Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Importante
Consulte este artigo somente depois de analisar as Perguntas frequentes sobre o Microsoft Cloud Footprint para descobrir o inventário de locatários da sua organização. Este artigo descreve os recursos específicos existentes do Microsoft Entra que os administradores podem aproveitar em seu locatário principal para colocar em quarentena locatários suspeitos não sancionados em sua lista de locatários descobertos.
O que significa colocar um inquilino em quarentena?
A quarentena envolve o isolamento de locatários suspeitos não sancionados usando os recursos existentes do Microsoft Entra. Isso reduz imediatamente o risco de segurança que existe devido à exposição a esses locatários dos quais você não tem controle administrativo em seu ambiente. Ao isolar, você introduz atrito entre seu inquilino e o deles, o que funciona como um teste de grito. Esta fricção leva os administradores dos inquilinos suspeitos a contactá-lo na necessidade de assistência, dando-lhe a oportunidade de verificar a legitimidade das relações com esses inquilinos e/ou recuperar o controlo sobre eles. Se ninguém entrar em contato com você, você pode deixar os inquilinos no estado de quarentena indefinidamente.
Quando devo colocar um inquilino em quarentena?
Você é um administrador de TI da empresa "Contoso" com o locatário principal de "Contoso.com". Para proteger os dados no locatário central da Contoso, você precisa garantir que os usuários e aplicativos com acesso privilegiado ao seu locatário estejam em locatários que protejam adequadamente esses recursos. Da mesma forma, você deseja garantir que os locatários externos nos quais seu locatário tem permissões sejam conhecidos e sigam práticas seguras. Para proteger a Contoso, você deseja localizar todos os locatários que têm relações de entrada ou saída com seu locatário principal. Depois de seguir as Perguntas frequentes sobre o Microsoft Cloud Footprint, você identificou alguns locatários em potencial que podem ou não pertencer à sua empresa. Vamos chamar esses locatários de ContosoTest.com e ContosoDemo.com para fins de cenário. Como você não sabe quem são os administradores globais desses locatários, você se preocupa que eles sejam possivelmente gerenciados por funcionários e não estejam em conformidade com as políticas de segurança da sua organização. Isso representa um grande risco de segurança para o seu ambiente se eles permanecerem sem gerenciamento. Como você não tem controle direto sobre ContosoTest.com e ContosoDemo.com, só pode modificar as configurações no locatário Contoso.com. Você deseja colocá-los em quarentena para minimizar possíveis vulnerabilidades decorrentes da exposição a esses locatários. No entanto, é crucial que quaisquer alterações feitas sejam facilmente reversíveis, garantindo que nenhum sistema crítico seja afetado involuntariamente no processo. Após a quarentena, você introduziu conflito suficiente entre seu locatário e os locatários suspeitos para motivar os administradores destes a entrar em contato com a sua helpdesk.
O administrador do locatário ContosoTest.com entra em contato com você. Neste ponto, você determina que o locatário foi criado por funcionário e que você deve ser adicionado como administrador dentro do locatário para recuperar o controle. Você já não coloca em quarentena o cliente ContosoTest.com. No entanto, nenhum administrador do locatário ContosoDemo.com entra em contato com você, portanto, você deixa o locatário no estado de quarentena.
Como posso usar os recursos do Microsoft Entra para colocar em quarentena locatários suspeitos?
Usando as Configurações de Acesso entre Locatários de ID Externa para bloquear a entrada do usuário
Licença necessária: Entra ID P1
Ações contra inquilinos suspeitos:
As organizações Microsoft Entra podem usar o acesso entre locatários com ID Externa para estabelecer quais utilizadores de outras organizações externas do Entra têm acesso aos seus recursos e quais utilizadores da sua organização têm acesso a outras organizações externas do Entra. Estas políticas permitem-lhe restringir as tentativas de início de sessão de entrada ou saída com um inquilino suspeito sem interromper a colaboração com outros inquilinos. Um administrador pode adicionar uma organização e definir configurações personalizadas para bloquear o sinal de usuário de entrada e saída para o locatário suspeito.
