Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve algumas das melhores práticas para usar o RBAC (controle de acesso baseado em função) do Microsoft Entra. Essas melhores práticas derivam da nossa experiência com o RBAC do Microsoft Entra e da experiência de clientes como você. Recomendamos que você leia também nossas diretrizes detalhadas de segurança para proteger o acesso privilegiado para implantações híbridas e na nuvem na ID do Microsoft Entra.
1. Aplicar o princípio de privilégios mínimos
Ao planejar sua estratégia de controle de acesso, a melhor prática é gerenciar com privilégios mínimos. Privilégios mínimos significa que você concede aos seus administradores exatamente a permissão de que eles precisam para realizar o trabalho. Há três aspectos a serem considerados quando você atribui uma função aos seus administradores: um conjunto específico de permissões, em um escopo específico, por um período específico. Evite atribuir funções mais amplas em escopos mais amplos, mesmo que, inicialmente, isso pareça mais prático. Ao limitar as funções e o escopo, você limita quais recursos estarão em risco se a entidade de segurança for comprometida. O Microsoft Entra RBAC dá suporte a mais de 65 funções internas. Há funções do Microsoft Entra para gerenciar objetos de diretório como usuários, grupos e aplicativos, além de gerenciar serviços do Microsoft 365 como o Exchange, o SharePoint e o Intune. Para entender melhor as funções internas do Microsoft Entra, consulte Entenda as funções na ID do Microsoft Entra. Se não houver uma função interna que atenda às suas necessidades, você poderá criar suas próprias funções personalizadas.
Localizar as funções corretas
Siga estas etapas para ajudá-lo a encontrar a função certa.
Navegue até
Entra ID Funções & administradores Todas as funções .Use o filtro serviço para restringir a lista de funções.
Consulte a documentação das funções integradas do Microsoft Entra. As permissões associadas a cada função são listadas juntas para melhor legibilidade. Para entender a estrutura e o significado das permissões de função, confira Como entender as permissões de função.
Consulte a documentação de Funções com Menos Privilégios por Tarefa.
2. Use o Privileged Identity Management para conceder acesso just-in-time
Um dos princípios de privilégios mínimos é que o acesso deve ser concedido apenas quando necessário. O PIM (Microsoft Entra Privileged Identity Management) permite que você conceda acesso just-in-time aos administradores. A Microsoft recomenda que você use o PIM no Microsoft Entra ID. Usando o PIM, um usuário pode se tornar qualificado para uma função do Microsoft Entra, em que ele pode ativar a função por um período limitado quando necessário. O acesso privilegiado é removido automaticamente quando o período expira. Você também pode definir as configurações de PIM para exigir aprovação, receber emails de notificação quando alguém ativar a atribuição de função ou outras configurações da função. As notificações fornecem um alerta antecipado quando novos usuários são adicionados às funções com altos privilégios. Para obter mais informações, veja Definir configurações de função do Microsoft Entra no Privileged Identity Management.
3. Ativar a autenticação multifator para todas as suas contas de administrador
Com base em nossos estudos, sua conta tem 99,9% menos chances de ser comprometida se você usar a MFA (autenticação multifator).
Você pode habilitar a MFA em funções do Microsoft Entra usando dois métodos:
- Configurações de função no Privileged Identity Management
- Acesso condicional
4. Configure revisões de acesso recorrentes para revogar permissões desnecessárias ao longo do tempo
As revisões de acesso permitem que as organizações analisem o acesso do administrador regularmente para garantir que apenas as pessoas certas tenham acesso contínuo. A auditoria regular de seus administradores é crucial devido aos seguintes motivos:
- Um ator mal-intencionado pode comprometer uma conta.
- As pessoas movem equipes dentro de uma empresa. Se não houver auditoria, eles poderão acumular acesso desnecessário ao longo do tempo.
A Microsoft recomenda que você use as revisões de acesso para encontrar e remover as atribuições de funções que não são mais necessárias. Isso ajuda a reduzir o risco de acessos não autorizados ou excessivos e manter seus padrões de conformidade.
Para obter informações sobre revisões de acesso para funções, consulte Criar uma revisão de acesso do recurso do Azure e das funções do Microsoft Entra no PIM. Para obter informações sobre revisões de acesso de grupos atribuídos a funções, consulte Criar uma revisão de acesso de grupos e aplicativos na ID do Microsoft Entra.
