Práticas recomendadas para funções do Microsoft Entra
Este artigo descreve algumas das práticas recomendadas para usar o controle de acesso baseado em função do Microsoft Entra (Microsoft Entra RBAC). Essas práticas recomendadas são derivadas de nossa experiência com o Microsoft Entra RBAC e das experiências de clientes como você. Recomendamos que você também leia nossas diretrizes detalhadas de segurança em Protegendo acesso privilegiado para implantações híbridas e em nuvem no Microsoft Entra ID.
1. Aplicar o princípio do menor privilégio
Ao planejar sua estratégia de controle de acesso, é uma prática recomendada gerenciar o mínimo de privilégios. Privilégio mínimo significa que você concede aos administradores exatamente a permissão de que eles precisam para fazer seu trabalho. Há três aspetos a considerar quando você atribui uma função aos administradores: um conjunto específico de permissões, em um escopo específico, por um período de tempo específico. Evite atribuir funções mais amplas em escopos mais amplos, mesmo que inicialmente pareça mais conveniente fazê-lo. Ao limitar funções e escopos, você limita quais recursos estão em risco se a entidade de segurança for comprometida. O Microsoft Entra RBAC suporta mais de 65 funções internas. Há funções do Microsoft Entra para gerenciar objetos de diretório, como usuários, grupos e aplicativos, e também para gerenciar serviços do Microsoft 365, como Exchange, SharePoint e Intune. Para entender melhor as funções internas do Microsoft Entra, consulte Compreender as funções na ID do Microsoft Entra. Se não houver uma função interna que atenda às suas necessidades, você poderá criar suas próprias funções personalizadas.
Encontrar as funções certas
Siga estas etapas para ajudá-lo a encontrar a função certa.
Inicie sessão no centro de administração do Microsoft Entra.
Navegue até Identity>Roles & admins>Roles & admins.
Use o filtro Serviço para restringir a lista de funções.
Consulte a documentação de funções internas do Microsoft Entra. As permissões associadas a cada função são listadas juntas para melhor legibilidade. Para entender a estrutura e o significado das permissões de função, consulte Como entender as permissões de função.
Consulte a documentação Função menos privilegiada por tarefa .
2. Use o Privileged Identity Management para conceder acesso just-in-time
Um dos princípios de menor privilégio é que o acesso deve ser concedido apenas quando necessário. O Microsoft Entra Privileged Identity Management (PIM) permite-lhe conceder acesso just-in-time aos seus administradores. A Microsoft recomenda que você use o PIM no Microsoft Entra ID. Usando o PIM, um usuário pode se tornar elegível para uma função do Microsoft Entra, onde ele pode ativar a função por um tempo limitado quando necessário. O acesso privilegiado é removido automaticamente quando o período expira. Você também pode definir as configurações do PIM para exigir aprovação, receber e-mails de notificação quando alguém ativar sua atribuição de função ou outras configurações de função. As notificações fornecem um alerta quando novos usuários são adicionados a funções altamente privilegiadas. Para obter mais informações, consulte Definir configurações de função do Microsoft Entra no Privileged Identity Management.
3. Ative a autenticação multifator para todas as suas contas de administrador
Com base em nossos estudos, sua conta tem 99,9% menos probabilidade de ser comprometida se você usar a autenticação multifator (MFA).
Você pode habilitar o MFA em funções do Microsoft Entra usando dois métodos:
- Configurações de função no Privileged Identity Management
- Conditional Access
4. Configure revisões de acesso recorrentes para revogar permissões desnecessárias ao longo do tempo
As revisões de acesso permitem que as organizações analisem o acesso do administrador regularmente para garantir que apenas as pessoas certas tenham acesso contínuo. A auditoria regular dos administradores é crucial devido aos seguintes motivos:
- Um ator mal-intencionado pode comprometer uma conta.
- As pessoas movem as equipas dentro de uma empresa. Se não houver auditoria, eles podem acumular acesso desnecessário ao longo do tempo.
A Microsoft recomenda que você use as revisões de acesso para localizar e remover atribuições de função que não são mais necessárias. Isso ajuda a reduzir o risco de acesso não autorizado ou excessivo e a manter seus padrões de conformidade.
Para obter informações sobre revisões de acesso para funções, consulte Criar uma revisão de acesso de funções do recurso do Azure e do Microsoft Entra no PIM. Para obter informações sobre revisões de acesso de grupos aos quais são atribuídas funções, consulte Criar uma revisão de acesso de grupos e aplicativos no Microsoft Entra ID.
