Visão geral da segurança de gerenciamento de identidades do Azure

O gerenciamento de identidade é o processo de autenticação e autorização de entidades de segurança. A ID do Microsoft Entra fornece gerenciamento abrangente de identidade e acesso para aplicativos e recursos em toda a sua organização. Este artigo aborda os principais recursos de gerenciamento de identidade do Azure que ajudam a proteger o acesso aos recursos.

Logon único

O SSO (logon único) permite que os usuários acessem vários aplicativos e recursos com uma única conta de usuário e senha. Os usuários entrarão uma vez e poderão acessar todos os aplicativos sem autenticação repetida. O Microsoft Entra ID dá suporte ao SSO para milhares de aplicativos SaaS e aplicativos Web locais.

O Microsoft Entra ID estende o Active Directory local para a nuvem, permitindo que os usuários façam login com sua conta organizacional em dispositivos ingressados no domínio, recursos da empresa e aplicativos integrados. O SSO reduz a fadiga de senha e melhora a segurança minimizando as credenciais expostas.

Saiba Mais:

• O que é logon único no Microsoft Entra ID?
• Planejar uma implantação de logon único

Autenticação multifator

A MFA (autenticação multifator) do Microsoft Entra adiciona uma segunda camada crítica de segurança, exigindo dois ou mais métodos de verificação. A MFA ajuda a proteger contra acesso não autorizado, mantendo uma experiência de entrada simples para os usuários.

Os métodos de verificação incluem:

• Aplicativo Microsoft Authenticator
• Windows Hello para Empresas
• chaves de segurança FIDO2
• Autenticação baseada em certificado
• Tokens OATH (hardware e software)
• SMS e chamada de voz

As licenças P1 e P2 do Microsoft Entra dão suporte a políticas de Acesso Condicional que impõem a MFA com base no contexto de usuário, local, dispositivo e aplicativo.

Saiba Mais:

• Como funciona a autenticação multifator do Microsoft Entra
• Planejar uma implantação de autenticação multifator do Microsoft Entra

Controle de acesso baseado em papéis do Azure

O RBAC (controle de acesso baseado em função) do Azure fornece gerenciamento de acesso refinado para recursos do Azure. Com o RBAC do Azure, você pode conceder aos usuários as permissões mínimas necessárias para executar seus trabalhos.

O RBAC do Azure inclui funções internas:

• Proprietário: acesso total a todos os recursos, incluindo o direito de delegar acesso
• Colaborador: criar e gerenciar todos os tipos de recursos do Azure, mas não pode conceder acesso
• Leitor: Exibir recursos existentes do Azure
• Administrador de Acesso do Usuário: Gerenciar o acesso do usuário aos recursos do Azure

Você também pode criar funções personalizadas adaptadas às suas necessidades específicas.

Saiba Mais:

• O que é o RBAC (controle de acesso baseado em função) do Azure?
• Funções internas do Azure
• Atribuir funções do Azure usando o portal do Azure

Proxy de Aplicativo

O proxy de aplicativo do Microsoft Entra permite acesso remoto seguro a aplicativos Web locais sem a necessidade de conexões VPN. O Proxy de Aplicações publica aplicativos como sites do SharePoint, Outlook Web App e aplicativos baseados em IIS a usuários externos, mantendo a segurança por meio da autenticação do Microsoft Entra ID e das Políticas de Acesso Condicional.

O Proxy de Aplicativo dá suporte ao SSO e pode se integrar aos métodos de autenticação locais existentes.

Saiba Mais:

• Visão geral do proxy de aplicativo do Microsoft Entra
• Publicar aplicativos locais com o proxy de aplicativo do Microsoft Entra

Privileged Identity Management

O PIM (Microsoft Entra Privileged Identity Management) ajuda você a gerenciar, controlar e monitorar o acesso privilegiado a recursos importantes. O PIM fornece acesso privilegiado no modelo just-in-time (JIT), reduzindo o risco de permissões excessivas ou desnecessárias.

Com o PIM, você poderá:

• Fornecer acesso com tempo limitado às funções do Azure e do Microsoft Entra
• Exigir aprovação para ativar funções com privilégios
• Impor a autenticação multifator para ativação de função
• Exigir justificativa para ativação de função
• Receber notificações para ativações de função com privilégios
• Realizar revisões de acesso para garantir que os usuários ainda precisem de funções privilegiadas
• Gerar relatórios de auditoria para conformidade

Saiba Mais:

• O que é o Microsoft Entra Privileged Identity Management?
• Planejar uma implantação do Privileged Identity Management

Identity Protection

O Microsoft Entra ID Protection detecta possíveis vulnerabilidades e atividades arriscadas que afetam as identidades da sua organização. Ele usa o aprendizado de máquina para identificar comportamentos anômalos de entrada e atividades do usuário.