5. Limitar o número de administradores globais a menos de 5
Como prática recomendada, a Microsoft recomenda que você atribua a função de Administrador Global a menos de cinco pessoas em sua organização. Os administradores globais, essencialmente, têm acesso irrestrito, e é de seu interesse manter a superfície de ataque baixa. Conforme indicado anteriormente, todas essas contas devem ser protegidas com autenticação multifator.
Se você tiver 5 ou mais atribuições de função de Administrador Global com privilégios, um cartão de alerta de Administradores Globais será exibido na página Visão Geral do Microsoft Entra para ajudá-lo a monitorar atribuições de função de Administrador Global.
Por padrão, quando um usuário se inscreve em um serviço de nuvem da Microsoft, um locatário do Microsoft Entra é criado e o usuário recebe a função de Administradores globais. Os usuários atribuídos à função de Administrador global podem ler e modificar quase todas as configurações administrativa em sua organização do Microsoft Entra. Com algumas exceções, os administradores globais também podem ler e modificar todas as definições de configuração em sua organização do Microsoft 365. Os administradores globais também têm a capacidade de elevar o acesso para ler dados.
A Microsoft recomenda que as organizações tenham duas contas de acesso de emergência somente na nuvem atribuídas permanentemente à função de Administrador Global . Essas contas são altamente privilegiadas e não são atribuídas a indivíduos específicos. As contas são limitadas a cenários de emergência ou situações de "quebra de sigilo", em que contas normais não podem ser usadas ou todos os outros administradores são bloqueados acidentalmente. Essas contas devem ser criadas seguindo as recomendações da conta de acesso de emergência.
6. Limitar o número de atribuições de função com privilégios a menos de 10
Algumas funções incluem permissões com privilégios, como a capacidade de atualizar credenciais. Como essas funções podem potencialmente levar à elevação de privilégios, você deve limitar o uso dessas atribuições de função privilegiada a menos de 10 em sua organização. Se você exceder 10 atribuições de função com privilégios, um aviso será exibido na página Funções e administradores.
Você pode identificar funções, permissões e atribuições de função com privilégios procurando o rótulo PRIVILEGED . Para obter mais informações, consulte as funções e permissões com privilégios na ID do Microsoft Entra.
7. Usar grupos para atribuições de função do Microsoft Entra e delegar a atribuição de função
Se você tiver um sistema de governança externo que aproveita os grupos, deverá considerar atribuir funções aos grupos do Microsoft Entra, em vez de usuários individuais. Você também pode gerenciar grupos de função atribuíveis no PIM para garantir que não haja nenhum proprietário ou membro no local nesses grupos privilegiados. Para obter mais informações, consulte PiM (Privileged Identity Management) para Grupos.
Você pode atribuir um proprietário a grupos atribuíveis a funções. Esse proprietário decide quem é adicionado ou removido do grupo. De modo indireto, ele decide quem obtém a atribuição de função. Dessa forma, um Administrador de função com privilégios pode delegar o gerenciamento de funções por função usando grupos. Para obter mais informações, consulte Usar grupos do Microsoft Entra para gerenciar atribuições de função.
8. Ativar várias funções ao mesmo tempo usando o PIM para Grupos
Pode ser que um indivíduo tenha cinco ou seis atribuições elegíveis para funções do Microsoft Entra por meio do PIM. Será necessário ativar cada função individualmente, o que pode reduzir a produtividade. Pior ainda, eles também podem ter dezenas ou centenas de recursos do Azure atribuídos a eles, o que agrava o problema.
Nesse caso, você deve usar o PIM (Privileged Identity Management) para Grupos. Crie um PIM para Grupos e lhe conceda um acesso permanente a várias funções (Microsoft Entra ID e/ou Azure). Tornar esse usuário um membro qualificado ou proprietário do grupo. Com apenas uma ativação, eles terão acesso a todos os recursos vinculados.
9. Usar contas nativas de nuvem para funções do Microsoft Entra
Evite usar contas sincronizadas locais para atribuições de função do Microsoft Entra. Se a sua conta local for comprometida, ela também poderá comprometer seus recursos do Microsoft Entra.