Partilhar via

Cinco etapas para proteger a sua infraestrutura de identidade

Se está a ler este documento, está ciente da importância da segurança. Você provavelmente já tem a responsabilidade de proteger sua organização. Se precisar de convencer outros da importância da segurança, envie-os para ler o mais recente Microsoft Relatório Digital de Defesa.

Este documento ajuda-o a obter uma postura mais segura utilizando as capacidades do Microsoft Entra ID, utilizando uma lista de cinco passos para melhorar a proteção da sua organização contra ciberataques.

Esta lista de verificação ajuda você a implantar rapidamente ações críticas recomendadas para proteger sua organização imediatamente, explicando como:

  • Fortaleça suas credenciais
  • Reduza a sua área de superfície de ataque
  • Automatize a resposta a ameaças
  • Utilize inteligência na nuvem
  • Habilite o autosserviço do usuário final

Nota

Muitas das recomendações deste documento aplicam-se apenas a aplicações configuradas para usar o Microsoft Entra ID como fornecedor de identidade. A configuração de aplicativos para Logon Único garante os benefícios das políticas de credenciais, deteção de ameaças, auditoria, registro em log e outros recursos adicionados a esses aplicativos. Microsoft Entra Gestão de Aplicações é a base sobre a qual todas estas recomendações se baseiam.

As recomendações deste documento estão alinhadas com o Identity Secure Score, uma avaliação automatizada da configuração de segurança de identidade do seu inquilino Microsoft Entra. As organizações podem usar a página Identity Secure Score no centro de administração Microsoft Entra para encontrar lacunas na sua configuração atual de segurança, garantindo que seguem as melhores práticas atuais da Microsoft em matéria de segurança. A implementação de cada recomendação na página Pontuação segura aumenta sua pontuação e permite que você acompanhe seu progresso, além de ajudá-lo a comparar sua implementação com outras organizações de tamanho semelhante.

Janela do portal Azure mostrando o Identity Secure Score e algumas recomendações.

Nota

Algumas das funcionalidades aqui recomendadas estão disponíveis para todos os clientes, enquanto outras exigem uma subscrição Microsoft Entra ID P1 ou P2. Por favor, consulte Microsoft Entra preços e Microsoft Entra lista de verificação de implantação para mais informações.

Antes de começar: Proteja contas privilegiadas com MFA

Antes de começar esta lista de verificação, certifique-se de que não fica comprometido enquanto lê esta lista de verificação. No Microsoft Entra observamos 50 milhões de ataques de palavras-passe diariamente, mas apenas uma fração dos utilizadores e administradores utiliza autenticações fortes, como a autenticação multifator (MFA). Estas estatísticas baseiam-se em dados de agosto de 2021. No Microsoft Entra ID, os utilizadores que têm funções privilegiadas, como administradores, são a raiz da confiança para construir e gerir o resto do ambiente. Implemente as seguintes práticas para minimizar os efeitos de um compromisso.

Os atacantes que obtêm o controlo de contas privilegiadas podem causar danos tremendos, por isso é fundamental proteger essas contas antes de prosseguir. Ative e exija Microsoft Entra autenticação multifator (MFA) para todos os administradores da sua organização que utilizam Microsoft Entra Security Defaults ou Acesso Condicional. É fundamental.

Tudo pronto? Vamos começar na lista de verificação.

Passo 1: Fortaleça as suas credenciais

Embora outros tipos de ataques estejam surgindo, incluindo phishing de consentimento e ataques a identidades não humanas, os ataques baseados em senha às identidades dos usuários ainda são o vetor mais prevalente de comprometimento de identidade. Campanhas bem estabelecidas de spear phishing e ataque de pulverização de senha por adversários continuam a ser bem-sucedidas contra organizações que não implementam autenticação multifator (MFA) ou outras proteções contra essa tática comum.

