Fase 1 - Assegurar o plano de controlo de identidade

Este artigo faz parte do guia de soluções Implementar uma arquitetura de acesso privilegiado .

O acesso privilegiado representa um risco crítico de segurança na maioria das organizações porque permite o controlo direto sobre sistemas de identidade, planos de controlo cloud e ativos críticos para o negócio.

Saiba como uma arquitetura de acesso privilegiado seguro desempenha um papel crítico no seu cenário de negócio – Proteja ativos empresariais críticos – reduzindo este risco e reforçando o controlo sobre sistemas sensíveis.

Este artigo ajuda-o a implementar a Fase 1 da solução Implementar uma arquitetura de acesso privilegiado . Esta fase assegura o plano de controlo de identidade ao definir e proteger identidades privilegiadas, atribuições de funções e caminhos de elevação autorizados.

É importante implementar primeiro a Fase 1. Fases posteriores que protegem dispositivos de acesso privilegiado, aplicam políticas de Acesso Condicional e monitorizam acessos privilegiados dependem de um plano de controlo de identidade limpo e bem governado.

Objetivos de proteção

A Fase 1 assegura que o acesso privilegiado é:

  • Explícita: Conceda privilégios apenas por meio de caminhos de elevação definidos. Nunca o tornes implícito ou acidental.
  • Temporário: O privilégio expira automaticamente.
  • Autenticação forte: Exigir autenticação forte para elevação de privilégios.
  • Auditável: Registar todas as alterações aos privilégios e as respetivas elevações.
  • Recuperável: Fornecer acesso de emergência sem enfraquecer os controlos.

Âmbito de proteção

A Fase 1 foca-se em dois componentes fundamentais do acesso privilegiado:

  • Identidades privilegiadas: Identidades que podem realizar ações privilegiadas, incluindo:

    • Contas de utilizadores administrativos dedicadas
    • Grupos administrativos
    • Entidades de serviço e identidades gerenciadas
    • Atribuições de funções do Azure RBAC
    • Contas de acesso de emergência (de recurso) (se não existirem).

  • Caminhos de elevação autorizados: Mecanismos que permitem aos utilizadores passar de estados não privilegiados para estados privilegiados, tais como:

    • Ativação de funções com prazo limitado usando - Privileged Identity Management (PIM)
    • Fluxos de trabalho de aprovação para funções sensíveis
    • Sessões administrativas explícitas

  • Acesso de recuperação de emergência: Configurar contas de acesso de emergência, caso ainda não existam.

Estes componentes operam no plano de controlo. Se forem comprometidos, os atacantes podem conceder-se acesso privilegiado sem tocar em dispositivos ou políticas de acesso.

Riscos mitigados

Risk Porque é que isso importa Mitigação da Fase 1
Criação descontrolada de identidades privilegiadas Os atacantes criam novos administradores ou atribuições de funções silenciosamente. Estabeleça identidades e papéis privilegiados e autoritários.
Restringir quem pode gerir os sistemas de identidade.
Trate os sistemas de identidade como ativos privilegiados.
Elevação silenciosa de privilégios Privilégio adquirido através de grupos, RBAC ou atribuições aninhadas. Racionalizar os papéis, usar atribuições em grupo, remover o acesso permanente.
Acesso administrativo persistente (permanente) Credenciais roubadas mantêm privilégio permanente. Substitua privilégios permanentes por elevação com limite temporal.
Caminhos de elevação fracos ou implícitos Os atacantes usam os mesmos caminhos que os administradores. Defina fluxos de trabalho de elevação seguros, explícitos e auditáveis
Contorno das proteções a jusante Privilégio adquirido antes da aplicação do dispositivo ou da política. Plano de controlo de identidade protegido em primeiro lugar.
Comprometimento irreversível da identidade Não há forma segura de recuperar o controlo. Crie contas de acesso de emergência protegidas.
Baixo nível de segurança da identidade Controlos de identidade fracos prejudicam todas as fases posteriores. Elevar os sistemas de identidade ao nível mais elevado de segurança.

