Partilhar via


Introdução à administração delegada e ambientes isolados

Uma arquitetura de locatário único do Microsoft Entra com administração delegada geralmente é adequada para separar ambientes. Conforme detalhado em outras seções deste artigo, a Microsoft fornece muitas ferramentas para fazer isso. No entanto, pode haver momentos em que sua organização exija um grau de isolamento além do que pode ser alcançado em um único locatário.

Antes de discutir arquiteturas específicas, é importante entender:

  • Como funciona um único inquilino típico.

  • Como funcionam as unidades administrativas no Microsoft Entra ID.

  • As relações entre os recursos do Azure e os locatários do Microsoft Entra.

  • Requisitos comuns de isolamento de condução.

Locatário do Microsoft Entra como limite de segurança

Um locatário do Microsoft Entra fornece recursos de gerenciamento de identidade e acesso (IAM) para aplicativos e recursos usados pela organização.

Uma identidade é um objeto de diretório que pode ser autenticado e autorizado para acesso a um recurso. Os objetos identitários existem para identidades humanas e identidades não humanas. Para diferenciar entre identidades humanas e não humanas, as identidades humanas são referidas como identidades e as identidades não humanas são referidas como identidades de carga de trabalho. As entidades não humanas incluem objetos de aplicativo, entidades de serviço, identidades gerenciadas e dispositivos. A terminologia é inconsistente em todo o setor, mas geralmente uma identidade de carga de trabalho é algo que você precisa para que sua entidade de software se autentique em algum sistema.

Para distinguir entre identidades humanas e não humanas, diferentes termos estão surgindo em todo o setor de TI para distinguir entre os dois:

  • Identidade - Identidade iniciada descrevendo o Ative Directory (AD) e o objeto Microsoft Entra usados por humanos para autenticação. Nesta série de artigos, identidade refere-se a objetos que representam seres humanos.

  • Identidade da carga de trabalho - No Microsoft Entra ID, as identidades de carga de trabalho são aplicativos, entidades de serviço e identidades gerenciadas. A identidade da carga de trabalho é usada para autenticar e acessar outros serviços e recursos.

Para obter mais informações sobre identidades de carga de trabalho, consulte O que são identidades de carga de trabalho.

O locatário do Microsoft Entra é um limite de segurança de identidade que está sob o controle de administradores. Dentro desse limite de segurança, a administração de assinaturas, grupos de gerenciamento e grupos de recursos pode ser delegada para segmentar o controle administrativo dos recursos do Azure. Embora não interajam diretamente, esses agrupamentos dependem de configurações de políticas e configurações em todo o locatário. E essas definições e configurações estão sob o controle dos Administradores Globais do Microsoft Entra.

A ID do Microsoft Entra é usada para conceder acesso a objetos que representam identidades a aplicativos e recursos do Azure. Nesse sentido, tanto os recursos do Azure quanto os aplicativos que confiam na ID do Microsoft Entra são recursos que podem ser gerenciados com a ID do Microsoft Entra. No diagrama a seguir, O limite de locatário do Microsoft Entra mostra os objetos de identidade do Microsoft Entra e as ferramentas de configuração. Abaixo do diretório estão os recursos que usam os objetos de identidade para gerenciamento de identidade e acesso. Seguindo as práticas recomendadas, o ambiente é configurado com um ambiente de teste para testar o funcionamento adequado do IAM.

O diagrama que mostra o limite do locatário do Microsoft Entra.

Acesso a aplicativos que usam o Microsoft Entra ID

As identidades podem ter acesso a muitos tipos de aplicativos. Exemplos incluem:

  • Serviços de produtividade da Microsoft, como Exchange Online, Microsoft Teams e SharePoint Online

  • Serviços de TI da Microsoft, como Azure Sentinel, Microsoft Intune e Microsoft 365 Defender ATP

  • Ferramentas de desenvolvedor da Microsoft, como Azure DevOps e API do Microsoft Graph

  • Soluções SaaS como Salesforce e ServiceNow

  • Aplicativos locais integrados com recursos de acesso híbrido, como proxy de aplicativo Microsoft Entra

  • Aplicações personalizadas desenvolvidas internamente

Os aplicativos que usam o Microsoft Entra ID exigem que os objetos de diretório sejam configurados e gerenciados no locatário confiável do Microsoft Entra. Exemplos de objetos de diretório incluem registros de aplicativos, entidades de serviço, grupos e extensões de atributo de esquema.

