Considerações para personas específicas em uma implantação de autenticação sem senha resistente a phishing no Microsoft Entra ID
Cada persona tem seus próprios desafios e considerações que geralmente surgem durante implantações sem senha resistentes a phishing. Ao identificar quais personas você precisa acomodar, leve em consideração esses fatores do planejamento do projeto de implantação. As próximas seções fornecem diretrizes específicas para cada persona.
Operadores de informações
Os operadores de informações geralmente têm os requisitos mais simples e são os mais fáceis de iniciar sua implantação sem senha resistente a phishing. No entanto, ainda surgem alguns problemas com frequência durante a implantação para esses usuários. Exemplos comuns incluem:
As implantações de trabalhadores de informações, assim como qualquer outra persona de usuário, exigem comunicação e suporte adequados. Isso geralmente envolve convencer os usuários a instalar determinados aplicativos em seus telefones, distribuir chaves de segurança em que os usuários não usarão aplicativos, abordar preocupações sobre biometria e desenvolver processos para ajudar os usuários a se recuperarem da perda parcial ou total de suas credenciais.
Ao lidar com preocupações sobre biometria, procure entender como tecnologias como Windows Hello para Empresas lidam com biometria. Os dados biométricos são armazenados apenas localmente no dispositivo e não podem ser convertidos novamente em dados biométricos brutos, mesmo se roubados:
Fluxo de implantação do trabalhador de informações
As fases 1 a 3 do fluxo de implantação para operadores de informações normalmente devem seguir o fluxo de implantação padrão, conforme mostrado na imagem a seguir. Ajuste os métodos usados em cada etapa conforme necessário em seu ambiente:
- Fase 1: Integração
- Serviço de ID Verificada do Microsoft Entra usado para adquirir uma Senha de Acesso Temporária
- Fase 2: Registro de credencial portátil
- Chave de acesso do aplicativo Microsoft Authenticator (preferencial)
- Chave de segurança FIDO2
- Fase 3: Registro de credencial local
- Windows Hello para Empresas
- Chave do Secure Enclave para o SSO da plataforma
Trabalhadores na linha de frente
Os trabalhadores na linha de frente geralmente têm requisitos mais complicados devido ao aumento da necessidade de portabilidade de suas credenciais e limitações sobre quais dispositivos eles podem transportar em ambientes de varejo ou fabricação. As chaves de segurança são uma ótima opção para os trabalhadores na linha de frente, mas têm um custo que deve ser considerado. Para obter resistência a phishing, procure equilibrar os desafios de custo das chaves de segurança com a carga adicional de implantação de cartões inteligentes e autenticação baseada em certificado. Considere se pode haver diferentes personas de usuário do trabalhador na linha de frente em seu ambiente. É possível que as chaves de segurança sejam melhores para alguns trabalhadores na linha de frente, enquanto os cartões inteligentes são melhores para outros.
Fluxo de implantação do trabalhador na linha de frente
As fases 1 a 3 do fluxo de implantação para trabalhadores na linha de frente normalmente devem seguir um fluxo modificado que enfatiza as credenciais portáteis. Muitos trabalhadores na linha de frente podem não ter um dispositivo de computação permanente e nunca precisam de uma credencial local em uma estação de trabalho Windows ou Mac. Em vez disso, eles dependem em grande parte de credenciais portáteis que podem levar de dispositivo para dispositivo. Ajuste os métodos usados em cada etapa conforme necessário em seu ambiente:
- Fase 1: Integração
- Chave de segurança FIDO2 em nome do registro (preferencial)
- Serviço de ID Verificada do Microsoft Entra usado para adquirir uma Senha de Acesso Temporária
- Fase 2: Registro de credencial portátil
- Chave de segurança FIDO2 (preferencial)
- Cartão inteligente
- Chave de acesso do aplicativo Microsoft Authenticator
- Fase 3 (opcional): Registro de credencial local
- Opcional: Windows Hello para Empresas
- Opcional: Chave do Secure Enclave para o SSO da plataforma
Profissionais de TI/operadores de DevOps
Os profissionais de TI e os operadores de DevOps dependem especialmente de acesso remoto e várias contas de usuário, e é por isso que são considerados diferentes dos profissionais da informação. Muitos dos desafios impostos pela senha resistente a phishing para profissionais de TI são causados pelo aumento da necessidade de acesso remoto aos sistemas e capacidade de executar automações.
Entenda as opções com suporte para resistente a phishing com RDP, especialmente para essa persona.
Certifique-se de entender onde os usuários estão usando scripts que são executados no contexto do usuário e, portanto, não estão usando MFA hoje. Instrua seus profissionais de TI sobre a maneira correta de executar automações usando entidades de serviço e identidades gerenciadas. Você também deve considerar processos para permitir que profissionais de TI e outros profissionais solicitem novas entidades de serviço e obtenham as permissões adequadas atribuídas a elas.
