Fase 1 – Proteger o plano de controle de identidade

Este artigo faz parte do guia implementar uma solução de arquitetura de acesso privilegiado.

O acesso privilegiado apresenta um risco crítico à segurança na maioria das organizações porque permite o controle direto sobre sistemas de identidade, planos de controle de nuvem e ativos críticos para os negócios.

Saiba como uma arquitetura de acesso privilegiado seguro desempenha um papel crítico em seu cenário de negócios – Proteger ativos comerciais críticos – reduzindo esse risco e fortalecendo o controle sobre sistemas confidenciais.

Este artigo ajuda você a implementar a Fase 1 da solução implementar uma solução de arquitetura de acesso privilegiado . Essa fase protege o plano de controle de identidade definindo e protegendo identidades privilegiadas, atribuições de função e caminhos de elevação autorizados.

É importante implementar a Fase 1 primeiro. Fases posteriores que protegem dispositivos de acesso privilegiado, impõem políticas de Acesso Condicional e monitoram o acesso privilegiado dependem de ter um plano de controle de identidade limpo e bem controlado.

Metas de proteção

A fase 1 garante que o acesso privilegiado seja:

  • Explícito: conceda privilégio somente por meio de caminhos de elevação definidos. Nunca o torne implícito ou acidental.
  • Temporário: o privilégio expira automaticamente.
  • Fortemente autenticado: exigir autenticação forte para elevação.
  • Auditável: registre todas as alterações de privilégio e elevações.
  • Recuperável: forneça acesso de emergência sem enfraquecer os controles.

Escopo de proteção

A fase 1 se concentra em dois componentes fundamentais do acesso privilegiado:

  • Identidades privilegiadas: identidades que podem executar ações privilegiadas, incluindo:

    • Contas de usuário administrativas dedicadas
    • Grupos administrativos
    • Entidades de serviço e identidades gerenciadas
    • Azure atribuições de função do RBAC
    • Contas de acesso emergencial (break-glass) (se não existirem).

  • Caminhos de elevação autorizados: mecanismos que permitem que os usuários mudem de estados sem privilégios para estados privilegiados, como:

    • Ativação de função com prazo determinado usando o - Privileged Identity Management (PIM)
    • Fluxos de trabalho de aprovação para funções confidenciais
    • Sessões administrativas explícitas

  • Acesso de recuperação de emergência: configuração de contas break-glass, caso ainda não existam.

Esses componentes operam no plano de controle. Se eles estiverem comprometidos, os invasores poderão conceder a si mesmos acesso privilegiado sem tocar em dispositivos ou políticas de acesso.

Riscos mitigados

Risco Por que isso importa Mitigação da fase 1
Criação descontrolada de identidades privilegiadas Os invasores criam novos administradores ou atribuições de função silenciosamente. Estabeleça identidades e funções com privilégios autoritativos.
Restringir quem pode gerenciar sistemas de identidade.
Trate os sistemas de identidade como ativos privilegiados.
Escalonamento de privilégios silenciosos Privilégio obtido por meio de grupos, RBAC ou atribuições aninhadas. Racionalizar funções, usar atribuições baseadas em grupo, remover o acesso permanente.
Acesso administrativo persistente (permanente) As credenciais roubadas retêm privilégios permanentes. Substitua o privilégio permanente pela elevação por tempo determinado.
Caminhos de elevação fracos ou implícitos Os invasores usam os mesmos caminhos que os administradores. Definir fluxos de trabalho de elevação seguros, explícitos e auditáveis
Ignorando proteções downstream Privilégio obtido antes da imposição do dispositivo ou da política. Plano de controle de identidade protegido em primeiro lugar.
Comprometimento de identidade irrecuperável Não há maneira segura de recuperar o controle. Crie contas de acesso de emergência protegidas.
Postura de segurança de identidade baixa Controles de identidade fracos minam todas as fases posteriores. Eleve os sistemas de identidade para o nível mais alto de segurança.

Resultados da fase

Depois de concluir esta fase:

  • Todo o acesso privilegiado está vinculado a identidades e funções conhecidas e explícitas.
  • Todo o privilégio é temporário, auditável e intencional.
  • O acesso administrativo permanente é removido.
  • Os sistemas de identidade são tratados como ativos privilegiados.
  • A recuperação do comprometimento de identidade é possível sem enfraquecer os controles.
  • Nenhum novo risco privilegiado é introduzido durante a modernização.

