Gerenciamento de identidade e acesso da zona de aterrissagem

  • Artigo

Depois de identificar sua arquitetura de identidade, você precisa gerenciar a autorização e o acesso a recursos nas zonas de aterrissagem do aplicativo e da plataforma. Considere a quais recursos cada entidade autenticada tem acesso e precisa de acesso e como reduzir o risco de acesso não autorizado aos seus recursos. Para obter mais informações, consulte Design de arquitetura de identidade.

Visão geral

A área de design de gerenciamento de identidade e acesso fornece orientação para ajudá-lo a implementar o modelo de acesso corporativo no Azure e implementar e proteger planos de controle. Quando você incorpora o princípio de design da democratização da assinatura, sua equipe de aplicativos pode gerenciar suas próprias cargas de trabalho dentro dos guardrails de política definidos pela equipe da plataforma. Esta abordagem também segue o princípio da governação orientada por políticas.

A equipe da plataforma é responsável pelo provisionamento de novas zonas de aterrissagem de aplicativos ou assinaturas. Quando eles provisionam uma zona de aterrissagem para um proprietário de aplicativo, a equipe da plataforma deve configurá-la com os controles de acesso apropriados para que o proprietário do aplicativo possa gerenciar seus próprios recursos. O proprietário do aplicativo deve ser capaz de criar e gerenciar usuários e grupos no Microsoft Entra ID e atribuir funções a esses usuários e grupos. O proprietário do aplicativo pode gerenciar o acesso a seus próprios recursos e delegar acesso a outros usuários e grupos, conforme necessário. A zona de aterrissagem também deve ter conectividade de rede opcional com os Serviços de Domínio Active Directory (AD DS) ou os Serviços de Domínio Microsoft Entra na assinatura da plataforma de identidade da Microsoft, dependendo dos requisitos do aplicativo.

Use o RBAC (controle de acesso baseado em função) do Azure para gerenciar o acesso administrativo aos recursos do Azure. Considere se os usuários exigem permissões em um escopo restrito, como um Administrador para um único aplicativo, ou um escopo amplo, como um Administrador de Rede em várias cargas de trabalho de aplicativo. Em ambos os casos, siga o princípio de acesso apenas suficiente e certifique-se de que o usuário tenha apenas as funções necessárias para suas atividades normais. Use funções personalizadas e o Microsoft Entra Privileged Identity Management (PIM) quando necessário para impor o acesso just-in-time (JIT). Embora a equipe da plataforma seja responsável pela base de gerenciamento de identidade e acesso, as equipes de plataforma e aplicativo são consumidoras do serviço e devem seguir os mesmos princípios.

O gerenciamento de identidade e acesso é importante para a separação bem-sucedida de uma zona de aterrissagem de outra e o isolamento de cargas de trabalho dentro de uma organização. É uma área de projeto crítica para as zonas de pouso da plataforma e do aplicativo.

Se sua organização usa um processo de venda automática de assinatura, você pode automatizar muitas das configurações de identidade e acesso para zonas de aterrissagem de aplicativos. Implemente a venda automática de assinaturas para ajudar a padronizar a criação de zonas de aterrissagem e para que as equipes de aplicativos possam gerenciar seus próprios recursos.

Considerações sobre o design

Algumas organizações compartilham serviços entre vários aplicativos. Por exemplo, pode haver um serviço de integração centralizado usado por vários aplicativos independentes. Nesse cenário, considere quais serviços são gerenciados centralmente e quais são transferidos para equipes de aplicativos e entenda onde os limites de segurança precisam ser aplicados. Dar às equipes de aplicativos acesso administrativo ao serviço compartilhado pode ser útil para a produtividade do desenvolvedor, mas pode fornecer mais acesso do que o necessário.

O gerenciamento de recursos de aplicativos que não ultrapassam os limites de segurança pode ser delegado às equipes de aplicativos. Considere delegar outros aspectos necessários para manter a segurança e a conformidade também. Permitir que os usuários provisionem recursos em um ambiente gerenciado com segurança possibilita às organizações aproveitar a natureza ágil da nuvem e evitar a violação de qualquer segurança crítica ou limite de governança.

