Compartilhar via

Cinco etapas para proteger sua infraestrutura de identidade

Se você está lendo esse documento, está ciente da significância da segurança. Você provavelmente já tem a responsabilidade de proteger sua organização. Se você precisar convencer outras pessoas da importância da segurança, envie-as para ler o Microsoft Relatório de Defesa Digital mais recente.

Este documento ajuda você a obter uma postura mais segura usando os recursos de Microsoft Entra ID usando uma lista de verificação de cinco etapas para melhorar a proteção da sua organização contra ataques cibernéticos.

Esta lista de verificação ajuda você a implantar rapidamente ações recomendadas críticas para proteger sua organização imediatamente, explicando como:

  • Fortaleça suas credenciais
  • Reduza a área de superfície de ataque
  • Automatize a resposta a ameaças
  • Use a inteligência de nuvem
  • Habilite o autoatendimento do usuário final

Observação

Muitas das recomendações neste documento se aplicam somente a aplicativos configurados para usar Microsoft Entra ID como seu provedor de identidade. Configurar os aplicativos para utilizar o logon único garante os benefícios de políticas de credenciais, detecção de ameaças, auditoria, registro em log e outros recursos são adicionados a esses aplicativos. Microsoft Entra Application Management é a base na qual todas essas recomendações se baseiam.

As recomendações neste documento são alinhadas com o Identity Secure Score, uma avaliação automatizada da configuração de segurança de identidade do locatário Microsoft Entra. As organizações podem usar a página Pontuação de Segurança de Identidade no centro de administração do Microsoft Entra para encontrar lacunas na configuração de segurança atual para garantir que sigam as práticas recomendadas de segurança Microsoft atuais. Implementar cada recomendação na página de Classificação de Segurança aumenta sua pontuação e permite que você acompanhe seu progresso, além de ajudá-lo a comparar sua implementação com outras organizações de tamanho semelhante.

Janela do portal Azure mostrando a Pontuação de Segurança da Identidade e algumas recomendações.

Observação

Algumas das funcionalidades recomendadas aqui estão disponíveis para todos os clientes, enquanto outras exigem uma assinatura P1 ou P2 Microsoft Entra ID. Examine os preços Microsoft Entra e a lista de verificação de implementação do Microsoft Entra para obter mais informações.

Antes de começar: Proteja contas com privilégios com MFA

Antes de iniciar esta lista de verificação, certifique-se de que você não seja comprometido enquanto estiver lendo esta lista. Em Microsoft Entra observamos 50 milhões de ataques de senha diariamente, mas apenas uma fração de usuários e administradores estão usando autenticações fortes, como a MFA (autenticação multifator). Essas estatísticas são baseadas em dados a partir de agosto de 2021. Em Microsoft Entra ID, os usuários que têm funções privilegiadas, como administradores, são a raiz da confiança para criar e gerenciar o restante do ambiente. Implemente as práticas a seguir para minimizar os possíveis efeitos de um comprometimento.

Os invasores que obtêm o controle de contas com privilégios podem causar danos tremendos, portanto, é essencial proteger essas contas ante de continuar. Habilite e exija Microsoft Entra MFA (autenticação multifator) para todos os administradores da sua organização usando Microsoft Entra Security Defaults ou Conditional Access. É crítico.

Tudo pronto? Vamos começar a trabalhar na lista de verificação.

Etapa 1: fortalecer suas credenciais

Embora outros tipos de ataques estejam surgindo, incluindo phishing de consentimento e ataques em identidades não humanas, ataques baseados em senha em identidades de usuário ainda são os vetores mais predominantes de comprometimento de identidade. Campanhas bem estabelecidas de spear phishing e ataques de pulverização de senhas realizados por adversários continuam a ser bem-sucedidas contra organizações que não implementam autenticação multifator (MFA) ou proteções adicionais contra essa tática comum.