5. Limite o número de Administradores Globais a menos de 5
Como prática recomendada, a Microsoft recomenda que você atribua a função de Administrador Global a menos de cinco pessoas em sua organização. Os Administradores Globais têm essencialmente acesso irrestrito e é do seu interesse manter a superfície de ataque baixa. Como dito anteriormente, todas essas contas devem ser protegidas com autenticação multifator.
Se você tiver 5 ou mais atribuições de função de Administrador Global privilegiadas, um cartão de alerta de Administradores Globais será exibido na página Visão Geral do Microsoft Entra para ajudá-lo a monitorar as atribuições de função de Administrador Global.
Por padrão, quando um usuário se inscreve em um serviço de nuvem da Microsoft, um locatário do Microsoft Entra é criado e o usuário recebe a função de Administradores Globais. Os usuários aos quais é atribuída a função de Administrador Global podem ler e modificar quase todas as configurações administrativas em sua organização do Microsoft Entra. Salvo algumas exceções, os Administradores Globais também podem ler e modificar todas as definições de configuração da sua organização do Microsoft 365. Os administradores globais também têm a capacidade de elevar seu acesso à leitura de dados.
A Microsoft recomenda que as organizações tenham duas contas de acesso de emergência somente na nuvem permanentemente atribuídas à função de Administrador Global . Essas contas são altamente privilegiadas e não são atribuídas a indivíduos específicos. As contas são limitadas a cenários de emergência ou de "quebra de vidro" em que as contas normais não podem ser usadas ou todos os outros administradores são bloqueados acidentalmente. Essas contas devem ser criadas seguindo as recomendações da conta de acesso de emergência.
6. Limitar o número de atribuições de funções privilegiadas a menos de 10
Algumas funções incluem permissões privilegiadas, como a capacidade de atualizar credenciais. Como essas funções podem potencialmente levar à elevação de privilégio, você deve limitar o uso dessas atribuições de função privilegiada a menos de 10 em sua organização. Se você exceder 10 atribuições de função privilegiada, um aviso será exibido na página Funções e administradores.
Você pode identificar funções, permissões e atribuições de função que são privilegiadas procurando o rótulo PRIVILEGIADO . Para obter mais informações, consulte Funções e permissões privilegiadas no Microsoft Entra ID.
7. Use grupos para atribuições de função do Microsoft Entra e delegue a atribuição de função
Se você tiver um sistema de governança externo que aproveite os grupos, considere atribuir funções a grupos do Microsoft Entra, em vez de usuários individuais. Você também pode gerenciar grupos atribuíveis por função no PIM para garantir que não haja proprietários ou membros permanentes nesses grupos privilegiados. Para obter mais informações, consulte Gerenciamento privilegiado de identidades (PIM) para grupos.
Você pode atribuir um proprietário a grupos atribuíveis por função. Esse proprietário decide quem é adicionado ou removido do grupo, portanto, indiretamente, decide quem recebe a atribuição de função. Dessa forma, um Administrador de Função Privilegiada pode delegar o gerenciamento de funções por função usando grupos. Para obter mais informações, consulte Usar grupos do Microsoft Entra para gerenciar atribuições de função.
8. Ative várias funções ao mesmo tempo usando o PIM for Groups
Pode ser o caso de um indivíduo ter cinco ou seis atribuições qualificadas para funções do Microsoft Entra por meio do PIM. Eles terão que ativar cada função individualmente, o que pode reduzir a produtividade. Pior ainda, eles também podem ter dezenas ou centenas de recursos do Azure atribuídos a eles, o que agrava o problema.
Nesse caso, você deve usar o Gerenciamento Privilegiado de Identidades (PIM) para Grupos. Crie um PIM para Grupos e conceda-lhe acesso permanente a várias funções (Microsoft Entra ID e/ou Azure). Torne esse utilizador um membro elegível ou proprietário deste grupo. Com apenas uma ativação, eles terão acesso a todos os recursos vinculados.
9. Use contas nativas da nuvem para funções do Microsoft Entra
Evite usar contas sincronizadas locais para atribuições de função do Microsoft Entra. Se sua conta local estiver comprometida, isso também poderá comprometer seus recursos do Microsoft Entra.