RBAC

Importante

Recursos clássicos e administradores clássicos estão se aposentando em 31 de agosto de 2024. Remova coadministradores desnecessários e use o RBAC do Azure para controle de acesso refinado.

Entenda a diferença entre as funções de ID do Microsoft Entra e as funções RBAC do Azure.

  • As funções de ID do Microsoft Entra controlam os privilégios administrativos para serviços em todo o locatário, como o Microsoft Entra ID, e outros serviços da Microsoft, incluindo Microsoft Teams, Microsoft Exchange Online e Microsoft Intune.

  • As funções RBAC do Azure controlam os privilégios administrativos para recursos do Azure, como máquinas virtuais, assinaturas e grupos de recursos.

  • As funções de Proprietário do RBAC do Azure e Administrador de Acesso de Usuário podem modificar as atribuições de função nos recursos do Azure. Por padrão, a função Administrador Global do Microsoft Entra não tem permissão para gerenciar o acesso aos recursos do Azure. Ele deve ser habilitado explicitamente. Para obter mais informações, confira Elevar o acesso para gerenciar todas as assinaturas e grupos de gerenciamento do Azure.

O diagrama a seguir mostra a relação entre as funções de ID do Microsoft Entra e as funções RBAC do Azure:

Diagram showing the relationship between Microsoft Entra ID and Azure RBAC roles.

  • Você pode criar grupos atribuíveis por função e atribuir funções do Microsoft Entra aos grupos se definir a isAssignableToRole propriedade como true. Somente grupos com esse conjunto de propriedades são protegidos. As únicas funções que podem modificar a associação de um grupo são Administradores Globais, Administradores de Função Privilegiada ou o proprietário do grupo.

  • Somente algumas funções podem redefinir as configurações de senha ou autenticação multifator (MFA) para outro administrador. Essa restrição impede que administradores não autorizados reconfigurem as credenciais de uma conta com privilégios mais altos para obter mais permissões.

  • Se as funções internas do Azure não atenderem às necessidades específicas de sua organização, você poderá criar funções personalizadas próprias. Assim como as funções internas, você pode atribuir funções personalizadas a usuários, grupos e entidades de serviço em escopos de locatário, grupo de gerenciamento, assinatura e grupo de recursos. Procure usar funções internas do Azure sempre que possível e crie funções personalizadas somente quando necessário.

  • Ao projetar sua estratégia de controle de acesso, conheça os limites de serviço para funções, atribuições de função e funções personalizadas.

  • Algumas funções RBAC do Azure dão suporte ao controle de acesso baseado em atributos (ABAC) ou a condições de atribuição de função. Quando você usa condições, os administradores podem atribuir funções dinamicamente com base nos atributos do recurso. Por exemplo, você pode atribuir a função de Colaborador de Dados de Blob de Armazenamento, mas somente para blobs que tenham uma marca de índice específica, em vez de todos os blobs em um contêiner.

Recomendações sobre design

Recomendações gerais

  • Aplique a autenticação multifator (MFA) do Microsoft Entra para usuários que têm direitos sobre o ambiente do Azure, incluindo a assinatura da plataforma, a assinatura do aplicativo e o locatário do Microsoft Entra ID. Muitas estruturas de conformidade exigem a aplicação da MFA. O MFA ajuda a reduzir o risco de roubo de credenciais e acesso não autorizado. Para impedir o acesso não autorizado a informações confidenciais, certifique-se de incluir usuários com funções de Leitor nas políticas de MFA.

  • Use as políticas de Acesso Condicional do Microsoft Entra para usuários que têm direitos sobre o ambiente do Azure. O Acesso Condicional é outro recurso que ajuda a proteger um ambiente controlado do Azure contra acesso não autorizado. Os administradores de aplicativos e plataformas devem ter políticas de Acesso Condicional que reflitam o perfil de risco de sua função. Por exemplo, você pode ter requisitos para realizar atividades administrativas somente de locais específicos ou estações de trabalho específicas. Ou a tolerância ao risco de entrada para usuários com acesso administrativo aos recursos do Azure pode ser menor do que para usuários padrão do Microsoft Entra ID.

