Gestão de Identidade Azure e controlo de segurança de acessos as melhores práticasAzure Identity Management and access control security best practices

Neste artigo, discutimos uma coleção de gestão de identidade Azure e controle de segurança de acessos as melhores práticas.In this article, we discuss a collection of Azure identity management and access control security best practices. Estas boas práticas derivam da nossa experiência com a Azure AD e das experiências de clientes como você.These best practices are derived from our experience with Azure AD and the experiences of customers like yourself.

Para cada boa prática, explicamos:For each best practice, we explain:

  • Qual é a melhor práticaWhat the best practice is
  • Por que quer permitir a melhor práticaWhy you want to enable that best practice
  • Qual pode ser o resultado se não conseguires permitir as melhores práticasWhat might be the result if you fail to enable the best practice
  • Possíveis alternativas às melhores práticasPossible alternatives to the best practice
  • Como pode aprender a permitir as melhores práticasHow you can learn to enable the best practice

Este artigo de gestão de identidade e controlo de acessos Azure baseia-se numa opinião consensual e nas capacidades e conjuntos de funcionalidades da plataforma Azure, tal como existem no momento em que este artigo foi escrito.This Azure identity management and access control security best practices article is based on a consensus opinion and Azure platform capabilities and feature sets, as they exist at the time this article was written.

A intenção de escrever este artigo é fornecer um roteiro geral para uma postura de segurança mais robusta após a implementação guiada pela nossa "5 passos para garantir a sua infraestrutura de identidade" lista de verificação, que o acompanha através de algumas das nossas principais funcionalidades e serviços.The intention in writing this article is to provide a general roadmap to a more robust security posture after deployment guided by our “5 steps to securing your identity infrastructure” checklist, which walks you through some of our core features and services.

As opiniões e as tecnologias mudam ao longo do tempo e este artigo será atualizado regularmente para refletir essas alterações.Opinions and technologies change over time and this article will be updated on a regular basis to reflect those changes.

As melhores práticas de segurança de gestão de identidade e acessos azure discutidas neste artigo incluem:Azure identity management and access control security best practices discussed in this article include:

  • Trate a identidade como o perímetro de segurança primárioTreat identity as the primary security perimeter
  • Centralizar a gestão de identidadesCentralize identity management
  • Gerir inquilinos conectadosManage connected tenants
  • Ativar um único sinalEnable single sign-on
  • Ligue o acesso condicionalTurn on Conditional Access
  • Plano para melhorias de segurança de rotinaPlan for routine security improvements
  • Ativar a gestão de palavras-passeEnable password management
  • Impor a verificação de vários fatores para os utilizadoresEnforce multi-factor verification for users
  • Utilizar o controlo de acesso baseado em funçõesUse role-based access control
  • Menor exposição de contas privilegiadasLower exposure of privileged accounts
  • Locais de controlo onde os recursos estão localizadosControl locations where resources are located
  • Utilize Azure AD para autenticação de armazenamentoUse Azure AD for storage authentication

Trate a identidade como o perímetro de segurança primárioTreat identity as the primary security perimeter

Muitos consideram a identidade o principal perímetro de segurança.Many consider identity to be the primary perimeter for security. Esta é uma mudança do foco tradicional na segurança da rede.This is a shift from the traditional focus on network security. Os perímetros da rede continuam a ficar mais porosos, e a defesa do perímetro não pode ser tão eficaz como era antes da explosão de dispositivos BYOD e aplicações em nuvem.Network perimeters keep getting more porous, and that perimeter defense can’t be as effective as it was before the explosion of BYOD devices and cloud applications.

O Azure Ative Directory (Azure AD) é a solução Azure para a gestão de identidade e acesso.Azure Active Directory (Azure AD) is the Azure solution for identity and access management. Azure AD é um serviço multitenante, baseado na nuvem e gestão de identidade da Microsoft.Azure AD is a multitenant, cloud-based directory and identity management service from Microsoft. Combina serviços de diretório base, gestão de acesso a aplicações e proteção de identidade numa única solução.It combines core directory services, application access management, and identity protection into a single solution.

As secções seguintes listam as melhores práticas para a segurança de identidade e acesso utilizando o Azure AD.The following sections list best practices for identity and access security using Azure AD.

Melhores práticas: Centros de controlos de segurança e deteções em torno das identidades do utilizador e do serviço.Best practice: Center security controls and detections around user and service identities. Detalhe: Utilize a Azure AD para colocar controlos e identidades.Detail: Use Azure AD to collocate controls and identities.

Centralizar a gestão de identidadesCentralize identity management

Num cenário de identidade híbrida recomendamos que integre os seus diretórios no local e em nuvem.In a hybrid identity scenario we recommend that you integrate your on-premises and cloud directories. A integração permite à sua equipa de TI gerir contas a partir de um local, independentemente do local onde uma conta é criada.Integration enables your IT team to manage accounts from one location, regardless of where an account is created. A integração também ajuda os seus utilizadores a serem mais produtivos, fornecendo uma identidade comum para aceder tanto a recursos na nuvem como no local.Integration also helps your users be more productive by providing a common identity for accessing both cloud and on-premises resources.

Melhores práticas: Estabeleça uma única instância AD Azure.Best practice: Establish a single Azure AD instance. A coerência e uma única fonte autoritária aumentarão a clareza e reduzirão os riscos de segurança resultantes de erros humanos e complexidade de configuração.Consistency and a single authoritative sources will increase clarity and reduce security risks from human errors and configuration complexity. Detalhe: Designar um único diretório AZure AD como fonte autoritária para contas corporativas e organizacionais.Detail: Designate a single Azure AD directory as the authoritative source for corporate and organizational accounts.

Melhores práticas: Integre os seus diretórios no local com a Azure AD.Best practice: Integrate your on-premises directories with Azure AD.
Detalhe: Utilize o Azure AD Connect para sincronizar o seu diretório no local com o seu diretório em nuvem.Detail: Use Azure AD Connect to synchronize your on-premises directory with your cloud directory.

Nota

Existem fatores que afetam o desempenho do Azure AD Connect.There are factors that affect the performance of Azure AD Connect. Certifique-se de que o Azure AD Connect tem capacidade suficiente para evitar que os sistemas de baixo desempenho impeçam a segurança e a produtividade.Ensure Azure AD Connect has enough capacity to keep underperforming systems from impeding security and productivity. As organizações grandes ou complexas (organizações que adempem mais de 100.000 objetos) devem seguir as recomendações para otimizar a sua implementação Azure AD Connect.Large or complex organizations (organizations provisioning more than 100,000 objects) should follow the recommendations to optimize their Azure AD Connect implementation.