Resultados de fase

Após completar esta fase:

  • Todo o acesso privilegiado está ligado a identidades e papéis conhecidos e explícitos.
  • Todo o privilégio é temporário, auditável e intencional.
  • O acesso administrativo permanente é removido.
  • Os sistemas de identidade são tratados como ativos privilegiados.
  • A recuperação do comprometimento da identidade é possível sem enfraquecer os controlos.
  • Não é introduzido nenhum novo risco privilegiado durante a modernização.

Esta fase também impede a criação de novos riscos privilegiados enquanto a auditoria e modernização continuam.

Pré-requisitos

Antes de começar a configurar a Fase 1, note os seguintes pré-requisitos:

Consulte a documentação:

Dentro da sua organização:

  • Certifique-se de que tem um inquilino Microsoft Entra ID ativo e próprio. Recomendamos o Microsoft Entra ID P2 (para governação de identidade privilegiada).
  • Esta solução assume que tens o Microsoft 365 Enterprise E5. Para mais informações, consulte Microsoft 365 Licenciamento empresarial.
  • Certifique-se de que tem pelo menos duas contas de acesso de emergência definidas.
  • Atribuição clara de responsabilidades pela governação de identidades e pela gestão de funções.
  • Criar contas de administrador seguras expõe-as à estação de trabalho usada durante a configuração. Certifique-se de que a configuração inicial é feita a partir de um dispositivo conhecido como seguro.

Passo 1: Auditar o acesso privilegiado

Estabeleça um inventário completo de identidades privilegiadas e caminhos de acesso. Audite as seguintes fontes.

Source Detalhes
Microsoft Entra funções de diretório Identificar papéis privilegiados que possam conduzir direta ou indiretamente à dominância do inquilino ao alterar os limites de identidade, acesso ou confiança no plano de controlo de identidade.

Para cada função:
- Identificar atribuições diretas versus baseadas em grupo.
- Identificar atribuições permanentes versus elegíveis para PIM
- Capturar o estado atual de ativação.
Privilégio baseado em grupo Descubra quem é privilegiado indiretamente e seria ignorado se só olhasse para os utilizadores.

- Verificar a pertença a grupos aninhados
- Identificar utilizadores, entidades de serviço e identidades geridas
- Registe como o privilégio é herdado.
Funções RBAC do Azure Descubra o que estas identidades privilegiadas podem fazer fora do próprio diretório.

Atribuições de auditoria ao nível do grupo de gestão, da subscrição e do recurso.

Identificar identidades com permissões amplas ou em cascata.
Identidades não humanas Descubra quais as identidades não humanas que fazem parte do caminho de acesso privilegiado, incluindo:

Entidades de serviço e identidades gerenciadas
Contas e scripts de automação
Permissões de aplicação com controlo do locatário ou de recursos.

O resultado é um inventário fiável das identidades privilegiadas.

Identificar funções do diretório

Audite quem pode alterar as definições de identidade, a autenticação ou a configuração ao nível de todo o tenant.

  1. No Centro de Administração do Microsoft Entra, navegue até Entra ID>Funções e administradores.

  2. Selecione Todas as funções. Esta página lista todos os papéis integrados e personalizados do diretório Microsoft Entra, incluindo funções administrativas a nível de inquilino, como Administrador Global e Administrador de Papéis Privilegiados.

    • Papéis privilegiados são aqueles que podem atribuir funções, modificar segurança/autenticação ou gerir aplicações, dispositivos ou políticas de segurança.
    • Uma lista completa de funções privilegiadas incorporadas está também disponível na documentação.

  3. Para cada função privilegiada, verifique primeiro as atribuições diretas. Para cada principal diretamente atribuído (utilizador, grupo ou principal de serviço (app/identidade gerida)), verifique como a função foi concedida e o estado atual.

    • Uma atribuição permanente significa que a função está sempre ativa. Uma identidade inicia sessão e já está privilegiada com o estatuto Ativo (permanente). Isto é obviamente de alto risco.
    • Uma atribuição elegível no PIM significa que a função está disponível, mas permanece inativa até ser ativada. O utilizador deve ativar a função. Normalmente é limitado no tempo e muitas vezes requer justificação. O estado pode ser Ativo ou Elegível se o utilizador puder tornar-se privilegiado mas não estiver atualmente ativado.

  4. Agora mude para trabalhos em grupo. Isto é importante porque verifica privilégios atribuídos indiretamente através de grupos.