Como organização, você precisa garantir que suas identidades sejam validadas e protegidas com MFA em todos os lugares. Em 2020, o relatório do Centro de Queixas de Crimes na Internet (IC3) do Federal Bureau of Investigation (FBI) identificou o phishing como o principal tipo de crime para queixas de vítimas. O número de relatórios duplicou em comparação com o ano anterior. O phishing representa uma ameaça significativa para empresas e indivíduos, e o phishing de credenciais foi usado em muitos dos ataques mais prejudiciais no ano passado. A autenticação multifator (MFA) da Microsoft Entra ajuda a proteger o acesso a dados e aplicações, proporcionando uma camada adicional de segurança ao utilizar uma segunda forma de autenticação. As organizações podem habilitar a autenticação multifator com Acesso Condicional para fazer com que a solução atenda às suas necessidades específicas. Consulte este guia de implementação para ver como planear, implementar e lançar a autenticação multifator do Microsoft Entra.

Verifique se sua organização usa autenticação forte

Para ativar facilmente o nível básico de segurança de identidade, pode usar a ativação por seleção única com os valores de segurança Microsoft Entra. Os padrões de segurança impõem autenticação multifator Microsoft Entra para todos os utilizadores num tenant e bloqueiam os logins de protocolos legados em todo o tenant.

Se a sua organização tiver licenças Microsoft Entra ID P1 ou P2, pode também usar o livro de insights e relatórios Acesso Condicional para o ajudar a identificar lacunas na sua configuração e cobertura. A partir dessas recomendações, você pode facilmente fechar essa lacuna criando uma política usando a nova experiência de modelos de Acesso Condicional. Conditional Access templates foram concebidos para fornecer um método fácil de implementar novas políticas que estejam alinhadas com Microsoft recomendadas melhores práticas, facilitando a implementação de políticas comuns para proteger as suas identidades e dispositivos.

Comece a banir senhas comumente atacadas e desative a complexidade tradicional e as regras de expiração.

Muitas organizações usam regras tradicionais de complexidade e expiração de senha. A investigação da Microsoft mostra, e a Publicação Especial 800-63B intitulada Diretrizes de Identidade Digital do Instituto Nacional de Padrões e Tecnologia (NIST) afirma que estas políticas levam os utilizadores a escolher palavras-passe mais fáceis de adivinhar. Recomendamos que utilize Microsoft Entra proteção por palavra-passe uma funcionalidade dinâmica de palavra-passe banida que utiliza o comportamento atual dos atacantes para impedir que os utilizadores definam palavras-passe que possam ser facilmente adivinhadas. Esta funcionalidade está sempre ativa quando os utilizadores são criados na cloud, mas agora também está disponível para organizações híbridas quando implementam proteção por palavra-passe Microsoft Entra para Windows Server Active Directory. Além disso, recomendamos que remova as políticas de expiração. A alteração de palavra-passe não oferece benefícios de contenção, uma vez que os criminosos virtuais quase sempre usam credenciais assim que as comprometem. Consulte o seguinte artigo para Definir a política de expiração de senha para sua organização.

Proteja-se contra credenciais vazadas e aumente a resiliência contra interrupções

O método mais simples e recomendado para ativar a autenticação na cloud para objetos de diretório on-premises no Microsoft Entra ID é ativar a sincronização de hash password (PHS). Se a organização utilizar uma solução de identidade híbrida com federação ou autenticação pass-through, deverá ativar a sincronização do hash de palavras-passe pelos seguintes motivos:

  • O relatório Utilizadores com credenciais comprometidas no Microsoft Entra ID alerta para pares de nomes de utilizador e palavra-passe publicamente expostos. Um volume incrível de senhas é vazado por meio de phishing, malware e reutilização de senhas em sites de terceiros que são posteriormente violados. Microsoft encontra muitas destas credenciais vazadas e diz-te, neste relatório, se correspondem às credenciais da tua organização – mas apenas se ativares password hash sync ou tiveres identidades apenas na cloud.
  • Se ocorrer uma falha local, como um ataque de ransomware, pode passar a usar autenticação na nuvem usando sincronização de hash de senha. Este método de autenticação de backup permite-lhe continuar a aceder a aplicações configuradas para autenticação com o Microsoft Entra ID, incluindo o Microsoft 365. Nesse caso, a equipe de TI não precisa recorrer a contas de e-mail pessoais ou de TI sombra para compartilhar dados até que a interrupção local seja resolvida.