Melhores práticas: Não sincronize as contas da AZure AD que têm privilégios elevados na sua instância de Ative Directory existente.Best practice: Don’t synchronize accounts to Azure AD that have high privileges in your existing Active Directory instance. Detalhe: Não altere a configuração padrão do Azure AD Connect que filtra estas contas.Detail: Don’t change the default Azure AD Connect configuration that filters out these accounts. Esta configuração atenua o risco de os adversários se dedicarem da nuvem aos ativos no local (o que pode criar um incidente grave).This configuration mitigates the risk of adversaries pivoting from cloud to on-premises assets (which could create a major incident).

Melhores práticas: Ligue a sincronização do hash da palavra-passe.Best practice: Turn on password hash synchronization.
Detalhe: A sincronização de hash de palavra-passe é uma funcionalidade usada para sincronizar as hashes da palavra-passe do utilizador de uma instância de Ative Directory no local para uma instância AD Azure baseada na nuvem.Detail: Password hash synchronization is a feature used to synch user password hashes from an on-premises Active Directory instance to a cloud-based Azure AD instance. Esta sincronização ajuda a proteger contra credenciais vazadas que são reproduzidas de ataques anteriores.This sync helps to protect against leaked credentials being replayed from previous attacks.

Mesmo que decida utilizar a federação com serviços da Federação de Diretórios Ativos (AD FS) ou outros fornecedores de identidade, pode configurar opcionalmente a sincronização de hash de palavra-passe como uma cópia de segurança caso os seus servidores no local falhem ou fiquem temporariamente indisponíveis.Even if you decide to use federation with Active Directory Federation Services (AD FS) or other identity providers, you can optionally set up password hash synchronization as a backup in case your on-premises servers fail or become temporarily unavailable. Esta sincronização permite que os utilizadores entrem no serviço utilizando a mesma palavra-passe que usam para iniciar sômposições no seu local de acesso ative.This sync enables users to sign in to the service by using the same password that they use to sign in to their on-premises Active Directory instance. Também permite que a Proteção de Identidade detete credenciais comprometidas comparando hashes de palavra-passe sincronizadas com palavras-passe conhecidas por estarem comprometidas, se um utilizador tiver usado o mesmo endereço de e-mail e palavra-passe em outros serviços que não estão ligados ao Azure AD.It also allows Identity Protection to detect compromised credentials by comparing synchronized password hashes with passwords known to be compromised, if a user has used the same email address and password on other services that aren't connected to Azure AD.

Para obter mais informações, consulte implementar a sincronização de hash de palavra-passe com a sincronização Azure AD Connect.For more information, see Implement password hash synchronization with Azure AD Connect sync.

Melhores práticas: Para o desenvolvimento de novas aplicações, utilize a Azure AD para autenticação.Best practice: For new application development, use Azure AD for authentication. Detalhe: Utilize as capacidades corretas para suportar a autenticação:Detail: Use the correct capabilities to support authentication:

  • Azure AD para funcionáriosAzure AD for employees
  • Azure AD B2B para utilizadores convidados e parceiros externosAzure AD B2B for guest users and external partners
  • Azure AD B2C para controlar a forma como os clientes se inscrevem, se inscrevem e gerem os seus perfis quando utilizam as suas aplicaçõesAzure AD B2C to control how customers sign up, sign in, and manage their profiles when they use your applications

As organizações que não integram a sua identidade no local com a sua identidade em nuvem podem ter mais despesas gerais na gestão de contas.Organizations that don’t integrate their on-premises identity with their cloud identity can have more overhead in managing accounts. Isto aumenta a probabilidade de erros e falhas de segurança.This overhead increases the likelihood of mistakes and security breaches.

Nota

Você precisa escolher em que diretórios contas críticas vão residir e se a estação de trabalho de administração usada é gerida por novos serviços na nuvem ou processos existentes.You need to choose which directories critical accounts will reside in and whether the admin workstation used is managed by new cloud services or existing processes. A utilização dos processos de gestão e de provisão de identidade existentes pode diminuir alguns riscos, mas também pode criar o risco de um intruso comprometer uma conta no local e apostar na nuvem.Using existing management and identity provisioning processes can decrease some risks but can also create the risk of an attacker compromising an on-premises account and pivoting to the cloud. Você pode querer usar uma estratégia diferente para diferentes funções (por exemplo, administradores de TI vs. administradores de unidades de negócio).You might want to use a different strategy for different roles (for example, IT admins vs. business unit admins). Tem duas opções.You have two options. A primeira opção é criar contas AD Azure que não estejam sincronizadas com a sua instância ative de diretório no local.First option is to create Azure AD Accounts that aren’t synchronized with your on-premises Active Directory instance. Junte-se à sua estação de trabalho de administração para Azure AD, que pode gerir e corrigir utilizando o Microsoft Intune.Join your admin workstation to Azure AD, which you can manage and patch by using Microsoft Intune. A segunda opção é utilizar as contas de administração existentes sincronizando-as no local da instância Ative Directory.Second option is to use existing admin accounts by synchronizing to your on-premises Active Directory instance. Utilize estações de trabalho existentes no seu domínio Ative Directory para gestão e segurança.Use existing workstations in your Active Directory domain for management and security.

Gerir inquilinos conectadosManage connected tenants

A sua organização de segurança precisa de visibilidade para avaliar o risco e determinar se as políticas da sua organização, e quaisquer requisitos regulamentares, estão a ser seguidos.Your security organization needs visibility to assess risk and to determine whether the policies of your organization, and any regulatory requirements, are being followed. Deve certificar-se de que a sua organização de segurança tem visibilidade em todas as subscrições ligadas ao seu ambiente de produção e rede (via Azure ExpressRoute ou VPN site-to-site).You should ensure that your security organization has visibility into all subscriptions connected to your production environment and network (via Azure ExpressRoute or site-to-site VPN). Um Administrador Global/Administrador da Empresa em Azure AD pode elevar o seu acesso à função de Administrador de Acesso ao Utilizador e ver todas as subscrições e grupos geridos ligados ao seu ambiente.A Global Administrator/Company Administrator in Azure AD can elevate their access to the User Access Administrator role and see all subscriptions and managed groups connected to your environment.

Consulte o acesso elevado para gerir todas as subscrições e grupos de gestão da Azure para garantir que você e o seu grupo de segurança podem ver todas as subscrições ou grupos de gestão ligados ao seu ambiente.See elevate access to manage all Azure subscriptions and management groups to ensure that you and your security group can view all subscriptions or management groups connected to your environment. Deve remover este acesso elevado depois de avaliar os riscos.You should remove this elevated access after you’ve assessed risks.

Ativar um único sinalEnable single sign-on

Num mundo móvel, primeiro em nuvem, pretende permitir um único sign-on (SSO) a dispositivos, apps e serviços de qualquer lugar para que os seus utilizadores possam ser produtivos onde e quando quiser.In a mobile-first, cloud-first world, you want to enable single sign-on (SSO) to devices, apps, and services from anywhere so your users can be productive wherever and whenever. Quando se tem múltiplas soluções de identidade para gerir, este torna-se um problema administrativo não só para TI mas também para utilizadores que têm de se lembrar de várias palavras-passe.When you have multiple identity solutions to manage, this becomes an administrative problem not only for IT but also for users who have to remember multiple passwords.