  • Habilite o Microsoft Defender for Identity para ajudar a proteger identidades de usuário e credenciais de usuário seguras. O Defender for Identity faz parte do Microsoft Defender XDR. Você pode usar o Defender for Identity para identificar atividades suspeitas do usuário e obter cronogramas de incidentes. Você também pode usá-lo com o Acesso Condicional para negar tentativas de autenticação de alto risco. Implante os sensores do Defender for Identity em controladores de domínio locais e controladores de domínio na assinatura de identidade do Azure.

  • Use o Microsoft Sentinel para fornecer recursos de investigação e inteligência sobre ameaças. O Sentinel usa logs do Azure Monitor Logs, Microsoft Entra ID, Microsoft 365 e outros serviços para fornecer detecção, investigação e resposta proativas de ameaças.

  • Separe o acesso administrativo do acesso diário não administrativo, como navegação na Web e acesso a e-mails. Web e e-mail são vetores de ataque comuns. Quando uma conta de usuário é comprometida, é menos provável que resulte em uma violação de segurança se a conta não for usada para acesso administrativo.

    • Use contas separadas somente na nuvem para funções privilegiadas. Não use a mesma conta para uso diário que você faz para administração privilegiada. As funções privilegiadas Microsoft Entra ID e Azure RBAC são marcadas como PRIVILEGIADAS no portal do Azure e na documentação.

    • Para funções de função de trabalho não privilegiadas que podem gerenciar recursos de aplicativo do Azure, considere se você precisa de contas administrativas separadas ou se usa o Microsoft Entra PIM para controlar o acesso administrativo. O PIM garante que a conta tenha as permissões necessárias somente quando necessário e que as permissões sejam removidas quando a tarefa for concluída (também conhecido como acesso just-in-time).

  • Para tornar as atribuições de função mais gerenciáveis, não atribua funções diretamente aos usuários. Em vez disso, atribua funções a grupos para ajudar a minimizar o número de atribuições de função, que tem um limite para cada assinatura.

    • Use o Microsoft Entra PIM para grupos para aplicar controles de acesso administrativo just-in-time a usuários privilegiados. Considere controlar a associação ao grupo com o gerenciamento de direitos. Você pode usar o recurso de gerenciamento de direitos para adicionar fluxos de trabalho de aprovação e auditoria às operações de associação de grupo e ajudar a garantir que os membros do grupo administrativo não sejam adicionados ou removidos desnecessariamente.
    • Quando você concede acesso a recursos, use grupos somente do Microsoft Entra para recursos do plano de controle do Azure. Tanto os usuários e grupos somente Entra, quanto aqueles sincronizados no local usando o Microsoft Entra Connect, podem ser adicionados a um grupo somente Entra. Adicione grupos locais ao grupo somente do Microsoft Entra se um sistema de gerenciamento de grupo já estiver em vigor. O uso de grupos somente Entra ajuda a proteger o plano de controle da nuvem contra modificações não autorizadas de serviços de diretório locais. Observe que o Microsoft Entra-only também é conhecido como somente nuvem.

  • Crie contas de acesso de emergência, ou contas break-glass, para evitar ser bloqueado acidentalmente da sua organização do Microsoft Entra ID. As contas de acesso de emergência são altamente privilegiadas e são atribuídas apenas a indivíduos específicos. Armazene as credenciais das contas com segurança, monitore seu uso e teste-as regularmente para garantir que você possa usá-las se houver um desastre.

    Para obter mais informações, consulte Práticas de acesso seguro para administradores no Microsoft Entra ID.

