Guia de referência de operações de gerenciamento de identidade e acesso do Microsoft Entra
Esta seção do guia de referência de operações do Microsoft Entra descreve as verificações e ações que você deve considerar para proteger e gerenciar o ciclo de vida das identidades e suas atribuições.
Nota
Estas recomendações estão atualizadas à data de publicação, mas podem mudar ao longo do tempo. As organizações devem avaliar continuamente suas práticas de identidade à medida que os produtos e serviços da Microsoft evoluem ao longo do tempo.
Principais processos operacionais
Atribuir proprietários a tarefas principais
O gerenciamento do Microsoft Entra ID requer a execução contínua de tarefas e processos operacionais importantes que podem não fazer parte de um projeto de implantação. Ainda é importante configurar essas tarefas para manter seu ambiente. As principais tarefas e seus proprietários recomendados incluem:
| Tarefa | Proprietário |
|---|---|
| Definir o processo como criar assinaturas do Azure | Varia de acordo com a organização |
| Decida quem obtém licenças do Enterprise Mobility + Security | Equipe de Operações do IAM |
| Decida quem obtém licenças do Microsoft 365 | Equipa de Produtividade |
| Decida quem obtém outras licenças, por exemplo, Dynamics, Visual Studio Codespaces | Proprietário do aplicativo |
| Atribuir licenças | Equipe de Operações do IAM |
| Solucionar problemas e corrigir erros de atribuição de licença | Equipe de Operações do IAM |
| Provisionar identidades para aplicativos no Microsoft Entra ID | Equipe de Operações do IAM |
À medida que você revisa sua lista, pode achar que precisa atribuir um proprietário para tarefas que estão faltando um proprietário ou ajustar a propriedade para tarefas com proprietários que não estão alinhadas com as recomendações acima.
Atribuindo aos proprietários leitura recomendada
Sincronização de identidade local
Identificar e resolver problemas de sincronização
A Microsoft recomenda que você tenha uma boa linha de base e compreensão dos problemas em seu ambiente local que podem resultar em problemas de sincronização com a nuvem. Como ferramentas automatizadas como o IdFix e o Microsoft Entra Connect Health podem gerar um grande volume de falsos positivos, recomendamos que você identifique erros de sincronização que foram deixados sem solução por mais de 100 dias, limpando esses objetos com erro. Erros de sincronização não resolvidos a longo prazo podem gerar incidentes de suporte. A solução de problemas de erros durante a sincronização fornece uma visão geral de diferentes tipos de erros de sincronização, alguns dos cenários possíveis que causam esses erros e possíveis maneiras de corrigir os erros.
Configuração do Microsoft Entra Connect Sync
Para habilitar todas as experiências híbridas, postura de segurança baseada em dispositivo e integração com o Microsoft Entra ID, é necessário sincronizar as contas de usuário que seus funcionários usam para fazer login em suas áreas de trabalho.
Se você não sincronizar o login dos usuários da floresta, altere a sincronização para vir da floresta adequada.
Escopo de sincronização e filtragem de objetos
A remoção de buckets conhecidos de objetos que não precisam ser sincronizados tem os seguintes benefícios operacionais:
- Menos fontes de erros de sincronização
- Ciclos de sincronização mais rápidos
- Menos "lixo" para transportar do local, por exemplo, poluição da lista de endereços global para contas de serviço locais que não são relevantes na nuvem
Nota
Se você achar que está importando muitos objetos que não estão sendo exportados para a nuvem, deverá filtrar por UO ou atributos específicos.
Exemplos de objetos a serem excluídos são:
- Contas de serviço que não são usadas para aplicativos na nuvem
- Grupos que não devem ser usados em cenários de nuvem, como aqueles usados para conceder acesso a recursos
- Usuários ou contatos que são identidades externas que devem ser representadas com a Colaboração B2B do Microsoft Entra
- Contas de computador em que os funcionários não devem acessar aplicativos em nuvem de, por exemplo, servidores
Nota
Se uma única identidade humana tiver várias contas provisionadas a partir de algo como uma migração, fusão ou aquisição de domínio herdado, você só deverá sincronizar a conta usada pelo usuário no dia a dia, por exemplo, o que ele usa para fazer login no computador.
