O princípio do privilégio mínimo com o Microsoft Entra ID Governance
Um conceito que precisa ser abordado antes de empreender uma estratégia de governança de identidade é o princípio do privilégio mínimo (PLOP). O privilégio mínimo é um princípio na governança de identidade que envolve a atribuição de usuários e grupos apenas no nível mínimo de acesso e as permissões necessárias para executar suas funções. A ideia é restringir os direitos de acesso para que um usuário ou grupo possa concluir seu trabalho, mas também minimizando privilégios desnecessários que poderiam ser potencialmente explorados por invasores ou levar a violações de segurança.
Em relação ao Microsoft Entra ID Governance, a aplicação do princípio do privilégio mínimo ajuda a aprimorar a segurança e reduzir riscos. Essa abordagem garante que os usuários e grupos tenham acesso somente aos recursos, dados e ações relevantes para suas funções e responsabilidades e nada além disso.
Principais conceitos do princípio do privilégio mínimo
Acesso somente aos recursos necessários: os usuários recebem acesso a informações e recursos somente se tiverem uma necessidade genuína de executar suas tarefas. Isso impede o acesso não autorizado a dados confidenciais e minimiza o impacto potencial de uma violação de segurança. Automatizar o provisionamento de usuário ajuda a reduzir a concessão desnecessária de direitos de acesso. Os fluxos de trabalho do ciclo de vida são recursos de governança de identidade que permitem que as organizações gerenciem usuários do Microsoft Entra automatizando processos básicos do ciclo de vida.
RBAC (controle de acesso baseado em função): os direitos de acesso são determinados com base nas funções específicas ou funções de trabalho dos usuários. Cada função recebe as permissões mínimas necessárias para atender às suas responsabilidades. O controle de acesso baseado em função do Microsoft Entra gerencia o acesso aos recursos do Microsoft Entra.
Privilégio just-in-time: os direitos de acesso são concedidos apenas durante o tempo necessário e revogados quando não são mais necessários. Isso reduz a janela de oportunidade de os invasores explorarem privilégios excessivos. O PIM (Privileged Identity Management) é um serviço no Microsoft Entra ID que permite gerenciar, controlar e monitorar o acesso a recursos importantes da sua organização e pode fornecer acesso just-in-time.
Auditoria e revisão regulares: revisões periódicas de acesso e permissões do usuário são realizadas para garantir que os usuários ainda precisem do acesso que receberam. Isso ajuda a identificar e corrigir quaisquer desvios do princípio de privilégio mínimo. As revisões de acesso do Microsoft Entra ID, parte do Microsoft Entra, permitem que as organizações gerenciem com eficiência as associações de grupos, o acesso a aplicativos empresariais e a atribuições de função. O acesso do usuário pode ser examinado regularmente para garantir que somente as pessoas corretas tenham acesso contínuo.
Negação padrão: a postura padrão é negar o acesso e o acesso é concedido somente para fins aprovados. Isso contrasta com uma abordagem de "permissão padrão", que pode resultar na concessão de privilégios desnecessários. O gerenciamento de direitos é um recurso de governança de identidade que permite que as organizações gerenciem o ciclo de vida de identidade e o acesso em escala, automatizando fluxos de trabalho de solicitação de acesso, atribuições de acesso, revisões e expiração.
Seguindo o princípio de privilégios mínimos, sua organização pode reduzir o risco de problemas de segurança e garantir que os controles de acesso estejam alinhados com as necessidades de negócios.
Funções com privilégios mínimos para gerenciamento em recursos do Identity Governance
A melhor prática é usar a função menos privilegiada para executar tarefas administrativas no Identity Governance. Recomendamos que você use o PIM do Microsoft Entra para ativar uma função conforme necessário para executar essas tarefas. A seguir estão as funções de diretório menos privilegiadas para configurar os recursos do Identity Governance:
| Recurso | Função com privilégios mínimos |
|---|---|
| Gerenciamento de direitos | Administrador de governança de identidade |
| Análises de acesso | Administrador de usuário (com exceção das revisões de acesso das funções do Azure ou do Microsoft Entra, que exige Administrador de funções com privilégios) |
| Fluxos de trabalho do ciclo de vida | Administrador de Fluxos de Trabalho do Ciclo de Vida |
| Privileged Identity Management | Administrador de função com privilégios |
| Termos de uso | Administrador de segurança ou Administrador de acesso condicional |
Observação
A função com privilégios mínimos para o gerenciamento de direitos foi alterada da função de Administrador de Usuários para a função de Administrador de Governança de Identidade.