Ao utilizar a mesma solução de identidade para todas as suas apps e recursos, pode alcançar sSO.By using the same identity solution for all your apps and resources, you can achieve SSO. E os seus utilizadores podem usar o mesmo conjunto de credenciais para iniciar seduções e aceder aos recursos de que necessitam, quer os recursos estejam localizados no local ou na nuvem.And your users can use the same set of credentials to sign in and access the resources that they need, whether the resources are located on-premises or in the cloud.

Melhores práticas: Ativar sSO.Best practice: Enable SSO.
Detalhe: Azure AD estende-se no local Ative Directy para a nuvem.Detail: Azure AD extends on-premises Active Directory to the cloud. Os utilizadores podem usar o seu trabalho primário ou conta escolar para os seus dispositivos de domínio, recursos da empresa e todas as aplicações web e SaaS de que precisam para fazer o seu trabalho.Users can use their primary work or school account for their domain-joined devices, company resources, and all of the web and SaaS applications that they need to get their jobs done. Os utilizadores não têm de se lembrar de vários conjuntos de nomes de utilizador e palavras-passe, e o acesso à aplicação pode ser automaticamente aprovisionado (ou desprovisionado) com base nos membros do grupo de organização e no seu estatuto de funcionário.Users don’t have to remember multiple sets of usernames and passwords, and their application access can be automatically provisioned (or deprovisioned) based on their organization group memberships and their status as an employee. E também pode controlar esse acesso para aplicações da galeria ou para as suas próprias aplicações no local que tenha desenvolvido e publicado através do Proxy de Aplicações do AD.And you can control that access for gallery apps or for your own on-premises apps that you’ve developed and published through the Azure AD Application Proxy.

Utilize sSO para permitir que os utilizadores acedam às suas aplicações SaaS com base no seu trabalho ou na conta escolar em Azure AD.Use SSO to enable users to access their SaaS applications based on their work or school account in Azure AD. Isto aplica-se não só às aplicações da Microsoft SaaS, mas também a outras aplicações, como as Google Apps e Salesforce.This is applicable not only for Microsoft SaaS apps, but also other apps, such as Google Apps and Salesforce. Pode configurar a sua aplicação para utilizar o Azure AD como fornecedor de identidade baseado em SAML.You can configure your application to use Azure AD as a SAML-based identity provider. Como controlo de segurança, a Azure AD não emite um token que permita aos utilizadores iniciar súpite na aplicação, a menos que tenham tido acesso através do Azure AD.As a security control, Azure AD does not issue a token that allows users to sign in to the application unless they have been granted access through Azure AD. Pode conceder acesso diretamente, ou através de um grupo do que os utilizadores são membros.You can grant access directly, or through a group that users are a member of.

As organizações que não criam uma identidade comum para estabelecer SSO para os seus utilizadores e aplicações estão mais expostas a cenários onde os utilizadores têm várias palavras-passe.Organizations that don’t create a common identity to establish SSO for their users and applications are more exposed to scenarios where users have multiple passwords. Estes cenários aumentam a probabilidade de os utilizadores reutilizarem palavras-passe ou usarem senhas fracas.These scenarios increase the likelihood of users reusing passwords or using weak passwords.

Ligue o acesso condicionalTurn on Conditional Access

Os utilizadores podem aceder aos recursos da sua organização utilizando uma variedade de dispositivos e aplicações de qualquer lugar.Users can access your organization's resources by using a variety of devices and apps from anywhere. Como administrador de TI, pretende certificar-se de que estes dispositivos cumprem os seus padrões de segurança e conformidade.As an IT admin, you want to make sure that these devices meet your standards for security and compliance. Concentrar-me em quem pode aceder a um recurso já não é suficiente.Just focusing on who can access a resource is not sufficient anymore.

Para equilibrar a segurança e a produtividade, precisa pensar em como um recurso é acedido antes de poder tomar uma decisão sobre o controlo de acessos.To balance security and productivity, you need to think about how a resource is accessed before you can make a decision about access control. Com acesso condicional Azure AD, pode endereçar este requisito.With Azure AD Conditional Access, you can address this requirement. Com o Acesso Condicional, pode tomar decisões automatizadas de controlo de acesso com base em condições de acesso às suas aplicações na nuvem.With Conditional Access, you can make automated access control decisions based on conditions for accessing your cloud apps.

Melhores práticas: Gerir e controlar o acesso aos recursos corporativos.Best practice: Manage and control access to corporate resources.
Detalhe: Configurar políticas comuns de acesso condicionado Azure AD com base num grupo, localização e sensibilidade de aplicações para aplicações SaaS e aplicações ligadas a Azure.Detail: Configure common Azure AD Conditional Access policies based on a group, location, and application sensitivity for SaaS apps and Azure AD–connected apps.

Boas práticas: Bloqueie os protocolos de autenticação do legado.Best practice: Block legacy authentication protocols. Detalhe: Os atacantes exploram fraquezas em protocolos mais antigos todos os dias, especialmente para ataques de spray de palavras-passe.Detail: Attackers exploit weaknesses in older protocols every day, particularly for password spray attacks. Configure acesso condicional para bloquear protocolos legados.Configure Conditional Access to block legacy protocols.

Plano para melhorias de segurança de rotinaPlan for routine security improvements

A segurança está sempre a evoluir, e é importante construir no seu quadro de gestão de nuvens e identidade uma forma de mostrar regularmente crescimento e descobrir novas formas de proteger o seu ambiente.Security is always evolving, and it is important to build into your cloud and identity management framework a way to regularly show growth and discover new ways to secure your environment.

Identity Secure Score é um conjunto de controlos de segurança recomendados que a Microsoft publica que funciona para lhe fornecer uma pontuação numérica para medir objectivamente a sua postura de segurança e ajudar a planear futuras melhorias de segurança.Identity Secure Score is a set of recommended security controls that Microsoft publishes that works to provide you a numerical score to objectively measure your security posture and help plan future security improvements. Você também pode ver a sua pontuação em comparação com as de outras indústrias, bem como as suas próprias tendências ao longo do tempo.You can also view your score in comparison to those in other industries as well as your own trends over time.

Melhores práticas: Planeie revisões de segurança de rotina e melhorias baseadas nas melhores práticas da sua indústria.Best practice: Plan routine security reviews and improvements based on best practices in your industry. Detalhe: Utilize a função 'Pontuação Segura identidade' para classificar as suas melhorias ao longo do tempo.Detail: Use the Identity Secure Score feature to rank your improvements over time.

