Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Importante
Consulte este artigo somente depois de examinar as perguntas frequentes do Microsoft Cloud Footprint para descobrir o inventário de locatários da sua organização. Este artigo descreve os recursos específicos existentes do Microsoft Entra que os administradores podem aproveitar dentro de seu locatário primário para colocar em quarentena locatários suspeitos não sancionados na lista de locatários descobertos.
O que significa colocar um locatário em quarentena?
A quarentena envolve isolar locatários suspeitos não sancionados usando recursos existentes do Microsoft Entra. Isso reduz imediatamente o risco de segurança que existe da exposição a esses locatários dos quais você não tem controle administrativo em seu ambiente. Ao isolar, você introduz atrito entre seu locatário e o deles, que atua como um teste de gritos. Esse atrito solicita que os administradores dos locatários suspeitos entrem em contato com você precisando de assistência, dando a você a oportunidade de verificar a legitimidade das relações com esses locatários e/ou recuperar o controle sobre eles. Se ninguém entrar em contato com você, você poderá deixar os locatários no estado de quarentena indefinidamente.
Quando devo colocar um locatário em quarentena?
Você é administrador de TI da empresa "Contoso" com o tenant primário de "Contoso.com". Para proteger dados no tenant central da Contoso, você precisa garantir que usuários e aplicativos com acesso privilegiado ao seu tenant estejam em tenants que protejam corretamente esses recursos. Da mesma forma, você deseja garantir que os locatários externos nos quais seu locatário tenha permissões sejam conhecidos e que seguem práticas seguras. Para proteger a Contoso, você deseja encontrar todos os inquilinos que têm relações de entrada ou saída com o locatário principal. Depois de seguir as perguntas frequentes do Microsoft Cloud Footprint, você identificou alguns locatários potenciais que podem ou não pertencer à sua empresa. Vamos chamar esses locatários ContosoTest.com e ContosoDemo.com para fins de cenário. Como você não sabe quem são os administradores globais para esses locatários, você se preocupa que eles sejam possivelmente gerenciados por funcionários e não estejam em conformidade com as políticas de segurança da sua organização. Isso representará um grande risco de segurança para seu ambiente se eles permanecerem não gerenciados. Como você não tem controle direto sobre ContosoTest.com e ContosoDemo.com, você só pode modificar as configurações no locatário Contoso.com. Você deseja colocá-las em quarentena para minimizar possíveis vulnerabilidades provenientes da exposição a esses locatários. No entanto, é crucial que todas as alterações feitas sejam facilmente reversíveis, garantindo que nenhum sistema crítico seja afetado involuntariamente no processo. Após a quarentena, você introduziu atritos suficientes entre seu locatário e os locatários suspeitos para incentivar os administradores dos locatários a entrar em contato com sua assistência técnica.
O administrador do tenant ContosoTest.com contata você. Neste ponto, você determina que o locatário foi criado pelo funcionário e que você deve ser adicionado como administrador dentro do locatário para recuperar o controle. Você não coloca mais o locatário ContosoTest.com em quarentena. No entanto, nenhum administrador do locatário do ContosoDemo.com entrou em contato com você, então você deixa o locatário em quarentena.
Como posso usar os recursos do Microsoft Entra para colocar locatários suspeitos em quarentena?
Usando configurações de acesso entre locatários da ID externa para bloquear a entrada do usuário
Licença necessária: Entra ID P1
Ações contra locatário suspeito:
As organizações do Microsoft Entra podem usar o acesso entre locatários com ID Externa para definir o escopo de quais usuários de outras organizações externas do Entra têm acesso aos seus recursos e quais usuários da sua organização têm acesso a outras organizações externas do Entra. Essas políticas permitem restringir tentativas de logon de entrada ou de saída com um locatário suspeito sem interromper a colaboração com outros locatários. Um administrador pode adicionar uma organização e definir configurações personalizadas para bloquear o logon de entrada e saída do usuário para o locatário suspeito.
