Diretrizes de proteção de controle de acesso
O Microsoft Entra ID atende aos requisitos de prática relacionados à identidade para implementar proteções da Lei de Portabilidade e Responsabilidade de Seguro de Saúde de 1996 (HIPAA). Para estar em conformidade com a HIPAA, implemente as proteções usando essas diretrizes. Talvez seja necessário modificar outras configurações ou processos.
Para entender a Proteção de Identificação do Usuário, recomendamos que você pesquise e defina objetivos que permitam que você:
Verifique se as IDs são exclusivas para todos que precisam se conectar ao domínio.
Estabeleça um processo de JML (Joiner, Mover e Leaver).
Habilite a auditoria para rastreamento de identidade.
Para a Proteção de Controle de Acesso Autorizada, defina objetivos para que:
O acesso ao sistema seja limitado a usuários autorizados.
Os usuários autorizados sejam identificados.
O acesso a dados pessoais seja limitado a usuários autorizados.
Para a Proteção do Procedimento de Acesso de Emergência:
Verifique a alta disponibilidade dos principais serviços.
Elimine pontos únicos de falha.
Configure um plano de recuperação de desastre.
Verifique os backups de dados de alto risco.
Estabeleça e mantenha contas de acesso de emergência.
Para a Proteção Automática de Logoff:
Estabeleça um procedimento que encerre uma sessão eletrônica após um tempo predeterminado de inatividade.
Configure e implemente uma política de saída automática.
Identificação exclusiva do usuário
A tabela a seguir tem proteções de controle de acesso das diretrizes HIPAA para identificação exclusiva do usuário. Encontre recomendações da Microsoft para atender aos requisitos de implementação de proteção.
Proteção HIPAA: identificação exclusiva do usuário
Assign a unique name and/or number for identifying and tracking user identity.
| Recomendação | Ação |
|---|---|
| Configurar híbrido para utilizar o Microsoft Entra ID | O Microsoft Entra Connect integra diretórios locais com o Microsoft Entra ID, dando suporte ao uso de identidades únicas para acessar aplicativos locais e serviços de nuvem, como o Microsoft 365. Ele orquestra a sincronização entre o Active Directory (AD) e o Microsoft Entra ID. Para começar a usar o Microsoft Entra Connect, revise os pré-requisitos, observando os requisitos do servidor e como preparar o locatário do Microsoft Entra para gerenciamento. A sincronização do Microsoft Entra Connect é um agente de provisionamento gerenciado na nuvem. O agente de provisionamento dá suporte à sincronização com o Microsoft Entra ID a partir de um ambiente AD desconectado de várias florestas. Os agentes leves são instalados e podem ser usados com o Microsoft Entra Connect. Recomendamos o uso da Sincronização de Hash de Senha para ajudar a reduzir o número de senhas e proteger contra a detecção de credenciais vazadas. |
| Provisionar contas de usuário | O Microsoft Entra ID é um serviço de gerenciamento de identidade e acesso baseado em nuvem que fornece logon único, autenticação multifator e acesso condicional para proteger contra ataques de segurança. Para criar uma conta de usuário, entre no Centro de administração do Microsoft Entra como Administrador de Usuários e crie uma nova conta navegando para Todos os usuários no menu. O Microsoft Entra ID fornece suporte para provisionamento automatizado de usuários para sistemas e aplicativos. Os recursos incluem criar, atualizar e excluir uma conta de usuário. O provisionamento automatizado cria novas contas nos sistemas certos para novas pessoas quando elas ingressam em uma equipe de uma organização, e o desprovisionamento automatizado desativa as contas quando elas deixam a equipe. Configure o provisionamento navegando até o Centro de administração do Microsoft Entra e selecionando aplicativos empresariais para adicionar e gerenciar as configurações do aplicativo. |
| Provisionamento impulsionado por RH | A Integração do provisionamento de contas do Microsoft Entra em um sistema de RH (Recursos Humanos) reduz o risco de acesso excessivo e de acesso não mais necessário. O sistema de RH torna-se o início da autoridade, para contas recém-criadas, estendendo os recursos para desprovisionamento de conta. A automação gerencia o ciclo de vida da identidade e reduz o risco de superprovisionamento. Essa abordagem segue a melhor prática de segurança de fornecer acesso de privilégios mínimos. |