Idealmente, você desejará alcançar um equilíbrio entre a redução do número de objetos a serem sincronizados e a complexidade das regras. Geralmente, uma combinação entre filtragem de UO/contêiner mais um mapeamento de atributo simples para o atributo cloudFiltered é uma combinação de filtragem eficaz.
Importante
Se você usar a filtragem de grupo na produção, deverá fazer a transição para outra abordagem de filtragem.
Sincronize failover ou recuperação de desastres
O Microsoft Entra Connect desempenha um papel fundamental no processo de provisionamento. Se o Servidor de Sincronização ficar offline por qualquer motivo, as alterações no local não poderão ser atualizadas na nuvem e poderão resultar em problemas de acesso para os usuários. Portanto, é importante definir uma estratégia de failover que permita aos administradores retomar rapidamente a sincronização depois que o servidor de sincronização ficar offline. Essas estratégias podem enquadrar-se nas seguintes categorias:
- Implantar o(s) servidor(es) do Microsoft Entra Connect no modo de preparo - permite que um administrador "promova" o servidor de preparo para produção por meio de uma simples opção de configuração.
- Usar virtualização - Se o Microsoft Entra Connect for implantado em uma máquina virtual (VM), os administradores poderão aproveitar sua pilha de virtualização para migrar ao vivo ou reimplantar rapidamente a VM e, portanto, retomar a sincronização.
Se a sua organização não tiver uma estratégia de recuperação de desastres e failover para o Sync, você não hesite em implantar o Microsoft Entra Connect no Modo de Preparo. Da mesma forma, se houver uma incompatibilidade entre a configuração de produção e de preparação, você deve redefinir a linha de base do modo de preparo do Microsoft Entra Connect para corresponder à configuração de produção, incluindo versões e configurações de software.
Mantenha-se atualizado
A Microsoft atualiza o Microsoft Entra Connect regularmente. Mantenha-se atualizado para aproveitar as melhorias de desempenho, correções de bugs e novos recursos que cada nova versão oferece.
Se a sua versão do Microsoft Entra Connect estiver com mais de seis meses de atraso, você deve atualizar para a versão mais recente.
Âncora de origem
O uso do ms-DS-consistencyguid como âncora de origem permite uma migração mais fácil de objetos entre florestas e domínios, o que é comum na consolidação/limpeza, fusões, aquisições e alienações de domínios do AD.
Se você estiver usando o ObjectGuid como âncora de origem, recomendamos alternar para usar o ms-DS-ConsistencyGuid.
Regras personalizadas
As regras personalizadas do Microsoft Entra Connect fornecem a capacidade de controlar o fluxo de atributos entre objetos locais e objetos na nuvem. No entanto, o uso excessivo ou indevido de regras personalizadas pode introduzir os seguintes riscos:
- Complexidade da solução de problemas
- Degradação do desempenho ao executar operações complexas entre objetos
- Maior probabilidade de divergência de configuração entre o servidor de produção e o servidor de preparo
- Sobrecarga adicional ao atualizar o Microsoft Entra Connect se as regras personalizadas forem criadas dentro da precedência maior que 100 (usada por regras internas)
Se você estiver usando regras excessivamente complexas, deve investigar as razões da complexidade e encontrar oportunidades de simplificação. Da mesma forma, se você criou regras personalizadas com valor de precedência acima de 100, deve corrigir as regras para que elas não corram risco ou entrem em conflito com o conjunto padrão.
Exemplos de uso indevido de regras personalizadas incluem:
- Compensar dados sujos no diretório - Neste caso, recomenda-se trabalhar com os proprietários da equipe do AD e limpar os dados no diretório como uma tarefa de correção e ajustar os processos para evitar a reintrodução de dados incorretos.
- Remediação pontual de usuários individuais - É comum encontrar regras que excedem casos especiais, geralmente devido a um problema com um usuário específico.
