Visão geral da segurança do gerenciamento de identidades do Azure

A gestão de identidades é o processo de autenticação e autorização de principais de segurança. O Microsoft Entra ID fornece gerenciamento abrangente de identidade e acesso para aplicativos e recursos em toda a sua organização. Este artigo aborda os principais recursos de gerenciamento de identidade do Azure que ajudam a proteger o acesso aos recursos.

Autenticação única

O logon único (SSO) permite que os usuários acessem vários aplicativos e recursos com uma única conta de usuário e senha. Os utilizadores iniciam sessão uma vez e podem aceder a todas as suas aplicações sem autenticação repetida. O Microsoft Entra ID suporta SSO para milhares de aplicativos SaaS e aplicativos Web locais.

O Microsoft Entra ID estende o Active Directory local para a nuvem, permitindo que os usuários iniciem sessão com a sua conta organizacional em dispositivos conectados ao domínio, recursos da empresa e aplicações integradas. O SSO reduz a fadiga da senha e melhora a segurança minimizando as credenciais expostas.

Saiba mais:

• O que é a autenticação única no Microsoft Entra ID?
• Planejar uma implantação de logon único

Autenticação com múltiplos fatores

A autenticação multifator (MFA) do Microsoft Entra adiciona uma segunda camada crítica de segurança, exigindo dois ou mais métodos de verificação. O MFA ajuda a proteger contra acesso não autorizado, mantendo uma experiência de entrada simples para os usuários.

Os métodos de verificação incluem:

• Aplicação Microsoft Authenticator
• Windows Hello para empresas
• chaves de segurança FIDO2
• Autenticação baseada em certificado
• Tokens OATH (hardware e software)
• SMS e chamada de voz

As licenças do Microsoft Entra ID P1 e P2 suportam políticas de Acesso Condicional que impõem MFA com base no contexto do usuário, local, dispositivo e aplicativo.

Saiba mais:

• Como funciona a autenticação multifator do Microsoft Entra
• Planear uma implementação de autenticação multifator do Microsoft Entra

Controle de acesso baseado em funções no Azure

O controle de acesso baseado em função do Azure (Azure RBAC) fornece gerenciamento de acesso refinado para recursos do Azure. Com o RBAC do Azure, você pode conceder aos usuários as permissões mínimas necessárias para executar seus trabalhos.

O RBAC do Azure inclui funções internas:

• Proprietário: Acesso total a todos os recursos, incluindo o direito de delegar acesso
• Colaborador: crie e gerencie todos os tipos de recursos do Azure, mas não pode conceder acesso
• Leitor: Exibir recursos existentes do Azure
• Administrador de Acesso de Usuário: Gerenciar o acesso do usuário aos recursos do Azure

Você também pode criar funções personalizadas adaptadas às suas necessidades específicas.

Saiba mais:

• O que é o controlo de acesso baseado em funções do Azure (Azure RBAC)?
• Funções incorporadas do Azure
• Atribuir funções do Azure usando o portal do Azure

Proxy de Aplicações

O proxy de aplicativo Microsoft Entra permite o acesso remoto seguro a aplicativos Web locais sem exigir conexões VPN. O Proxy de Aplicativo publica aplicativos como sites do SharePoint, Outlook Web App e aplicativos baseados no IIS para usuários externos, mantendo a segurança por meio da autenticação do Microsoft Entra ID e das políticas de Acesso Condicional.

O Proxy de Aplicativo suporta SSO e pode se integrar a métodos de autenticação locais existentes.

Saiba mais:

• Visão geral do proxy de aplicativo Microsoft Entra
• Publicar aplicativos locais com o proxy de aplicativo Microsoft Entra

Privileged Identity Management

O Microsoft Entra Privileged Identity Management (PIM) ajuda você a gerenciar, controlar e monitorar o acesso privilegiado a recursos importantes. O PIM oferece acesso privilegiado "just-in-time" (JIT), reduzindo o risco de ter permissões excessivas ou desnecessárias.

Com o PIM, pode:

• Fornecer acesso com limite de tempo às funções do Azure e do Microsoft Entra
• Exigir aprovação para ativar funções privilegiadas
• Implementar autenticação multifator para ativação de função
• Exigir justificativa para a ativação da função
• Receber notificações para ativações de função privilegiada
• Realizar revisões de acesso para garantir que os usuários ainda precisem de funções privilegiadas
• Gerar relatórios de auditoria para conformidade

Saiba mais:

• O que é o Microsoft Entra Privileged Identity Management?
• Planejar uma implantação do Privileged Identity Management

Proteção de identidade

A Proteção de ID do Microsoft Entra deteta potenciais vulnerabilidades e atividades de risco que afetam as identidades da sua organização. Ele usa aprendizado de máquina para identificar comportamentos anômalos de entrada e atividades do usuário.