| Criar fluxos de trabalho do ciclo de vida | Os fluxos de trabalho do ciclo de vida fornecem governança de identidade para automatizar o ciclo de vida do JML (joiner, mover e leaver). Os fluxos de trabalho do ciclo de vida centralizam o processo de fluxo de trabalho, usando modelos integrados ou criando seus próprios fluxos de trabalho personalizados. essa prática ajuda a reduzir ou potencialmente remover tarefas manuais para requisitos de estratégia JML organizacional. No portal do Azure, navegue até Governança de Identidade no menu do Microsoft Entra para revisar ou configurar tarefas que se ajustem aos seus requisitos organizacionais. |
| Gerenciar identidades privilegiadas | O PIM (Microsoft Entra Privileged Identity Management) permite o gerenciamento, o controle e a capacidade de monitorar o acesso. Forneça acesso quando necessário, em uma ativação de função baseada em tempo e aprovação. Essa abordagem limita o risco de permissões de acesso excessivas, desnecessárias ou mal utilizadas. |
| Monitoramento e alertas | O Identity Protection fornece uma exibição consolidada dos eventos de risco e das possíveis vulnerabilidades que afetam as identidades da organização. Habilitar a proteção aplica os recursos existentes de detecção de anomalias do Microsoft Entra e introduz tipos de evento de risco que detectam anomalias em tempo real. Por meio do Centro de administração do Microsoft Entra, você pode entrar, auditar e revisar logs de provisionamento. Os logs podem ser baixados, arquivados e transmitidos para a ferramenta SIEM (gerenciamento de eventos e informações de segurança). Os logs do Microsoft Entra podem estar localizados na seção de monitoramento do menu do Microsoft Entra. Os logs também podem ser enviados para o Azure Monitor usando um workspace do Azure Log Analytics, no qual você pode configurar alertas sobre os dados conectados. O Microsoft Entra ID identifica exclusivamente os usuários por meio da Propriedade de ID no respectivo objeto do directoy. Essa abordagem permite filtrar identidades específicas nos arquivos de log. |
Controle de acesso autorizado
A tabela a seguir tem diretrizes HIPAA para proteções de controle de acesso para controle de acesso autorizado. Encontre recomendações da Microsoft para atender aos requisitos de implementação de proteção.
Proteção HIPAA: controle de acesso autorizado
Person or entity authentication, implement procedures to verify that a person or entity seeking access to electronic protected health information is the one claimed.
| Recomendação | Ação |
|---|---|
| Habilitar MFA (autenticação multifator) | A MFA no Microsoft Entra ID protege identidades adicionando outra camada de segurança. A autenticação de camada extra é eficaz para ajudar a impedir o acesso não autorizado. O uso de uma abordagem de MFA permite que você exija mais validação de credenciais de entrada durante o processo de autenticação. Os exemplos incluem configurar o aplicativo Authenticator para verificação com um clique ou habilitar a autenticação sem senha. |
| Habilitar políticas de acesso condicional | As políticas de acesso condicional ajudam as organizações a restringir o acesso a aplicativos aprovados. O Microsoft Entra analisa sinais do usuário, do dispositivo ou do local para automatizar decisões e impor políticas organizacionais para acesso a recursos e dados. |
| Habilitar o RBAC (controle de acesso baseado em função) | O RBAC fornece segurança em um nível empresarial com o conceito de separação de tarefas. O RBAC permite ajustar e revisar permissões para proteger a confidencialidade, a privacidade e o gerenciamento de acesso a recursos e dados confidenciais, juntamente com os sistemas. O Microsoft Entra ID fornece suporte para funções internas, que é um conjunto fixo de permissões que não podem ser modificadas. Você também pode criar suas próprias funções personalizadas em que pode adicionar uma lista predefinida. |
| Habilitar o ABAC (controle de acesso baseado em atributo) | O ABAC define o acesso com base em atributos associados a entidades de segurança, recursos e ambiente. Ele fornece controle de acesso refinado e reduz o número de atribuições de função. O uso do ABAC pode ser definido como escopo para o conteúdo no armazenamento dedicado do Azure. |
| Configurar o acesso de grupos de usuários no SharePoint | Os grupos do SharePoint são uma coleção de usuários. As permissões têm como escopo o nível do conjunto de sites para acesso ao conteúdo. O aplicativo dessa restrição pode ter como escopo contas de serviço que exigem acesso ao fluxo de dados entre aplicativos. |
Procedimento de acesso de emergência
A tabela a seguir tem proteções de controle de acesso de diretrizes HIPAA para procedimentos de acesso de emergência. Encontre recomendações da Microsoft para atender aos requisitos de implementação de proteção.
