Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Esta seção do guia de referência de operações do Microsoft Entra descreve as verificações e ações que você deve executar para otimizar as operações gerais da ID do Microsoft Entra.
Observação
Essas recomendações são atuais a partir da data de publicação, mas podem mudar ao longo do tempo. As organizações devem avaliar continuamente suas práticas operacionais à medida que os produtos e serviços da Microsoft evoluem ao longo do tempo.
Principais processos operacionais
Atribuir tarefas importantes aos proprietários
Gerenciar o Microsoft Entra ID exige a execução contínua de tarefas e processos operacionais importantes, que podem não fazer parte de um projeto de distribuição. Ainda é importante que você configure essas tarefas para otimizar seu ambiente. As principais tarefas e seus proprietários recomendados incluem:
| Tarefa | Proprietário |
|---|---|
| Promover melhorias na pontuação de segurança de identidade | Equipe de operações da InfoSec |
| Manter servidores do Microsoft Entra Connect | Equipe de operações do IAM |
| Executar e fazer triagem regularmente de relatórios IdFix | Equipe de operações do IAM |
| Gerenciar alertas de saúde do Microsoft Entra Connect para sincronização e AD FS | Equipe de operações do IAM |
| Se não estiver usando o Microsoft Entra Connect Health, o cliente terá ferramentas e processos equivalentes para monitorar a infraestrutura personalizada | Equipe de operações do IAM |
| Se não estiver usando o AD FS, o cliente terá ferramentas e processos equivalentes para monitorar a infraestrutura personalizada | Equipe de operações do IAM |
| Monitorar logs híbridos: conectores de rede privada do Microsoft Entra | Equipe de operações do IAM |
| Monitorar Logs Híbridos: Agentes de Autenticação por Passagem | Equipe de operações do IAM |
| Monitorar registros híbridos: serviço de retorno de escrita de senha | Equipe de operações do IAM |
| Monitorar logs híbridos: gateway de proteção por senha no local | Equipe de operações do IAM |
| Monitorar logs híbridos: Extensão NPS de autenticação multifator do Microsoft Entra (se aplicável) | Equipe de operações do IAM |
Ao examinar sua lista, você pode achar necessário atribuir um proprietário para tarefas que não têm um proprietário ou ajustar a propriedade para tarefas com proprietários que não estão de acordo com as recomendações acima.
Leitura recomendada para os proprietários
Gerenciamento híbrido
Versões recentes de componentes locais
Ter as versões mais atualizadas dos componentes locais garante ao cliente todas as atualizações de segurança, melhorias de desempenho e das funcionalidades mais recentes que podem ajudar a tornar ainda mais simples o ambiente. A maioria dos componentes tem uma configuração de atualização automática, que automatizará o processo de atualização.
Esses componentes incluem:
- Microsoft Entra Connect
- Conectores de rede privada do Microsoft Entra
- Agentes de autenticação por passagem do Microsoft Entra
- Agentes de Saúde do Microsoft Entra Connect
A menos que um tenha sido estabelecido, você deve definir um processo para atualizar esses componentes e contar com o recurso de atualização automática sempre que possível. Se você encontrar componentes com seis ou mais meses de atraso, será necessário atualizar o mais rápido possível.
Leitura recomendada do gerenciamento híbrido
- Microsoft Entra Connect: atualização automática
- Entender os conectores de rede privada do Microsoft Entra | Atualizações automáticas
Linha de base de alertas do Microsoft Entra Connect Health
As organizações devem implantar o Microsoft Entra Connect Health para monitoramento e relatório do Microsoft Entra Connect e do AD FS. O Microsoft Entra Connect e o AD FS são componentes críticos que podem interromper o gerenciamento e a autenticação do ciclo de vida e, portanto, levar a interrupções. O Microsoft Entra Connect Health ajuda a monitorar e obter insights sobre sua infraestrutura de identidade local, garantindo assim a confiabilidade do seu ambiente.
Ao monitorar a integridade do seu ambiente, você deve abordar imediatamente quaisquer alertas de alta gravidade, seguidos por alertas de gravidade mais baixos.
Leitura recomendada do Microsoft Entra Connect Health
Logs de agentes locais
Alguns serviços de gerenciamento de identidade e acesso exigem agentes locais para habilitar cenários híbridos. Os exemplos incluem redefinição de senha, PTA (autenticação de passagem), proxy de aplicativo do Microsoft Entra e extensão NPS de autenticação multifator do Microsoft Entra. É fundamental que a equipe de operações estabeleça a linha de base e monitore a integridade desses componentes, arquivando e analisando os logs dos agentes de componentes, sendo usado soluções como o System Center Operations Manager ou o SIEM. É igualmente importante que sua equipe ou suporte técnico do Infosec Operations entenda como solucionar problemas de padrões de erros.