Essa fase também interrompe a criação de novos riscos privilegiados enquanto a auditoria e a modernização continuam.

Pré-requisitos

Antes de começar a configurar a Fase 1, observe os seguintes pré-requisitos:

Examine a documentação:

Em sua organização:

  • Verifique se você tem um locatário Microsoft Entra ID ativo e de propriedade. Recomendamos Microsoft Entra ID P2 (para governança de identidade privilegiada).
  • Essa solução pressupõe que você tenha Microsoft 365 Enterprise E5. Para obter mais informações, confira Planos de licenciamento do Microsoft 365 Enterprise.
  • Verifique se você tem pelo menos duas contas de acesso de emergência definidas .
  • Responsabilidade clara pela governança de identidade e pelo gerenciamento de papéis.
  • A criação de contas de administrador segura as expõe à estação de trabalho usada durante a instalação. Verifique se a configuração inicial é executada de um dispositivo seguro conhecido.

Etapa 1: Auditar o acesso privilegiado

Estabeleça um inventário completo de identidades privilegiadas e caminhos de acesso. Audite as seguintes fontes.

Source Detalhes
Funções de diretório do Microsoft Entra Identifique funções privilegiadas que podem levar direta ou indiretamente ao domínio do locatário alterando os limites de identidade, acesso ou confiança no plano de controle de identidade.

Para cada função:
- Identificar atribuições diretas versus baseadas em grupo.
- Identificar atribuições permanentes e elegíveis ao PIM
– Capturar o estado de ativação atual.
Privilégio baseado em grupo Descubra quem possui privilégios indiretos e passaria despercebido se você analisasse apenas os usuários.

- Examinar a associação de grupo aninhada
- Identificar usuários, entidades de serviço e identidades gerenciadas
- Registre como o privilégio é herdado.
Funções do RBAC do Azure Descubra o que essas identidades privilegiadas podem fazer fora do próprio diretório.

Auditar atribuições no grupo de gerenciamento, assinatura e escopos de recursos.

Identificar identidades com permissões amplas ou em cascata.
Identidades não humanas Descubra quais identidades não humanas fazem parte do caminho de acesso privilegiado, incluindo:

Entidades de serviço e identidades gerenciadas
Contas de automação e scripts
Permissões de aplicativo com controle de locatário ou recurso.

O resultado é um inventário confiável de identidades privilegiadas.

Identificar funções no diretório

Audite quem pode fazer alterações nas configurações de identidade, autenticação ou de todo o locatário.

  1. No Centro de Administração do Microsoft Entra, navegue até Entra ID>Funções e administradores.

  2. Selecione Todas as funções. Esta página lista todas as funções de diretório Microsoft Entra internas e personalizadas, incluindo funções de administrador em todo o locatário, como Administrador Global e Administrador de Funções Privilegiadas.

    • Funções privilegiadas são qualquer um que possa atribuir funções, modificar a segurança/autenticação ou gerenciar aplicativos, dispositivos ou políticas de segurança.
    • Uma lista completa de funções internas com privilégios também está disponível na documentação.

  3. Para cada função com privilégios, primeiro verifique as atribuições diretas. Para cada principal atribuído diretamente (usuário, grupo ou entidade de serviço principal (aplicativo/identidade gerenciada)), verifique como a função foi concedida e o estado atual.

    • Uma atribuição permanente significa que a função está sempre ativada. Uma identidade faz login e já possui privilégios com o status Ativo (permanente). Isso é obviamente de alto risco.
    • Uma atribuição elegível no PIM é aquela em que a função está disponível, mas só fica ativa quando é ativada. O usuário deve ativar a função. Geralmente, é limitado por tempo e geralmente requer justificativa. O status poderá ser Ativo ou Qualificado se o usuário puder se tornar privilegiado, mas não estiver ativado no momento.

  4. Agora mude para atribuições de grupo. Isso é importante, pois verifica o privilégio que é atribuído indiretamente por meio de grupos.