Como uma organização, você precisa garantir que suas identidades sejam validadas e protegidas com a MFA em todos os lugares. Em 2020, o Relatório do Centro de Reclamações de Crimes na Internet (IC3) do Federal Bureau of Investigation (FBI) identificou o phishing como o principal tipo de crime nas queixas de vítimas. O número de relatórios duplicou comparados ao ano anterior. O phishing representa uma ameaça significativa para empresas e indivíduos, e o phishing de credenciais foi usado na maioria dos ataques mais nocivos no ano passado. Microsoft Entra MFA (autenticação multifator) ajuda a proteger o acesso a dados e aplicativos, fornecendo outra camada de segurança usando uma segunda forma de autenticação. As organizações podem habilitar a autenticação multifator com o acesso condicional para fazer a solução atender às suas necessidades específicas. Dê uma olhada neste guia de implantação para ver como planejar, implementar e distribuir a autenticação multifator do Microsoft Entra.

Verifique se sua organização usa autenticação forte

Para habilitar facilmente o nível básico de segurança de identidade, você pode usar a ativação em um clique com os padrões de segurança do Microsoft Entra. Os padrões de segurança impõem autenticação multifator do Microsoft Entra para todos os usuários em um tenant e bloqueiam as autenticações de protocolos herdados para todos os usuários do tenant.

Se sua organização tiver licenças P1 ou P2 Microsoft Entra ID, você também poderá usar o Conditional Access insights and reporting workbook para ajudar a identificar lacunas em sua configuração e cobertura. Com essas recomendações, você pode facilmente fechar essa lacuna criando uma política usando a nova experiência de modelos de Acesso Condicional. Modelos de Acesso Condicional são projetados para fornecer um método fácil para implantar novas políticas alinhadas com as práticas recomendadas da Microsoft, facilitando a implantação de políticas comuns para proteger suas identidades e dispositivos.

Comece a proibir senhas comumente atacadas e desative a complexidade tradicional e as regras de expiração.

Muitas organizações usam regras de complexidade e expiração de senha tradicionais. A pesquisa da Microsoft mostra, e as Diretrizes de Identidade Digital da Publicação Especial 800-63B do Instituto Nacional de Padrões e Tecnologia (NIST) afirmam que essas políticas fazem com que os usuários escolham senhas mais fáceis de adivinhar. Recomendamos que você use Microsoft Entra proteção por senha um recurso de senha proibida dinâmica usando o comportamento atual do invasor para impedir que os usuários definam senhas que podem ser facilmente adivinhadas. Essa funcionalidade está sempre ativa quando os usuários são criados na nuvem, mas agora também está disponível para organizações híbridas quando implantam Microsoft Entra proteção por senha para Windows Server Active Directory. Além disso, é recomendável que você remova as políticas de expiração. A alteração de senha não oferece nenhum benefício de confinamento, pois criminosos virtuais quase sempre usam credenciais assim que as comprometem. Consulte o artigo a seguir para Definir a política de expiração de senha para sua organização.

Proteger contra credenciais vazadas e adicionar resiliência contra falhas

O método mais simples e recomendado para habilitar a autenticação de nuvem para objetos de diretório localizados do Microsoft Entra ID é habilitar a sincronização de hash de senha (PHS). Se a organização usar uma solução de identidade híbrida com autenticação de passagem ou federação, então, você deverá habilitar a sincronização de hash de senha pelos dois motivos a seguir:

  • O relatório de Usuários com Credenciais Vazadas no Microsoft Entra ID alerta sobre pares de nome de usuário e senha expostos publicamente. Um volume incrível de senhas vazou por meio de phishing, malware e reutilização de senhas em sites de terceiros que posteriormente são violados. A Microsoft encontra muitas dessas credenciais vazadas e informará neste relatório caso elas correspondam às credenciais na sua organização – mas somente se você habilitar sincronização de hash de senha ou tiver identidades somente na nuvem.
  • Se ocorrer uma interrupção local, como um ataque de ransomware, você poderá alternar para o uso de autenticação baseada na nuvem via sincronização de hash de senha. Esse método de autenticação de backup permite que você continue acessando aplicativos configurados para autenticação com o Microsoft Entra ID, incluindo o Microsoft 365. Nesse caso, a equipe de TI não precisa recorrer a TI paralela ou contas de email pessoais para compartilhar dados até que a interrupção local seja resolvida.