Leitura recomendada de logs de agentes locais
- Solucionar problemas de Proxy de Aplicativo
- Solução de problemas de redefinição de senha de autoatendimento
- Entender os conectores de rede privada do Microsoft Entra
- Microsoft Entra Connect: solucionar problemas de Autenticação Pass-through
- Solucionar problemas de códigos de erro para a extensão NPS de autenticação multifator do Microsoft Entra
Gerenciamento de agentes locais
A adoção de práticas recomendadas pode ajudar na operação ideal de agentes locais. Considere as melhores práticas a seguir:
- Vários conectores de rede privada do Microsoft Entra por grupo de conectores são recomendados para fornecer balanceamento de carga contínuo e alta disponibilidade, evitando pontos únicos de falha ao acessar os aplicativos proxy. Se atualmente você tiver apenas um conector em um grupo de conectores que manipula aplicativos em produção, deverá implantar pelo menos dois conectores para redundância.
- Criar e usar um grupo de conectores de rede privado para fins de depuração pode ser útil para solucionar problemas de cenários e ao integrar novos aplicativos locais. Também recomendamos a instalação de ferramentas de rede, como o Analisador de Mensagens e o Fiddler nos computadores conectores.
- Vários agentes de autenticação de passagem são recomendados para fornecer balanceamento de carga contínuo e alta disponibilidade, evitando um único ponto de falha durante o fluxo de autenticação. Certifique-se de implantar pelo menos dois agentes de autenticação de passagem para garantir redundância.
Leitura recomendada para gerenciamento de agentes on-premises
- Entender os conectores de rede privada do Microsoft Entra
- Autenticação de passagem do Microsoft Entra – início rápido
Gerenciamento em escala
Pontuação da segurança de identidade
A pontuação de segurança de identidade fornece uma medida quantificável da postura de segurança da sua organização. É fundamental revisar e abordar constantemente os achados relatados e se esforçar para ter a pontuação mais alta possível. A classificação ajuda você a:
- Medir objetivamente a sua postura de segurança de identidade
- Planejar melhorias de segurança de identidade
- Examine o sucesso de suas melhorias
Se sua organização atualmente não tiver nenhum programa em vigor para monitorar as alterações na Pontuação de Segurança de Identidade, é recomendável implementar um plano e atribuir proprietários para monitorar e impulsionar ações de melhoria. As organizações devem corrigir ações de melhoria com um impacto de pontuação maior que 30 o mais rápido possível.
Notificações
A Microsoft envia comunicações por email aos administradores para notificar várias alterações no serviço, atualizações de configuração necessárias e erros que exigem intervenção do administrador. É importante que os clientes definam os endereços de email de notificação para que as notificações sejam enviadas aos membros da equipe adequados que possam reconhecer e agir em todas as notificações. Recomendamos que você adicione vários destinatários ao Centro de Mensagens e solicite que as notificações (incluindo notificações do Microsoft Entra Connect Health) sejam enviadas para uma lista de distribuição ou caixa de correio compartilhada. Se você tiver apenas uma conta de Administrador Global com um endereço de email, certifique-se de configurar pelo menos duas contas com capacidade para email.