Seguro por padrão:
Um administrador pode definir as configurações padrão para bloquear todas as tentativas de entrada de usuários externos de um locatário suspeito. Da mesma forma, pode-se bloquear todo o login de usuário de saída para usuários de seu próprio locatário em um locatário suspeito. Em seguida, pode adicionar uma organização e definir configurações personalizadas para permitir que o utilizador inicie sessão apenas de entrada e saída para locatários especificados. Essas configurações permitiriam que você protegesse seu locatário por padrão e permitisse apenas a colaboração B2B com locatários confiáveis.
Para obter mais informações sobre como gerenciar configurações de acesso entre locatários, consulte:
Usando o Acesso Seguro Global e as Restrições Universais de Locatário para impedir o início de sessão do utilizador
Licença necessária: Entra ID P1
Ações contra inquilinos suspeitos:
As Restrições de Locatário v2 (TRv2) e o Acesso Seguro Global (GSA) impedem efetivamente a autenticação em locatários não autorizados ou suspeitos em todos os dispositivos e redes gerenciados. Como administrador, você pode criar políticas para impedir que os usuários entrem e acessem o locatário suspeito específico usando configurações personalizadas do TRv2. Em seguida, pode-se aplicar essas políticas criadas usando as Restrições Universais de Locatário v2 como parte do GSA para fornecer tanto proteção do plano de autenticação como do plano de dados sem interromper a autenticação para outros locatários existentes.
Seguro por padrão:
Como administrador, você pode configurar restrições padrão e, em seguida, permitir que os usuários entrem e acessem organizações específicas, a ID do Microsoft Entra impediria a autenticação em todos os outros locatários depois de aplicar políticas usando as Restrições Universais de Locatário v2 como parte do GSA. Habilitar o TRv2 no modo de auditoria e aplicar políticas do TRv2 com o GSA mostra todas as atividades, incluindo tentativas de acessar locatários estrangeiros.
Para obter mais informações sobre como usar o TRv2 e o GSA, consulte:
- O que é o Acesso Seguro Global?
- Acesso Seguro Global e Restrições de Inquilino Universal
- Configurar restrições de locatário - Microsoft Entra ID
Revogando permissões para aplicativos multilocatários e principais de serviço
Licença necessária: Entra ID P1
Ações contra inquilinos suspeitos:
O Microsoft Entra permite que os clientes restrinjam o acesso ao aplicativo de entrada para aplicativos multilocatários de terceiros em que o locatário no qual o aplicativo foi registrado é considerado um locatário suspeito. Para restringir o acesso, os administradores devem encontrar a entidade de serviço correta, que corresponde ao aplicativo registrado no locatário suspeito. A propriedade appOwnerOrganizationId no objeto principal de serviço lista o tenantId no qual o aplicativo foi registrado. A captura destes princípios de serviço só pode ser feita programaticamente através da API do MSGraph.
MSGraph: Cabeçalhos de pedido: { Nível de Consistência: eventual }
GET https://graph.microsoft.com/v1.0/servicePrincipals?$count=true&$filter=appOwnerOrganizationId eq {tenantId}
Depois de encontrar a entidade de serviço correta, você pode revisar e revogar as permissões concedidas ao aplicativo ou excluir a entidade de serviço em conjunto. A exclusão de uma entidade de serviço é uma ação restaurável de até 30 dias.
Para obter mais informações sobre aplicativos multilocatários e entidades de serviço, consulte Aplicativos & entidades de serviço no Microsoft Entra ID.
Cancelamento de assinaturas provisionadas em locatários suspeitos
Licença necessária: nenhuma, disponível para todos os clientes pagantes com uma conta de cobrança da Microsoft
Ações contra inquilinos suspeitos:
Use os recursos a seguir quando descobrir um locatário com base em suas relações de conta de cobrança, mas não reconhecer o locatário no qual os serviços de assinatura são provisionados. As subscrições do Azure e do Microsoft 365 canceladas podem ser reativadas durante o período de carência (30 a 90 dias após o cancelamento) antes de serem permanentemente eliminadas. Se necessário, entre em contato com o suporte para obter assistência sobre como cancelar e excluir assinaturas.
- Para obter mais informações sobre a quarentena cancelando o Azure, consulte Cancelar e excluir sua assinatura do Azure.
- Para obter mais informações sobre a quarentena cancelando o Microsoft 365, consulte Cancelar sua assinatura do Microsoft Business no Centro de administração do Microsoft 365.