As senhas nunca são armazenadas em texto claro ou criptografadas com um algoritmo reversível em Microsoft Entra ID. Para obter mais informações sobre o processo real de sincronização de hash de senha, confira Descrição detalhada de como funciona a sincronização de hash de senha.

Implementar bloqueio inteligente de extranet do AD FS

O bloqueio inteligente ajuda a bloquear atores mal-intencionados que tentam adivinhar as senhas dos usuários ou usar métodos de força bruta para entrada. O bloqueio inteligente pode reconhecer entradas provenientes de usuários válidos e tratá-las de forma diferente do que as entradas dos invasores e de outras fontes desconhecidas. Os invasores são bloqueados, enquanto os usuários podem acessar as contas e trabalhar. As organizações que configuram aplicativos para autenticar diretamente com o Microsoft Entra ID se beneficiam do recurso Microsoft Entra Smart Lockout. As implantações federadas que usam o AD FS 2016 e o AD FS 2019 podem permitir benefícios semelhantes usando o Bloqueio de Extranet do AD FS e o Bloqueio Inteligente de Extranet.

Etapa 2: reduzir a área da superfície de ataque

Considerando a propagação do comprometimento de senha, minimizar a superfície de ataque em sua organização é essencial. Desabilite o uso de protocolos mais antigos e menos seguros, limite os pontos de entrada de acesso, migrando para a autenticação na nuvem, exerça um controle mais significativo do acesso administrativo aos recursos e adote Confiança Zero princípios de segurança.

Usar Autenticação na Nuvem

As credenciais são um vetor de ataque primário. As práticas nesse blog podem reduzir a superfície de ataque usando autenticação na nuvem, implantando a MFA e usando métodos de autenticação sem senha. Você pode implantar métodos sem senha, como Windows Hello para Empresas, Conexão telefônica com o aplicativo Microsoft Authenticator ou FIDO.

Bloquear a autenticação herdada

Os aplicativos que usam seus próprios métodos herdados para autenticar com Microsoft Entra ID e acessar dados da empresa representam outro risco para as organizações. Exemplos de aplicativos que usam autenticação herdada são clientes POP3, IMAP4 ou SMTP. Os aplicativos de autenticação herdados são autenticados em nome do usuário e impedem que Microsoft Entra ID faça avaliações avançadas de segurança. A autenticação moderna reduz seu risco de segurança, pois dá suporte à autenticação multifator e ao Acesso Condicional.

As ações a seguir são recomendadas:

  1. Descubra a autenticação herdada em sua organização com os registros de entrada do Microsoft Entra e os livros de trabalho do Log Analytics.
  2. Configure SharePoint Online e Exchange Online para usar a autenticação moderna.
  3. Se você tiver licenças P1 ou P2 Microsoft Entra ID, use políticas de Acesso Condicional para bloquear a autenticação herdada. Para o nível gratuito do Microsoft Entra ID, use os Padrões de Segurança do Microsoft Entra.
  4. Bloqueie a autenticação legada se estiver usando o AD FS.
  5. Bloqueie a Autenticação Herdada com Exchange Server 2019.
  6. Desabilite a autenticação herdada no Exchange Online.

Para obter mais informações, consulte o artigo Bloqueando protocolos de autenticação herdados no Microsoft Entra ID.

Bloquear pontos de entrada de autenticação inválidos

Usando o princípio verificar explicitamente, você deve reduzir o impacto das credenciais de usuário comprometidas quando isso acontecer. Para cada aplicativo em seu ambiente, considere os casos de uso válidos: quais grupos, quais redes, quais dispositivos e outros elementos são autorizados e bloqueie o restante. Com Acesso condicional do Microsoft Entra, você pode controlar como os usuários autorizados acessam seus aplicativos e recursos com base em condições específicas definidas.