As palavras-passe nunca são armazenadas em texto claro nem encriptadas com um algoritmo reversível no Microsoft Entra ID. Para obter mais informações sobre o processo real de sincronização de hash de senha, consulte Descrição detalhada de como funciona a sincronização de hash de senha.

Implementar o bloqueio inteligente da extranet do AD FS

O bloqueio inteligente ajuda a bloquear pessoas mal-intencionadas que tentam adivinhar as palavras-passe dos utilizadores ou utilizar métodos de força bruta para entrar. O bloqueio inteligente consegue reconhecer entradas de utilizadores válidos e tratá-las de maneira diferente das entradas de atacantes e de outras fontes desconhecidas. Os atacantes são bloqueados, enquanto os utilizadores continuam a aceder às contas e a ser produtivos. As organizações que configuram aplicações para autenticarem diretamente no Microsoft Entra ID beneficiam do smart lockout do Microsoft Entra. As implantações federadas que usam o AD FS 2016 e o AD FS 2019 podem habilitar benefícios semelhantes usando o Bloqueio de Extranet do AD FS e o Bloqueio Inteligente de Extranet.

Passo 2: Reduzir a área da superfície de ataque

Dada a onipresença do comprometimento de senhas, minimizar a superfície de ataque em sua organização é fundamental. Desativar o uso de protocolos mais antigos e menos seguros, limitar pontos de entrada de acesso, migrar para autenticação na cloud, exercer um controlo mais significativo do acesso administrativo aos recursos e adotar os princípios de segurança Confiança Zero.

Usar a autenticação na nuvem

As credenciais são um vetor de ataque primário. As práticas neste blog podem reduzir a superfície de ataque usando autenticação na nuvem, implantar MFA e usar métodos de autenticação sem senha. Pode implementar métodos sem palavra-passe como o Windows Hello para Empresas, Login por Telemóvel com a Microsoft Authenticator App ou FIDO.

Bloquear a autenticação legada

Aplicações que utilizam métodos antigos próprios para autenticar com o Microsoft Entra ID e aceder a dados da empresa representam outro risco para as organizações. Exemplos de aplicativos que usam autenticação herdada são clientes POP3, IMAP4 ou SMTP. As aplicações de autenticação legadas autenticam-se em nome do utilizador e impedem que o Microsoft Entra ID realize avaliações avançadas de segurança. A autenticação alternativa, moderna, reduz o risco de segurança, porque suporta autenticação multifator e Acesso Condicional.

Recomendamos as seguintes ações:

  1. Descubra a autenticação legada na sua organização com os registos de autenticação do Microsoft Entra e os workbooks do Log Analytics.
  2. Configure o SharePoint Online e o Exchange Online para usar autenticação moderna.
  3. Se tiver licenças Microsoft Entra ID P1 ou P2, use políticas de Acesso Condicional para bloquear a autenticação legada. Para o Microsoft Entra ID nível Free, use o Microsoft Entra Security Defaults.
  4. Bloqueie a autenticação herdada se você usar o AD FS.
  5. Bloquear a Autenticação Legada com o Exchange Server 2019.
  6. Desative a autenticação legada no Exchange Online.

Para mais informações, consulte o artigo Bloqueio de protocolos de autenticação legados no Microsoft Entra ID.

Bloquear pontos de entrada de autenticação inválidos

Usando o princípio de verificação explícita, você deve reduzir o impacto das credenciais de usuário comprometidas quando elas acontecem. Para cada aplicativo em seu ambiente, considere os casos de uso válidos: quais grupos, quais redes, quais dispositivos e outros elementos são autorizados e, em seguida, bloqueie o restante. Com o Acesso Condicional do Microsoft Entra, pode controlar como os utilizadores autorizados acedem às suas aplicações e recursos com base nas condições específicas que define.

