Melhores Práticas de Controle de Acesso Baseado em Função do Azure AD: como usar funções e privilégios do Azure AD de forma eficaz. Você é responsável por gerenciar funções do Azure AD e está buscando desenvolver uma estratégia de melhores práticas para o Controle de Acesso Baseado em Função?
Para desenvolver uma estratégia de melhores práticas, você primeiro precisa entender os conceitos de Funções e Controle de Acesso Baseado em Função no Azure AD. Este artigo começa explicando esses conceitos do Azure AD.
Em seguida, o guia descreve 10 melhores práticas para a gestão eficiente de Funções e Privilégios do Azure AD.
O que são Funções e Controle de Acesso Baseado em Função no Azure AD?
O Azure AD usa funções para gerenciar recursos de diretório. Atribuir funções a usuários, grupos ou outros objetos é conhecido como controle de acesso baseado em função do Azure AD (Azure AD RBAC).
Em relação às funções, o Azure AD oferece várias opções internas com permissões específicas. No entanto, podem haver casos raros em que as funções internas não atendem totalmente às necessidades das organizações.
Nesses casos, os administradores criam funções personalizadas com permissões limitadas para atender a suas necessidades.
As 3 funções internas do Azure AD mais importantes incluem Administrador de Cobrança, Administrador de Usuários e Administrador Global. Para ver todas as funções disponíveis no Azure AD, navegue até “Funções e administradores” no portal do Azure Active Directory.
É crucial mencionar que os usuários com uma assinatura gratuita do Azure AD podem usar funções internas. No entanto, um usuário deve ser atribuído à licença do Azure AD Premium P1 para criar funções personalizadas.
Melhores Práticas para o Controle de Acesso Baseado em Funções do Azure AD
1. Use Funções Integradas do Azure AD sempre que Possível
Encontre uma função existente e use-a para atribuir gerenciamento de recursos. O Azure AD possui mais de 70 funções integradas.
No entanto, se nenhuma atender às suas necessidades, crie e use funções personalizadas.
Para verificar as funções do Azure AD, faça login em portal.azure.com. Procure e abra “diretório ativo do azure”.
Por fim, clique em “Funções e administradores”.
2. Aborde o RBAC do Azure AD a partir do Princípio do Menor Privilégio
O princípio do “Menor Privilégio” promove conceder aos administradores a permissão explícita necessária para realizar uma tarefa. Seguir essa diretriz limita o risco para o seu ambiente.
Adotar esse princípio pode exigir a criação de funções personalizadas. Isso é essencial, pois as funções existentes podem ter mais permissões do que você precisa atribuir para uma tarefa específica.
3. Atribuir Permissões por um Tempo Limitado usando Acesso Just-in-time
Outra característica da abordagem de “Privilégio Mínimo” é conceder permissões aos usuários por um tempo limitado.
Para alcançar isso, os administradores utilizam o Gerenciamento de Identidade Privilegiada do Azure AD (PIM). Essa funcionalidade permite conceder acesso just-in-time a outro administrador.
Depois de habilitar o Azure AD PIM, os administradores que necessitam de permissões solicitam autorização. Em seguida, os usuários no grupo do aprovador concedem ou negam a solicitação.
Com o acesso just-in-time, os administradores evitam conceder permissões por períodos ilimitados ao utilizar o Controle de Acesso Baseado em Função do Azure AD, tornando-o uma das práticas recomendadas cruciais.
4. Minimizar a Vulnerabilidade e a Superfície de Ataque de Contas Privilegiadas
O Azure AD possui alguns papéis privilegiados, sendo o papel de Administradores Globais o de maior acesso. Atacantes miram essas contas porque o acesso concedido lhes dá autorização imediata para causar o maior dano possível.
Portanto, é uma prática recomendada reduzir a vulnerabilidade dessas contas e a superfície de ataque. Uma maneira de alcançar isso é limitar o número de administradores designados com o papel de Administrador Global para um máximo de 5.
Por que essa prática recomendada é crucial?
Esse papel tem acesso total para modificar todos os recursos no locatário do Microsoft 365.
5. (Opção 1 de 2) Proteger todas as Contas de Administrador com Autenticação Multifator via Configurações de Papel
As organizações podem reduzir ainda mais ativando a autenticação multifator (MFA). Quando o MFA é ativado para contas de administrador, um intruso precisa de autenticação adicional para fazer login.
Essa camada adicional de segurança reduz a “área de ataque” deste papel extremamente importante.
Ative a MFA nas configurações de função ou ativando o Acesso Condicional.
Para ativar a MFA nas configurações de função, faça login no portal do Azure, abra o Azure AD Privileged Identity Management. Clique em “Funções do Azure AD -> Funções”.
A página “Funções” exibe uma lista de funções internas do Azure e funções personalizadas. Selecione a função de administrador que você deseja ativar a MFA.
Na página de funções, clique em “Configurações de função”.
Visualize o status “Exigir Autenticação Multifator do Azure na atribuição ativa”.