- "CloudFiltering" excessivamente complicado - Embora reduzir o número de objetos seja uma boa prática, há um risco de criar e complicar demais o escopo de sincronização usando muitas regras de sincronização. Se houver uma lógica complexa para incluir/excluir objetos além da filtragem de UO, é recomendável lidar com essa lógica fora da sincronização e rotular os objetos com um atributo "cloudFiltered" simples que pode fluir com uma Regra de Sincronização simples.
Documentador de configuração do Microsoft Entra Connect
O Documentador de Configuração do Microsoft Entra Connect é uma ferramenta que você pode usar para gerar documentação de uma instalação do Microsoft Entra Connect para permitir uma melhor compreensão da configuração de sincronização, criar confiança em acertar as coisas e saber o que foi alterado quando você aplicou uma nova compilação ou configuração do Microsoft Entra Connect ou adicionou ou atualizou regras de sincronização personalizadas. As capacidades atuais da ferramenta incluem:
- Documentação da configuração completa do Microsoft Entra Connect Sync.
- Documentação de quaisquer alterações na configuração de dois servidores Microsoft Entra Connect Sync ou alterações de uma determinada linha de base de configuração.
- Geração de um script de implantação do PowerShell para migrar as diferenças ou personalizações da regra de sincronização de um servidor para outro.
Atribuição a aplicações e recursos
Licenciamento baseado em grupo para serviços de nuvem da Microsoft
O Microsoft Entra ID simplifica o gerenciamento de licenças por meio do licenciamento baseado em grupo para serviços de nuvem da Microsoft. Desta forma, o IAM fornece a infraestrutura do grupo e delega o gerenciamento desses grupos para as equipes adequadas nas organizações. Há várias maneiras de configurar a associação de grupos no Microsoft Entra ID, incluindo:
Sincronizado a partir do local - Os grupos podem vir de diretórios locais, o que pode ser uma boa opção para organizações que estabeleceram processos de gerenciamento de grupo que podem ser estendidos para atribuir licenças no Microsoft 365.
Baseado em atributos / dinâmico - Os grupos podem ser criados na nuvem com base em uma expressão baseada em atributos do usuário, por exemplo, Departamento é igual a "vendas". O Microsoft Entra ID mantém os membros do grupo, mantendo-o consistente com a expressão definida. O uso desse tipo de grupo para atribuição de licença permite uma atribuição de licença baseada em atributos, o que é uma boa opção para organizações que têm alta qualidade de dados em seu diretório.
Propriedade delegada - Os grupos podem ser criados na nuvem e podem ser designados proprietários. Dessa forma, você pode capacitar os proprietários de empresas, por exemplo, equipe de colaboração ou equipe de BI, para definir quem deve ter acesso.
Se você estiver usando um processo manual para atribuir licenças e componentes aos usuários, recomendamos implementar o licenciamento baseado em grupo. Se o seu processo atual não monitorar erros de licenciamento ou o que é Atribuído versus Disponível, você deve definir melhorias no processo para resolver erros de licenciamento e monitorar a atribuição de licenciamento.
Outro aspeto do gerenciamento de licenças é a definição de planos de serviço (componentes da licença) que devem ser habilitados com base nas funções de trabalho na organização. Conceder acesso a planos de serviço que não são necessários pode fazer com que os usuários vejam ferramentas no portal do Office para as quais não foram treinados ou não deveriam usar. Ele pode gerar volume adicional de suporte técnico, provisionamento desnecessário e colocar sua conformidade e governança em risco, por exemplo, ao provisionar o OneDrive for Business para indivíduos que podem não ter permissão para compartilhar conteúdo.
Use as seguintes diretrizes para definir planos de serviço para os usuários:
- Os administradores devem definir "pacotes" de planos de serviço a serem oferecidos aos usuários com base em sua função, por exemplo, trabalhador de colarinho branco versus trabalhador de chão.
- Crie grupos por cluster e atribua a licença com o plano de serviço.
- Opcionalmente, um atributo pode ser definido para armazenar os pacotes para os usuários.