Para obter mais informações sobre como usar o Acesso Condicional para seus aplicativos de nuvem e ações do usuário, consulte Aplicativos de nuvem de acesso condicional, ações e contexto de autenticação.

Rever e governar funções de administrador

Outro pilar do Confiança Zero é a necessidade de minimizar a probabilidade de uma conta comprometida operar com um papel privilegiado. Esse controle pode ser realizado atribuindo a menor quantidade de privilégio a uma identidade. Se é novo nas funções da Microsoft Entra, este artigo ajuda-o a compreender as funções da Microsoft Entra.

Os papéis privilegiados no Microsoft Entra ID devem ser contas apenas na cloud para os isolar de ambientes on-premises e não usar cofres de passwords on-premises para armazenar as credenciais.

Implementar o Gerenciamento de Acesso de Privilégios

A Privileged Identity Management (PIM) fornece uma ativação de função baseada no tempo e na aprovação para mitigar os riscos de permissões de acesso excessivas, desnecessárias ou mal utilizadas a recursos importantes. Estes recursos incluem recursos no Microsoft Entra ID, Azure e outros Serviços Online da Microsoft como Microsoft 365 ou Microsoft Intune.

Microsoft Entra Privileged Identity Management (PIM) ajuda-o a minimizar privilégios de conta ao ajudá-lo:

  • Identifique e gerencie usuários atribuídos a funções administrativas.
  • Entenda as funções de privilégio não utilizadas ou excessivas que você deve remover.
  • Estabeleça regras para garantir que as funções privilegiadas sejam protegidas pela autenticação multifator.
  • Estabeleça regras para garantir que as funções privilegiadas sejam concedidas apenas o tempo suficiente para realizar a tarefa privilegiada.

Ative o Microsoft Entra PIM, depois veja os utilizadores que recebem funções administrativas e remova contas desnecessárias nessas funções. Para os restantes utilizadores privilegiados, mude-os de permanentes para elegíveis. Finalmente, estabeleça políticas apropriadas para garantir que, quando precisarem ter acesso a essas funções privilegiadas, possam fazê-lo de forma segura, com o controle de mudanças necessário.

Os papéis incorporados e personalizados do Microsoft Entra operam com conceitos semelhantes aos dos papéis do sistema de controlo de acesso baseado em papéis para os recursos do Azure. A diferença entre esses dois sistemas de controle de acesso baseados em funções é:

  • Os papéis da Microsoft Entra controlam o acesso a recursos da Microsoft Entra, como utilizadores, grupos e aplicações, utilizando a Microsoft Graph API
  • Os papéis do Azure controlam o acesso a recursos do Azure, como máquinas virtuais ou armazenamento, utilizando o Azure Resource Management

Ambos os sistemas contêm definições de função e atribuições de função usadas de forma semelhante. No entanto, as permissões dos papéis Microsoft Entra não podem ser usadas em funções personalizadas do Azure e vice-versa. Como parte do processo de implementação da sua conta privilegiada, siga a melhor prática de criar pelo menos duas contas de emergência para garantir que ainda tem acesso ao Microsoft Entra ID caso se bloqueie o acesso.

Para mais informações, consulte o artigo Planeie uma implementação Privileged Identity Management e a segurança do acesso privilegiado.

É importante compreender as várias experiências de consentimento de aplicações Microsoft Entra, os tipos de permissões e consentimentos, e as suas implicações na postura de segurança da sua organização. Embora permitir que os utilizadores consentam por si próprios permita que adquiram facilmente aplicações úteis que se integrem com Microsoft 365, Azure e outros serviços, pode representar um risco se não for usado e monitorizado cuidadosamente.