- O que são identidades gerenciadas para recursos do Azure?
- Como proteger entidades de serviço no Microsoft Entra ID
Fluxo de implantação de profissionais de TI/DevOps
As fases 1 a 3 do fluxo de implantação para profissionais de TI/DevOps normalmente devem seguir o fluxo de implantação padrão, conforme ilustrado acima para a conta principal do usuário. Os profissionais de TI/operadores de DevOps geralmente têm contas secundárias que exigem considerações diferentes. Ajuste os métodos usados em cada etapa conforme necessário em seu ambiente para as contas principais:
- Fase 1: Integração
- Serviço de ID Verificada do Microsoft Entra usado para adquirir uma Senha de Acesso Temporária
- Fase 2: Registro de credencial portátil
- Chave de acesso do aplicativo Microsoft Authenticator (preferencial)
- Chave de segurança FIDO2
- Fase 3: Registro de credencial local
- Windows Hello para Empresas
- Chave do Secure Enclave para o SSO da plataforma
Se seus profissionais de TI/trabalhadores de DevOps tiverem contas secundárias, talvez seja necessário lidar com essas contas de maneira diferente. Por exemplo, para contas secundárias, você pode optar por usar credenciais portáteis alternativas e renunciar totalmente às credenciais locais em seus dispositivos de computação:
- Fase 1: Integração
- Serviço de ID Verificada do Microsoft Entra usado para adquirir uma Senha de Acesso Temporária (preferencial)
- Processo alternativo para fornecer TAPs para contas secundárias para o profissional de TI/trabalhador de DevOps
- Fase 2: Registro de credencial portátil
- Chave de acesso do aplicativo Microsoft Authenticator (preferencial)
- Chave de segurança FIDO2
- Cartão inteligente
- Fase 3: Credenciais portáteis usadas em vez de credenciais locais
Trabalhadores altamente regulamentados
Trabalhadores altamente regulamentados representam mais desafios do que o trabalhador médio da informação porque podem trabalhar em dispositivos bloqueados, trabalhar em ambientes bloqueados ou ter requisitos regulatórios especiais que devem atender.
Trabalhadores altamente regulamentados costumam usar cartões inteligentes devido a ambientes regulamentados que já têm forte adoção de PKI e infraestrutura de cartão inteligente. No entanto, considere quando os cartões inteligentes são desejáveis e necessários e quando eles podem ser equilibrados com opções mais fáceis de usar, como Windows Hello para Empresas.
Fluxo de implantação de trabalhador altamente regulamentado sem PKI
Se você não planeja usar certificados, cartões inteligentes e PKI, a implantação de operador altamente regulamentada espelhará de perto a implantação do operador de informações. Para obter mais informações, consulte Operadores de informações.
Fluxo de implantação de trabalhador altamente regulamentado com PKI
Se você planeja usar certificados, cartões inteligentes e PKI, o fluxo de implantação para trabalhadores altamente regulamentados normalmente difere do fluxo de configuração do operador de informações em locais importantes. Há uma necessidade crescente de identificar se os métodos de autenticação local são viáveis para alguns usuários. Da mesma forma, você precisa identificar se há alguns usuários que precisam de credenciais somente portáteis, como cartões inteligentes, que podem funcionar sem conexões com a Internet. Dependendo de suas necessidades, você pode ajustar ainda mais o fluxo de implantação e adaptá-lo às várias personas de usuário identificadas em seu ambiente. Ajuste os métodos usados em cada etapa conforme necessário em seu ambiente:
- Fase 1: Integração
- Serviço de ID Verificada do Microsoft Entra usado para adquirir uma Senha de Acesso Temporária (preferencial)
- Registro de cartão inteligente em nome do usuário, após um processo de comprovação de identidade
- Fase 2: Registro de credencial portátil
- Cartão inteligente (preferencial)
- Chave de segurança FIDO2
- Chave de acesso do aplicativo Microsoft Authenticator
- Fase 3 (opcional): Registro de credencial local
- Opcional: Windows Hello para Empresas
- Opcional: Chave do Secure Enclave para o SSO da plataforma
Observação
É sempre recomendável que os usuários tenham pelo menos duas credenciais registradas. Isso garante que o usuário tenha uma credencial de backup disponível se algo acontecer com suas outras credenciais. Para trabalhadores altamente regulamentados, é recomendável implantar senhas ou Windows Hello para Empresas, além de todos os cartões inteligentes implantados.
Próximas etapas
Implantar uma autenticação sem senha resistente a phishing no Microsoft Entra ID