Fase 1: Implementar a estrutura para gerenciar em escala
Esta seção do guia de referência de operações do Microsoft Entra Permissions Management descreve as verificações e ações que você deve considerar para delegar permissões e gerenciar em escala de forma eficaz.
Definir um modelo de administração delegada
Proprietário recomendado: Information Security Architecture
Definir Microsoft Entra Permissions Management administrators
Para começar a operacionalizar o Microsoft Entra Permissions Management, estabeleça de dois a cinco Administradores de Gerenciamento de Permissões que delegam permissões no produto, definem as principais configurações e criam e gerenciam a configuração da sua organização.
Importante
O Gerenciamento de Permissões do Microsoft Entra depende de usuários com endereços de email válidos. Recomendamos que seus Administradores de Gerenciamento de Permissões tenham contas habilitadas para caixa de correio.
Atribua aos administradores designados a função de Administrador de Gerenciamento de Permissões na ID do Microsoft Entra para executar as tarefas necessárias. Recomendamos que você use o Privileged Identity Management (PIM) para fornecer aos administradores acesso just-in-time (JIT) à função, em vez de atribuí-la permanentemente.
Definir e manter a estrutura de pastas
No Gerenciamento de Permissões, uma pasta é um grupo de sistemas de autorização. Recomendamos que você crie pastas com base em sua estratégia de delegação organizacional. Por exemplo, se sua organização delegar com base em equipes, crie pastas para:
- Financiamento da Produção
- Infraestrutura de Produção
- Investigação e Desenvolvimento em Pré-Produção
Uma estrutura de pastas eficaz facilita a delegação de permissões em escala e fornece aos proprietários do sistema de autorização uma experiência positiva do produto.
Para ajudar a simplificar seu ambiente, consulte Criar pastas para organizar seus sistemas de autorização.
Criar grupos de segurança do Microsoft Entra para delegar permissões
O Gerenciamento de Permissões do Microsoft Entra tem um sistema de acesso baseado em grupo que usa grupos de segurança do Microsoft Entra para conceder permissões a diferentes sistemas de autorização. Para delegar permissões, sua equipe do IAM cria grupos de segurança do Microsoft Entra que são mapeados para proprietários do sistema de autorização e responsabilidades de gerenciamento de permissões definidas por você. Certifique-se de que os usuários com propriedade e responsabilidades compartilhadas no produto estejam no mesmo grupo de segurança.
Recomendamos que você use o PIM para grupos. Isso fornece acesso JIT ao Gerenciamento de Permissões para os usuários e se alinha com os princípios Zero Trust JIT e just-enough-access.
Para criar grupos de segurança do Microsoft Entra, consulte Gerenciar grupos e associação a grupos.
Atribuir permissões no Gerenciamento de Permissões do Microsoft Entra
Depois que os grupos de segurança do Microsoft Entra são criados, um Administrador de Gerenciamento de Permissões concede aos grupos de segurança as permissões necessárias.
No mínimo, certifique-se de que os grupos de segurança recebem permissões de Visualizador para os sistemas de autorização pelos quais são responsáveis. Use permissões de controlador para grupos de segurança com membros que executam ações de correção. Saiba mais sobre as funções e os níveis de permissão do Microsoft Entra Permissions Management.
Para saber mais sobre como gerenciar usuários e grupos no Gerenciamento de Permissões:
- Adicionar ou remover um utilizador na Gestão de Permissões do Microsoft Entra
- Gerencie usuários e grupos com o Painel de Gerenciamento de Usuários
- Selecionar definições de permissões baseadas em grupo
Determinar o gerenciamento do ciclo de vida do sistema de autorização
Proprietários recomendados: Arquitetura de Segurança da Informação e Infraestrutura na Nuvem
À medida que novos sistemas de autorização são criados e os sistemas de autorização atuais evoluem, crie e mantenha um processo bem definido para alterações no Microsoft Entra Permissions Management. A tabela a seguir descreve as tarefas e os proprietários recomendados.
| Task | Proprietário recomendado |
|---|---|
| Definir o processo de descoberta para novos sistemas de autorização criados em seu ambiente | Arquitetura de Segurança da Informação |
| Definir processos de triagem e integração de novos sistemas de autorização para o Gerenciamento de Permissões | Arquitetura de Segurança da Informação |
| Definir processos de administração para novos sistemas de autorização: delegar permissões e atualizar a estrutura de pastas | Arquitetura de Segurança da Informação |
| Desenvolver uma estrutura de carga cruzada. Determinar um processo de gestão de custos. | Proprietário varia de acordo com a organização |
Definir uma estratégia de Índice de Aumento de Permissões
Proprietário recomendado: Information Security Architecture
Recomendamos que você defina metas e casos de uso para como o PCI (Permissions Creep Index) impulsiona a atividade e os relatórios da Arquitetura de Segurança da Informação. Essa equipe pode definir e ajudar outras pessoas a atingir os limites de PCI de destino para sua organização.
Estabeleça limites de PCI de destino
Os limites PCI orientam o comportamento operacional e servem como políticas para determinar quando a ação é necessária em seu ambiente. Estabeleça limites PCI para:
- Sistemas de autorização
- Usuários de identidade humana
- Diretório Empresarial (ED)
- SAML
- Local
- Convidado
- Identidades não humanas
Nota
Como a atividade de identidade não humana varia menos do que uma identidade humana, aplique um dimensionamento correto mais rigoroso a identidades não humanas: defina um limite PCI mais baixo.
Os limites de PCI variam com base nos objetivos e casos de uso da sua organização. Recomendamos que você alinhe com os limites de risco internos do Gerenciamento de Permissões. Veja os seguintes intervalos PCI, por risco:
- Baixa: 0 a 33
- Média: 34 a 67
- Alta: 68 a 100
Usando a lista anterior, analise os seguintes exemplos de política de limite PCI:
| Categoria | Limiar PCI | Política |
|---|---|---|
| Sistemas de autorização | 67: Classificar o sistema de autorização como de alto risco | Se um sistema de autorização tiver uma pontuação PCI superior a 67, revise e dimensione corretamente as identidades PCI altas no sistema de autorização |
| Identidades humanas: ED, SAML e local | 67: Classificar a identidade humana como de alto risco | Se uma identidade humana tiver uma pontuação PCI superior a 67, dimensione corretamente as permissões da identidade |
| Identidade humana: Usuário convidado | 33: Classificar o usuário convidado como alto ou médio risco | Se um usuário convidado tiver uma pontuação PCI superior a 33, dimensione corretamente as permissões da identidade |
| Identidades não humanas | 33: Classificar a identidade não humana como de alto ou médio risco | Se uma identidade não humana tiver uma pontuação PCI superior a 33, dimensione corretamente as permissões da identidade |