Compartilhar via


Atender aos requisitos de autorização do memorando 22-09

Esta série de artigos tem diretrizes para empregar o Microsoft Entra ID como um sistema centralizado de gerenciamento de identidades ao implementar princípios de Confiança Zero. Confira o Memorando M 22-09 para Chefes de Agências e Departamentos Executivos do Escritório de Gestão e Orçamento dos EUA (OMB).

Os requisitos de memorando são tipos de imposição em políticas de autenticação multifator e controles para dispositivos, funções, atributos e gerenciamento de acesso privilegiado.

Controles baseados em dispositivo

Um requisito de memorando 22-09 é pelo menos um sinal baseado em dispositivo para decisões de autorização para acessar um sistema ou aplicativo. Impor o requisito usando o Acesso Condicional. Aplique vários sinais de dispositivo durante a autorização. Consulte a tabela a seguir para obter o sinal e o requisito para recuperar o sinal.

Sinal Recuperação de sinal
O dispositivo é gerenciado Integração com o Intune ou outra solução de MDM (gerenciamento de dispositivo móvel) que dá suporte a essa integração.
Ingressado no Microsoft Entra híbrido O Active Directory gerencia o dispositivo e ele se qualifica.
O dispositivo está em conformidade Integração com Intune ou outra solução de MDM que dá suporte à integração. Confira Criar uma política de conformidade no Microsoft Intune.
Sinais de ameaça O Microsoft Defender para Ponto de Extremidade e outras ferramentas EDR (detecção e resposta do ponto de extremidade) têm integrações com o Microsoft Entra ID e o Intune para enviar sinais de ameaça para negar o acesso. Os sinais de ameaça dão suporte ao sinal de status em conformidade.
Políticas de acesso entre locatários (versão prévia pública) Confiar em sinais de dispositivo de dispositivos em outras organizações.

Controles baseados em função

Use o RBAC (controle de acesso baseado em função) para impor autorizações por meio de atribuições de função em um escopo específico. Por exemplo, atribua o acesso usando recursos de gerenciamento de direitos, incluindo pacotes de acesso e revisões de acesso. Gerencie autorizações com solicitações de autoatendimento e use a automação para gerenciar o ciclo de vida. Por exemplo, interrompa o acesso automaticamente baseado em critérios.

Saiba mais:

Controles baseados em atributo

O ABAC (controle de acesso baseado em atributo) usa metadados atribuídos a um usuário ou recurso para permitir ou negar o acesso durante a autenticação. Confira as seguintes seções para criar autorizações usando imposições ABAC para dados e recursos por meio da autenticação.

Atributos atribuídos aos usuários

Use atributos atribuídos aos usuários, armazenados no Microsoft Entra ID, para criar autorizações de usuário. Os usuários são atribuídos automaticamente a grupos de associação dinâmica com base em um conjunto de regras que você define durante a criação do grupo. As regras adicionam ou removem um usuário do grupo com base na avaliação da regra em relação ao usuário e seus atributos. Recomendamos que você mantenha atributos e não defina atributos estáticos no dia da criação.

Saiba mais: Criar ou atualizar um grupo dinâmico no ID do Microsoft Entra

Atributos atribuídos aos dados

Com o Microsoft Entra ID, você pode integrar a autorização aos dados. Consulte as seções a seguir para integrar a autorização. Você pode configurar a autenticação em políticas de Acesso Condicional: restringir ações que os usuários tomam em um aplicativo ou em dados. Essas políticas de autenticação são mapeadas na fonte de dados.

As fontes de dados podem ser arquivos do Microsoft Office como Word, Excel ou sites do SharePoint mapeados para autenticação. Use a autenticação atribuída aos dados em aplicativos. Essa abordagem requer integração com o código do aplicativo e os desenvolvedores para adotar a funcionalidade. Use a integração de autenticação com Aplicativos do Microsoft Defender para Nuvem para controlar as ações executadas nos dados através de controles de sessão.

Combine grupos de associação dinâmica com o contexto de autenticação para controlar mapeamentos de acesso do usuário entre os dados e os atributos do usuário.

Saiba mais:

Atributos atribuídos aos recursos

O Azure inclui o Azure ABAC (controle de acesso baseado em atributo) para armazenamento. Atribuir marcas de metadados aos dados armazenados em uma conta do Armazenamento de Blobs do Azure. Atribua os metadados aos usuários usando atribuições de função para conceder acesso.

Saiba mais: O que é o controle de acesso baseado em atributo do Azure?

Gerenciamento de acesso privilegiado

O memorando cita a ineficiência do uso de ferramentas de gerenciamento de acesso privilegiado com credenciais efêmeras de fator único para acessar sistemas. Essas tecnologias incluem cofres de senha que aceitam entrada de autenticação multifator para um administrador. Essas ferramentas geram uma senha para uma conta alternativa acessar o sistema. O acesso ao sistema ocorre com um único fator.

As ferramentas da Microsoft implementam o PIM (Privileged Identity Management) para sistemas privilegiados com o Microsoft Entra ID como sistema central de gerenciamento de identidades. Impor a autenticação multifator para a maioria dos sistemas privilegiados que são aplicativos, elementos de infraestrutura ou dispositivos.

Use o PIM para uma função com privilégios, quando ele for implementado com identidades do Microsoft Entra ID. Identifique sistemas privilegiados que exigem proteções para impedir a movimentação lateral.

Saiba mais:

Próximas etapas