Descrição geral da segurança da gestão de identidades do Azure

O gerenciamento de identidades é o processo de autenticação e autorização de entidades de segurança. Também envolve o controle de informações sobre esses principais (identidades). As entidades de segurança (identidades) podem incluir serviços, aplicações, utilizadores, grupos, etc. As soluções de gerenciamento de identidade e acesso da Microsoft ajudam a TI a proteger o acesso a aplicativos e recursos no datacenter corporativo e na nuvem. Essa proteção permite níveis adicionais de validação, como autenticação multifator e políticas de Acesso Condicional. O monitoramento de atividades suspeitas por meio de relatórios de segurança avançados, auditorias e alertas ajuda a mitigar possíveis problemas de segurança. O Microsoft Entra ID P1 ou P2 fornece logon único (SSO) para milhares de aplicativos SaaS (software como serviço) na nuvem e acesso a aplicativos Web que você executa localmente.

Aproveitando os benefícios de segurança do Microsoft Entra ID, você pode:

• Crie e faça a gestão de uma única identidade para cada utilizador em toda a sua empresa híbrida, ao manter os utilizadores, os grupos e os dispositivos sincronizados.
• Forneça acesso SSO aos seus aplicativos, incluindo milhares de aplicativos SaaS pré-integrados.
• Habilite a segurança de acesso ao aplicativo impondo a autenticação multifator baseada em regras para aplicativos locais e na nuvem.
• Provisione acesso remoto seguro a aplicativos Web locais por meio do proxy de aplicativo Microsoft Entra.

O objetivo deste artigo é fornecer uma visão geral dos principais recursos de segurança do Azure que ajudam no gerenciamento de identidades. Também fornecemos links para artigos que dão detalhes de cada recurso para que você possa saber mais.

O artigo se concentra nos seguintes recursos principais de gerenciamento de identidades do Azure:

• Início de sessão único
• Proxy inverso
• Autenticação multifator
• Controlo de acesso baseado em funções do Azure (RBAC do Azure)
• Monitoramento de segurança, alertas e relatórios baseados em aprendizado de máquina
• Gestão de acesso e identidade do consumidor
• Registo de dispositivos
• Privileged Identity Management
• Proteção de identidade
• Gerenciamento de identidade híbrida/conexão do Azure AD
• Análises de acesso do Microsoft Entra

Início de sessão único

Logon único (SSO) significa ser capaz de acessar todos os aplicativos e recursos que você precisa para fazer negócios, entrando apenas uma vez usando uma única conta de usuário. Depois de iniciar sessão, pode aceder a todas as aplicações de que necessita sem ter de se autenticar (por exemplo, escrever uma palavra-passe) uma segunda vez.

Muitas organizações dependem de aplicativos SaaS, como Microsoft 365, Box e Salesforce, para produtividade do usuário. Historicamente, a equipe de TI precisava criar e atualizar individualmente contas de usuário em cada aplicativo SaaS, e os usuários tinham que lembrar uma senha para cada aplicativo SaaS.

O Microsoft Entra ID estende os ambientes locais do Ative Directory para a nuvem, permitindo que os usuários usem sua conta organizacional principal para entrar não apenas em seus dispositivos associados ao domínio e recursos da empresa, mas também em todos os aplicativos Web e SaaS de que precisam para seus trabalhos.

Os usuários não só não precisam gerenciar vários conjuntos de nomes de usuário e senhas, como também podem provisionar ou desprovisionar o acesso ao aplicativo automaticamente, com base em seus grupos organizacionais e em seu status de funcionário. O Microsoft Entra ID introduz controles de segurança e governança de acesso com os quais você pode gerenciar centralmente o acesso dos usuários em aplicativos SaaS.

Saiba mais:

• Visão geral do SSO
• Vídeo sobre os fundamentos da autenticação
• Série de início rápido sobre gerenciamento de aplicativos

Proxy inverso

O proxy de aplicativo Microsoft Entra permite publicar aplicativos em uma rede privada, como sites do SharePoint, Outlook Web App e aplicativos baseados em IIS dentro de sua rede privada e fornece acesso seguro a usuários fora de sua rede. O Proxy de Aplicativo fornece acesso remoto e SSO para muitos tipos de aplicativos Web locais com os milhares de aplicativos SaaS suportados pelo Microsoft Entra ID. Os funcionários podem iniciar sessão nas suas aplicações a partir de casa nos seus próprios dispositivos e autenticar-se através deste proxy baseado na nuvem.