Ativar a gestão de palavras-passeEnable password management

Se tem vários inquilinos ou pretende permitir que os utilizadores repusem as suas próprias palavras-passe,é importante que utilize as políticas de segurança adequadas para evitar abusos.If you have multiple tenants or you want to enable users to reset their own passwords, it’s important that you use appropriate security policies to prevent abuse.

Melhores práticas: Configurar o reset da palavra-passe de autosserviço (SSPR) para os seus utilizadores.Best practice: Set up self-service password reset (SSPR) for your users.
Detalhe: Utilize a função de redefinição da palavra-passe de autosserviço Azure.Detail: Use the Azure AD self-service password reset feature.

Melhores práticas: Monitorize como ou se a SSPR está realmente a ser utilizada.Best practice: Monitor how or if SSPR is really being used.
Detalhe: Monitorize os utilizadores que se registam utilizando o relatório de Atividade de Registo de Redefinição de PasswordAzure AD .Detail: Monitor the users who are registering by using the Azure AD Password Reset Registration Activity report. A funcionalidade de reporte que a Azure AD fornece ajuda-o a responder a perguntas utilizando relatórios pré-construídos.The reporting feature that Azure AD provides helps you answer questions by using prebuilt reports. Se você estiver devidamente licenciado, também pode criar consultas personalizadas.If you're appropriately licensed, you can also create custom queries.

Melhores práticas: Alargar as políticas de senha baseadas em nuvem à sua infraestrutura no local.Best practice: Extend cloud-based password policies to your on-premises infrastructure. Detalhe: Melhore as políticas de palavra-passe na sua organização realizando as mesmas verificações para alterações de senha no local como faz para alterações de senha baseadas na nuvem.Detail: Enhance password policies in your organization by performing the same checks for on-premises password changes as you do for cloud-based password changes. Instale a proteção de senha AZure AD para agentes do Windows Server Ative Directory no local para estender as listas de senhas proibidas à sua infraestrutura existente.Install Azure AD password protection for Windows Server Active Directory agents on-premises to extend banned password lists to your existing infrastructure. Os utilizadores e administradores que alterem, decidem ou repõem palavras-passe no local são obrigados a cumprir a mesma política de palavra-passe que os utilizadores apenas na nuvem.Users and admins who change, set, or reset passwords on-premises are required to comply with the same password policy as cloud-only users.

Impor a verificação de vários fatores para os utilizadoresEnforce multi-factor verification for users

Recomendamos que necessite de uma verificação em duas etapas para todos os seus utilizadores.We recommend that you require two-step verification for all of your users. Isto inclui administradores e outros na sua organização que podem ter um impacto significativo se a sua conta estiver comprometida (por exemplo, gestores financeiros).This includes administrators and others in your organization who can have a significant impact if their account is compromised (for example, financial officers).

Existem várias opções para exigir uma verificação em duas etapas.There are multiple options for requiring two-step verification. A melhor opção para si depende dos seus objetivos, da edição AD AZure que está a executar e do seu programa de licenciamento.The best option for you depends on your goals, the Azure AD edition you’re running, and your licensing program. Veja como exigir uma verificação em duas etapas para que um utilizador determine a melhor opção para si.See How to require two-step verification for a user to determine the best option for you. Consulte as páginas de preços de autenticação multi-factor Azure Ad Azure Ad para obter mais informações sobre licenças e preços. See the Azure AD and Azure AD Multi-Factor Authentication pricing pages for more information about licenses and pricing.

Seguem-se opções e benefícios para permitir a verificação em duas etapas:Following are options and benefits for enabling two-step verification:

Opção 1: Ativar o MFA para todos os utilizadores e métodos de login com Azure AD Security Defaults Benefit : Esta opção permite-lhe aplicar facilmente e rapidamente o MFA para todos os utilizadores do seu ambiente com uma política rigorosa para:Option 1: Enable MFA for all users and login methods with Azure AD Security Defaults Benefit: This option enables you to easily and quickly enforce MFA for all users in your environment with a stringent policy to:

  • Contestar contas administrativas e mecanismos de início de símia administrativoChallenge administrative accounts and administrative logon mechanisms
  • Exigir desafio MFA através do Microsoft Authenticator para todos os utilizadoresRequire MFA challenge via Microsoft Authenticator for all users
  • Restringir os protocolos de autenticação do legado.Restrict legacy authentication protocols.

Este método está disponível para todos os níveis de licenciamento, mas não é capaz de ser misturado com as políticas de acesso condicional existentes.This method is available to all licensing tiers but is not able to be mixed with existing Conditional Access policies. Pode encontrar mais informações em Azure AD Security DefaultsYou can find more information in Azure AD Security Defaults

Opção 2: Ativar a autenticação multi-factor alterando o estado do utilizador.Option 2: Enable Multi-Factor Authentication by changing user state.
Benefício: Este é o método tradicional para exigir uma verificação em duas etapas.Benefit: This is the traditional method for requiring two-step verification. Funciona com a autenticação multi-factor Azure AD na nuvem e com o Azure Multi-Factor Authentication Server.It works with both Azure AD Multi-Factor Authentication in the cloud and Azure Multi-Factor Authentication Server. A utilização deste método requer que os utilizadores realizem a verificação em duas etapas sempre que assinam e substituem as políticas de Acesso Condicional.Using this method requires users to perform two-step verification every time they sign in and overrides Conditional Access policies.

Para determinar onde a autenticação multi-factor precisa de ser ativada, veja qual a versão do Azure AD MFA que é a certa para a minha organização?To determine where Multi-Factor Authentication needs to be enabled, see Which version of Azure AD MFA is right for my organization?.

Opção 3: Ativar a autenticação multi-factor com a política de acesso condicional.Option 3: Enable Multi-Factor Authentication with Conditional Access policy. Benefício: Esta opção permite-lhe solicitar a verificação em duas etapas em condições específicas utilizando o Acesso Condicional.Benefit: This option allows you to prompt for two-step verification under specific conditions by using Conditional Access. Condições específicas podem ser o pedido de saúde de diferentes locais, dispositivos não fidedqui latas ou aplicações que considere arriscadas.Specific conditions can be user sign-in from different locations, untrusted devices, or applications that you consider risky. Definir condições específicas onde necessita de uma verificação em duas etapas permite evitar solicitações constantes para os seus utilizadores, o que pode ser uma experiência desagradável do utilizador.Defining specific conditions where you require two-step verification enables you to avoid constant prompting for your users, which can be an unpleasant user experience.

Esta é a forma mais flexível de permitir uma verificação em duas etapas para os seus utilizadores.This is the most flexible way to enable two-step verification for your users. Permitir uma política de acesso condicional funciona apenas para autenticação multi-factor Azure AD na nuvem e é uma característica premium do Azure AD.Enabling a Conditional Access policy works only for Azure AD Multi-Factor Authentication in the cloud and is a premium feature of Azure AD. Pode encontrar mais informações sobre este método na Implementação de autenticação multi-factor Azure AD baseada na nuvem.You can find more information on this method in Deploy cloud-based Azure AD Multi-Factor Authentication.