  5. Abra cada grupo que tenha a função privilegiada atribuída.

  6. Expandir os membros do grupo, expandir grupos aninhados e registar utilizadores, entidades de serviço e identidades geridas.

  7. Para cada identidade, confirme de que forma o privilégio é atribuído:

    • O papel é atribuído por grupo ou grupo aninhado?
    • O cargo é permanente ou elegível para o PIM?
    • Qual é o estado atual?

Depois de concluir esta etapa, identificou o plano de controlo de identidade e dispõe de um inventário fidedigno das identidades privilegiadas no Microsoft Entra.

Identificar as funções do Azure RBAC

Agora que já sabe quais as identidades privilegiadas, vamos ver o que podem fazer fora do Microsoft Entra Directory. Onde mais têm controlo, e em que âmbito?

  1. Para cada principal privilegiado que identificaste, determina os papéis.

  2. Comece no âmbito mais elevado (grupos de gestão).

    1. No portal Azure >Grupos de gestão, vá a **Controlo de Acesso (IAM) >Atribuições de Papéis.
    2. Use o Filtro>Atribuído a e procure o nome principal.
    3. Registar todos os resultados, incluindo o nome da função e o âmbito.

    Se encontrar identidades aqui, isso indica que essas identidades têm amplo controlo sobre o Azure, uma vez que os papéis do Azure RBAC atribuídos ao nível do grupo de gestão se propagam a todas as subscrições e recursos subordinados.

  3. Agora siga os mesmos procedimentos para Azure portal >Subscrições.

    As identidades com funções Azure RBAC atribuídas ao nível de subscrição são privilegiadas e podem conceder ou delegar acesso.

  4. Se as identidades não foram encontradas ao nível do grupo de gestão ou subscrição, pode verificar ao nível do grupo de recursos com o mesmo procedimento no Azure portal >Resource groups.

  5. Também pode querer verificar se os principais responsáveis têm controlo sobre recursos individuais estratégicos, como cofres de chaves, contas de armazenamento, máquinas virtuais ou contas de automação. Para isso, verifique Controlo de acesso (IAM)>Atribuído a de cada recurso individualmente.

Registar resultados

  1. Para cada conta que identificaste, regista os detalhes da auditoria numa tabela de mapeamento.

  2. Identifique contas de alto risco com privilégios amplos e crie uma tabela de mapeamento que forneça informações sobre o âmbito da função (área de impacto) e o tipo de atividade.

    Conta Papel de entrada função RBAC do Azure Scope Trabalho privilegiado
    alice@contoso.com Administrador Global Proprietário Sub1, Sub2 Gerir utilizadores, funções, subscrições.

  3. Se quiser acrescentar mais sobre o comportamento observado numa conta, pode:

    1. Consulte os registos de início de sessão para obter informações sobre aplicações, pontos finais do cliente e fluxos de autenticação.
    2. Correlacione a informação com registos de auditoria e atividade para verificar se uma conta é utilizada e se alterou a política, modificou recursos/subscrições ou realizou alguma outra atividade.

Passo 2: Avalie a sua configuração atual

Com o seu inventário implementado, pode usar a ferramenta de avaliação Confiança Zero para avaliar como o acesso privilegiado está configurado em todo o seu ambiente e identificar lacunas no controlo.

Embora a ferramenta de Avaliação não substitua um inventário completo, utiliza dados de funções e políticas como entrada para o ajudar a perceber se:

  • As funções privilegiadas estão protegidas (MFA, Acesso Condicionado).
  • O acesso privilegiado é regulado (padrões PIM, JIT/JEA).
  • As políticas são aplicadas de forma consistente.
  • Existem lacunas entre identidades, dispositivos e políticas de acesso.

Saiba mais sobre como avaliar a identidade com a ferramenta.

Passo 3: Estabelecer identidades administrativas dedicadas

Remover funções privilegiadas das contas de utilizador comum.

Crie contas administrativas dedicadas que:

  • São usados apenas para tarefas privilegiadas
  • Não ter acesso às ferramentas de produtividade (e-mail, Teams, navegação na Internet)
  • São elegíveis para privilégio via PIM, não são atribuídos permanentemente

Remover todas as atribuições privilegiadas de funções das identidades padrão dos utilizadores.