Em seguida, clique no botão de edição para ativar a MFA para identidades atribuídas a essa função. Por fim, selecione “Azure MFA” e clique no Atualizar.
5. (Opção 2 de 2) Proteja todas as contas de administrador com Autenticação Multifator através da Política de Acesso Condicional
Bem, o Azure AD oferece uma opção melhor através de seu recurso de Acesso Condicional.
Para habilitar a MFA para contas de administrador através da Política de Acesso Condicional, abra a ferramenta no portal do Azure. Em seguida, clique em “+ Criar nova política”.
Em seguida, dê um nome na nova página de política e clique na seção “Usuários“. Clique em “Selecionar usuários e grupos” na guia Incluir e, em seguida, clique em “Funções de diretório”.
Por fim, clique na lista suspensa e marque as caixas de seleção de todas as funções de administrador que deseja habilitar MFA.
Para habilitar a autenticação multifator na política, clique em “Condições”. Selecione “Conceder acesso” (seleção padrão).
Por fim, marque a caixa de seleção “Exigir autenticação multifator” e clique em Selecionar.
Depois, selecione uma opção na seção “Habilitar política” e clique em Criar.
6. Revogar Automaticamente Permissões Desnecessárias com Análises de Acesso
Ao longo do ciclo de vida de um locatário do Azure AD, funções e permissões são atribuídas aos usuários. Com o tempo, alguns usuários podem manter permissões que já não precisam.
Considerando o princípio da prática recomendada de “privilégio mínimo”, as organizações devem desenvolver uma estratégia para revogar os privilégios de administrador desnecessários.
Realize auditorias ou revisões regulares das contas de administradores.
Para os passos para criar acesso, visite a página da Microsoft. Da mesma forma, consulte os passos para criar uma revisão de auditoria para aplicativos de grupos do Azure AD.
7. Atribuir funções a grupos em vez de diretamente a usuários
Alguns administradores atribuem funções do Azure AD diretamente a usuários. Esta é uma forma incorreta de gerenciar permissões.
A melhor prática é adicionar usuários como membros de um grupo. Em seguida, atribuir funções ao grupo.
Por exemplo, se precisar remover uma função da conta de um usuário, remova o usuário do grupo.
Outra prática recomendada essencial é atribuir propriedade a todos os grupos. Ao atribuir proprietários de grupo, os administradores globais delegam indiretamente o controle e gerenciamento desse grupo ao proprietário.
8. Use Contas “break glass” para Evitar Bloqueios de Conta Global
Isso deve estar no topo da sua lista de práticas recomendadas de Controle de Acesso Baseado em Função do Azure AD que você deve implementar. Imagine que o locatário do Azure AD da sua organização tenha um Administrador Global e essa conta esteja bloqueada.
Então, para evitar essa experiência negativa, a Microsoft recomenda a criação e uso de contas de “quebra de vidro” ou contas de acesso de emergência.
Além de ter uma conta de “quebra de vidro”, como mencionado na melhor prática 4, o locatário do Azure AD de uma organização deve ter mais de um Administrador Global.
A implementação dessa melhor prática garante que o negócio não perca o acesso ao seu Azure AD se um Administrador Global for bloqueado.
9. Seja Proativo na Detecção e Resposta a Ameaças de Identidade
A detecção proativa e resposta a ameaças de identidade é uma prática recomendada essencial de Controle de Acesso Baseado em Função do Azure AD. Para garantir a detecção antecipada de ameaças e mitigação, aprenda como implementar essa melhor prática recomendada. Leia nosso artigo sobre detecção e resposta a ameaças de identidade.
10. Implementar o Gerenciamento de Identidades Privilegiadas (PIM) para Grupos
Implementar uma gestão eficiente de grupos Azure AD usando PIM para Grupos é a última, mas igualmente importante, melhor prática. Isso permite que os administradores do Azure AD ativem a associação ou propriedade para o grupo de segurança do Azure AD ou grupo da Microsoft 365.
Ao ativar o PIM para Grupos, os administradores criam políticas que exigem aprovação para a associação ao grupo e outros requisitos como MFA.
Práticas Recomendadas de Controle de Acesso Baseado em Função do Azure AD: Como Usar Efetivamente as Funções e Privilégios do Azure AD Conclusão
Para concluir, usar as funções e privilégios do Azure AD efetivamente é vital para um ambiente seguro e bem gerenciado.
Este artigo enfatizou o uso de funções integradas do Azure AD, aplicando o princípio do menor privilégio e implementando acesso just-in-time. Também destacou a importância de proteger contas de administrador com autenticação de vários fatores e automatizar revisões de acesso.
Além disso, é recomendado atribuir funções a grupos, não a usuários individuais. Adicionalmente, ter contas de “quebra de vidro” e detecção proativa de ameaças e resposta são medidas cruciais.
Por fim, implementar Gerenciamento de Identidades Privilegiadas (PIM) para grupos adiciona controle e responsabilidade. Organizações implementam essas práticas para garantir um framework robusto e seguro de controle de acesso baseado em funções no Azure AD.