco de dados de teste e o aplicativo Web de teste ou para adicionar mais recursos.
- Recursos individuais – Atribua funções a recursos para que eles não afetem outros recursos. A equipe de engenharia de benefícios atribui a um analista de dados a função de Leitor de Conta do Cosmos DB para a instância de teste do banco de dados do Azure Cosmos DB. Esse trabalho não interfere no aplicativo Web de teste ou no recurso de produção.
Para mais informações, consulte Funções internas do Azure e O que é o Azure RBAC?.
A estrutura é hierárquica. Portanto, quanto mais alto na hierarquia, maior o escopo, a visibilidade e o efeito nos níveis inferiores. Os escopos de nível superior afetam todos os recursos do Azure no limite do locatário do Microsoft Entra. Você pode aplicar permissões em diversos níveis. Esta ação introduz riscos. Atribuir funções mais elevadas na hierarquia pode fornecer mais acesso abaixo do escopo do que você pretendido. O Microsoft Entra fornece visibilidade e correção para ajudar a reduzir o risco.
- O grupo de gerenciamento raiz define as atribuições de função RBAC e políticas do Azure aplicadas a assinaturas e recursos
- Os Administradores globais podem elevar o acesso das assinaturas e dos grupos de gerenciamento
Monitore seus escopos de nível superior. É importante planejar outras dimensões do isolamento de recursos, como a rede. Para obter diretrizes gerais sobre a Rede do Azure, confira as Práticas recomendadas do Azure para segurança de rede. As cargas de trabalho de IaaS (infraestrutura como serviço) têm cenários em que o isolamento de identidade e recursos precisa fazer parte do design e da estratégia.
Considere isolar recursos confidenciais ou de teste de acordo com a arquitetura conceitual da zona de destino do Azure. Por exemplo, atribua assinaturas de identidade a grupos de gerenciamento separados. Assinaturas separadas para desenvolvimento em grupos de gerenciamento de área restrita. Veja mais detalhes na Documentação sobre escala empresarial. A separação para fins de teste em um locatário também é considerada na hierarquia do grupo de gerenciamento da arquitetura de referência.
Gerenciamento com escopo para aplicativos de confiança do Microsoft Entra ID
A seção a seguir ilustra o padrão para gerenciamento do escopo dos aplicativos de confiança do Microsoft Entra ID.
O Microsoft Entra ID dá suporte para a configuração de várias instâncias de aplicativos SaaS e personalizados, mas não para a maioria dos serviços da Microsoft, no mesmo diretório com atribuições de usuário independentes. O exemplo anterior contém uma versão de produção e de teste do aplicativo de viagem. Para obter a configuração específica do aplicativo e a separação de políticas, implante versões de pré-produção no locatário corporativo. Essa ação permite que os proprietários da carga de trabalho executem testes com suas credenciais corporativas. Os objetos de diretório de não produção, como usuários de teste e grupos de teste, são associados ao aplicativo de não produção com a propriedade separada desses objetos.
Há aspectos que abrangem todo o locatário que afetam todos os aplicativos confiáveis no limite do locatário do Microsoft Entra:
- Os administradores globais gerenciam todas as configurações que abrangem todo o locatário.
- Outras funções de diretório, como Administrador de Usuário, Administrador de Aplicativo e Administrador de Acesso Condicional, gerenciam as configurações que abrangem todo o locatário no escopo da função.
Definições de configuração como métodos de autenticação, configurações híbridas, lista de permissões de Colaboração B2B de domínios e localizações nomeadas abrangem todo o locatário.
Observação
Permissões da API do Microsoft Graph e permissões de consentimento não podem ter como escopo um grupo ou membros de UAs. Essas permissões são atribuídas no nível do diretório. Somente o consentimento específico do recurso permite o escopo no nível do recurso, atualmente limitado às permissões de chat do Microsoft Teams.
Importante
O ciclo de vida dos serviços de SaaS da Microsoft, como Office 365, Microsoft Dynamics e Microsoft Exchange, está associado ao locatário do Microsoft Entra. Como resultado, várias instâncias desses serviços precisam de vários locatários do Microsoft Entra.