Recomendações do Microsoft Entra ID

  • Integre a ID do Microsoft Entra com o Azure Monitor para que você possa analisar sua atividade de entrada e a trilha de auditoria de alterações em seu locatário. Defina uma configuração de diagnóstico para enviar logs de entrada e logs de auditoria para o espaço de trabalho de Logs do Azure Monitor central da plataforma na assinatura de gerenciamento.

  • Use o recurso de gerenciamento de direitos do Microsoft Entra ID Governance para criar pacotes de acesso que controlam a associação ao grupo por meio de processos de aprovação automática e revisões de acesso regulares para membros privilegiados do grupo.

  • Use as funções internas do Microsoft Entra para gerenciar as seguintes configurações de identidade a partir de um nível de locatário:

    Função Descrição Observação
    Administrador Global Gerencia todos os aspectos da ID do Microsoft Entra e dos serviços da Microsoft que usam identidades do Microsoft Entra. Não atribua mais de cinco pessoas a essa função.
    Administrador de Identidade Híbrida Gerencia o provisionamento de nuvem do Active Directory para o Microsoft Entra ID e também gerencia o Microsoft Entra Connect, a autenticação de passagem do Microsoft Entra, a sincronização de hash de senha do Microsoft Entra, o logon único contínuo (SSO) do Microsoft Entra e as configurações de federação.
    Administrador de Segurança Lê informações e relatórios de segurança e gerencia configurações no Microsoft Entra ID e no Microsoft 365.
    Administrador de Aplicativos Cria e gerencia todos os aspectos de registros de aplicativos e aplicativos corporativos. Não é possível conceder consentimento administrativo em todo o locatário.

  • Não atribua uma função com privilégios mais altos a uma tarefa que uma função com privilégios mais baixos possa fazer. Por exemplo, atribua a função Administrador de Usuário para gerenciar usuários, não a função Administrador Global. Para obter mais informações, consulte Permissões de funções internas do Microsoft Entra.

  • Use unidades administrativas para restringir um conjunto de administradores para que eles só possam gerenciar objetos específicos em seu locatário. Você pode usar unidades administrativas para delegar a administração de um subconjunto do diretório. Por exemplo, você pode delegar a administração de uma central de serviços a uma única unidade de negócios dentro de uma organização mais ampla.

    As unidades administrativas também podem ajudar a eliminar a necessidade de locatários separados do Microsoft Entra ID como um limite de segurança, em que equipes separadas gerenciam a plataforma Microsoft 365 e a plataforma Azure na mesma organização. Por exemplo, você pode usar unidades administrativas para delegar o gerenciamento de entidades de segurança de aplicativo do Azure à equipe de aplicativos sem conceder privilégios em todo o locatário da ID do Microsoft Entra.

  • Use unidades administrativas de gerenciamento restrito para fornecer proteção adicional. Impeça que qualquer pessoa que não seja um conjunto específico de administradores que você designar modifique objetos específicos. Por exemplo, suas políticas de separação de deveres podem exigir que você use esse recurso para impedir que qualquer pessoa modifique uma conta de usuário específica, mesmo usuários com a função Administrador de Usuário. Essa restrição é útil para contas de serviço que os aplicativos usam e que nem mesmo os administradores devem modificar. Você também pode impedir o escalonamento de privilégios, por exemplo, se alguém modificar uma conta de usuário ou grupo que tenha privilégios de administração de plataforma ou zona de aterrissagem.

Recomendações do RBAC do Azure

  • Para simplificar a administração e reduzir o risco de configuração incorreta, padronize funções e atribuições de função em todas as zonas de aterrissagem do aplicativo. Por exemplo, se você tiver uma função que delega usuários para gerenciar máquinas virtuais, use a mesma função em todas as zonas de aterrissagem do aplicativo. Essa abordagem também simplifica o processo de movimentação de recursos entre zonas de pouso.

  • Use o RBAC do Azure para gerenciar o acesso do plano de dados aos recursos se possível. Exemplos de pontos de extremidade do plano de dados são o Cofre de Chaves do Azure, uma conta de armazenamento ou um banco de dados SQL.