Para obter mais informações sobre como usar o Acesso Condicional para ações do usuário e Aplicativos de Nuvem, consulte Acesso Condicional para contexto de autenticação, ações e aplicativos de Nuvem.

Revisar e controlar funções de administrador

Outro Confiança Zero pilar é a necessidade de minimizar a probabilidade de uma conta comprometida operar com uma função privilegiada. Esse controle pode ser alcançado ao atribuir a menor quantidade de privilégio a uma identidade. Se você não estiver familiarizado com Microsoft Entra funções, este artigo ajudará você a entender Microsoft Entra funções.

As funções privilegiadas em Microsoft Entra ID devem ser contas somente de nuvem para isolá-las de ambientes locais e não usar cofres de senha locais para armazenar as credenciais.

Implementar o gerenciamento de acesso de privilégio

Privileged Identity Management (PIM) fornece uma ativação de função baseada em tempo e com base em aprovação para atenuar os riscos de permissões de acesso excessivas, desnecessárias ou mal utilizadas para recursos importantes. Esses recursos incluem recursos em Microsoft Entra ID, Azure e outros serviços Microsoft Online, como Microsoft 365 ou Microsoft Intune.

Microsoft Entra Privileged Identity Management (PIM) ajuda você a minimizar privilégios de conta, ajudando você:

  • Identificar e gerenciar os usuários atribuídos a funções administrativas.
  • Compreender funções com privilégios não usados ou excessivos que devem ser removidos.
  • Estabelecer regras para garantir que as funções com privilégios sejam protegidas pela autenticação multifator.
  • Estabelecer regras para garantir que as funções com privilégios sejam concedidas apenas pelo tempo suficiente para realizar a tarefa com privilégios.

Habilite Microsoft Entra PIM e exiba os usuários que recebem funções administrativas e remova contas desnecessárias nessas funções. Para os usuários com privilégios restantes, mova-os de permanentes para qualificados. Por fim, estabeleça políticas apropriadas para garantir que ao necessitarem do acesso a essas funções privilegiadas, possam fazer isso com segurança e controle de alterações necessários.

As funções internas e personalizadas do Microsoft Entra operam em conceitos semelhantes às funções encontradas no controle de acesso baseado em função para recursos do Azure (funções do Azure). A diferença entre esses dois sistemas de controle de acesso baseado em função é:

  • Microsoft Entra funções controlam o acesso a recursos Microsoft Entra, como usuários, grupos e aplicativos usando o Microsoft API do Graph
  • Azure funções controlam o acesso a recursos Azure como máquinas virtuais ou armazenamento usando Azure Gerenciamento de Recursos

Os dois sistemas têm semelhanças no uso de definições de função e atribuições de função. No entanto, permissões de função do Microsoft Entra não podem ser usadas em funções personalizadas do Azure e vice-versa. Como parte da implantação do processo de contas privilegiadas, siga a prática recomendada para criar pelo menos duas contas de emergência para garantir que você ainda tenha acesso à Microsoft Entra ID caso você fique bloqueado.

Para obter mais informações, consulte o artigo Planece uma implantação de Privileged Identity Management e protegendo o acesso privilegiado.

É importante entender as várias experiências de consentimento do aplicativo Microsoft Entra, os tipos de permissões e consentimento e suas implicações na postura de segurança da sua organização. Embora permitir que os usuários consentam sozinhos permite que os usuários adquiram facilmente aplicativos úteis que se integram a Microsoft 365, Azure e outros serviços, ele pode representar um risco se não for usado e monitorado cuidadosamente.

