Sistema de gerenciamento de identidade para toda a empresa do memorando 22-09
O Memorando M 22-09 para Chefes de Departamentos Executivos e Agências exige que as agências desenvolvam um plano de consolidação para suas plataformas de identidade. O objetivo é ter o menor número possível de sistemas de identidade gerenciados pela agência dentro de 60 dias a partir da data da publicação (28 de março de 2022). Há várias vantagens em consolidar a plataforma de identidade:
- Gerenciar de forma centralizada o ciclo de vida de identidade, imposição de política e controles auditáveis
- Capacidade uniforme e paridade de imposição
- Reduzir a necessidade de treinamento de recursos em vários sistemas
- Permitir que os usuários entrem uma vez e acessem diretamente aplicativos e serviços no ambiente de TI
- Integrar com o máximo possível de aplicativos da agência
- Usar serviços de autenticação compartilhados e relações de confiança para facilitar a integração entre agências
Por que Microsoft Entra ID?
Use o Microsoft Entra ID para implementar recomendações do memorando 22-09. O Microsoft Entra ID tem controles de identidade que dão suporte a iniciativas de Confiança Zero. Com o Microsoft Office 365 ou o Azure, o Microsoft Entra ID é um provedor de identidade (IdP). Conecte seus aplicativos e recursos ao Microsoft Entra ID como seu sistema de identidade em toda a empresa.
Requisitos de logon único
O memorando exige que os usuários entrem uma vez e acessem os aplicativos. Com o Microsoft single sign-on (SSO), os usuários entram uma única vez para acessar serviços e aplicativos em nuvem. Confira, logon único contínuo do Microsoft Entra.
Integração entre agências
Use a colaboração B2B do Microsoft Entra para atender ao requisito de facilitar a integração e a colaboração entre agências. Os usuários podem residir em um locatário da Microsoft na mesma nuvem. Os locatários podem estar em outra nuvem da Microsoft ou em um locatário não do Azure AD (provedor de identidade SAML/WS-Fed).
Com as configurações de acesso entre locatários do Microsoft Entra, as agências gerenciam como elas colaboram com outras organizações do Microsoft Entra e outras nuvens do Microsoft Azure:
- Limitar o que os usuários de locatários da Microsoft podem acessar
- Configurações para acesso de usuário externo, incluindo imposição de autenticação multifator e sinal de dispositivo
Saiba mais:
- Visão geral da colaboração B2B
- Microsoft Entra B2B nas nuvens governamentais e nacionais
- Federação com provedores de identidade SAML/WS-Fed para usuários convidados
Conectando aplicativos
Para consolidar e usar o Microsoft Entra ID como o sistema de identidade em toda a empresa, examine os ativos que estão no escopo.
Documentar aplicativos e serviços
Crie um inventário dos aplicativos e serviços que os usuários acessam. Um sistema de gerenciamento de identidade protege apenas o que ele sabe.
Classificação de ativo:
- A confidencialidade dos dados ali
- Leis e regulamentos para confidencialidade, integridade ou disponibilidade de dados e/ou informações em sistemas principais
- Leis e regulamentos ditos que se aplicam aos requisitos de proteção de informações do sistema
Para o seu inventário de aplicativos, determine quais aplicativos usam protocolos prontos para nuvem ou protocolos de autenticação herdados:
- Os aplicativos prontos para nuvem dão suporte a protocolos modernos para autenticação:
- SAML
- Web Services Federation/Confiança
- OIDC (OpenID Connect)
- OAuth 2.0.
- Os aplicativos de autenticação herdados dependem de métodos de autenticação mais antigos ou proprietários:
- Kerberos/NTLM (autenticação do Windows)
- Autenticação baseada em cabeçalho
- LDAP
- Autenticação Básica
Saiba mais Integrações do Microsoft Entra com protocolos de autenticação.
Ferramentas de descoberta de aplicativos e serviços
A Microsoft oferece as seguintes ferramentas para dar suporte à descoberta de aplicativos e serviços.
| Ferramenta | Uso |
|---|---|
| Análise de Uso para o Serviços de Federação do Active Directory (AD FS) | Analisa o tráfego de autenticação de servidor federado. Confira Monitorar o AD FS usando o Microsoft Entra Connect Health |
| Microsoft Defender for Cloud Apps | Examina os logs de firewall para detectar aplicativos de nuvem, serviços de IaaS (infraestrutura como serviço) e serviços de PaaS (plataforma como serviço). Integrar o Defender para Aplicativos em Nuvem com o Defender para Ponto de Extremidade a dados de descoberta analisados nos dispositivos cliente do Windows. Confira Visão geral do Microsoft Defender para Aplicativos em Nuvem |
| Planilha de Descoberta de Aplicativos | Documentar os estados atuais dos seus aplicativos. Confira Planilha de Descoberta de Aplicativos |
Os seus aplicativos podem estar em outros sistemas que não são Microsoft, e as ferramentas da Microsoft talvez não descubram esses aplicativos. Certifique-se de fazer um inventário completo. Os provedores precisam de mecanismos para descobrir aplicativos que usam seus serviços.