Criar contas de administrador

  1. No Centro de Administração Microsoft Entra, navegue até Microsoft Entra ID>Users.
  2. Selecione Novo utilizador e configure as definições do utilizador. depois seleciona Criar.
    • Nome: Administrador de Estação de Trabalho Segura.
    • Nome principal de utilizador: secure-ws-admin@contoso.com
    • Método de autenticação: Palavra-passe (temporária).
    • Cargos de diretório: Não atribuas.
    • Local de utilização: Definido para localização operacional.

Isto dá-lhe uma identidade de administrador limpa, sem privilégios.

Passo 4: Criar identidades para PAWs

Em procedimentos posteriores, configura-se uma estação de trabalho administrativa privilegiada (PAW).

Se quiser definir identidades que possam aceder a PAWs mas que não consigam realizar ações privilegiadas, pode:

  • Crie uma identidade que só possa iniciar sessão em PAWs.
  • Crie um grupo de segurança que controle quem pode entrar nos PAWs.
    • Este grupo nunca concede direitos de administrador. É usado para:
      • Acesso Condicional, incluindo permitir apenas que Utilizadores de Estações de Trabalho Seguras iniciem sessão em PAWs e bloqueiem outros utilizadores.
      • Aplicar licenciamento PAW baseado em grupos específicos.
    • Os membros típicos deste grupo incluem analistas, operadores e auditores do SOC.

Criar uma identidade de autenticação

  1. No Centro de Administração Microsoft Entra, navegue até Microsoft Entra ID>Users.
  2. Selecione Novo utilizador e configure as definições do utilizador. Depois, selecione Criar.
    • Nome: Utilizador de Estação de Trabalho Segura
    • Nome principal de utilizador: secure-ws-user@contoso.com
    • Funções de diretório: Não atribuir

Criar um grupo de segurança de acesso PAW

Configure um grupo que controle quem pode iniciar sessão nos PAWs

  1. No Centro de Administração Microsoft Entra, navegue até Microsoft Entra ID>Grupos>Novo grupo.

  2. Configura as definições do grupo e depois seleciona Criar.

    • Tipo de grupo: Segurança
    • Nome do grupo: Utilizadores de Estações de Trabalho Seguras
    • Afiliação: Atribuída

  3. Adicione apenas identidades de login PAW ao grupo, não administradores por defeito.

Passo 5: Criar grupos de controlo administrativo

Criar grupos de segurança que definam quem é elegível para cargos privilegiados. Estes grupos:

  • Estão marcados como passíveis de atribuição de função
  • São geridos através do PIM
  • Não conceda privilégio apenas por membro
  • Servir como limites de autorização para elevação

As alterações de membros são tratadas como ações privilegiadas e revistas regularmente

  1. No Centro de Administração Microsoft Entra, navegue até Microsoft Entra ID>Grupos>Novo grupo.

  2. Configura as definições do grupo e depois seleciona Criar.

    • Tipo de grupo: Segurança
    • Nome: Administradores Seguros de Estação de Trabalho
    • Tipo de associação: Atribuída

  3. Adicione identidades de administrador dedicadas. Não uses contas normais e trates as alterações de membros como algo sensível. Reveja regularmente.

Este grupo será mais tarde:

  • Marcado como passível de atribuição a uma função
  • Funções de diretório atribuídas via PIM como elegíveis (não ativas)
  • Utilização como principal mecanismo de direcionamento para políticas de acesso privilegiado

Passo 6: Configurar o PIM

Se o Privileged Identity Management ainda não estiver ativado, faça isso agora.

Certifique-se de que tem sessão iniciada como Administrador Global ou Administrador de Funções Privilegiadas.

Ativar PIM para funções de diretório

  1. No Centro de Administração Microsoft Entra, navegue até Governança de Identidade>Privileged Identity Management.
  2. Selecione Funções do Microsoft Entra.

Remover cargos permanentes

  1. Em funções do Microsoft Entra, selecione Funções.

  2. Funções de acesso privilegiado aberto identificadas para a sua organização.

    O conjunto mínimo recomendado pela Microsoft é o seguinte: - Global Administrator - Privileged Role Administrator - Security Administrator - Exchange Administrator - SharePoint Administrator

  3. Selecione Atribuições.

  4. Para cada atribuição Ativa (permanente):

    • Remover a atribuição permanente
    • Adicione novamente o utilizador ou grupo como Elegível.

