O princípio do menor privilégio com o Microsoft Entra ID Governance
Um conceito que precisa ser abordado antes de empreender uma estratégia de governança de identidade é o princípio do menor privilégio (PLOP). O privilégio mínimo é um princípio na governança de identidade que envolve atribuir aos usuários e grupos apenas o nível mínimo de acesso e permissões necessárias para executar suas funções. A ideia é restringir os direitos de acesso para que um usuário ou grupo possa concluir seu trabalho, mas também minimizar privilégios desnecessários que poderiam ser explorados por invasores ou levar a violações de segurança.
Em relação ao Microsoft Entra ID Governance, a aplicação do princípio de menor privilégio ajuda a melhorar a segurança e mitigar riscos. Essa abordagem garante que usuários e grupos tenham acesso apenas aos recursos, dados e ações relevantes para suas funções e responsabilidades, e nada além disso.
Conceitos-chave do princípio do menor privilégio
Acesso apenas aos recursos necessários: Os utilizadores só têm acesso às informações e aos recursos se tiverem uma necessidade genuína de desempenharem as suas tarefas. Isso impede o acesso não autorizado a dados confidenciais e minimiza o impacto potencial de uma violação de segurança. A automatização do provisionamento de usuários ajuda a reduzir a concessão desnecessária de direitos de acesso. Os fluxos de trabalho do ciclo de vida são um recurso de governança de identidade que permite que as organizações gerenciem os usuários do Microsoft Entra automatizando os processos básicos do ciclo de vida.
RBAC (Controle de Acesso Baseado em Função): os direitos de acesso são determinados com base nas funções específicas ou funções de trabalho dos usuários. A cada função são atribuídas as permissões mínimas necessárias para cumprir as suas responsabilidades. O controle de acesso baseado em função do Microsoft Entra gerencia o acesso aos recursos do Microsoft Entra.
Privilégio Just-In-Time: os direitos de acesso são concedidos apenas pelo período de tempo necessário e são revogados quando não são mais necessários. Isso reduz a janela de oportunidade para os invasores explorarem privilégios excessivos. O Privileged Identity Management (PIM) é um serviço no Microsoft Entra ID que permite gerenciar, controlar e monitorar o acesso a recursos importantes em sua organização e pode fornecer acesso just-in-time.
Auditoria e revisão regulares: revisões periódicas do acesso e das permissões dos usuários são realizadas para garantir que os usuários ainda exijam o acesso que lhes foi concedido. Isto ajuda a identificar e corrigir quaisquer desvios ao princípio do menor privilégio. As revisões de acesso no Microsoft Entra ID, parte do Microsoft Entra, permitem que as organizações gerenciem com eficiência associações de grupo, acesso a aplicativos corporativos e atribuições de função. O acesso do usuário pode ser revisado regularmente para garantir que apenas as pessoas certas tenham acesso contínuo.
Negação padrão: a posição padrão é negar acesso e o acesso é explicitamente concedido apenas para fins aprovados. Isso contrasta com uma abordagem de "permissão padrão", que pode resultar na concessão de privilégios desnecessários. O gerenciamento de direitos é um recurso de governança de identidade que permite que as organizações gerenciem o ciclo de vida de identidade e acesso em escala, automatizando fluxos de trabalho de solicitação de acesso, atribuições de acesso, revisões e expiração.
Ao seguir o princípio de menor privilégio, sua organização pode reduzir o risco de problemas de segurança e garantir que os controles de acesso estejam alinhados com as necessidades de negócios.
Funções menos privilegiadas para gerenciar recursos de Governança de Identidade
É uma prática recomendada usar a função menos privilegiada para executar tarefas administrativas na Governança de Identidade. Recomendamos que você use o Microsoft Entra PIM para ativar uma função conforme necessário para executar essas tarefas. A seguir estão as funções de diretório menos privilegiadas para configurar os recursos de Governança de Identidade:
Caraterística | Função com menos privilégios |
---|---|
Gestão de direitos | Administrador de Governança de Identidade |
Revisões de acesso | Administrador de Usuário (com exceção de revisões de acesso de funções do Azure ou do Microsoft Entra, que exigem Administrador de Função Privilegiada) |
Fluxos de trabalho do ciclo de vida | Administrador de fluxos de trabalho de ciclo de vida |
Privileged Identity Management | Administrador de Funções com Privilégios |
Termos de Uso | Administrador de Segurança ou Administrador de Acesso Condicional |
Nota
A função menos privilegiada para o gerenciamento de direitos foi alterada da função Administrador de Usuário para a função de Administrador de Governança de Identidade.