A Microsoft recomenda restringir o consentimento do utilizador para permitir o consentimento do utilizador final apenas para aplicações de editores verificados e apenas para permissões selecionadas. Se o consentimento do usuário final for restrito, as concessões de consentimento anteriores ainda serão respeitadas, mas todas as operações de consentimento futuras que um administrador deve executar. Para casos restritos, os usuários podem solicitar o consentimento do administrador por meio de um fluxo de trabalho integrado de solicitação de consentimento do administrador ou por meio de seus próprios processos de suporte. Antes de restringir o consentimento do usuário final, use nossas recomendações para planejar essa alteração em sua organização. Para aplicativos que você deseja permitir que todos os usuários acessem, considere conceder consentimento em nome de todos os usuários, certificando-se de que os usuários que ainda não consentiram individualmente possam acessar o aplicativo. Se você não quiser que esses aplicativos estejam disponíveis para todos os usuários em todos os cenários, use a atribuição de aplicativos e o Acesso Condicional para restringir o acesso do usuário a aplicativos específicos.

Certifique-se de que os utilizadores podem solicitar aprovação administrativa para novas aplicações, reduzindo o atrito dos utilizadores, minimizando o volume de suporte e impedindo que os utilizadores se inscrevam em aplicações que utilizam credenciais não Microsoft Entra. Depois de regular suas operações de consentimento, os administradores devem auditar as permissões de aplicativo e consentimento regularmente.

Para mais informações, consulte o artigo Microsoft Entra estrutura de consentimento.

Etapa 3: automatizar a resposta a ameaças

O Microsoft Entra ID tem muitas capacidades que intercetam automaticamente ataques, eliminando a latência entre a deteção e a resposta. Você pode reduzir os custos e os riscos, quando reduz o tempo que os criminosos usam para se incorporar ao seu ambiente. Aqui estão as medidas concretas que você pode tomar.

Para obter mais informações, consulte o artigo Como configurar e habilitar políticas de risco.

Implementar política de risco de início de sessão

Um risco de entrada representa a probabilidade de que um determinado proprietário da identidade não autorizou a solicitação de autenticação. Uma política baseada em risco de entrada pode ser implementada adicionando uma condição de risco de entrada às suas políticas de Acesso Condicional que avalia o nível de risco para um usuário ou grupo específico. Com base no nível de risco (alto/médio/baixo), uma política pode ser configurada para bloquear o acesso ou forçar a autenticação multifator. Recomendamos que force a autenticação multifator em acessos de risco médio ou superior.

Política de Acesso Condicional que requer MFA para entradas de médio e alto risco.

Implementar política de segurança de risco do usuário

O risco do usuário indica a probabilidade de comprometimento da identidade do usuário e é calculado com base nas deteções de risco do usuário associadas à identidade do usuário. Uma política baseada em risco de usuário pode ser implementada por meio da adição de uma condição de risco de usuário às suas políticas de Acesso Condicional que avalia o nível de risco para um usuário específico. Com base no nível de risco Baixo, Médio e Alto, uma política pode ser configurada para bloquear o acesso ou exigir uma alteração de senha segura usando autenticação multifator. A recomendação da Microsoft é exigir uma alteração segura da palavra-passe para utilizadores de alto risco.

Política de Acesso Condicional que requer alteração de senha para usuários de alto risco.

Incluído na deteção de risco do usuário está uma verificação se as credenciais do usuário correspondem às credenciais vazadas por cibercriminosos. Para funcionar de forma ótima, é importante implementar a sincronização de hash de palavra-passe com o Microsoft Entra Connect Sync.

Integre Microsoft Defender XDR com Microsoft Entra ID Protection

Para que a Proteção de Identidade seja capaz de realizar a melhor deteção de risco possível, ela precisa obter o maior número possível de sinais. Por isso, é importante integrar o conjunto completo de serviços Microsoft Defender XDR:

  • Microsoft Defender para Endpoint
  • Microsoft Defender para Office 365
  • Microsoft Defender para Identidade
  • Microsoft Defender para Aplicações na Nuvem

Saiba mais sobre a Microsoft Threat Protection e a importância de integrar diferentes domínios, no vídeo curto seguinte.

Configurar monitoramento e alertas

Monitorar e auditar seus logs é importante para detetar comportamentos suspeitos. O portal Azure tem várias formas de integrar os registos Microsoft Entra com outras ferramentas, como Microsoft Sentinel, Azure Monitor e outras ferramentas SIEM. Para mais informações, consulte o guia de operações de segurança Microsoft Entra.