Há dois endereços "De" usados pela ID do Microsoft Entra: o365mc@email2.microsoft.com, que envia notificações do Centro de Mensagens e azure-noreply@microsoft.com, que envia notificações relacionadas a:
- Revisões de acesso do Microsoft Entra
- Microsoft Entra Connect Health
- Microsoft Entra ID Protection
- Gerenciamento de identidade privilegiada do Microsoft Entra
- Notificações de certificado expirando do aplicativo empresarial
- Notificações do Serviço de Provisionamento de Aplicativos Corporativos
Consulte a tabela a seguir para saber o tipo de notificações enviadas e para onde verificá-las:
| Origem da notificação | O que é enviado | Onde verificar |
|---|---|---|
| Contato técnico | Erros de sincronização | Portal do Azure – painel de propriedades |
| Centro de Mensagens | Avisos de incidente e degradação dos Serviços de Identidade e serviços de back-end do Microsoft 365 | Portal do Office |
| Resumo Semanal da Proteção de Identidade | Resumo da Proteção de Identidade | Painel de Proteção de Identidade do Microsoft Entra |
| Integridade do Microsoft Entra Connect | Notificações de alerta | Portal do Azure – painel Microsoft Entra Connect Health |
| Notificações de aplicativos empresariais | Notificações quando os certificados estão prestes a expirar e erros de provisionamento | Portal do Azure – painel Aplicativo Empresarial (cada aplicativo tem sua própria configuração de endereço de email) |
Leitura recomendada de notificações
Área de superfície operacional
Bloqueio do AD FS
As organizações, que configuram aplicativos para autenticar diretamente no Microsoft Entra ID, se beneficiam do bloqueio inteligente do Microsoft Entra. Se você usar o AD FS no Windows Server 2012 R2, implemente a proteção de bloqueio de extranet do AD FS. Se você usar o AD FS no Windows Server 2016 ou posterior, implemente o bloqueio inteligente da extranet. No mínimo, recomendamos que você habilite o bloqueio de extranet para conter o risco de ataques de força bruta contra o Active Directory local. No entanto, se você tiver o AD FS no Windows 2016 ou superior, também deverá habilitar o bloqueio inteligente de extranet que ajudará a mitigar os ataques de pulverização de senha.
Se o AD FS for usado apenas para a federação do Microsoft Entra, há alguns pontos de extremidade que podem ser desativados para minimizar a superfície de ataque. Por exemplo, se o AD FS for usado apenas para Microsoft Entra ID, você deverá desabilitar pontos de extremidade WS-Trust diferentes dos habilitados para usernamemixed e windowstransport.
Acesso a computadores com componentes de identidade locais
As organizações devem bloquear o acesso aos computadores com componentes híbridos locais da mesma forma que seu domínio local. Por exemplo, um operador de backup ou administrador de Hyper-V não deve ser capaz de entrar no Microsoft Entra Connect Server para alterar as regras.
O modelo de camada administrativa do Active Directory foi projetado para proteger sistemas de identidade usando um conjunto de zonas de buffer entre o controle total do Ambiente (Camada 0) e os ativos de estação de trabalho de alto risco que os invasores com frequência comprometem.
O modelo de camada é composto por três níveis e inclui apenas contas administrativas, não contas de usuário padrão.
- Camada 0 – Controle direto de identidades empresariais no ambiente. A camada 0 inclui contas, grupos e outros ativos que têm controle administrativo direto ou indireto da floresta do Active Directory, domínios ou controladores de domínio e todos os ativos nela. A sensibilidade de segurança de todos os ativos de Camada 0 é equivalente, pois estão efetivamente em controle mútuo.
- Camada 1 – Controle de aplicativos e servidores empresariais. Os ativos de camada 1 incluem sistemas operacionais de servidor, serviços de nuvem e aplicativos empresariais. As contas de administrador de camada 1 têm controle administrativo de uma quantidade significativa de valor comercial hospedado nesses ativos. Uma função de exemplo comum são os administradores de servidor que mantêm esses sistemas operacionais com a capacidade de afetar todos os serviços empresariais.
- Camada 2 – Controle sobre estações de trabalho e dispositivos do usuário. As contas de administrador de camada 2 têm controle administrativo de uma quantidade significativa de valor comercial hospedado em estações de trabalho e dispositivos do usuário. Os exemplos incluem o Suporte técnico e os administradores de suporte ao computador, pois eles podem afetar a integridade de quase todos os dados do usuário.
Bloqueie o acesso a componentes de identidade locais, como o Microsoft Entra Connect, o AD FS e os serviços SQL da mesma maneira que você faz para controladores de domínio.
Resumo
Há sete aspectos para uma infraestrutura de Identidade segura. Essa lista ajudará você a encontrar as ações que você deve executar para otimizar as operações para a ID do Microsoft Entra.
- Atribua proprietários a tarefas importantes.
- Automatize o processo de atualização para componentes híbridos locais.
- Implante o Microsoft Entra Connect Health para monitoramento e relatórios do Microsoft Entra Connect e do AD FS.
- Monitore a integridade dos componentes híbridos locais arquivando e analisando os logs do agente de componentes usando o System Center Operations Manager ou uma solução SIEM.
- Implemente melhorias de segurança medindo sua postura de segurança com a Pontuação de Segurança de Identidade.
- Bloqueie o AD FS.
- Bloqueie o acesso a computadores com componentes de identidade locais.
Próximas etapas
Consulte os planos de implantação do Microsoft Entra para obter detalhes de implementação sobre os recursos que você não implantou.