Microsoft recomenda restringir o consentimento do usuário para permitir o consentimento do usuário final somente para aplicativos de editores verificados e apenas para permissões selecionadas. Se o consentimento do usuário final estiver restrito, os consentimentos anteriores continuarão válidos, mas todas as operações futuras de consentimento devem ser realizadas por um administrador. Para casos restritos, os usuários podem solicitar o consentimento do administrador por meio de um fluxo de solicitação de consentimento integrado ou por meio dos seus próprios processos de suporte. Antes de restringir o consentimento do usuário final, use nossas recomendações para planejar essa alteração em sua organização. Para aplicativos que você deseja permitir que todos os usuários acessem, considere fornecer consentimento em nome de todos os usuários, garantindo que os usuários que ainda não forneceram consentimento individualmente possam acessar o aplicativo. Se você não quiser que esses aplicativos estejam disponíveis para todos os usuários em todos os cenários, use a atribuição de aplicativo e o Acesso Condicional para restringir o acesso do usuário a aplicativos específicos.

Verifique se os usuários podem solicitar aprovação de administrador para novos aplicativos para reduzir o atrito do usuário, minimizar o volume de suporte e impedir que os usuários se inscrevam em aplicativos usando credenciais não Microsoft Entra. Depois de você regulamentar suas operações de consentimento, os administradores devem auditar regularmente as permissões do aplicativo e de consentimento.

Para obter mais informações, consulte o artigo Microsoft Entra estrutura de consentimento.

Etapa 3: automatizar a resposta a ameaças

Microsoft Entra ID tem muitos recursos que interceptam ataques automaticamente para remover a latência entre detecção e resposta. Você pode reduzir os custos e os riscos quando reduz o tempo que os criminosos usam para se inserir em seu ambiente. Aqui estão as etapas concretas que podem ser adotadas.

Para obter mais informações, confira o artigo Como configurar e habilitar políticas de risco.

Implementar política de risco de login

O risco de login representa a probabilidade de que, dado que o proprietário da identidade não autorizou a solicitação de autenticação. Uma política baseada em risco de entrada pode ser implementada ao adicionar uma condição de risco de entrada às políticas de Acesso Condicional que avaliam o nível de risco para um usuário ou grupo específico. Com base no nível de risco (baixo/médio/alto), é possível configurar uma política para bloquear o acesso ou forçar a autenticação multifator. É recomendável forçar a autenticação multifator em entradas suspeitas de nível médio ou superior.

Política de acesso condicional que exige MFA para entradas de risco médio e alto.

Implementar política de segurança de risco do usuário

O risco do usuário indica a probabilidade de comprometimento da identidade do usuário e é calculado com base nas detecções de risco do usuário associadas à identidade do usuário. Uma política baseada em risco de usuário pode ser implementada ao adicionar uma condição de risco de usuário às políticas de Acesso Condicional que avaliam o nível de risco para um usuário ou grupo específico. Com base no nível de risco Baixo, Médio ou Alto, é possível configurar uma política para bloquear o acesso ou exigir uma mudança de senha segura usando a autenticação multifator. A recomendação da Microsoft é a exigência de uma mudança segura de senha para usuários de alto risco.

Política de acesso condicional que exige alteração de senha para usuários de alto risco.

Está incluído na detecção de risco do usuário a verificação se as credenciais do usuário correspondem às credenciais vazadas por criminosos cibernéticos. Para funcionar de forma ideal, é importante implementar a sincronização de hash de senha com o Microsoft Entra Connect Sync.

Integrar Microsoft Defender XDR com Microsoft Entra ID Protection

Para que a Proteção de Identidade possa executar a melhor detecção de risco possível, ele precisa obter o máximo de sinais possível. Portanto, é importante integrar o conjunto completo de serviços de Microsoft Defender XDR:

  • Microsoft Defender para Ponto de Extremidade
  • Microsoft Defender para Office 365
  • Microsoft Defender para Identidade
  • Microsoft Defender para Aplicativos de Nuvem

Saiba mais sobre Microsoft Proteção contra Ameaças e a importância da integração de domínios diferentes no vídeo curto a seguir.

Configurar monitoramento e alertas

Monitorar e auditar seus logs é importante para detectar comportamentos suspeitos. O portal Azure tem várias maneiras de integrar logs Microsoft Entra a outras ferramentas, como Microsoft Sentinel, Azure Monitor e outras ferramentas SIEM. Para obter mais informações, consulte o guia Microsoft Entra operações de segurança.