Etapa 4: Utilize a inteligência na nuvem

A auditoria e o registo de eventos relacionados com a segurança e alertas relacionados são componentes essenciais de uma estratégia de proteção eficiente. Os logs e relatórios de segurança fornecem um registro eletrônico de atividades suspeitas e ajudam a detetar padrões que podem indicar tentativa ou penetração externa bem-sucedida na rede e ataques internos. Você pode usar a auditoria para monitorar a atividade do usuário, documentar a conformidade regulamentar, fazer análises forenses e muito mais. Os alertas fornecem notificações de eventos de segurança. Certifica-te de que tens uma política de retenção de registos tanto para os registos de início de sessão como para os registos de auditoria do Microsoft Entra ID, exportando para o Azure Monitor ou para uma ferramenta SIEM.

Monitorizar o Microsoft Entra ID

Os serviços e funcionalidades do Microsoft Azure fornecem-lhe opções configuráveis de auditoria e registo de segurança para o ajudar a identificar lacunas nas suas políticas e mecanismos de segurança e a colma-las, ajudando a prevenir violações. Pode usar Azure Logging e Auditoria e usar relatórios de atividade de auditoria no centro de administração do Microsoft Entra. Consulte o guia de Operações de Segurança Microsoft Entra para mais detalhes sobre monitorização de contas de utilizador, contas privilegiadas, aplicações e dispositivos.

Monitorize a Microsoft Entra Connect Health em ambientes híbridos

Monitorizar AD FS com Microsoft Entra Connect Health dá-lhe maior perceção sobre potenciais problemas e visibilidade de ataques à sua infraestrutura AD FS. Agora você pode visualizar os logins do ADFS para dar mais profundidade ao seu monitoramento. O Microsoft Entra Connect Health fornece alertas com detalhes, passos de resolução e ligações para documentação relacionada; análises de utilização para várias métricas relacionadas com o tráfego de autenticação; monitorização de desempenho e relatórios. Utilize o Risky IP WorkBook for ADFS que pode ajudar a identificar a norma para o seu ambiente e alertar quando houver uma alteração. Toda a infraestrutura híbrida deve ser monitorada como um ativo de nível 0. Orientações detalhadas de monitoramento para esses ativos podem ser encontradas no Guia de Operações de Segurança para Infraestrutura.

Monitorizar eventos do Microsoft Entra ID Protection

Microsoft Entra ID Protection fornece dois relatórios importantes que deve monitorizar diariamente:

  1. Os relatórios de início de sessão arriscados apresentam as atividades de início de sessão do utilizador, devendo investigar se o proprietário legítimo efetuou o início de sessão.
  2. Relatórios de usuários de risco destacam contas de usuário que podem estar comprometidas, como credenciais comprometidas detetadas ou o usuário ter iniciado sessão de locais diferentes, resultando em um evento de viagem impossível.

Gráficos gerais da atividade em Proteção de Identidade no portal Azure.

Auditar aplicativos e permissões consentidas

Os usuários podem ser induzidos a navegar para um site comprometido ou aplicativos que obtêm acesso às informações de perfil e dados do usuário, como e-mail. Um ator mal-intencionado pode usar as permissões consentidas que recebeu para criptografar o conteúdo da caixa de correio e exigir um resgate para recuperar os dados da sua caixa de correio. Os administradores devem rever e auditar as permissões dadas pelos utilizadores. Além de auditar as permissões dadas pelos usuários, você pode localizar aplicativos OAuth arriscados ou indesejados em ambientes premium.

Etapa 5: Habilitar o autosserviço do usuário final

Tanto quanto possível, você quer equilibrar segurança com produtividade. Abordando sua jornada com a mentalidade de que você está estabelecendo uma base para a segurança, você pode remover o atrito de sua organização capacitando seus usuários enquanto permanece vigilante e reduz suas despesas gerais operacionais.