  • Verifique se os espaços de trabalho de Logs do Azure Monitor estão configurados com o modelo de permissão apropriado. Quando você usa um espaço de trabalho centralizado de Logs do Monitor do Azure, use permissões de recurso para garantir que as equipes de aplicativos tenham acesso a seus próprios logs, mas não aos logs de outras equipes.

Funções internas

  • Considere se as funções internas são adequadas às suas necessidades. Em muitos casos, você pode atribuir várias funções internas a um grupo de segurança para fornecer o acesso apropriado para um usuário. Mas, às vezes, você não pode usar funções internas e também cumprir com acesso de privilégios mínimos porque as funções podem incluir permissões que excedem o que seus usuários exigem. Para obter um controle mais granular, considere a criação de uma função personalizada que reflita as permissões específicas necessárias para executar uma função de trabalho. Para obter mais informações, consulte Fornecer autorização baseada em função.

  • Muitas funções internas do Azure fornecem atribuições de função predefinidas no nível da plataforma e do recurso. Ao combinar várias atribuições de função, considere os efeitos gerais.

  • O acelerador de zona de aterrissagem do Azure inclui várias funções personalizadas para funções administrativas comuns. Você pode usar essas funções junto com as funções internas do Azure. A tabela a seguir descreve as funções administrativas personalizadas ou áreas para o acelerador de zona de aterrissagem do Azure:

    Função ou área administrativa Descrição Ações NotActions
    Proprietário da Plataforma Azure (como a função Proprietário interna) Gerencia grupos de gerenciamento e ciclos de vida de assinatura *
    Proprietário da assinatura Função delegada para o proprietário da assinatura * Microsoft.Authorization/*/write, Microsoft.Network/vpnGateways/*,
    Microsoft.Network/expressRouteCircuits/*,
    Microsoft.Network/routeTables/write,
    Microsoft.Network/vpnSites/*
    Proprietário do aplicativo (DevOps, operações do aplicativo) Função de colaborador para o aplicativo ou equipe de operações no escopo da assinatura * Microsoft.Authorization/*/write, Microsoft.Network/publicIPAddresses/write,
    Microsoft.Network/virtualNetworks/write,
    Microsoft.KeyVault/locations/deletedVaults/purge/action
    Gerenciamento de Rede (NetOps) Gerencia a conectividade global em toda a plataforma, como redes virtuais, UDRs, NSGs, NVAs, VPNs, Azure ExpressRoute e outros */read,
    Microsoft.Network/*,
    Microsoft.Resources/deployments/*,
    Microsoft.Support/*
    Operações de segurança (SecOps) Função de Administrador de Segurança com uma exibição horizontal em todo o estado do Azure e a política de limpeza do Cofre de Chaves */read,
    */register/action,
    Microsoft.KeyVault/locations/deletedVaults/purge/action,
    Microsoft.PolicyInsights/*,
    Microsoft.Authorization/policyAssignments/*,
    Microsoft.Authorization/policyDefinitions/*,
    Microsoft.Authorization/policyExemptions/*,
    Microsoft.Authorization/policySetDefinitions/*,
    Microsoft.Insights/alertRules/*,
    Microsoft.Resources/deployments/*,
    Microsoft.Security/*,
    Microsoft.Support/*

    Essas funções podem precisar de direitos extras, dependendo do modelo de responsabilidade. Por exemplo, em algumas organizações, uma função NetOps pode precisar apenas gerenciar e configurar a conectividade global. Em organizações que precisam de uma abordagem mais centralizada, você pode enriquecer a função NetOps com ações mais permitidas, como criar emparelhamento entre hubs e seus spokes.

Atribuições e grupos de função

  • Quando a equipe da plataforma provisiona uma zona de aterrissagem do aplicativo, ela deve garantir que todos os objetos de gerenciamento de identidade e acesso necessários sejam criados, como grupos de segurança, atribuições de função padrão e identidades gerenciadas atribuídas pelo usuário.