Importante
O licenciamento baseado em grupo no Microsoft Entra ID introduz o conceito de usuários em um estado de erro de licenciamento. Se você notar quaisquer erros de licenciamento, então você deve imediatamente identificar e resolver quaisquer problemas de atribuição de licença.
Gestão do ciclo de vida
Se você estiver usando uma ferramenta, como o Microsoft Identity Manager ou um sistema de terceiros, que depende de uma infraestrutura local, recomendamos descarregar a atribuição da ferramenta existente, implementar o licenciamento baseado em grupo e definir um gerenciamento do ciclo de vida do grupo com base em grupos. Da mesma forma, se o processo existente não levar em conta novos funcionários ou funcionários que saem da organização, você deve implantar o licenciamento baseado em grupo com base em grupos dinâmicos e definir um ciclo de vida de associação ao grupo. Por fim, se o licenciamento baseado em grupo for implantado em grupos locais que não possuem gerenciamento de ciclo de vida, considere o uso de grupos de nuvem para habilitar recursos como propriedade delegada ou associação dinâmica baseada em atributos.
Atribuição de aplicativos com o grupo "Todos os usuários"
Os proprietários de recursos podem acreditar que o grupo Todos os usuários contém apenas Funcionários da Empresa quando, na verdade, eles podem conter Funcionários da Empresa e Convidados. Como resultado, você deve ter cuidado especial ao usar o grupo Todos os usuários para atribuição de aplicativos e conceder acesso a recursos como conteúdo ou aplicativos do SharePoint.
Importante
Se o grupo Todos os usuários estiver habilitado e usado para políticas de Acesso Condicional, atribuição de aplicativos ou recursos, certifique-se de proteger o grupo se não quiser que ele inclua usuários convidados. Além disso, você deve corrigir suas atribuições de licenciamento criando e atribuindo a grupos que contenham apenas Funcionários Corporativos . Por outro lado, se você achar que o grupo Todos os usuários está habilitado, mas não está sendo usado para conceder acesso a recursos, certifique-se de que a orientação operacional da sua organização é usar intencionalmente esse grupo (que inclui Funcionários da Empresa e Convidados).
Provisionamento automatizado de usuários para aplicativos
O provisionamento automatizado de usuários para aplicativos é a melhor maneira de criar um provisionamento, desprovisionamento e ciclo de vida consistentes de identidades em vários sistemas.
Se você estiver atualmente provisionando aplicativos de maneira ad-hoc ou usando coisas como arquivos CSV, JIT ou uma solução local que não aborda o gerenciamento do ciclo de vida, recomendamos que você implemente o provisionamento de aplicativos com a ID do Microsoft Entra para aplicativos com suporte e defina um padrão consistente para aplicativos que ainda não são suportados pela ID do Microsoft Entra.
Linha de base do ciclo de sincronização delta do Microsoft Entra Connect
É importante entender o volume de alterações em sua organização e certificar-se de que não está demorando muito para ter um tempo de sincronização previsível.
A frequência de sincronização delta padrão é de 30 minutos. Se a sincronização delta estiver demorando mais de 30 minutos consistentemente ou se houver discrepâncias significativas entre o desempenho da sincronização delta de preparação e produção, você deve investigar e revisar os fatores que influenciam o desempenho do Microsoft Entra Connect.
Leitura recomendada para solução de problemas do Microsoft Entra Connect
- Preparar atributos de diretório para sincronização com o Microsoft 365 usando a ferramenta IdFix
- Microsoft Entra Connect: Solução de problemas de erros durante a sincronização
Resumo
Há cinco aspetos para uma infraestrutura de identidade segura. Esta lista irá ajudá-lo a encontrar e tomar rapidamente as ações necessárias para proteger e gerenciar o ciclo de vida das identidades e seus direitos em sua organização.
- Atribua proprietários a tarefas principais.
- Encontre e resolva problemas de sincronização.
- Defina uma estratégia de failover para recuperação de desastres.
- Agilize o gerenciamento de licenças e atribuição de aplicativos.
- Automatize o provisionamento de usuários para aplicativos.
Próximos passos
Comece com as verificações e ações de gerenciamento de autenticação.