Opção 4: Ativar a autenticação multi-factor com políticas de acesso condicional, avaliando as políticas de acesso condicional baseados no risco.Option 4: Enable Multi-Factor Authentication with Conditional Access policies by evaluating Risk-based Conditional Access policies.
Benefício: Esta opção permite-lhe:Benefit: This option enables you to:

  • Detete potenciais vulnerabilidades que afetam as identidades da sua organização.Detect potential vulnerabilities that affect your organization’s identities.
  • Configure respostas automatizadas para detetar ações suspeitas relacionadas com as identidades da sua organização.Configure automated responses to detected suspicious actions that are related to your organization’s identities.
  • Investigue incidentes suspeitos e tome as medidas apropriadas para resolvê-los.Investigate suspicious incidents and take appropriate action to resolve them.

Este método utiliza a avaliação do risco de proteção de identidade Azure AD para determinar se é necessária uma verificação em duas etapas com base no risco de acesso ao utilizador e ao risco de inscrição para todas as aplicações na nuvem.This method uses the Azure AD Identity Protection risk evaluation to determine if two-step verification is required based on user and sign-in risk for all cloud applications. Este método requer o licenciamento do Azure Ative Directory P2.This method requires Azure Active Directory P2 licensing. Pode encontrar mais informações sobre este método na Azure Ative Directory Identity Protection.You can find more information on this method in Azure Active Directory Identity Protection.

Nota

A opção 2, permitindo a autenticação multi-factor alterando o estado do utilizador, substitui as políticas de Acesso Condicional.Option 2, enabling Multi-Factor Authentication by changing the user state, overrides Conditional Access policies. Como as opções 3 e 4 utilizam as políticas de Acesso Condicional, não é possível utilizar a opção 2 com elas.Because options 3 and 4 use Conditional Access policies, you cannot use option 2 with them.

Organizações que não adicionam camadas extra de proteção de identidade, como a verificação em duas etapas, são mais suscetíveis para ataques de roubo credenciais.Organizations that don’t add extra layers of identity protection, such as two-step verification, are more susceptible for credential theft attack. Um ataque de roubo de credencial pode levar a um compromisso de dados.A credential theft attack can lead to data compromise.

Utilizar o controlo de acesso baseado em funçõesUse role-based access control

A gestão de acesso a recursos na nuvem é fundamental para qualquer organização que utilize a nuvem.Access management for cloud resources is critical for any organization that uses the cloud. O controlo de acesso baseado em funções (Azure RBAC) ajuda-o a gerir quem tem acesso aos recursos Azure, o que podem fazer com esses recursos e a que áreas têm acesso.Azure role-based access control (Azure RBAC) helps you manage who has access to Azure resources, what they can do with those resources, and what areas they have access to.

Designar grupos ou funções individuais responsáveis por funções específicas em Azure ajuda a evitar confusões que podem levar a erros humanos e de automação que criam riscos de segurança.Designating groups or individual roles responsible for specific functions in Azure helps avoid confusion that can lead to human and automation errors that create security risks. Restringir o acesso com base na necessidade de conhecer e menos privilégios princípios de segurança é imperativo para as organizações que querem impor políticas de segurança para o acesso aos dados.Restricting access based on the need to know and least privilege security principles is imperative for organizations that want to enforce security policies for data access.

A sua equipa de segurança precisa de visibilidade nos seus recursos Azure para avaliar e remediar o risco.Your security team needs visibility into your Azure resources in order to assess and remediate risk. Se a equipa de segurança tem responsabilidades operacionais, precisam de autorizações adicionais para fazer o seu trabalho.If the security team has operational responsibilities, they need additional permissions to do their jobs.

Pode utilizar o Azure RBAC para atribuir permissões a utilizadores, grupos e aplicações num determinado âmbito.You can use Azure RBAC to assign permissions to users, groups, and applications at a certain scope. O âmbito da atribuição de uma função pode ser uma subscrição, um grupo de recursos ou um único recurso.The scope of a role assignment can be a subscription, a resource group, or a single resource.

Boas práticas: Segregar os deveres dentro da sua equipa e conceder apenas a quantidade de acesso aos utilizadores de que necessitam para desempenharem os seus trabalhos.Best practice: Segregate duties within your team and grant only the amount of access to users that they need to perform their jobs. Em vez de dar a todos permissões ilimitadas na sua subscrição ou recursos Azure, permita apenas certas ações num determinado âmbito.Instead of giving everybody unrestricted permissions in your Azure subscription or resources, allow only certain actions at a particular scope. Detalhe: Utilize funções incorporadas em Azure para atribuir privilégios aos utilizadores.Detail: Use Azure built-in roles in Azure to assign privileges to users.

Nota

Permissões específicas criam complexidade e confusão não precisas, acumulando-se numa configuração "legado" que é difícil de corrigir sem medo de quebrar algo.Specific permissions create unneeded complexity and confusion, accumulating into a “legacy” configuration that’s difficult to fix without fear of breaking something. Evite permissões específicas de recursos.Avoid resource-specific permissions. Em vez disso, utilize grupos de gestão para permissões e grupos de recursos para permissões dentro das subscrições.Instead, use management groups for enterprise-wide permissions and resource groups for permissions within subscriptions. Evite permissões específicas do utilizador.Avoid user-specific permissions. Em vez disso, atribua acesso a grupos no Azure AD.Instead, assign access to groups in Azure AD.

Melhores práticas: Conceder às equipas de segurança com responsabilidades Azure o acesso a ver recursos Azure para que possam avaliar e remediar o risco.Best practice: Grant security teams with Azure responsibilities access to see Azure resources so they can assess and remediate risk. Detalhe: Conceder às equipas de segurança o papel de Leitor de Segurança Azure RBAC.Detail: Grant security teams the Azure RBAC Security Reader role. Pode utilizar o grupo de gestão de raízes ou o grupo de gestão de segmentos, dependendo do âmbito das responsabilidades:You can use the root management group or the segment management group, depending on the scope of responsibilities:

  • Grupo de gestão de raiz para equipas responsáveis por todos os recursos empresariaisRoot management group for teams responsible for all enterprise resources
  • Grupo de gestão de segmentos para equipas com âmbito limitado (geralmente devido a limites regulamentares ou outros limites organizacionais)Segment management group for teams with limited scope (commonly because of regulatory or other organizational boundaries)

Melhores práticas: Conceder as permissões adequadas às equipas de segurança que tenham responsabilidades operacionais diretas.Best practice: Grant the appropriate permissions to security teams that have direct operational responsibilities. Detalhe: Reveja as funções incorporadas do Azure para a atribuição de funções apropriadas.Detail: Review the Azure built-in roles for the appropriate role assignment. Se as funções incorporadas não corresponderem às necessidades específicas da sua organização, pode criar funções personalizadas Azure.If the built-in roles don't meet the specific needs of your organization, you can create Azure custom roles. Tal como acontece com as funções incorporadas, pode atribuir funções personalizadas aos utilizadores, grupos e principais de serviços nos âmbitos de subscrição, grupo de recursos e recursos.As with built-in roles, you can assign custom roles to users, groups, and service principals at subscription, resource group, and resource scopes.