  • Crie atribuições de função de zona de aterrissagem no escopo da assinatura ou do grupo de recursos. As atribuições da Política do Azure ocorrem no escopo do grupo de gerenciamento, portanto, você deve provisionar atribuições de função de zona de aterrissagem em um escopo menor. Use essa abordagem para garantir que os administradores da zona de aterrissagem tenham autonomia total sobre seus recursos, mas não possam modificar as atribuições da Política do Azure que regem sua zona de aterrissagem.

  • Cada zona de aterrissagem do aplicativo deve ter seus próprios grupos e atribuições de função. Não crie grupos genéricos e atribua-os a várias zonas de aterrissagem. Essa abordagem pode levar a erros de configuração e violações de segurança, além de ser difícil de gerenciar em escala. Se um usuário precisar de acesso a várias zonas de pouso, atribua-as aos grupos apropriados em cada zona de pouso. Use a Governança de ID para gerenciar sua associação ao grupo.

  • Atribua funções a grupos, não a usuários. Essa abordagem ajuda a garantir que os usuários tenham as permissões corretas quando ingressarem ou saírem da organização. Ele também ajuda a garantir que os usuários tenham as permissões corretas quando se movem entre equipes. Por exemplo, se um usuário passar da equipe de rede para a equipe de segurança, você deverá removê-lo do grupo de rede e adicioná-lo ao grupo de segurança. Se você atribuir uma função diretamente a um usuário, ele manterá a função depois de mudar para uma equipe diferente. Use a Governança de ID para gerenciar a associação ao grupo em vez de adicionar e remover manualmente os membros do grupo.

  • Mantenha configurações de segurança separadas para ambientes diferentes do mesmo aplicativo, como desenvolvimento/teste e produção. Crie grupos separados e atribuições de função para cada ambiente. Não compartilhe identidades gerenciadas ou entidades de serviço entre ambientes. Trate cada ambiente como uma zona de pouso separada. Essa abordagem ajuda a garantir o isolamento entre desenvolvimento/teste e produção e padroniza o processo de mover implantações de aplicativos entre ambientes. Se o mesmo indivíduo precisar de acesso a várias zonas de pouso, você deverá atribuí-las aos grupos apropriados em cada zona de pouso.

  • Considere se os administradores de plataforma exigem permissões nas zonas de aterrissagem do aplicativo. Em caso afirmativo, use o Microsoft Entra PIM para controlar o acesso a esses recursos e atribuir as permissões menos privilegiadas necessárias. Por exemplo, um administrador de plataforma pode exigir acesso a uma zona de aterrissagem de aplicativo específica para solucionar um problema, mas não deve ter acesso de rotina aos dados ou código do aplicativo. Nesse caso, o administrador da plataforma pode solicitar acesso ao aplicativo. Um administrador de função privilegiada aprova a solicitação e o administrador da plataforma recebe as permissões necessárias para o período de tempo especificado. Essa abordagem ajuda a impor a separação de tarefas e protege as zonas de aterrissagem de aplicativos contra configurações acidentais ou maliciosas.

  • Ao delegar a responsabilidade administrativa a outras pessoas, como equipes de aplicativos, considere se elas exigem o conjunto completo de privilégios ou apenas um subconjunto. Siga o princípio dos privilégios mínimos. Por exemplo, você pode atribuir as funções de Administrador de Acesso de Usuário ou Administrador RBAC a um usuário que precisa gerenciar o acesso aos recursos do Azure, mas não gerenciar os próprios recursos. Para restringir as identidades, os tipos de identidade e as funções às quais eles podem delegar e atribuir atribuições RBAC do Azure, use atribuições de função delegadas com condições. As condições permitem que as equipes de aplicativos gerenciem suas próprias entidades de segurança dentro das restrições definidas pela equipe da plataforma. Atribuições de função mais privilegiadas exigem escalonamento para a equipe da plataforma.