Priorizar aplicativos para conexão
Depois de descobrir os aplicativos no ambiente, priorize-os para migração. Considere:
- Nível de importância de negócios
- Perfis do usuário
- Uso
- Vida útil
Saiba mais: Migrar a autenticação do aplicativo para o Microsoft Entra ID.
Conecte os aplicativos prontos para a nuvem em ordem de prioridade. Determine os aplicativos que usam protocolos de autenticação herdados.
Para aplicativos que usam protocolos de autenticação herdados:
- Para aplicativos com autenticação moderna, reconfigure-os para usar o Microsoft Entra ID
- Para aplicativos sem autenticação moderna, há duas opções:
- Atualize o código do aplicativo para usar protocolos modernos integrando a MSAL (Biblioteca de Autenticação da Microsoft)
- Usar um proxy de aplicativo do Microsoft Entra ou acesso seguro a parceiros híbridos para acesso seguro
- A desativação do acesso a aplicativos não é mais necessária, ou que não possuem suporte
Saiba mais
- Integrações do Microsoft Entra com protocolos de autenticação
- O que é a plataforma de identidade da Microsoft?
- Acesso híbrido seguro: proteger aplicativos herdados com o Microsoft Entra ID
Conectando dispositivos
Parte da centralização de um sistema de gerenciamento de identidades inclui a permissão de entrada dos usuários em dispositivos físicos e virtuais. Você pode conectar dispositivos Windows e Linux no sistema centralizado do Microsoft Entra, o que elimina sistemas de identidade variados e separados.
Durante o inventário e o escopo, identifique os dispositivos e a infraestrutura a serem integrados ao Microsoft Entra ID. A integração centraliza sua autenticação e gerenciamento usando políticas de Acesso Condicional com autenticação multifator imposta por meio de Microsoft Entra ID.
Ferramentas para descobrir dispositivos
Você pode usar as contas de Automação do Azure para identificar dispositivos por meio da coleta de inventário conectada ao Azure Monitor. O Microsoft Defender para Ponto de Extremidade tem recursos de inventário de dispositivos. Descubra os dispositivos que têm o Defender para Ponto de Extremidade configurado e aqueles que não têm. O inventário de dispositivos provém de sistemas locais, como o System Center Configuration Manager ou outros sistemas que gerenciam dispositivos e clientes.
Saiba mais:
- Gerenciar coleção de inventário de VMs
- Visão geral do Microsoft Defender para Ponto de Extremidade
- Introdução ao inventário de hardware
Integrar dispositivos ao Microsoft Entra ID
Os dispositivos integrados ao Microsoft Entra ID são dispositivos ingressados híbridos ou dispositivos ingressados no Microsoft Entra. Separe a integração de dispositivos por dispositivos clientes e de usuário e máquinas físicas e virtuais que operam como infraestrutura. Para obter mais informações sobre a estratégia de implantação para dispositivos de usuário, confira as diretrizes a seguir.
- Planejar a implantação do seu dispositivo do Microsoft Entra
- Dispositivos ingressados de forma híbrida no Microsoft Entra
- Dispositivos ingressados no Microsoft Entra
- Entrar em uma máquina virtual do Windows no Azure usando o Microsoft Entra ID incluindo sem senha
- Entrar em uma máquina virtual do Linux no Azure usando o Microsoft Entra ID e o OpenSSH
- Ingresso do Microsoft Entra para a Área de Trabalho Virtual do Azure
- Identidade do dispositivo e virtualização de área de trabalho
Próximas etapas
Os artigos a seguir fazem parte deste conjunto de documentação:
- Atenda aos requisitos de identidade do memorando 22-09 com o Microsoft Entra ID
- Atender aos requisitos de autenticação multifator do memorando 22-09
- Atender aos requisitos de autorização do memorando 22-09
- Outras áreas de Confiança Zero abordadas no memorando 22-09
- Proteger a identidade com a Confiança Zero
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de