Acesso aos recursos do Azure

Usuários, grupos e objetos de entidade de serviço (identidades de carga de trabalho) no locatário do Microsoft Entra recebem funções usando o RBAC (controle de acesso baseado em função) do Azure e o ABAC (controle de acesso baseado em atributos) do Azure.

  • O RBAC do Azure permite que você forneça acesso com base na função, conforme determinado pela entidade de segurança, definição de função e escopo.

  • O Azure ABAC baseia-se no Azure RBAC adicionando condições de atribuição de função com base em atributos no contexto de ações específicas. Uma condição de atribuição de função é outra verificação que você pode, opcionalmente, adicionar à sua atribuição de função para fornecer um controle de acesso mais refinado.

Os recursos do Azure, grupos de recursos, assinaturas e grupos de gerenciamento são acessados usando essas funções RBAC atribuídas. Por exemplo, o diagrama a seguir mostra a distribuição da capacidade administrativa no Microsoft Entra ID usando o controle de acesso baseado em função.

Diagrama que mostra a hierarquia de funções do Microsoft Entra.

Os recursos do Azure que dão suporte a Identidades Gerenciadas permitem que os recursos se autentiquem, recebam acesso e sejam atribuídas funções a outros recursos dentro do limite de locatário do Microsoft Entra.

Os aplicativos que usam a ID do Microsoft Entra para entrar também podem usar recursos do Azure, como computação ou armazenamento, como parte de sua implementação. Por exemplo, um aplicativo personalizado que é executado no Azure e confia na ID do Microsoft Entra para autenticação tem objetos de diretório e recursos do Azure.

Por fim, todos os recursos do Azure no locatário do Microsoft Entra afetam as Cotas e Limites do Azure em todo o locatário.

Acesso a objetos de diretório

Conforme descrito no diagrama anterior, identidades, recursos e seus relacionamentos são representados em um locatário do Microsoft Entra como objetos de diretório. Exemplos de objetos de diretório incluem usuários, grupos, entidades de serviço e registros de aplicativos.

Ter um conjunto de objetos de diretório no limite de locatário do Microsoft Entra gera os seguintes recursos:

  • Visibilidade. As identidades podem descobrir ou enumerar recursos, usuários, grupos, acessar relatórios de uso e logs de auditoria com base em suas permissões. Por exemplo, um membro do diretório pode descobrir usuários no diretório por permissões de usuário padrão do Microsoft Entra ID.

  • Os aplicativos podem afetar objetos. Os aplicativos podem manipular objetos de diretório por meio do Microsoft Graph como parte de sua lógica de negócios. Exemplos típicos incluem leitura/configuração de atributos do usuário, atualização do calendário do usuário, envio de e-mails em nome do usuário e assim por diante. O consentimento é necessário para permitir que os aplicativos afetem o locatário. Os administradores podem consentir para todos os usuários. Para obter mais informações, consulte Permissões e consentimento na plataforma de identidade da Microsoft.

Nota

Tenha cuidado ao usar permissões de aplicativo. Por exemplo, com o Exchange Online, você deve definir o escopo de permissões de aplicativo para caixas de correio e permissões específicas.

  • Limitação e limites de serviço. O comportamento de tempo de execução de um recurso pode acionar a limitação para evitar o uso excessivo ou a degradação do serviço. A limitação pode ocorrer no nível de serviço do aplicativo, locatário ou inteiro. Mais comumente, ocorre quando um aplicativo tem um grande número de solicitações dentro ou entre locatários. Da mesma forma, existem limites e restrições de serviço do Microsoft Entra que podem afetar o comportamento de tempo de execução dos aplicativos.