Boas práticas: Grant Azure Security Center acesso a funções de segurança que precisam.Best practices: Grant Azure Security Center access to security roles that need it. O Centro de Segurança permite que as equipas de segurança identifiquem e remediam rapidamente os riscos.Security Center allows security teams to quickly identify and remediate risks. Detalhe: Adicione as equipas de segurança com estas necessidades ao papel de Administrador de Segurança da Azure RBAC para que possam ver políticas de segurança, ver estados de segurança, editar políticas de segurança, ver alertas e recomendações e rejeitar alertas e recomendações.Detail: Add security teams with these needs to the Azure RBAC Security Admin role so they can view security policies, view security states, edit security policies, view alerts and recommendations, and dismiss alerts and recommendations. Pode fazê-lo utilizando o grupo de gestão de raiz ou o grupo de gestão de segmentos, dependendo do âmbito das responsabilidades.You can do this by using the root management group or the segment management group, depending on the scope of responsibilities.

Organizações que não impõem o controlo do acesso a dados usando capacidades como o Azure RBAC podem estar a dar mais privilégios do que o necessário aos seus utilizadores.Organizations that don’t enforce data access control by using capabilities like Azure RBAC might be giving more privileges than necessary to their users. Isto pode levar a um compromisso de dados, permitindo que os utilizadores acedam a tipos de dados (por exemplo, impacto de alto negócio) que não deveriam ter.This can lead to data compromise by allowing users to access types of data (for example, high business impact) that they shouldn’t have.

Menor exposição de contas privilegiadasLower exposure of privileged accounts

Garantir o acesso privilegiado é um primeiro passo crítico para proteger os ativos empresariais.Securing privileged access is a critical first step to protecting business assets. Minimizar o número de pessoas que têm acesso a informações ou recursos seguros reduz a possibilidade de um utilizador malicioso ter acesso, ou de um utilizador autorizado afetar inadvertidamente um recurso sensível.Minimizing the number of people who have access to secure information or resources reduces the chance of a malicious user getting access, or an authorized user inadvertently affecting a sensitive resource.

As contas privilegiadas são contas que administram e gerem sistemas de TI.Privileged accounts are accounts that administer and manage IT systems. Os ciberataques têm como alvo estas contas para ter acesso aos dados e sistemas de uma organização.Cyber attackers target these accounts to gain access to an organization’s data and systems. Para garantir um acesso privilegiado, deverá isolar as contas e sistemas do risco de serem expostos a um utilizador malicioso.To secure privileged access, you should isolate the accounts and systems from the risk of being exposed to a malicious user.

Recomendamos que desenvolva e siga um roteiro para garantir o acesso privilegiado contra os ciberataques.We recommend that you develop and follow a roadmap to secure privileged access against cyber attackers. Para obter informações sobre a criação de um roteiro detalhado para garantir identidades e acessos geridos ou relatados em Azure AD, Microsoft Azure, Microsoft 365 e outros serviços na nuvem, reveja a garantia de acesso privilegiado para implementações híbridas e em nuvem em Azure AD.For information about creating a detailed roadmap to secure identities and access that are managed or reported in Azure AD, Microsoft Azure, Microsoft 365, and other cloud services, review Securing privileged access for hybrid and cloud deployments in Azure AD.

O seguinte resume as melhores práticas encontradas na garantia de acesso privilegiado para implantações híbridas e em nuvem em Azure AD:The following summarizes the best practices found in Securing privileged access for hybrid and cloud deployments in Azure AD:

Melhores práticas: Gerir, controlar e monitorizar o acesso a contas privilegiadas.Best practice: Manage, control, and monitor access to privileged accounts.
Detalhe: Ligue a Azure AD Gestão de Identidade Privilegiada.Detail: Turn on Azure AD Privileged Identity Management. Depois de ligar a Gestão de Identidade Privilegiada, receberá mensagens de correio de notificação para alterações privilegiadas na função de acesso.After you turn on Privileged Identity Management, you’ll receive notification email messages for privileged access role changes. Estas notificações fornecem um alerta precoce quando utilizadores adicionais são adicionados a funções altamente privilegiadas no seu diretório.These notifications provide early warning when additional users are added to highly privileged roles in your directory.

Melhores práticas: Certifique-se de que todas as contas de administração crítica são geridas contas AZure AD.Best practice: Ensure all critical admin accounts are managed Azure AD accounts. Detalhe: Remova quaisquer contas de consumidores de funções de administração crítica (por exemplo, contas da Microsoft como hotmail.com, live.com e outlook.com).Detail: Remove any consumer accounts from critical admin roles (for example, Microsoft accounts like hotmail.com, live.com, and outlook.com).

Boas práticas: Garantir que todas as funções de administração crítica têm uma conta separada para tarefas administrativas, a fim de evitar phishing e outros ataques para comprometer privilégios administrativos.Best practice: Ensure all critical admin roles have a separate account for administrative tasks in order to avoid phishing and other attacks to compromise administrative privileges. Detalhe: Criar uma conta de administração separada que tenha atribuído os privilégios necessários para executar as tarefas administrativas.Detail: Create a separate admin account that’s assigned the privileges needed to perform the administrative tasks. Bloqueie a utilização destas contas administrativas para ferramentas diárias de produtividade como o e-mail microsoft 365 ou a navegação arbitrária na Web.Block the use of these administrative accounts for daily productivity tools like Microsoft 365 email or arbitrary web browsing.