O Identity Protection fornece:

• Acesso condicional baseado em risco: políticas que respondem a riscos detectados em tempo real
• Detecção de risco: identificação de atividades suspeitas, incluindo uso anônimo de endereço IP, viagens atípicas e endereços IP vinculados a malware
• Ferramentas de investigação: relatórios e dashboards para analisar riscos
• Correção automatizada: políticas baseadas em risco que podem exigir automaticamente alterações de senha ou bloquear o acesso

Saiba Mais:

• O que é o Microsoft Entra ID Protection?
• Investigar o risco com a Proteção de Identidade

Revisões de acesso do Microsoft Entra

As revisões de acesso do Microsoft Entra permitem um gerenciamento eficiente de associações de grupo, acesso a aplicativos empresariais e atribuições de função com privilégios. As revisões de acesso regular ajudam a garantir que os usuários tenham apenas o acesso necessário.

Suporte a revisões de acesso:

• Revisões automatizadas: revisões recorrentes agendadas com frequência personalizável
• Revisões delegadas: proprietários e gerentes de negócios podem examinar o acesso de suas equipes
• Autoateste: os usuários podem confirmar que ainda precisam de acesso
• Recomendações: o machine learning sugere quais usuários devem perder acesso com base na atividade de entrada
• Ações automatizadas: remover o acesso automaticamente quando as revisões forem concluídas

Saiba Mais:

• O que são as revisões de acesso do Microsoft Entra?
• Planejar a implantação de revisões de acesso do Microsoft Entra

Gerenciamento de identidade híbrida

Para organizações com o Active Directory local, a Microsoft fornece soluções de identidade híbrida para sincronizar identidades entre ambientes locais e de nuvem.

O Microsoft Entra Connect (modo de manutenção) sincroniza as identidades locais do AD DS com a ID do Microsoft Entra. Ele é executado em um servidor local e fornece:

• Sincronização de diretórios para usuários, grupos e contatos
• Sincronização de hash de senha ou autenticação de passagem
• Integração de federação com o AD FS
• Monitoramento da integridade

O Microsoft Entra Cloud Sync é a solução moderna de sincronização baseada em nuvem que usa agentes de provisionamento leves:

• Implantação simplificada com agentes leves
• Suporte para ambientes desconectados de várias florestas
• Alta disponibilidade com múltiplos agentes
• Configuração e gerenciamento baseados em nuvem

A Microsoft recomenda a Sincronização de Nuvem para novas implantações de identidade híbrida.

Saiba Mais:

• O que é o Microsoft Entra Cloud Sync?
• Escolher o cliente de sincronização correto para a ID do Microsoft Entra

Registro de dispositivos

O registro de dispositivo do Microsoft Entra permite políticas de Acesso Condicional baseadas em dispositivo. Os dispositivos registrados recebem uma identidade que autentica o dispositivo durante a entrada do usuário. Os atributos de dispositivo podem impor políticas de Acesso Condicional para aplicativos locais e de nuvem.

Quando combinados com soluções de MDM (gerenciamento de dispositivo móvel), como o Microsoft Intune, os atributos de dispositivo são enriquecidos com informações de configuração e conformidade. Isso permite regras de acesso condicional com base na postura de conformidade e segurança do dispositivo.

Saiba Mais:

• Planejar a implantação do seu dispositivo do Microsoft Entra
• Dispositivos ingressados do Microsoft Entra
• Dispositivos ingressados no Microsoft Entra híbrido

Identidades externas

A ID Externa do Microsoft Entra fornece gerenciamento de identidade para aplicativos voltados para o cliente e colaboração B2B. A ID externa dá suporte à inscrição do consumidor e à entrada com contas sociais (Facebook, Google, LinkedIn) ou credenciais baseadas em email.

Para colaboração B2B, a ID externa permite o compartilhamento seguro de aplicativos e recursos com parceiros externos, mantendo o controle sobre seus dados corporativos. Os usuários externos se autenticam com sua organização inicial ou provedores de identidade com suporte.

Saiba Mais:

• Visão geral da ID externa do Microsoft Entra
• Visão geral da colaboração B2B

Próximas etapas

• Práticas recomendadas e padrões de segurança do Azure
• Visão geral de segurança de rede
• Detecção e proteção contra ameaças
• Gerenciamento de chaves no Azure