Proteção HIPAA: procedimento de acesso de emergência
Establish (and implement as needed) procedures and policies for obtaining necessary electronic protected health information during an emergency or occurrence.
| Recomendação | Ação |
|---|---|
| Usar os serviços recuperação do Azure | Os Backups do Azure fornecem o suporte necessário para fazer backup de dados vitais e confidenciais. A cobertura inclui armazenamento/bancos de dados e infraestrutura de nuvem, juntamente com dispositivos Windows locais para a nuvem. Estabeleça políticas de backup para resolver os riscos do processo de backup e recuperação. Verifique se os dados são armazenados com segurança e podem ser recuperados com tempo de inatividade mínimo. O Azure Site Recovery fornece replicação de dados quase constante para garantir que as cópias sejam sincronizadas. As etapas iniciais antes de configurar o serviço são determinar o RPO (objetivo de ponto de recuperação) e o RTO (objetivo de tempo de recuperação) para dar suporte aos requisitos organizacionais. |
| Garantir a resiliência | A resiliência ajuda a manter os níveis de serviço quando há interrupções nas operações de negócios e nos principais serviços de TI. A funcionalidade abrange serviços, dados, o Microsoft Entra ID e considerações do Active Directory. Determinar um plano de resiliência estratégico para incluir quais sistemas e dados dependem do Microsoft Entra e de ambientes híbridos. A resiliência do Microsoft 365 abrange os principais serviços, que incluem o Exchange, o SharePoint e o OneDrive para proteger contra dados corrompidos e aplicar pontos de dados de resiliência para proteger o conteúdo ePHI. |
| Criar contas de emergência | Estabelecer uma conta de emergência garante que o sistema e os serviços ainda possam ser acessados em circunstâncias imprevistas, como falhas de rede ou outros motivos para perda de acesso administrativo. Recomendamos que você não associe essa conta a uma conta ou usuário individual. |
Segurança da estação de trabalho: logoff automático
A tabela a seguir tem diretrizes HIPAA sobre a proteção automática de logoff. Encontre recomendações da Microsoft para atender aos requisitos de implementação de proteção.
Proteção HIPAA: logoff automático
Implement electronic procedures that terminate an electronic session after a predetermined time of inactivity.| Create a policy and procedure to determine the length of time that a user is allowed to stay logged on, after a predetermined period of inactivity.
| Recomendação | Ação |
|---|---|
| Criar política de grupo | No suporte a dispositivos não migrados para o Microsoft Entra ID e gerenciados pelo Intune, a Política de Grupo (GPO) pode fazer com que o logoff seja executado ou o tempo de bloqueio de tela seja aplicado para dispositivos no AD ou em ambientes híbridos. |
| Avaliar os requisitos de gerenciamento de dispositivos | O Microsoft Intune oferece MDM (gerenciamento de dispositivo móvel) e MAM (gerenciamento de aplicativo móvel). Ele fornece controle sobre dispositivos pessoais e da empresa. Você pode gerenciar o uso do dispositivo e impor políticas para controlar aplicativos móveis. |
| Política de acesso condicional do dispositivo | Implemente o bloqueio de dispositivo usando uma política de acesso condicional para restringir o acesso a dispositivos em conformidade ou ingressado no Microsoft Entra híbrido. Defina as configurações de política. Para dispositivos não gerenciados, defina a configuração de Frequência de Entrada para forçar os usuários a autenticar novamente. |
| Configurar o tempo limite da sessão para o Microsoft 365 | Examine os tempos limite da sessão para aplicativos e serviços do Microsoft 365, para alterar os tempos limite prolongados. |
| Configurar o tempo limite da sessão para portal do Azure | Examine os tempos limite de sessão para a sessão do portal do Azure. A implementação de um tempo limite devido à inatividade ajuda a proteger os recursos contra acesso não autorizado. |
| Examinar sessões de acesso ao aplicativo | As políticas de avaliação contínua de acesso podem negar ou conceder acesso a aplicativos. Se a entrada for bem-sucedida, o usuário recebe um token de acesso válido por uma (1) hora. Depois que o token de acesso expira, o cliente é direcionado de volta para o Microsoft Entra ID, as condições são reavaliadas e o token é atualizado por mais uma hora. |
Saiba mais
Próximas etapas
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de