Guia de referência de operações de governança do Microsoft Entra ID
Esta seção do guia de referência de operações do Microsoft Entra descreve as verificações e ações que você deve tomar para avaliar e atestar o acesso concedido a identidades não privilegiadas e privilegiadas, auditoria e alterações de controle no ambiente.
Nota
Estas recomendações estão atualizadas à data de publicação, mas podem mudar ao longo do tempo. As organizações devem avaliar continuamente suas práticas de governança à medida que os produtos e serviços da Microsoft evoluem ao longo do tempo.
Principais processos operacionais
Atribuir proprietários a tarefas principais
O gerenciamento do Microsoft Entra ID requer a execução contínua de tarefas e processos operacionais importantes, que podem não fazer parte de um projeto de implantação. Ainda é importante configurar essas tarefas para otimizar seu ambiente. As principais tarefas e seus proprietários recomendados incluem:
| Tarefa | Proprietário |
|---|---|
| Arquivar logs de auditoria do Microsoft Entra no sistema SIEM | Equipe de Operações InfoSec |
| Descubra aplicativos que são gerenciados fora de conformidade | Equipe de Operações do IAM |
| Rever regularmente o acesso às candidaturas | Equipe de arquitetura InfoSec |
| Rever regularmente o acesso a identidades externas | Equipe de arquitetura InfoSec |
| Revise regularmente quem tem papéis privilegiados | Equipe de arquitetura InfoSec |
| Definir portas de segurança para ativar funções privilegiadas | Equipe de arquitetura InfoSec |
| Rever regularmente as concessões de consentimento | Equipe de arquitetura InfoSec |
| Projetar catálogos e pacotes de acesso para aplicativos e recursos baseados para funcionários na organização | Proprietários de aplicativos |
| Definir políticas de segurança para atribuir usuários a pacotes de acesso | Equipa InfoSec + Proprietários de Aplicações |
| Se as políticas incluírem fluxos de trabalho de aprovação, revise regularmente as aprovações de fluxo de trabalho | Proprietários de aplicativos |
| Revisar exceções em políticas de segurança, como políticas de Acesso Condicional, usando revisões de acesso | Equipe de Operações InfoSec |
À medida que você revisa sua lista, pode achar que precisa atribuir um proprietário para tarefas que estão faltando um proprietário ou ajustar a propriedade para tarefas com proprietários que não estão alinhadas com as recomendações acima.
Leitura recomendada pelo proprietário
Teste de alterações de configuração
Há alterações que exigem considerações especiais ao testar, desde técnicas simples, como a implantação de um subconjunto de usuários de destino, até a implantação de uma alteração em um locatário de teste paralelo. Se você não implementou uma estratégia de teste, deve definir uma abordagem de teste com base nas diretrizes da tabela abaixo:
| Scenario | Recomendação |
|---|---|
| Alterar o tipo de autenticação de federado para PHS/PTA ou vice-versa | Use a distribuição em estágios para testar o impacto da alteração do tipo de autenticação. |
| Implementando uma nova política de Acesso Condicional ou Política de Proteção de Identidade | Crie uma nova política de Acesso Condicional e atribua aos usuários de teste. |
| Integração de um ambiente de teste de um aplicativo | Adicione o aplicativo a um ambiente de produção, oculte-o do painel MyApps e atribua-o aos usuários de teste durante a fase de garantia de qualidade (QA). |
| Alteração das regras de sincronização | Execute as alterações em um teste do Microsoft Entra Connect com a mesma configuração que está atualmente em produção, também conhecido como modo de preparação, e analise os resultados do CSExport. Se estiver satisfeito, troque para a produção quando estiver pronto. |
| Mudança de marca | Teste em um locatário de teste separado. |
| Lançando um novo recurso | Se o recurso oferecer suporte à implantação para um conjunto de usuários de destino, identifique os usuários piloto e crie. Por exemplo, a redefinição de senha de autoatendimento e a autenticação multifator podem ter como alvo usuários ou grupos específicos. |
| Transferir um aplicativo de um provedor de identidade (IdP) local, por exemplo, o Ative Directory, para o Microsoft Entra ID | Se o aplicativo oferecer suporte a várias configurações de IdP, por exemplo, Salesforce, configure ambos e teste o ID do Microsoft Entra durante uma janela de alteração (caso o aplicativo introduza a página HRD). Se o aplicativo não suportar vários IdPs, agende o teste durante uma janela de controle de alterações e o tempo de inatividade do programa. |
| Atualizar regras de grupo dinâmico | Crie um grupo dinâmico paralelo com a nova regra. Compare com o resultado calculado, por exemplo, execute o PowerShell com a mesma condição. Se o teste for aprovado, troque os locais onde o grupo antigo foi usado (se possível). |
| Migrar licenças de produtos | Consulte Alterar a licença para um único usuário em um grupo licenciado no Microsoft Entra ID. |
| Alterar regras do AD FS, como Autorização, Emissão, MFA | Use a declaração de grupo para segmentar um subconjunto de usuários. |
| Alterar a experiência de autenticação do AD FS ou alterações semelhantes em todo o farm | Crie um farm paralelo com o mesmo nome de host, implemente alterações de configuração, teste de clientes usando o arquivo HOSTS, regras de roteamento NLB ou roteamento semelhante. Se a plataforma de destino não suportar ficheiros HOSTS (por exemplo, dispositivos móveis), controle a mudança. |
Revisões de acesso
Aceda a análises a candidaturas
Ao longo do tempo, os usuários podem acumular acesso a recursos à medida que se movem por diferentes equipes e posições. É importante que os proprietários de recursos analisem o acesso aos aplicativos regularmente e removam os privilégios que não são mais necessários durante todo o ciclo de vida dos usuários. As revisões de acesso do Microsoft Entra permitem que as organizações gerenciem com eficiência associações de grupo, acesso a aplicativos corporativos e atribuições de funções. Os proprietários de recursos devem revisar o acesso dos usuários regularmente para garantir que apenas as pessoas certas tenham acesso contínuo. Idealmente, você deve considerar o uso de revisões de acesso do Microsoft Entra para essa tarefa.