  5. Abra cada grupo que tenha a função privilegiada atribuída.

  6. Expanda os membros do grupo, expanda grupos aninhados e registre usuários, entidades de serviço e identidades gerenciadas.

  7. Para cada identidade, confirme como o privilégio é mantido:

    • A função é atribuída por um grupo ou por um grupo aninhado?
    • A função é permanente ou elegível ao PIM?
    • Qual é o estado atual?

Depois de concluir esta etapa, você terá mapeado o plano de controle de identidade e contará com um inventário confiável de identidades privilegiadas no Microsoft Entra.

Identificar funções do RBAC do Azure

Agora que você sabe quais identidades têm privilégios, vamos verificar o que elas podem fazer fora do diretório Microsoft Entra. Onde mais eles têm controle e em que escopo?

  1. Para cada principal privilegiado que você identificou, determine as funções.

  2. Comece no escopo mais alto (grupos de gerenciamento).

    1. No portal do Azure >Grupos de gerenciamento, vá para **Controle de acesso (IAM) >Atribuições de função.
    2. Use Filtro>Atribuído e pesquise o nome da entidade de segurança.
    3. Registre todos os resultados, incluindo o nome da função e o escopo.

    Se você encontrar identidades aqui, isso indica que elas têm amplo controle sobre o Azure, já que as funções RBAC do Azure atribuídas no escopo do grupo de gerenciamento se propagam para todas as assinaturas e recursos filhos.

  3. Agora siga os mesmos procedimentos para Azure portal >Subscriptions.

    As identidades com funções do Azure RBAC atribuídas no nível da assinatura são privilegiadas e podem conceder ou delegar acesso.

  4. Se as identidades não foram encontradas no nível do grupo de gerenciamento ou da assinatura, você pode verificar no nível dos grupos de recursos com o mesmo procedimento no portal Azure >Resource groups.

  5. Você também pode querer verificar se as entidades de segurança têm controle sobre recursos individuais estratégicos, como Key Vaults, contas de armazenamento, máquinas virtuais ou contas de automação. Para fazer isso, verifique o controle de acesso (IAM)>Atribuído a cada recurso individual.

Registrar resultados

  1. Para cada conta identificada, capture os detalhes da auditoria em uma tabela de mapeamento.

  2. Identifique contas de alto risco com privilégios amplos e crie uma tabela de mapeamento que fornecerá informações sobre o escopo da função (raio de explosão) e o tipo de trabalho.

    Conta Função de entrada função do RBAC do Azure Âmbito Trabalho privilegiado
    alice@contoso.com Administrador global Proprietário Sub1, Sub2 Gerenciar usuários, funções, assinaturas.

  3. Se você quiser adicionar mais informações sobre o comportamento observado para uma conta, poderá:

    1. Revise os logs de entrada para obter informações sobre aplicativos, endpoints de cliente e fluxos de autenticação.
    2. Correlacionar informações com logs de auditoria e atividade para verificar se uma conta é usada e se ela alterou a política, modificou recursos/assinaturas ou executou alguma outra atividade.

Etapa 2: Avaliar sua configuração existente

Com o inventário em vigor, você pode usar a ferramenta Confiança Zero Assessment para avaliar como o acesso privilegiado é configurado em seu ambiente e identificar lacunas no controle.

Embora a ferramenta Avaliação não substitua um inventário completo, ela usa dados de função e política como entrada para ajudá-lo a entender se:

  • As funções privilegiadas são protegidas (MFA, Acesso Condicional).
  • O acesso privilegiado é regido (padrões PIM, JIT/JEA).
  • As políticas são aplicadas consistentemente.
  • Existem lacunas entre identidades, dispositivos e políticas de acesso.

Saiba mais sobre como avaliar a identidade com a ferramenta.

Etapa 3: Estabelecer identidades administrativas dedicadas

Remova funções privilegiadas de contas de usuário padrão.

Crie contas administrativas dedicadas que:

  • São usados apenas para tarefas privilegiadas
  • Não ter acesso a recursos de produtividade (e-mail, Teams, navegação na internet)
  • São elegíveis a privilégios por meio do PIM, e não atribuídos permanentemente

Remova todas as atribuições de função com privilégios das identidades de usuário padrão.