  • A tabela a seguir mostra um exemplo de estrutura de atribuição de função para um ambiente de zona de aterrissagem do Azure. Proporciona um equilíbrio entre segurança e facilidade de administração. Você pode adaptar a estrutura para atender aos requisitos da sua organização. Você pode atribuir o mesmo indivíduo a vários grupos, dependendo de sua função dentro da organização. Mas você deve aplicar as atribuições RBAC a um grupo específico dentro de uma zona de pouso específica.

    Recurso Usuário Atribuição de função Destino da atribuição Escopo de atribuição
    Zona de aterrissagem do aplicativo X Proprietários do aplicativo X Proprietário do aplicativo (personalizado, incluído no acelerador de zona de aterrissagem do Azure) Application X Admins grupo de segurança Assinaturas de produção e desenvolvimento/teste do Application X
    Zona de aterrissagem do aplicativo X Proprietários do aplicativo X Administrador de Acesso ao Aplicativo (personalizado, com condições de atribuição de função para gerenciar o acesso ao seu próprio aplicativo) Application X Admins grupo de segurança Assinaturas de produção e desenvolvimento/teste do Application X
    Zona de aterrissagem do aplicativo X Administrador de dados do Application X Administrador de dados (personalizado, com permissões sobre os recursos de dados necessários) Application X Data Team grupo de segurança Assinaturas de produção e desenvolvimento/teste do Application X
    Zona de aterragem do aplicativo Y Proprietários do aplicativo Y Proprietário do aplicativo (personalizado, incluído no acelerador de zona de aterrissagem do Azure) Application Y Admins grupo de segurança Produção do aplicativo Y e assinaturas de desenvolvimento/teste
    Zona de aterragem do aplicativo Y Equipe de testes do aplicativo Y Colaborador de teste (personalizado, com permissões necessárias para teste de aplicativo) Application Y Test Team grupo de segurança Assinatura de desenvolvimento/teste do aplicativo Y
    Área restrita Equipe de desenvolvimento da Aplicação Z Proprietário (interno) Application Z developers grupo de segurança Grupos de recursos do aplicativo Z na assinatura da área restrita
    Recursos da plataforma Equipe de gerenciamento de plataforma Colaborador (interno) Platform Admins Grupo PIM Platform Grupo de Gestão
    Zonas de aterragem da plataforma Equipe de gerenciamento de plataforma Leitor (interno) Platform Team grupo de segurança Grupo de gerenciamento de nível superior organizacional
    Em todo o locatário Equipe de segurança Operações de segurança (personalizadas, incluídas no acelerador de zona de aterrissagem do Azure) Security Ops grupo de segurança Grupo de gerenciamento de nível superior organizacional
    Em todo o locatário Equipe de segurança Administrador de Acesso Condicional (interno, com ações protegidas habilitadas) Security administrators grupo de segurança Locatários do Microsoft Entra ID
    Em todo o locatário Equipe de Rede Operações de Rede (Personalizadas, incluídas no acelerador de zona de aterrissagem do Azure) Network Ops grupo de segurança Todas as assinaturas
    Em todo o locatário Equipe FinOps Leitor de faturamento (integrado) FinOps Team grupo de segurança Grupo de gerenciamento de nível superior organizacional

  • As atribuições de Política do Azure com efeito DeployIfNotExistsexigem uma identidade gerenciada para corrigir recursos não compatíveis. Se você usar uma identidade gerenciada atribuída pelo sistema como parte do processo de atribuição da Política do Azure, o Azure concederá automaticamente as permissões necessárias. Se você usar uma identidade gerenciada atribuída pelo usuário, as permissões deverão ser concedidas manualmente. As atribuições de função de identidade gerenciada devem seguir o princípio de privilégio mínimo e permitir apenas as permissões necessárias para executar a correção de política no escopo de destino. As identidades gerenciadas de correção de política não oferecem suporte a definições de função personalizadas. Aplique atribuições de função diretamente a identidades gerenciadas, não a grupos.