A Proteção de Identidade fornece:

• Acesso condicional baseado em risco: políticas que respondem aos riscos detetados em tempo real
• Deteção de risco: Identificação de atividades suspeitas, incluindo uso anônimo de endereços IP, viagens atípicas e endereços IP vinculados a malware
• Ferramentas de investigação: Relatórios e dashboards para análise de riscos
• Correção automatizada: políticas baseadas em risco que podem exigir automaticamente alterações de senha ou bloquear o acesso

Saiba mais:

• O que é o Microsoft Entra ID Protection?
• Investigue o risco com a Proteção de Identidade

Análises de acesso do Microsoft Entra

As revisões de acesso do Microsoft Entra permitem o gerenciamento eficiente de associações de grupo, acesso a aplicativos corporativos e atribuições de funções privilegiadas. Revisões regulares de acesso ajudam a garantir que os usuários tenham apenas o acesso de que precisam.

Aceda ao suporte de avaliações:

• Revisões automatizadas: avaliações recorrentes agendadas com frequência personalizável
• Revisões delegadas: proprietários e gerentes de estabelecimentos podem revisar o acesso de suas equipes
• Auto-declaração: os utilizadores podem confirmar que ainda precisam de acesso
• Recomendações: o aprendizado de máquina sugere quais usuários devem perder o acesso com base na atividade de login
• Ações automatizadas: remova o acesso automaticamente quando as avaliações forem concluídas

Saiba mais:

• O que são revisões de acesso do Microsoft Entra?
• Planear uma implementação de revisões de acesso do Microsoft Entra

Gerenciamento de identidade híbrida

Para organizações com Ative Directory local, a Microsoft fornece soluções de identidade híbrida para sincronizar identidades entre ambientes locais e em nuvem.

O Microsoft Entra Connect (modo de manutenção) sincroniza identidades do AD DS local com o ID do Microsoft Entra. Ele é executado em um servidor local e fornece:

• Sincronização de diretórios para usuários, grupos e contatos
• Sincronização de hash de palavra-passe ou autenticação por passagem direta
• Integração de federação com o AD FS
• Monitorização de saúde

O Microsoft Entra Cloud Sync é a solução de sincronização moderna baseada na nuvem que usa agentes de provisionamento leves:

• Implantação simplificada com agentes leves
• Suporte para ambientes desconectados de várias florestas
• Alta disponibilidade com vários agentes
• Configuração e gerenciamento baseados em nuvem

A Microsoft recomenda o Cloud Sync para novas implantações de identidade híbrida.

Saiba mais:

• O que é o Microsoft Entra Cloud Sync?
• Escolha o cliente de sincronização certo para o Microsoft Entra ID

Registo de dispositivos

O registro de dispositivo do Microsoft Entra habilita políticas de Acesso Condicional baseadas em dispositivo. Os dispositivos registados recebem uma identidade que autentica o dispositivo durante o início de sessão do utilizador. Os atributos de dispositivo podem impor políticas de Acesso Condicional para aplicativos locais e na nuvem.

Quando combinados com soluções de gerenciamento de dispositivos móveis (MDM), como o Microsoft Intune, os atributos do dispositivo são enriquecidos com informações de configuração e conformidade. Isso permite regras de Acesso Condicional com base na segurança do dispositivo e na postura de conformidade.

Saiba mais:

• Planear a implementação de dispositivos do Microsoft Entra
• Dispositivos associados no Microsoft Entra
• Dispositivos vinculados híbridos do Microsoft Entra

Identidades externas

O Microsoft Entra External ID fornece gerenciamento de identidade para aplicativos voltados para o cliente e colaboração B2B. A ID externa suporta a inscrição e o login do consumidor com contas sociais (Facebook, Google, LinkedIn) ou credenciais baseadas em e-mail.

Para colaboração B2B, o ID Externo permite o compartilhamento seguro de aplicativos e recursos com parceiros externos, mantendo o controle sobre seus dados corporativos. Os utilizadores externos autenticam-se com a sua organização de origem ou com fornecedores de identidade suportados.

Saiba mais:

• Visão geral do Microsoft Entra External ID
• Visão geral da colaboração B2B

Próximos passos

• padrões e práticas recomendadas de segurança do Azure
• Visão geral da segurança de rede
• Deteção e proteção contra ameaças
• Gerenciamento de chaves no Azure