Seguro por padrão:
Um administrador pode definir configurações padrão para bloquear todas as tentativas de entrada de usuários externos de um locatário suspeito. Da mesma forma, é possível bloquear toda a entrada de usuário de saída para usuários de seu próprio locatário em um locatário suspeito. Em seguida, você pode adicionar uma organização e definir configurações personalizadas para permitir que o usuário entre somente de entrada e saída para locatários especificados. Essas configurações permitem que você proteja seu locatário por padrão e permita apenas a colaboração B2B com locatários confiáveis.
Para obter mais informações sobre como gerenciar configurações de acesso entre locatários, consulte:
Usando o Acesso Seguro Global e restrições universais de locatário para bloquear a entrada do usuário
Licença necessária: ID do Entra P1
Ações contra locatário suspeito:
As Restrições de Locatário v2 (TRv2) e o GSA (Acesso Seguro Global) impedem efetivamente a autenticação em locatários não autorizados ou suspeitos em todos os dispositivos e redes gerenciados. Como administrador, você pode criar políticas para impedir que os usuários entrem e acessem o locatário suspeito específico usando configurações TRv2 personalizadas. Em seguida, você pode aplicar essas políticas criadas usando Universal Tenant Restrictions v2 como parte da GSA para fornecer proteção de camada de autenticação e camada de dados sem interromper a autenticação para outros locatários existentes.
Seguro por padrão:
Como administrador, você pode configurar restrições padrão e em seguida permitir que os usuários acessem organizações específicas. A Microsoft Entra ID impedirá a autenticação em todos os outros locatários assim que aplicar políticas usando as Restrições Universais de Locatário v2 como parte da GSA. Habilitar o TRv2 no modo de auditoria e aplicar políticas TRv2 com GSA mostra todas as atividades, incluindo tentativas de acessar locatários estrangeiros.
Para obter mais informações sobre como usar TRv2 e GSA, consulte:
- O que é o Acesso Seguro Global?
- Acesso seguro global e restrições de locatário universal
- Configurar restrições de inquilino – Microsoft Entra ID
Revogando permissões para aplicativos multilocatários e principais de serviço
Licença necessária: ID do Entra P1
Ações contra locatário suspeito:
O Microsoft Entra permite que os clientes restrinjam o acesso a aplicativos de entrada para aplicativos multilocatários de terceiros em que o locatário no qual o aplicativo foi registrado é considerado um locatário suspeito. Para restringir o acesso, os administradores devem encontrar a entidade de serviço correta, que corresponde ao aplicativo registrado no locatário suspeito. A propriedade appOwnerOrganizationId no objeto principal de serviço lista o ID do locatário no qual o aplicativo foi registrado. A captura dessas entidades de serviço só pode ser feita programaticamente por meio da API do MSGraph:
MSGraph: Cabeçalhos de Solicitação: { ConsistencyLevel: eventual }
GET https://graph.microsoft.com/v1.0/servicePrincipals?$count=true&$filter=appOwnerOrganizationId eq {tenantId}
Depois de encontrar a entidade de serviço correta, você pode examinar e revogar as permissões concedidas ao aplicativo ou excluir a entidade de serviço juntas. A exclusão de uma entidade de serviço é uma ação que pode ser restaurada em até 30 dias.
Para obter mais informações sobre aplicativos multilocatários e entidades de serviço, consulte "Apps & service principals" no Microsoft Entra ID.
Cancelando assinaturas provisionadas em inquilinos suspeitos
Licença necessária: Nenhuma, disponível para todos os clientes pagantes com uma conta de cobrança da Microsoft
Ações contra locatário suspeito:
Utilize os recursos a seguir quando você descobrir um inquilino com base nas suas relações de conta de cobrança, mas não reconhecer em qual inquilino os serviços de assinatura estão provisionados. As assinaturas canceladas do Azure e do Microsoft 365 podem ser reativadas durante o período de carência (30 a 90 dias após o cancelamento) antes de serem excluídas permanentemente. Se necessário, entre em contato com o suporte para obter assistência para cancelar e excluir assinaturas.
- Para obter mais informações sobre como colocar em quarentena cancelando a assinatura do Azure, consulte Cancelar e excluir sua assinatura do Azure.
- Para obter mais informações sobre como colocar em quarentena por meio do cancelamento do Microsoft 365, consulte Cancelar sua assinatura de negócios da Microsoft no Centro de administração do Microsoft 365.