Melhores práticas: Identifique e categorize contas que se encontram em funções altamente privilegiadas.Best practice: Identify and categorize accounts that are in highly privileged roles.
Detalhe: Depois de ligar a Azure AD Privileged Identity Management, consulte os utilizadores que estão no administrador global, administrador privilegiado e outras funções altamente privilegiadas.Detail: After turning on Azure AD Privileged Identity Management, view the users who are in the global administrator, privileged role administrator, and other highly privileged roles. Remova quaisquer contas que já não sejam necessárias nessas funções, e categorize as restantes contas que são atribuídas a funções de administrador:Remove any accounts that are no longer needed in those roles, and categorize the remaining accounts that are assigned to admin roles:

  • Individualmente atribuído a utilizadores administrativos, e pode ser utilizado para fins não administrativos (por exemplo, e-mail pessoal)Individually assigned to administrative users, and can be used for non-administrative purposes (for example, personal email)
  • Individualmente atribuído a utilizadores administrativos e designado apenas para fins administrativosIndividually assigned to administrative users and designated for administrative purposes only
  • Partilhado em vários utilizadoresShared across multiple users
  • Para cenários de acesso de emergênciaFor emergency access scenarios
  • Para scripts automatizadosFor automated scripts
  • Para utilizadores externosFor external users

Melhores práticas: Implementar o acesso "just in time" (JIT) para reduzir ainda mais o tempo de exposição dos privilégios e aumentar a sua visibilidade na utilização de contas privilegiadas.Best practice: Implement “just in time” (JIT) access to further lower the exposure time of privileges and increase your visibility into the use of privileged accounts.
Detalhe: Azure AD Gestão de Identidade Privilegiada permite-lhe:Detail: Azure AD Privileged Identity Management lets you:

  • Limitar os utilizadores a assumirem apenas os seus privilégios JIT.Limit users to only taking on their privileges JIT.
  • Atribua funções por uma duração reduzida com confiança de que os privilégios são revogados automaticamente.Assign roles for a shortened duration with confidence that the privileges are revoked automatically.

Melhores práticas: Defina pelo menos duas contas de acesso de emergência.Best practice: Define at least two emergency access accounts.
Detalhe: As contas de acesso de emergência ajudam as organizações a restringir o acesso privilegiado num ambiente existente do Azure Ative Directory.Detail: Emergency access accounts help organizations restrict privileged access in an existing Azure Active Directory environment. Estas contas são altamente privilegiadas e não são atribuídas a indivíduos específicos.These accounts are highly privileged and are not assigned to specific individuals. As contas de acesso de emergência limitam-se a cenários em que as contas administrativas normais não podem ser utilizadas.Emergency access accounts are limited to scenarios where normal administrative accounts can’t be used. As organizações devem limitar o uso da conta de emergência apenas ao tempo necessário.Organizations must limit the emergency account's usage to only the necessary amount of time.

Avaliar as contas que são atribuídas ou elegíveis para o papel de administrador global.Evaluate the accounts that are assigned or eligible for the global admin role. Se não vir contas apenas na nuvem utilizando o domínio (destinado a *.onmicrosoft.com acesso de emergência), crie-as.If you don’t see any cloud-only accounts by using the *.onmicrosoft.com domain (intended for emergency access), create them. Para obter mais informações, consulte gerir as contas administrativas de acesso de emergência em Azure AD.For more information, see Managing emergency access administrative accounts in Azure AD.

Melhores práticas: Tenha um processo de "break glass" em caso de emergência.Best practice: Have a “break glass" process in place in case of an emergency. Detalhe: Siga os passos na garantia de acesso privilegiado para implantações híbridas e em nuvem em Azure AD.Detail: Follow the steps in Securing privileged access for hybrid and cloud deployments in Azure AD.

Melhores práticas: Exigir que todas as contas de administração críticas sejam sem palavra-passe (preferencial) ou exijam autenticação multi-factor.Best practice: Require all critical admin accounts to be password-less (preferred), or require Multi-Factor Authentication. Detalhe: Utilize a aplicação Microsoft Authenticator para iniciar serção em qualquer conta AD Azure sem utilizar uma palavra-passe.Detail: Use the Microsoft Authenticator app to sign in to any Azure AD account without using a password. Tal como o Windows Hello for Business,o Microsoft Authenticator utiliza a autenticação baseada em chaves para permitir uma credencial do utilizador que está ligada a um dispositivo e utiliza a autenticação biométrica ou um PIN.Like Windows Hello for Business, the Microsoft Authenticator uses key-based authentication to enable a user credential that’s tied to a device and uses biometric authentication or a PIN.

Exigir autenticação multi-factor Azure AD no início de sessão para todos os utilizadores individuais que estejam permanentemente atribuídos a uma ou mais funções de administração Admin da Azure: Administrador Global, Administrador de Função Privilegiada, Administrador Online de Intercâmbio e Administrador Online do SharePoint.Require Azure AD Multi-Factor Authentication at sign-in for all individual users who are permanently assigned to one or more of the Azure AD admin roles: Global Administrator, Privileged Role Administrator, Exchange Online Administrator, and SharePoint Online Administrator. Ativar a autenticação multi-factor para as suas contas de administração e garantir que os utilizadores de conta administração se registaram.Enable Multi-Factor Authentication for your admin accounts and ensure that admin account users have registered.

Melhores práticas: Para contas de administração crítica, tenha uma estação de trabalho de administração onde não são permitidas tarefas de produção (por exemplo, navegação e e-mail).Best practice: For critical admin accounts, have an admin workstation where production tasks aren’t allowed (for example, browsing and email). Isto irá proteger as suas contas de administração de vetores de ataque que usam navegação e e-mail e reduzir significativamente o risco de um incidente grave.This will protect your admin accounts from attack vectors that use browsing and email and significantly lower your risk of a major incident. Detalhe: Utilize uma estação de trabalho de administração.Detail: Use an admin workstation. Escolha um nível de segurança da estação de trabalho:Choose a level of workstation security:

  • Dispositivos de produtividade altamente seguros proporcionam segurança avançada para a navegação e outras tarefas de produtividade.Highly secure productivity devices provide advanced security for browsing and other productivity tasks.
  • As Estações de Trabalho de Acesso Privilegiadas (PAWs) fornecem um sistema operativo dedicado que está protegido contra ataques de internet e vetores de ameaças para tarefas sensíveis.Privileged Access Workstations (PAWs) provide a dedicated operating system that’s protected from internet attacks and threat vectors for sensitive tasks.

Melhores práticas: Deprovision contas de administração quando os colaboradores deixam a sua organização.Best practice: Deprovision admin accounts when employees leave your organization. Detalhe: Tenha em prática um processo que desativa ou elimina contas de administração quando os colaboradores deixam a sua organização.Detail: Have a process in place that disables or deletes admin accounts when employees leave your organization.

Melhores práticas: Teste regularmente as contas de administração utilizando as técnicas de ataque atuais.Best practice: Regularly test admin accounts by using current attack techniques. Detalhe: Utilize o Microsoft 365 Attack Simulator ou uma oferta de terceiros para executar cenários de ataque realistas na sua organização.Detail: Use Microsoft 365 Attack Simulator or a third-party offering to run realistic attack scenarios in your organization. Isto pode ajudá-lo a encontrar utilizadores vulneráveis antes que ocorra um ataque real.This can help you find vulnerable users before a real attack occurs.