Etapa 4: usar a inteligência de nuvem

A auditoria e o log de eventos relacionados à segurança e alertas relacionados são componentes fundamentais de uma estratégia de proteção eficiente. Logs e relatórios de segurança fornecem a você um registro eletrônico de atividades suspeitas e ajudam a detectar padrões que podem indicar tentativas de invasão externa bem-sucedidas ou não e ataques internos. Você pode usar a auditoria para monitorar as atividades do usuário, a conformidade regulatória de documentos, realizar análise forense e muito mais. Os alertas fornecem notificações de eventos de segurança. Verifique se você tem uma estratégia de retenção de log em vigor para os logs de autenticação e logs de auditoria do Entra ID da Microsoft, exportando-os para o Azure Monitor ou uma ferramenta SIEM.

Monitorar Microsoft Entra ID

Os serviços e recursos do Microsoft Azure fornecem opções configuráveis de auditoria e registro de segurança, que ajudam a identificar lacunas em suas políticas e mecanismos de segurança e a resolver essas lacunas e evitar violações. Você pode usar o Azure Logging and Auditing e os relatórios de atividade de auditoria no centro de administração do Microsoft Entra. Consulte o guia Microsoft Entra Operações de Segurança para obter mais detalhes sobre como monitorar contas de usuário, contas privilegiadas, aplicativos e dispositivos.

Monitorar o Microsoft Entra Connect Health em ambientes híbridos

Monitoring AD FS com Microsoft Entra Connect Health fornece uma visão mais detalhada sobre possíveis problemas e visibilidade dos ataques à sua infraestrutura do AD FS. Agora você pode exibir as credenciais do ADFS para dar maior profundidade ao seu monitoramento. Microsoft Entra Connect Health fornece alertas com detalhes, etapas de resolução e links para documentação relacionada; análise de uso para várias métricas relacionadas ao tráfego de autenticação; monitoramento de desempenho e relatórios. Utilize a Pasta de trabalho de IP suspeito para ADFS que pode ajudar a identificar a norma para seu ambiente e alerta quando há uma alteração. Toda a Infraestrutura Híbrida deve ser monitorada como um ativo de Camada 0. As diretrizes de monitoramento detalhadas para esses ativos podem ser encontradas no Guia de Operações de Segurança para Infraestrutura.

Monitorar eventos de Microsoft Entra ID Protection

Microsoft Entra ID Protection fornece dois relatórios importantes que você deve monitorar diariamente:

  1. Os relatórios de login suspeito exibem atividades de login de usuários que você deve investigar para verificar se o proprietário legítimo realizou o login.
  2. Os relatórios de usuário arriscados exibirão as contas de usuários que poderão estar comprometidas, como as credenciais perdidas detectadas ou usuário que entrou a partir de localizações diferentes causando um evento de viagem impossível.

Visão geral dos gráficos de atividade no Identity Protection no portal do Azure.

Auditar aplicativos e permissões de consentimento

Os usuários podem ser enganados para navegar até um site comprometido ou aplicativos que obtêm acesso a suas informações de perfil e dados do usuário, como seu email. Um ator mal-intencionado pode usar as permissões consentidas que recebeu para criptografar o conteúdo da caixa de correio e exigir um resgate para recuperar os dados da caixa de correio. Os administradores devem revisar e auditar as permissões dadas pelos usuários. Além de auditar as permissões fornecidas pelos usuários, você pode localizar aplicativos OAuth arriscados ou indesejados em ambientes premium.

Etapa 5: habilitar o autoatendimento do usuário final

Na medida do possível, deseje equilibrar segurança com produtividade. Ao abordar seu percurso com a mentalidade de que você está estabelecendo uma base para segurança, é possível remover conflitos da sua organização capacitando os usuários enquanto permanece vigilante e reduz sobrecargas operacionais.