Unidades administrativas para a gestão de funções

As unidades administrativas restringem as permissões numa função a qualquer parte da sua organização que defina. Pode, por exemplo, utilizar unidades administrativas para delegar a função Administrador de Assistência Técnica a especialistas de suporte regional para que possam gerir os utilizadores apenas na região onde prestam suporte. Uma unidade administrativa é um recurso do Microsoft Entra que pode ser um contentor para outros recursos do Microsoft Entra. Uma unidade administrativa só pode conter:

  • Utilizadores

  • Grupos

  • Dispositivos

No diagrama a seguir, as unidades administrativas são usadas para segmentar ainda mais o locatário do Microsoft Entra com base na estrutura comercial ou organizacional. Isso é útil quando diferentes unidades de negócios ou grupos têm uma equipe de suporte de TI dedicada. As unidades administrativas podem ser usadas para fornecer permissões privilegiadas que são limitadas a uma unidade administrativa designada.

Diagrama que mostra as unidades administrativas do Microsoft Entra.

Para obter mais informações sobre unidades administrativas, consulte Unidades administrativas no Microsoft Entra ID.

Razões comuns para o isolamento de recursos

Às vezes, um grupo de recursos deve ser isolado de outros recursos por motivos de segurança ou outros, como os recursos terem requisitos de acesso exclusivos. Este é um bom caso de uso para o uso de unidades administrativas. Você deve determinar quais usuários e entidades de segurança devem ter acesso a recursos e em quais funções. Os motivos para isolar recursos podem incluir:

  • As equipes de desenvolvedores precisam de flexibilidade para iterar com segurança durante o ciclo de vida de desenvolvimento de software dos aplicativos. Mas o desenvolvimento e o teste de aplicativos que gravam na ID do Microsoft Entra podem potencialmente afetar o locatário do Microsoft Entra por meio de operações de gravação. Seguem-se alguns exemplos disso:

    • Novos aplicativos que podem alterar o conteúdo do Office 365, como sites do SharePoint, OneDrive, MS Teams e assim por diante.

    • Aplicativos personalizados que podem alterar dados de usuários com o MS Graph ou APIs semelhantes em escala (por exemplo, aplicativos que recebem Directory.ReadWrite.All)

    • Scripts de DevOps que atualizam grandes conjuntos de objetos como parte de um ciclo de vida de implantação.

    • Os desenvolvedores de aplicativos integrados do Microsoft Entra precisam da capacidade de criar objetos de usuário para teste, e esses objetos de usuário não devem ter acesso aos recursos de produção.

  • Recursos e aplicativos do Azure não produtivos que podem afetar outros recursos. Por exemplo, uma nova versão beta de um aplicativo SaaS pode precisar ser isolada da instância de produção do aplicativo e dos objetos de usuário de produção

  • Recursos secretos que devem ser protegidos contra deteção, enumeração ou aquisição de administradores existentes por motivos críticos de regulamentação ou de negócios.

Configuração em um locatário

As definições de configuração no Microsoft Entra ID podem afetar qualquer recurso no locatário do Microsoft Entra por meio de ações de gerenciamento direcionadas ou em todo o locatário. Exemplos de configurações para todo o locatário incluem:

  • Identidades externas: os administradores identificam e controlam as identidades externas que podem ser provisionadas no locatário.

    • Se as identidades externas devem ser permitidas no locatário.

    • A partir do qual as identidades externas do(s) domínio(s) podem ser adicionadas.

    • Se os usuários podem convidar usuários de outros locatários.

  • Locais nomeados: os administradores podem criar locais nomeados, que podem ser usados para

    • Bloqueie entradas de locais específicos.

    • Acione políticas de Acesso Condicional, como MFA.

    • Ignorar os requisitos de segurança

  • Opções de autoatendimento. Os administradores definem opções de autoatendimento, como redefinição de senha de autoatendimento, e criam grupos do Microsoft 365 no nível do locatário.

A implementação de algumas configurações de todo o locatário pode ter um escopo desde que elas não sejam substituídas por políticas globais. Por exemplo:

  • Se o locatário estiver configurado para permitir identidades externas, um administrador de recursos ainda poderá excluir essas identidades do acesso a um recurso.