Implementar redefinição de senha de autoatendimento

A redefinição de palavra-passe de autoatendimento (SSPR) da Microsoft Entra ID oferece uma forma simples para os administradores de tecnologia da informação permitirem que os utilizadores redefinam ou desbloqueiem as suas palavras-passe ou contas sem a intervenção da equipa de suporte técnico ou dos administradores. O sistema inclui relatórios detalhados que rastreiam quando os usuários redefinem suas senhas, juntamente com notificações para alertá-lo sobre uso indevido ou abuso.

Implementar grupo de autoatendimento e acesso a aplicativos

O Microsoft Entra ID pode permitir que não administradores gerem o acesso a recursos, utilizando grupos de segurança, grupos Microsoft 365, funções de aplicações e catálogos de pacotes de acesso. A gestão de grupos em modo automático permite que os proprietários de grupos gerenciem os seus próprios grupos, sem necessidade de atribuição de funções administrativas. Os utilizadores também podem criar e gerir grupos Microsoft 365 sem depender dos administradores para tratar dos seus pedidos, e os grupos não utilizados expiram automaticamente. Microsoft Entra gestão de habilitação reforça ainda mais a delegação e a visibilidade, proporcionando fluxos de trabalho abrangentes para pedidos de acesso e expiração automática. Pode delegar a não-administradores a possibilidade de configurar os seus próprios pacotes de acesso para grupos, Teams, aplicações e sites SharePoint Online que possuem, com políticas personalizadas sobre quem deve aprovar o acesso, incluindo a configuração dos gestores dos colaboradores e parceiros de negócio patrocinadores como aprovadores.

Implementar análises de acesso Microsoft Entra

Com as revisões de acesso Microsoft Entra, pode gerir a adesão a pacotes de acesso e a grupos, o acesso a aplicações empresariais, e as atribuições de funções privilegiadas para garantir que mantém um padrão de segurança. A supervisão regular pelos próprios usuários, proprietários de recursos e outros revisores garante que os usuários não mantenham o acesso por longos períodos de tempo quando não precisarem mais dele.

Implementar provisionamento automático de usuários

O provisionamento e o desprovisionamento são os processos que garantem a consistência das identidades digitais em vários sistemas. Esses processos geralmente são aplicados como parte de gestão do ciclo de vida de identidade.

O provisionamento é o processo de criação de uma identidade em um sistema de destino com base em determinadas condições. O desprovisionamento é o processo de remoção da identidade do sistema de destino, quando as condições deixam de ser cumpridas. A sincronização é o processo de manter o objeto provisionado, atualizado, para que o objeto de origem e o objeto de destino sejam semelhantes.

Atualmente, o Microsoft Entra ID oferece três áreas de provisionamento automatizado. Eles são:

  • Aprovisionamento a partir de um sistema de registo externo não diretório para o Microsoft Entra ID, via aprovisionamento orientado por Recursos Humanos.
  • Aprovisionamento do Microsoft Entra ID para aplicações, via Aprovisionamento de aplicações
  • Provisão entre Microsoft Entra ID e Active Directory Domain Services, via inter-directory provisioning

Saiba mais aqui: O que é o provisionamento com o Microsoft Entra ID?

Resumo

Há muitos aspetos em uma infraestrutura de identidade segura, mas esta lista de verificação de cinco etapas ajuda você a realizar rapidamente uma infraestrutura de identidade mais segura e protegida:

  • Fortaleça suas credenciais
  • Reduza a sua área de superfície de ataque
  • Automatize a resposta a ameaças
  • Utilize inteligência na nuvem
  • Habilite o autosserviço do usuário final

Agradecemos a seriedade com que leva a segurança e esperamos que este documento seja um roteiro útil para uma postura mais segura para a sua organização.

Próximos passos

Se precisar de ajuda para planear e implementar as recomendações, consulte o Microsoft Entra ID planos de implementação do projeto para obter ajuda.

Se estiver confiante de que todos estes passos estão concluídos, use o Identity Secure Score da Microsoft, que o mantém atualizado com as melhores práticas mais recentes e ameaças à segurança.

  • Last updated on