Depois disto, os utilizadores não têm privilégios de administrador a menos que os ativem.

Configurar definições de ativação

Para cada função privilegiada, faça o seguinte:

  1. Em PIM>Microsoft Entra roles, selecione Settings.

  2. Selecione o papel >Editar.

  3. Configurar definições:

    • Requer ativação
    • Exigir MFA aquando da ativação
    • Exigir justificação
    • Defina a duração máxima de ativação (por exemplo: 1–4 horas para papéis de grande impacto)
    • Requer aprovação (para Administrador Global, Administrador de Funções Privilegiadas, Administrador de Segurança)
    • Selecione um ou mais aprovadores

  4. Selecione Atualizar.

Use atribuições de funções baseadas em grupos

Recomendamos atribuir funções a grupos, e não a utilizadores individuais, para escala e governação.

Crie um grupo de segurança ao qual podem ser atribuídas funções e atribua-o a uma função do Entra (por exemplo, Exchange Admin). Depois gere a adesão (quem pode obter o cargo) através do teu processo de governação, e opcionalmente através do PIM for Groups.

  1. Crie um grupo de segurança com a definição Microsoft Entra funções podem ser atribuídas a este grupo ativadas.
  2. Em funções PIM >Microsoft Entra , selecione Adicionar atribuições.
  3. Atribuir ao grupo o estado de Elegível para a função.
  4. Adicionar ou remover utilizadores do grupo em vez de modificar diretamente as atribuições de funções.

Este grupo torna-se o limite de autorização para o acesso privilegiado.

No final do Passo 6, é configurado o seguinte:

  • Sem acesso administrativo permanente
  • O privilégio é solicitado, aprovado, com prazo definido, registado
  • Os caminhos de elevação são explícitos e podem ser revistos

Passo 7: Configurar contas de emergência

Se ainda não tiver contas de acesso de emergência, configure-as agora. São necessários para recuperar de cenários de bloqueio de identidade causados por Acesso Condicional, indisponibilidade do MFA ou configuração incorreta.

Certifique-se de que tem sessão iniciada com a função de Administrador Global ou de Administrador de Funções Privilegiadas para criar, pelo menos, duas contas de acesso de emergência.

  1. No Centro de Administração Microsoft Entra, navegue até Users>Todos os utilizadores.
  2. Selecione Novo utilizador e crie um utilizador apenas na cloud.
  • Use o domínio *onmicrosoft.com
  • Use um nome não óbvio (não "quebrar vidro")
  1. Atribuir o papel de Administrador Global.
  • Não torne este cargo elegível para PIM — tem de ser permanente.
  • Use uma palavra-passe forte e longa, guardada de forma segura offline.
  • Configurar autenticação resistente a phishing (por exemplo, autenticação baseada em FIDO2 / passkey ou certificado)
  • Não associe a MFA a um endereço pessoal de telefone ou email.

Repita para criar uma segunda conta de emergência.

Excluir contas de emergência do Acesso Condicional

Isto garante que a recuperação é sempre possível.

  1. No Centro de Administração Microsoft Entra, navegue até Protection>Acesso Condicional.

  2. Para todas as apólices:

    • Editar Atribuições.
    • Exclua pelo menos uma conta de acesso de emergência.

Certifique-se de não excluir as contas administrativas normais — apenas as contas de emergência.

Monitorizar a utilização de contas de emergência

  1. Ativar alertas em:

    • Registos por contas de emergência
    • Alterações de funções relativas a estas contas

  2. Trate qualquer uso como um incidente de segurança, salvo aprovação prévia.

  3. Revise o uso periodicamente.

No final do Passo 7, é configurado o seguinte:

  • O plano de controlo de identidade é recuperável
  • Fases posteriores (PAWs, Acesso Condicional) não correm risco de bloqueio permanente
  • O acesso de emergência é isolado, monitorizado e raramente utilizado

Passos seguintes

Depois de proteger o plano de controlo de identidade, restringa onde o privilégio pode ser exercido com Estações de Trabalho de Acesso Privilegiado (PAWs) seguras.

  • Last updated on