  • Se o locatário estiver configurado para permitir o registro de dispositivos pessoais, um administrador de recursos poderá excluir esses dispositivos do acesso a recursos específicos.

  • Se os locais nomeados estiverem configurados, um administrador de recursos poderá configurar políticas que permitam ou excluam o acesso desses locais.

Razões comuns para o isolamento da configuração

As configurações, controladas por administradores, afetam os recursos. Enquanto algumas configurações de todo o locatário podem ter escopo com políticas para não se aplicar ou se aplicar parcialmente a um recurso específico, outras não podem. Se um recurso tiver necessidades de configuração exclusivas, isole-o em um locatário separado. Exemplos de cenários de isolamento de configuração incluem:

  • Recursos com requisitos que entram em conflito com as posturas de segurança ou colaboração existentes em todo o locatário. (por exemplo, tipos de autenticação permitidos, políticas de gerenciamento de dispositivos, capacidade de autoatendimento, prova de identidade para identidades externas e assim por diante).

  • Requisitos de conformidade que abrangem a certificação para todo o ambiente, incluindo todos os recursos e o próprio locatário do Microsoft Entra, especialmente quando esses requisitos entram em conflito ou devem excluir outros recursos organizacionais.

  • Requisitos de acesso de usuário externo que entram em conflito com políticas de produção ou de recursos confidenciais.

  • Organizações que abrangem vários países/regiões e empresas hospedadas em um único locatário do Microsoft Entra. Por exemplo, quais configurações e licenças são usadas em diferentes países/regiões ou subsidiárias de negócios.

Administração em um inquilino

As identidades com funções privilegiadas no locatário do Microsoft Entra têm visibilidade e permissões para executar as tarefas de configuração descritas nas seções anteriores. A administração inclui a administração de objetos de identidade, como usuários, grupos e dispositivos, e a implementação com escopo de configurações de todo o locatário para autenticação, autorização e assim por diante.

Administração de objetos de diretório

Os administradores gerenciam como os objetos de identidade podem acessar recursos e em que circunstâncias. Eles também podem desabilitar, excluir ou modificar objetos de diretório com base em seus privilégios. Os objetos de identidade incluem:

  • As identidades organizacionais, como as seguintes, são representadas por objetos de usuário:

    • Administradores

    • Utilizadores organizacionais

    • Desenvolvedores organizacionais

    • Contas de Serviço

    • Usuários de teste

  • As identidades externas representam usuários de fora da organização, como:

    • Parceiros, fornecedores ou fornecedores provisionados com contas locais para o ambiente da organização

    • Parceiros, fornecedores ou fornecedores provisionados por meio da colaboração B2B do Azure

  • Os grupos são representados por objetos como:

  • Os dispositivos são representados por objetos como:

    • Dispositivos híbridos associados ao Microsoft Entra (computadores locais sincronizados a partir do Ative Directory local)

    • Dispositivos associados do Microsoft Entra

    • Dispositivos móveis registrados do Microsoft Entra usados por funcionários para acessar seus aplicativos de local de trabalho.

    • O Microsoft Entra registrou dispositivos de nível inferior (legado). Por exemplo, o Windows 2012 R2.

  • Identidades de carga de trabalho

    • Identidades geridas

    • Principais de serviço

    • Aplicações

Em um ambiente híbrido, as identidades normalmente são sincronizadas a partir do ambiente local do Ative Directory usando o Microsoft Entra Connect.

Administração de serviços de identidade

Os administradores com permissões apropriadas também podem gerenciar como as políticas de todo o locatário são implementadas no nível de grupos de recursos, grupos de segurança ou aplicativos. Ao considerar a administração de recursos, tenha em mente o seguinte. Cada um deles pode ser um motivo para manter os recursos unidos ou isolá-los.

  • Um Administrador Global pode assumir o controle de qualquer assinatura do Azure vinculada ao Locatário.

  • Uma identidade atribuída a uma função de Administrador de Autenticação pode exigir que não-administradores se registrem novamente para autenticação MFA ou FIDO.