Nota
Cada usuário que interage com as avaliações de acesso deve ter uma licença paga do Microsoft Entra ID P2.
Acessar revisões para identidades externas
É crucial manter o acesso a identidades externas limitado apenas aos recursos necessários, durante o tempo necessário. Estabeleça um processo regular de revisão de acesso automatizado para todas as identidades externas e acesso a aplicativos usando as revisões de acesso do Microsoft Entra. Se já existir um processo no local, considere usar as revisões de acesso do Microsoft Entra. Quando um aplicativo for retirado ou não for mais usado, remova todas as identidades externas que tiveram acesso ao aplicativo.
Nota
Cada usuário que interage com as avaliações de acesso deve ter uma licença paga do Microsoft Entra ID P2.
Gestão privilegiada de contas
Uso privilegiado da conta
Os hackers geralmente têm como alvo contas de administrador e outros elementos de acesso privilegiado para obter acesso rápido a dados e sistemas confidenciais. Como os usuários com funções privilegiadas tendem a se acumular ao longo do tempo, é importante revisar e gerenciar o acesso de administrador regularmente e fornecer acesso privilegiado just-in-time aos recursos do Microsoft Entra ID e do Azure.
Se não existir nenhum processo em sua organização para gerenciar contas privilegiadas, ou se você tiver administradores que usam suas contas de usuário regulares para gerenciar serviços e recursos, você deve começar imediatamente a usar contas separadas, por exemplo, uma para atividades diárias regulares; o outro para acesso privilegiado e configurado com MFA. Melhor ainda, se sua organização tiver uma assinatura do Microsoft Entra ID P2, você deverá implantar imediatamente o Microsoft Entra Privileged Identity Management (PIM). Da mesma forma, você também deve revisar essas contas privilegiadas e atribuir funções menos privilegiadas , se aplicável.
Outro aspeto do gerenciamento de contas privilegiadas que deve ser implementado é na definição de revisões de acesso para essas contas, manualmente ou automatizadas por meio do PIM.
Gerenciamento privilegiado de contas leitura recomendada
Contas de acesso de emergência
As organizações devem criar contas de emergência para estarem preparadas para gerenciar o Microsoft Entra ID para casos como interrupções de autenticação como:
- Componentes de interrupção de infraestruturas de autenticação (AD FS, AD local, serviço MFA)
- Rotatividade do pessoal administrativo
Para evitar ser bloqueado inadvertidamente do seu inquilino por não conseguir iniciar sessão ou ativar a conta de um utilizador individual existente como administrador, deve criar duas ou mais contas de emergência e garantir que estão implementadas e alinhadas com as práticas recomendadas e os procedimentos de quebra-vidros da Microsoft.
Acesso privilegiado ao portal do Azure EA
O portal do Azure Enterprise Agreement (Azure EA) permite que você crie assinaturas do Azure em relação a um Enterprise Agreement mestre, que é uma função poderosa dentro da empresa. É comum iniciar a criação deste portal antes mesmo de colocar o Microsoft Entra ID no lugar, por isso é necessário usar identidades do Microsoft Entra para bloqueá-lo, remover contas pessoais do portal, garantir que a delegação adequada esteja em vigor e mitigar o risco de bloqueio.
Para ser claro, se o nível de autorização do portal EA estiver atualmente definido como "modo misto", você deverá remover todas as contas da Microsoft de todo o acesso privilegiado no portal EA e configurar o portal EA para usar apenas contas do Microsoft Entra. Se as funções delegadas do portal EA não estiverem configuradas, você também deverá localizar e implementar funções delegadas para departamentos e contas.
Acesso privilegiado leitura recomendada
Gestão de direitos
O gerenciamento de direitos (EM) permite que os proprietários de aplicativos agrupem recursos e os atribuam a personas específicas na organização (internas e externas). O EM permite a inscrição e delegação de autoatendimento aos proprietários de empresas, mantendo as políticas de governança para conceder acesso, definir durações de acesso e permitir fluxos de trabalho de aprovação.
Nota
O Microsoft Entra Entitlement Management requer licenças do Microsoft Entra ID P2.
Resumo
Há oito aspetos para uma governança de identidade segura. Esta lista irá ajudá-lo a identificar as ações que você deve tomar para avaliar e atestar o acesso concedido a identidades não privilegiadas e privilegiadas, auditar e controlar alterações no ambiente.
- Atribua proprietários a tarefas principais.
- Implemente uma estratégia de teste.
- Use as revisões de acesso do Microsoft Entra para gerenciar com eficiência associações de grupo, acesso a aplicativos corporativos e atribuições de função.
- Estabeleça um processo de revisão de acesso regular e automatizado para todos os tipos de identidades externas e acesso a aplicativos.
- Estabeleça um processo de revisão de acesso para revisar e gerenciar o acesso de administrador regularmente e forneça acesso privilegiado just-in-time aos recursos do Microsoft Entra ID e do Azure.
- Provisione contas de emergência para estar preparado para gerenciar o Microsoft Entra ID em caso de interrupções inesperadas.
- Bloqueie o acesso ao portal do Azure EA.
- Implemente o Gerenciamento de Direitos para fornecer acesso controlado a uma coleção de recursos.
Próximos passos
Comece com as verificações e ações operacionais do Microsoft Entra.