Criar contas de administrador

  1. No Microsoft Entra Centro de Administração, navegue até Microsoft Entra ID>Users.
  2. Selecione Novo usuário e defina as configurações do usuário. em seguida, selecione Criar.
    • Nome: Administrador de Estação de Trabalho Segura.
    • Nome principal do usuário: secure-ws-admin@contoso.com
    • Método de autenticação: senha (temporária).
    • Funções de diretório: Não atribua.
    • Local de uso: definir como local operacional.

Isso fornece uma identidade de administrador limpa sem privilégios.

Etapa 4: Criar identidades para PAWs

Em procedimentos posteriores, você configura uma PAW (estação de trabalho de administrador privilegiado).

Se você quiser definir identidades que podem acessar PAWs, mas que não podem executar ações privilegiadas, você pode:

  • Crie uma identidade que só possa fazer logon em PAWs.
  • Crie um grupo de segurança que controla quem tem permissão para entrar nas PAWs.
    • Esse grupo nunca concede direitos de administrador. Ele é usado para:
      • Acesso condicional, incluindo permitir que somente usuários da Estação de Trabalho Segura entrem em PAWs e bloqueiem outros usuários.
      • Aplicação de licenciamento específico do PAW por grupo.
    • Os membros típicos desse grupo incluem analistas, operadores e auditores do SOC.

Criar uma identidade de entrada

  1. No Microsoft Entra Centro de Administração, navegue até Microsoft Entra ID>Users.
  2. Selecione Novo usuário e defina as configurações do usuário. Em seguida, selecione Criar.
    • Nome: Usuário seguro da estação de trabalho
    • Nome principal do usuário: secure-ws-user@contoso.com
    • Funções de diretório: Não atribuir

Criar um grupo de segurança de acesso à PAW

Configurar um grupo que controla quem pode entrar nas PAWs

  1. No Microsoft Entra Centro de Administração, navegue até Microsoft Entra ID>Groups>New group.

  2. Defina as configurações de grupo e selecione Criar.

    • Tipo de grupo: segurança
    • Nome do grupo: Usuários seguros da estação de trabalho
    • Afiliação: Atribuída

  3. Adicione apenas as identidades de entrada da PAW ao grupo, não aos administradores por padrão.

Etapa 5: Criar grupos de controle administrativo

Crie grupos de segurança que definem quem é qualificado para funções privilegiadas. Estes grupos:

  • São marcados como passíveis de atribuição de função
  • São gerenciados por meio do PIM
  • Não conceda privilégios apenas por associação
  • Servir como limites de autorização para elevação

As alterações de associação são tratadas como ações privilegiadas e revisadas regularmente

  1. No Microsoft Entra Centro de Administração, navegue até Microsoft Entra ID>Groups>New group.

  2. Defina as configurações de grupo e selecione Criar.

    • Tipo de grupo: segurança
    • Nome: Administradores da Estação de Trabalho Segura
    • Tipo de associação: atribuído

  3. Adicione identidades de administrador dedicadas. Não use contas padrão e trate as alterações de associação como confidenciais. Examine regularmente.

Esse grupo será posteriormente:

  • Marcado como passível de atribuição de função
  • Funções de diretório atribuídas via PIM como elegíveis (não ativas)
  • Usar como mecanismo principal de segmentação para políticas de acesso privilegiado

Etapa 6: Configurar o PIM

Se Privileged Identity Management ainda não estiver habilitado, faça isso agora.

Verifique se você está conectado como administrador global ou administrador de função com privilégios.

Habilitar o PIM para funções de diretório

  1. No Centro de administração do Microsoft Entra, navegue até Identity governance>Privileged Identity Management.
  2. Selecione Funções do Microsoft Entra.

Remover funções permanentes

  1. Em Microsoft Entra funções, selecione Roles.

  2. Abra funções de acesso privilegiado identificadas para sua organização.

    O conjunto mínimo recomendado por Microsoft é o seguinte: – Administrador Global – Administrador de Funções Com Privilégios – Administrador de Segurança – Administrador Exchange – Administrador SharePoint

  3. Selecione Atribuições.

  4. Para cada atribuição ativa (permanente):

    • Remover a atribuição permanente
    • Adicione novamente o usuário ou grupo como Qualificado.