  • Um Administrador de Acesso Condicional pode criar políticas de Acesso Condicional que exijam que os utilizadores que iniciam sessão em aplicações específicas o façam apenas a partir de dispositivos pertencentes à organização. Eles também podem definir o escopo das configurações. Por exemplo, mesmo que identidades externas sejam permitidas no locatário, elas podem excluir essas identidades do acesso a um recurso.

  • Um administrador de aplicativos na nuvem pode consentir com permissões de aplicativos em nome de todos os usuários.

Razões comuns para o isolamento administrativo

Quem deve ter a capacidade de administrar o ambiente e os seus recursos? Há momentos em que os administradores de um ambiente não devem ter acesso a outro ambiente. Exemplos incluem:

  • Separação de responsabilidades administrativas de todo o locatário para reduzir ainda mais o risco de erros operacionais e de segurança que afetem recursos críticos.

  • Regulamentos que restringem quem pode administrar o ambiente com base em condições como cidadania, residência, nível de autorização e assim por diante. que não pode ser acomodado com pessoal.

Considerações operacionais e de segurança

Dada a interdependência entre um locatário do Microsoft Entra e seus recursos, é fundamental entender os riscos operacionais e de segurança de comprometimento ou erro. Se você estiver operando em um ambiente federado com contas sincronizadas, um comprometimento local pode levar a um comprometimento do Microsoft Entra ID.

  • Compromisso de identidade - Dentro do limite de um inquilino, qualquer identidade pode ser atribuída a qualquer função, dado que aquele que fornece acesso tem privilégios suficientes. Embora o efeito de identidades não privilegiadas comprometidas esteja amplamente contido, os administradores comprometidos podem ter amplas implicações. Por exemplo, se uma conta de Administrador Global do Microsoft Entra for comprometida, os recursos do Azure poderão ficar comprometidos. Para reduzir o risco de comprometimento de identidade ou agentes mal-intencionados, implemente a administração hierárquica e garanta que você siga os princípios de menor privilégio para as Funções de Administrador do Microsoft Entra. Da mesma forma, certifique-se de criar políticas de Acesso Condicional que excluam especificamente contas de teste e entidades de serviço de teste do acesso a recursos fora dos aplicativos de teste. Para obter mais informações sobre a estratégia de acesso privilegiado, consulte Acesso privilegiado: estratégia.

  • Comprometimento do ambiente federado

  • Comprometimento de recursos de confiança - As identidades humanas não são a única consideração de segurança. Qualquer componente comprometido do locatário do Microsoft Entra pode afetar recursos confiáveis com base em seu nível de permissões no nível do locatário e do recurso. O efeito de um componente comprometido de um recurso confiável do Microsoft Entra ID é determinado pelos privilégios do recurso; Os recursos profundamente integrados ao diretório para executar operações de gravação podem ter um impacto profundo em todo o locatário. Seguir as orientações para a confiança zero pode ajudar a limitar o impacto do compromisso.

  • Desenvolvimento de aplicativos - Os estágios iniciais do ciclo de vida de desenvolvimento para aplicativos com privilégios de gravação no ID do Microsoft Entra, onde bugs podem gravar alterações involuntariamente nos objetos do Microsoft Entra, apresentam um risco. Siga as práticas recomendadas da plataforma de identidade da Microsoft durante o desenvolvimento para reduzir esses riscos.

  • Erro operacional - Um incidente de segurança pode ocorrer não apenas devido a agentes mal-intencionados, mas também devido a um erro operacional dos administradores de locatários ou dos proprietários de recursos. Esses riscos ocorrem em qualquer arquitetura. Reduza esses riscos com separação de funções, administração hierárquica, seguindo princípios de menor privilégio e seguindo as práticas recomendadas antes de tentar mitigar usando um locatário separado.

A incorporação de princípios de confiança zero em sua estratégia de design do Microsoft Entra ID pode ajudar a orientar seu design para mitigar essas considerações. Para obter mais informações, visite Adote a segurança proativa com o Zero Trust.

Próximos passos