Melhores práticas: Tome medidas para mitigar as técnicas atacadas mais utilizadas.Best practice: Take steps to mitigate the most frequently used attacked techniques.
Detalhe: Identifique as contas da Microsoft em funções administrativas que precisam de ser mudadas para contas de trabalho ou escolasDetail: Identify Microsoft accounts in administrative roles that need to be switched to work or school accounts

Garantir contas de utilizador separadas e encaminhamento de correio para contas de administrador globalEnsure separate user accounts and mail forwarding for global administrator accounts

Certifique-se de que as palavras-passe das contas administrativas mudaram recentementeEnsure that the passwords of administrative accounts have recently changed

Ligue a sincronização do hash da palavra-passeTurn on password hash synchronization

Requerem autenticação multi-factor para os utilizadores em todas as funções privilegiadas, bem como utilizadores expostosRequire Multi-Factor Authentication for users in all privileged roles as well as exposed users

Obtenha a sua Microsoft 365 Secure Score (se utilizar o Microsoft 365)Obtain your Microsoft 365 Secure Score (if using Microsoft 365)

Reveja a orientação de segurança da Microsoft 365 (se utilizar o Microsoft 365)Review the Microsoft 365 security guidance (if using Microsoft 365)

Configure o Microsoft 365 Activity Monitoring (se utilizar o Microsoft 365)Configure Microsoft 365 Activity Monitoring (if using Microsoft 365)

Estabelecer proprietários de planos de resposta a incidentes/emergênciasEstablish incident/emergency response plan owners

Contas administrativas privilegiadas seguras no localSecure on-premises privileged administrative accounts

Se não garantir acesso privilegiado, poderá descobrir que tem demasiados utilizadores em funções altamente privilegiadas e que são mais vulneráveis a ataques.If you don’t secure privileged access, you might find that you have too many users in highly privileged roles and are more vulnerable to attacks. Atores maliciosos, incluindo ciberataques, muitas vezes visam contas de administração e outros elementos de acesso privilegiado para ter acesso a dados e sistemas sensíveis usando roubo de credenciais.Malicious actors, including cyber attackers, often target admin accounts and other elements of privileged access to gain access to sensitive data and systems by using credential theft.

Locais de controlo onde os recursos são criadosControl locations where resources are created

Permitir que os operadores de nuvem executem tarefas, impedindo-os de quebrar convenções necessárias para gerir os recursos da sua organização é muito importante.Enabling cloud operators to perform tasks while preventing them from breaking conventions that are needed to manage your organization's resources is very important. As organizações que querem controlar os locais onde os recursos são criados devem codificar estes locais.Organizations that want to control the locations where resources are created should hard code these locations.

Pode utilizar o Azure Resource Manager para criar políticas de segurança cujas definições descrevem as ações ou recursos que são especificamente negados.You can use Azure Resource Manager to create security policies whose definitions describe the actions or resources that are specifically denied. Atribui essas definições de política no âmbito pretendido, como a subscrição, o grupo de recursos ou um recurso individual.You assign those policy definitions at the desired scope, such as the subscription, the resource group, or an individual resource.

Nota

As políticas de segurança não são as mesmas que a Azure RBAC.Security policies are not the same as Azure RBAC. Eles realmente usam o Azure RBAC para autorizar os utilizadores a criar esses recursos.They actually use Azure RBAC to authorize users to create those resources.

As organizações que não controlam a forma como os recursos são criados são mais suscetíveis aos utilizadores que podem abusar do serviço criando mais recursos do que precisam.Organizations that are not controlling how resources are created are more susceptible to users who might abuse the service by creating more resources than they need. Endurecer o processo de criação de recursos é um passo importante para assegurar um cenário multitennte.Hardening the resource creation process is an important step to securing a multitenant scenario.

Monitorize ativamente para atividades suspeitasActively monitor for suspicious activities

Um sistema de monitorização de identidade ativo pode rapidamente detetar comportamentos suspeitos e desencadear um alerta para uma investigação mais aprofundada.An active identity monitoring system can quickly detect suspicious behavior and trigger an alert for further investigation. A tabela a seguir lista duas capacidades AD Azure que podem ajudar as organizações a monitorizar as suas identidades:The following table lists two Azure AD capabilities that can help organizations monitor their identities:

Melhores práticas: Ter um método para identificar:Best practice: Have a method to identify:

Detalhe: Utilize relatórios de anomaliasAzure AD Premium .Detail: Use Azure AD Premium anomaly reports. Tenha em vigor processos e procedimentos para que os administradores de TI executem estes relatórios diariamente ou a pedido (geralmente num cenário de resposta a incidentes).Have processes and procedures in place for IT admins to run these reports on a daily basis or on demand (usually in an incident response scenario).

Melhores práticas: Tenha um sistema de monitorização ativo que o notifique dos riscos e possa ajustar o nível de risco (alto, médio ou baixo) às necessidades do seu negócio.Best practice: Have an active monitoring system that notifies you of risks and can adjust risk level (high, medium, or low) to your business requirements.
Detalhe: Utilize a Azure AD Identity Protection, que sinaliza os riscos atuais no seu próprio painel de instrumentos e envia notificações sumárias diárias por e-mail.Detail: Use Azure AD Identity Protection, which flags the current risks on its own dashboard and sends daily summary notifications via email. Para ajudar a proteger as identidades da sua organização, pode configurar políticas baseadas no risco que respondam automaticamente a problemas detetados quando um nível de risco especificado é atingido.To help protect your organization's identities, you can configure risk-based policies that automatically respond to detected issues when a specified risk level is reached.

As organizações que não monitorizam ativamente os seus sistemas de identidade correm o risco de ter as credenciais de utilizador comprometidas.Organizations that don’t actively monitor their identity systems are at risk of having user credentials compromised. Sem conhecimento de que atividades suspeitas estão a ocorrer através destas credenciais, as organizações não podem mitigar este tipo de ameaça.Without knowledge that suspicious activities are taking place through these credentials, organizations can’t mitigate this type of threat.

Utilize Azure AD para autenticação de armazenamentoUse Azure AD for storage authentication

O Azure Storage suporta a autenticação e autorização com Azure AD para armazenamento blob e armazenamento de fila.Azure Storage supports authentication and authorization with Azure AD for Blob storage and Queue storage. Com a autenticação Azure AD, pode utilizar o controlo de acesso baseado em funções Azure para conceder permissões específicas aos utilizadores, grupos e aplicações até ao âmbito de um recipiente ou fila de bolhas individuais.With Azure AD authentication, you can use the Azure role-based access control to grant specific permissions to users, groups, and applications down to the scope of an individual blob container or queue.

Recomendamos que utilize a Azure AD para autenticar o acesso ao armazenamento.We recommend that you use Azure AD for authenticating access to storage.

Passo seguinteNext step

Consulte as melhores práticas e padrões de segurança da Azure para obter mais boas práticas de segurança quando estiver a desenhar, implementar e gerir as suas soluções em nuvem utilizando o Azure.See Azure security best practices and patterns for more security best practices to use when you’re designing, deploying, and managing your cloud solutions by using Azure.