Recomendações do Microsoft Entra PIM

  • Use o Microsoft Entra PIM para estar em conformidade com o modelo Zero Trust e acesso com privilégios mínimos. Correlacione as funções da sua organização com os níveis mínimos de acesso necessários. No Microsoft Entra PIM, você pode usar ferramentas nativas do Azure, estender ferramentas e processos existentes ou usar ferramentas existentes e nativas conforme necessário.

  • Use as revisões de acesso do Microsoft Entra PIM para validar regularmente os direitos de recurso. As revisões de acesso fazem parte de muitas estruturas de conformidade, portanto, muitas organizações já têm um processo de revisão de acesso em vigor.

  • Use identidades privilegiadas para runbooks de automação que exigem permissões de acesso elevado ou para pipelines de implantação privilegiados. Você pode usar as mesmas ferramentas e políticas para controlar fluxos de trabalho automatizados que acessam limites críticos de segurança que você usa para controlar usuários de privilégio equivalente. Os pipelines de automação e implantação para equipes de aplicativos devem ter atribuições de função que impeçam que um proprietário de aplicativo escale seus próprios privilégios.

  • Controle funções RBAC do Azure altamente privilegiadas, como Proprietários ou Administradores de Acesso de Usuário atribuídos a membros da equipe da zona de aterrissagem da plataforma ou do aplicativo em uma assinatura ou grupo de gerenciamento. Use o Microsoft Entra PIM para grupos para configurar funções RBAC do Azure para que exijam o mesmo processo de elevação que as funções de ID do Microsoft Entra.

    Por exemplo, um usuário pode exigir rotineiramente acesso administrativo limitado a recursos em uma zona de aterrissagem do aplicativo. Ocasionalmente, eles podem exigir a função Proprietário. Você pode criar dois grupos de segurança: Administradores de Aplicativos e Proprietários de Aplicativos. Atribua as funções de privilégios mínimos ao grupo Administradores de Aplicativos e atribua a função de proprietário à função Proprietários de Aplicativos. Use grupos PIM para que o usuário possa solicitar a função Proprietário quando necessário. Em todos os outros momentos, o usuário tem apenas as permissões necessárias para realizar suas atividades típicas.

  • Use ações protegidas com o Microsoft Entra PIM para adicionar camadas extras de proteção. Na ID do Microsoft Entra, as ações protegidas são permissões às quais são atribuídas diretivas de Acesso Condicional. Quando um usuário tenta executar uma ação protegida, ele deve primeiro satisfazer as políticas de Acesso Condicional atribuídas às permissões necessárias. Por exemplo, para permitir que os administradores atualizem as configurações de acesso entre locatários, você pode exigir que eles primeiro satisfaçam a política de MFA resistente a phishing.

Gerenciamento de identidade e acesso no acelerador de zona de destino do Azure

O gerenciamento de identidade e acesso são os principais recursos da implementação do acelerador de zona de aterrissagem do Azure. A implantação inclui uma assinatura dedicada à identidade, onde as organizações podem implantar controladores de domínio do AD DS ou outros serviços de identidade, como servidores do Microsoft Entra Connect, necessários para seu ambiente. Nem todas as organizações exigem serviços na assinatura. Por exemplo, algumas organizações podem ter aplicativos que já estão totalmente integrados ao Microsoft Entra ID.

A assinatura de identidade tem uma rede virtual que é emparelhada para a rede virtual de hub na assinatura da plataforma. Com essa configuração, a equipe da plataforma pode gerenciar a assinatura de identidade, e os proprietários do aplicativo têm acesso aos serviços de identidade, conforme necessário. Você deve proteger a assinatura de identidade e a rede virtual para proteger os serviços de identidade contra acesso não autorizado.

A implementação do acelerador de zona de aterrissagem do Azure também inclui opções para:

  • Atribuir políticas recomendadas para controlar a identidade e os controladores de domínio.
  • Criar uma rede virtual e conectá-la ao hub por meio do emparelhamento de rede virtual.

Próximas etapas

Gerenciamento de acesso e identidade de aplicativo