Depois disso, os usuários não têm privilégios de administrador, a menos que os ativem.

Definir configurações de ativação

Para cada função com privilégios, faça o seguinte:

  1. Em PIM>funções do Microsoft Entra, selecione Configurações.

  2. Selecione a função >Editar.

  3. Definir configurações:

    • Exigir ativação
    • Exigir MFA na ativação
    • Exigir justificativa
    • Definir a duração máxima da ativação (por exemplo: 1 a 4 horas para funções de alto impacto)
    • Exigir aprovação (para Administrador Global, Administrador de Funções Com Privilégios, Administrador de Segurança)
    • Selecione um ou mais aprovadores

  4. Selecione Atualizar.

Usar atribuições de função baseadas em grupo

Recomendamos atribuir funções a grupos, não a usuários individuais, para escala e governança.

Crie um grupo de segurança ao qual é possível atribuir função e atribua esse grupo a uma função do Entra (por exemplo, Administrador do Exchange). Em seguida, gerencie a participação (quem pode receber a função) por meio do seu processo de governança e, opcionalmente, por meio do PIM para Grupos.

  1. Crie um grupo de segurança com a configuração As funções do Microsoft Entra podem ser atribuídas a este grupo habilitada.
  2. Em >funções do Microsoft Entra no PIM, selecione Adicionar atribuições.
  3. Defina o grupo como Elegível para a função.
  4. Adicione ou remova usuários do grupo em vez de modificar atribuições de função diretamente.

Esse grupo se torna o limite de autorização para acesso privilegiado.

Ao concluir a Etapa 6, o seguinte está configurado:

  • Sem acesso administrativo permanente
  • Privilégio é solicitado, aprovado, com prazo determinado, registrado em log
  • Caminhos de elevação são explícitos e revisíveis

Etapa 7: Configurar contas de emergência

Se você ainda não tiver contas de acesso de emergência em vigor, configure-as agora. São necessários para recuperar o acesso em casos de bloqueio de identidade causados por Acesso Condicional, indisponibilidade do MFA ou erro de configuração.

Verifique se você está conectado como administrador global ou administrador de função com privilégios para criar pelo menos duas contas de acesso de emergência.

  1. No Centro de administração do Microsoft Entra, navegue até Usuários>Todos os usuários.
  2. Selecione Novo usuário e crie um usuário somente na nuvem.
  • Usar o domínio *.onmicrosoft.com
  • Usar um nome não óbvio (não "quebrar vidro")
  1. Atribua a função de Administrador Global.
  • Não defina esta função como elegível ao PIM — ela deve ser permanente.
  • Use uma senha forte e longa, armazenada com segurança offline.
  • Configurar a autenticação resistente a phishing (por exemplo, FIDO2 /passkey ou autenticação baseada em certificado)
  • Não vincule a MFA a um telefone pessoal ou endereço de email.

Repita para criar uma segunda conta de emergência.

Excluir contas de emergência do Acesso Condicional

Isso garante que a recuperação seja sempre possível.

  1. No Microsoft Entra Centro de Administração, navegue até Protection>Conditional Access.

  2. Para cada política:

    • Editar Atribuições.
    • Exclua pelo menos uma conta de acesso de emergência.

Certifique-se de não excluir contas de administrador regulares – somente as contas de emergência.

Monitorar o uso da conta de emergência

  1. Habilitar alertas em:

    • Logins em contas de emergência
    • Alterações de função envolvendo essas contas

  2. Trate qualquer uso como um incidente de segurança, a menos que seja previamente aprovado.

  3. Examine o uso periodicamente.

Ao concluir a Etapa 7, o seguinte está configurado:

  • O plano de controle de identidade é recuperável
  • As fases posteriores (PAWs, Acesso Condicional) não correrão o risco de bloqueio permanente
  • O acesso de emergência é isolado, monitorado e raramente usado

Próximas Etapas 

Depois de proteger o plano de controle de identidade, restrinja onde o privilégio pode ser exercido com PAWs (Estações de Trabalho de Acesso Privilegiado) seguras.

  • Last updated on