Implementar a redefinição de senha por autoatendimento

Microsoft Entra ID autoatendimento de redefinição de senha (SSPR) oferece um meio simples para os administradores de TI permitirem que os usuários redefinam ou desbloqueiem suas senhas ou contas sem intervenção do suporte técnico ou do administrador. O sistema inclui relatórios detalhados que acompanham quando os usuários redefinem suas senhas, juntamente com notificações para alertar você sobre mau uso ou abuso.

Implementar acesso de autoatendimento a grupos e aplicativos

Microsoft Entra ID podem permitir que não administradores gerenciem o acesso aos recursos, usando grupos de segurança, grupos de Microsoft 365, funções de aplicativo e catálogos de pacotes de acesso. O gerenciamento de grupos de autoatendimento permite que os proprietários de grupos gerenciem os respectivos grupos sem a necessidade de uma função administrativa ser atribuída a eles. Os usuários também podem criar e gerenciar Microsoft 365 grupos sem depender de administradores para lidar com suas solicitações e grupos não utilizados expirarem automaticamente. Microsoft Entra gerenciamento de direitos habilita ainda mais a delegação e a visibilidade, com fluxos de trabalho de solicitação de acesso abrangentes e expiração automática. Você pode delegar aos não administradores a capacidade de configurar seus próprios pacotes de acesso para grupos, Teams, aplicativos e SharePoint sites online que eles possuem, com políticas personalizadas para quem é necessário aprovar o acesso, incluindo a configuração de gerentes de funcionários e patrocinadores de parceiros de negócios como aprovadores.

Implementar revisões de acesso do Microsoft Entra

Com Microsoft Entra revisões de acesso, você pode gerenciar pacotes de acesso e associações de grupo, acessar aplicativos empresariais e atribuições de funções privilegiadas, assegurando a manutenção de um padrão de segurança. Uma supervisão regular pelos próprios usuários, proprietários de recursos e outros revisores garante que os usuários não mantenham o acesso por períodos de tempo longos quando não precisarem mais dele.

Implementar provisionamento automático de usuário

O provisionamento e o desprovisionamento são os processos que garantem a consistência das identidades digitais em vários sistemas. Esses processos normalmente são aplicados como parte do gerenciamento do ciclo de vida de identidades.

O provisionamento é o processo de criação de uma identidade em um sistema de destino com base em determinadas condições. O desprovisionamento é o processo de remover a identidade do sistema de destino quando as condições não são mais atendidas. A sincronização é o processo de manter o objeto provisionado atualizado para que o objeto de origem e o objeto de destino sejam semelhantes.

Microsoft Entra ID atualmente fornece três áreas de provisionamento automatizado. São elas:

  • Provisionamento de um sistema de registro autoritativo não indireto externo para Microsoft Entra ID, por meio de provisionamento controlado porHR
  • Provisionamento de Microsoft Entra ID para aplicativos, por meio do provisionamento App
  • ** Provisionamento entre Microsoft Entra ID e Active Directory Domain Services, por meio de provisionamento entre diretórios

Saiba mais aqui: O que é provisionamento com Microsoft Entra ID?

Resumo

Há muitos aspectos em uma infraestrutura de identidade segura, mas essa lista de verificação de cinco etapas ajuda você a alcançar rapidamente uma infraestrutura de identidade mais segura:

  • Fortaleça suas credenciais
  • Reduza a área de superfície de ataque
  • Automatize a resposta a ameaças
  • Use a inteligência de nuvem
  • Habilite o autoatendimento do usuário final

Apreciamos a seriedade com que você encara a segurança e esperamos que esse documento seja um roteiro útil para uma postura mais segura para sua organização.

Próximas etapas

Se você precisar de assistência para planejar e implantar as recomendações, consulte os Microsoft Entra ID planos de implantação de projeto para obter ajuda.

Se estiver confiante de que todas essas etapas estão concluídas, use o Identity Secure Score do Microsoft, que o mantém atualizado com as melhores práticas latest e ameaças à segurança.

  • Last updated on