Saiba mais:

• Habilitando o proxy de aplicativo Microsoft Entra
• Publicar aplicativos usando o proxy de aplicativo do Microsoft Entra
• Logon único com proxy de aplicativo
• Trabalhando com acesso condicional

Autenticação multifator

A autenticação multifator do Microsoft Entra é um método de autenticação que requer o uso de mais de um método de verificação e adiciona uma segunda camada crítica de segurança às entradas e transações do usuário. A autenticação multifator ajuda a proteger o acesso a dados e aplicativos e, ao mesmo tempo, atende à demanda do usuário por um processo de entrada simples. Ele oferece autenticação forte por meio de uma variedade de opções de verificação: chamadas telefônicas, mensagens de texto ou notificações de aplicativos móveis ou códigos de verificação e tokens OAuth de terceiros.

Saiba mais: Como funciona a autenticação multifator do Microsoft Entra

RBAC do Azure

O RBAC do Azure é um sistema de autorização criado no Azure Resource Manager que fornece gerenciamento de acesso refinado de recursos no Azure. O RBAC do Azure permite controlar granularmente o nível de acesso que os usuários têm. Por exemplo, você pode limitar um usuário a gerenciar apenas redes virtuais e outro usuário a gerenciar todos os recursos em um grupo de recursos. O Azure inclui várias funções incorporadas que pode utilizar. São apresentadas em seguida quatro funções incorporadas fundamentais. As três primeiras aplicam-se a todos os tipos de recursos.

• Proprietário – tem acesso total a todos os recursos, incluindo o direito de delegar o acesso a outras pessoas.
• Contribuidor – pode criar e gerir todos os tipos de recursos do Azure, mas não pode conceder acesso a outras pessoas.
• Leitor – Pode ver os recursos do Azure existentes.
• Administrador de Acesso dos Utilizadores – permite gerir o acesso dos utilizadores aos recursos do Azure.

Saiba mais:

• O que é o controlo de acesso baseado em funções do Azure (Azure RBAC)?
• Funções incorporadas do Azure

Monitoramento de segurança, alertas e relatórios baseados em aprendizado de máquina

Monitoramento de segurança, alertas e relatórios baseados em aprendizado de máquina que identificam padrões de acesso inconsistentes podem ajudá-lo a proteger sua empresa. Você pode usar os relatórios de acesso e uso do Microsoft Entra ID para obter visibilidade sobre a integridade e a segurança do diretório da sua organização. Com essas informações, um administrador de diretório pode determinar melhor onde podem estar possíveis riscos de segurança, para que possa planejar adequadamente a mitigação desses riscos.

No portal do Azure, os relatórios se enquadram nas seguintes categorias:

• Relatórios de anomalias: contêm eventos de início de sessão que considerámos anómalos. Nosso objetivo é conscientizá-lo sobre tal atividade e permitir que você determine se um evento é suspeito.
• Relatórios de aplicativos integrados: forneça informações sobre como os aplicativos em nuvem estão sendo usados em sua organização. O Microsoft Entra ID oferece integração com milhares de aplicativos em nuvem.
• Relatórios de erros: indique erros que podem ocorrer quando você provisiona contas para aplicativos externos.
• Relatórios específicos do usuário: exiba os dados de atividade de entrada do dispositivo para um usuário específico.
• Logs de atividades: contêm um registro de todos os eventos auditados nas últimas 24 horas, nos últimos 7 dias ou nos últimos 30 dias, bem como as alterações de atividades do grupo, a redefinição de senha e a atividade de registro.

Saiba mais: Guia de relatórios do Microsoft Entra ID

Gestão de acesso e identidade do consumidor

O Azure AD B2C é um serviço de gerenciamento de identidades global e altamente disponível para aplicativos voltados para o consumidor que pode ser dimensionado para centenas de milhões de identidades. Pode ser integrado entre plataformas móveis e Web. Seus consumidores podem entrar em todos os seus aplicativos por meio de experiências personalizáveis usando suas contas sociais existentes ou criando novas credenciais.

No passado, os desenvolvedores de aplicativos que queriam inscrever clientes e conectá-los em seus aplicativos teriam escrito seu próprio código. E teriam de utilizar sistemas ou bases de dados no local para armazenar os nomes de utilizador e as palavras-passe. O Azure AD B2C oferece à sua organização uma maneira melhor de integrar o gerenciamento de identidade do consumidor em aplicativos com a ajuda de uma plataforma segura baseada em padrões e um grande conjunto de políticas extensíveis.

