Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Antes que qualquer pessoa possa usar o Azure, ela precisa de uma identidade segura e bem gerenciada. A ID do Microsoft Entra é o backbone do gerenciamento de identidade e acesso no Azure. Este artigo orienta você pelas etapas essenciais para estabelecer uma base de identidade forte. Se você estiver configurando um novo locatário ou reforçando a segurança em um existente, essas práticas recomendadas ajudam você a proteger o acesso aos recursos de nuvem desde o primeiro dia.
Pré-requisito:Criar uma conta do Azure. Startups avaliam se você se qualifica para créditos do Azure.
Criar contas de usuário individuais
Cada pessoa que precisa de acesso ao Azure deve ter sua própria conta de usuário no Microsoft Entra. Essa configuração ajuda a garantir a responsabilidade e torna mais fácil controlar as alterações e impor políticas de segurança.
Adicione um domínio personalizado. Quando você cria um locatário do Microsoft Entra, ele vem com um domínio padrão (yourtenant.onmicrosoft.com). Quando você adiciona um domínio personalizado (por exemplo, contoso.com), os usuários podem entrar com nomes conhecidos como alex@contoso.com. Se você criar contas antes de adicionar o domínio personalizado, precisará atualizá-las mais tarde. Para obter etapas detalhadas, consulte Adicionar seu nome de domínio personalizado ao seu locatário no Microsoft Entra.
Crie uma conta exclusiva para cada usuário. Não permita contas compartilhadas. As contas compartilhadas dificultam o controle e a atribuição de responsabilidade pelas alterações. Para obter instruções, consulte Como criar, convidar e excluir usuários no Microsoft Entra.
Crie contas de acesso de emergência. Crie duas contas de acesso de emergência para garantir que você possa acessar seu locatário se os métodos normais de entrada falharem.
Atribuir funções de gerenciamento de identidade
O Microsoft Entra usa o RBAC (controle de acesso baseado em função) para atribuir funções a usuários, grupos atribuíveis a função ou entidades de serviço. Essas funções definem quais ações podem ser executadas no Microsoft Entra, No Centro de Administração do Microsoft 365, no Microsoft Defender, no Microsoft Purview e muito mais. Ele inclui a criação de contas, o gerenciamento de grupos e a configuração de políticas de segurança.
Use funções internas. A Microsoft fornece funções predefinidas para tarefas comuns. Cada função tem um conjunto específico de permissões. Por exemplo, a função Administrador de Usuário pode criar e gerenciar contas de usuário. Examine a lista de funções internas do Microsoft Entra e atribua apenas o que você precisa.
Atribua funções com base no privilégio mínimo. Dê aos usuários apenas as permissões necessárias para fazer seu trabalho. Se alguém não precisar gerenciar o Microsoft Entra, o Microsoft 365 Admin Center, o Microsoft Defender ou o Microsoft Purview, deixe-o como um usuário regular sem atribuições de função.
Use o acesso just-in-time. Se sua organização tiver uma licença para o PIM (Microsoft Entra Privileged Identity Management), você poderá permitir que os usuários ativem permissões elevadas somente quando necessário e por um tempo limitado. Essa configuração reduz o risco de ter muitos usuários com acesso de alto nível permanente.
Limitar o acesso à função de Administrador Global. A função de Administrador Global tem controle total sobre o tenant do Microsoft Entra. Não use essa função para tarefas diárias.
Examine as atribuições de função regularmente. Verifique quem tem funções atribuídas e remova as que não são mais necessárias. Você pode usar relatórios e alertas internos para ajudar a monitorar as alterações.
Para obter mais informações, consulte Práticas recomendadas das funções do Microsoft Entra.
Configurar a autenticação multifator
A MFA (autenticação multifator) ajuda a proteger sua organização contra credenciais comprometidas e acesso não autorizado.
Entenda os padrões de segurança. Os novos locatários do Microsoft Entra têm os padrões de segurança ativados automaticamente. Essas configurações exigem que todos os usuários se registrem para MFA, exijam que os administradores realizem MFA a cada entrada e exijam que os usuários finais realizem MFA quando necessário.
Use o Acesso Condicional para cenários avançados. Se sua organização precisar de mais flexibilidade, você poderá criar políticas de Acesso Condicional para impor a MFA apenas em situações específicas, como quando os usuários entrarem de locais desconhecidos. Os padrões de segurança e o Acesso Condicional não podem ser usados simultaneamente. Para habilitar o Acesso Condicional, primeiro desabilite os padrões de segurança e adquira uma licença premium. Consulte o login seguro do usuário com uma autenticação multifator do Microsoft Entra.