Quando você usa o Azure AD B2C, seus consumidores podem se inscrever em seus aplicativos usando suas contas sociais existentes (Facebook, Google, Amazon, LinkedIn) ou criando novas credenciais (endereço de email e senha, ou nome de usuário e senha).

Saiba mais:

• O que é o Azure Active Directory B2C?
• Azure Ative Directory B2C: Tipos de aplicativos

Registo de dispositivos

O registro de dispositivo Microsoft Entra é a base para cenários de Acesso Condicional baseados em dispositivo. Quando um dispositivo é registrado, o registro de dispositivo do Microsoft Entra fornece ao dispositivo uma identidade que ele usa para autenticar o dispositivo quando um usuário entra. O dispositivo autenticado e os atributos do dispositivo podem ser usados para impor políticas de Acesso Condicional para aplicativos hospedados na nuvem e no local.

Quando combinados com uma solução de gerenciamento de dispositivos móveis, como o Intune, os atributos de dispositivo no Microsoft Entra ID são atualizados com informações adicionais sobre o dispositivo. Em seguida, você pode criar regras de Acesso Condicional que impõem o acesso de dispositivos para atender aos seus padrões de segurança e conformidade.

Saiba mais:

• Introdução ao registo de dispositivos Microsoft Entra
• Registro automático de dispositivos com o Microsoft Entra ID para dispositivos que ingressaram no domínio do Windows

Privileged Identity Management

Com o Microsoft Entra Privileged Identity Management, você pode gerenciar, controlar e monitorar suas identidades privilegiadas e acesso a recursos no Microsoft Entra ID, bem como outros serviços online da Microsoft, como o Microsoft 365 e o Microsoft Intune.

Às vezes, os usuários precisam realizar operações privilegiadas em recursos do Azure ou do Microsoft 365 ou em outros aplicativos SaaS. Essa necessidade geralmente significa que as organizações têm que dar aos usuários acesso privilegiado permanente no Microsoft Entra ID. Esse acesso é um risco de segurança crescente para recursos hospedados na nuvem, porque as organizações não podem monitorar suficientemente o que os usuários estão fazendo com seus privilégios de administrador. Além disso, se uma conta de usuário com acesso privilegiado for comprometida, essa violação poderá afetar a segurança geral da nuvem da organização. O Microsoft Entra Privileged Identity Management ajuda a mitigar esse risco.

Com o Microsoft Entra Privileged Identity Management, você pode:

• Veja quais usuários são administradores do Microsoft Entra.
• Habilite o acesso administrativo sob demanda e just-in-time (JIT) aos serviços da Microsoft, como o Microsoft 365 e o Intune.
• Obtenha relatórios sobre o histórico de acesso de administrador e alterações nas atribuições de administrador.
• Receba alertas sobre o acesso a uma função privilegiada.

Saiba mais:

• O que é o Microsoft Entra Privileged Identity Management?
• Atribuir funções de diretório do Microsoft Entra no PIM

Proteção de identidade

O Microsoft Entra ID Protection é um serviço de segurança que fornece uma visão consolidada das deteções de risco e potenciais vulnerabilidades que afetam as identidades da sua organização. A Proteção de Identidade aproveita os recursos existentes de deteção de anomalias do Microsoft Entra, que estão disponíveis por meio dos relatórios de atividades anômalas do Microsoft Entra. A Proteção de Identidade também introduz novos tipos de deteção de risco que podem detetar anomalias em tempo real.

Saiba mais: Proteção de ID do Microsoft Entra

Gerenciamento de identidade híbrida (Microsoft Entra Connect)

As soluções de identidade da Microsoft abrangem recursos locais e baseados em nuvem, criando uma única identidade de usuário para autenticação e autorização para todos os recursos, independentemente do local. Chamamos-lhe identidade híbrida. O Microsoft Entra Connect é a ferramenta da Microsoft projetada para atender e atingir suas metas de identidade híbrida. Isso permite que você forneça uma identidade comum para seus usuários para aplicativos Microsoft 365, Azure e SaaS integrados ao Microsoft Entra ID. Proporciona as seguintes funcionalidades:

• Sincronização
• AD FS e integração de federação
• Passar pela autenticação
• Monitorização do Estado de Funcionamento

Saiba mais:

• White paper de identidade híbrida
• Microsoft Entra ID

Análises de acesso do Microsoft Entra

As revisões de acesso do Microsoft Entra permitem que as organizações gerenciem com eficiência associações de grupo, acesso a aplicativos corporativos e atribuições de funções privilegiadas.

Saiba mais: Análises de acesso do Microsoft Entra