Cumprir os requisitos de autorização do memorando 22-09
Esta série de artigos tem orientações para empregar o Microsoft Entra ID como um sistema centralizado de gerenciamento de identidades ao implementar os princípios Zero Trust. Ver, Memorando M 22-09 do Gabinete de Gestão e Orçamento dos EUA para os Chefes dos Departamentos e Agências Executivos.
Os requisitos de memorando são tipos de imposição em políticas de autenticação multifator e controles para dispositivos, funções, atributos e gerenciamento de acesso privilegiado.
Controles baseados em dispositivos
Um requisito do memorando 22-09 é pelo menos um sinal baseado em dispositivo para decisões de autorização de acesso a um sistema ou aplicativo. Imponha o requisito usando o Acesso Condicional. Aplique vários sinais do dispositivo durante a autorização. Veja a tabela a seguir para o sinal e o requisito para recuperar o sinal.
| Sinal | Recuperação de sinal |
|---|---|
| O dispositivo é gerenciado | Integração com o Intune ou outra solução de gestão de dispositivos móveis (MDM) que suporte a integração. |
| Associados ao Microsoft Entra híbrido | O Ative Directory gerencia o dispositivo e se qualifica. |
| O dispositivo é compatível | Integração com o Intune ou outra solução de MDM que suporte a integração. Consulte Criar uma política de conformidade no Microsoft Intune. |
| Sinais de ameaça | O Microsoft Defender for Endpoint e outras ferramentas de deteção e resposta de ponto de extremidade (EDR) têm integrações do Microsoft Entra ID e do Intune que enviam sinais de ameaça para negar acesso. Os sinais de ameaça suportam o sinal de estado compatível. |
| Políticas de acesso entre locatários (visualização pública) | Confie em sinais de dispositivos de outras organizações. |
Controlos baseados em funções
Use o RBAC (controle de acesso baseado em função) para impor autorizações por meio de atribuições de função em um escopo específico. Por exemplo, atribua acesso usando recursos de gerenciamento de direitos, incluindo pacotes de acesso e revisões de acesso. Gerencie autorizações com solicitações de autoatendimento e use automação para gerenciar o ciclo de vida. Por exemplo, encerrar automaticamente o acesso com base em critérios.
Saiba mais:
- O que é a gestão de direitos?
- Criar um novo pacote de acesso no gerenciamento de direitos
- O que são revisões de acesso?
Controles baseados em atributos
O controle de acesso baseado em atributos (ABAC) usa metadados atribuídos a um usuário ou recurso para permitir ou negar acesso durante a autenticação. Consulte as seções a seguir para criar autorizações usando imposições ABAC para dados e recursos por meio de autenticação.
Atributos atribuídos aos usuários
Use atributos atribuídos aos usuários, armazenados no Microsoft Entra ID, para criar autorizações de usuário. Os usuários são atribuídos automaticamente a grupos de associação dinâmica com base em um conjunto de regras definido durante a criação do grupo. As regras adicionam ou removem um usuário do grupo com base na avaliação da regra em relação ao usuário e seus atributos. Recomendamos que você mantenha atributos e não defina atributos estáticos no dia da criação.
Saiba mais: Criar ou atualizar um grupo dinâmico no Microsoft Entra ID
Atributos atribuídos aos dados
Com o Microsoft Entra ID, você pode integrar a autorização aos dados. Consulte as seções a seguir para integrar a autorização. Você pode configurar a autenticação em políticas de Acesso Condicional: ações restritas que os usuários executam em um aplicativo ou em dados. Essas políticas de autenticação são mapeadas na fonte de dados.
As fontes de dados podem ser arquivos do Microsoft Office, como Word, Excel ou sites do SharePoint mapeados para autenticação. Use a autenticação atribuída aos dados em aplicativos. Essa abordagem requer integração com o código do aplicativo e para que os desenvolvedores adotem o recurso. Use a integração de autenticação com o Microsoft Defender for Cloud Apps para controlar as ações executadas nos dados por meio de controles de sessão.
Combine grupos dinâmicos de associação com contexto de autenticação para controlar mapeamentos de acesso do usuário entre os dados e os atributos do usuário.
Saiba mais:
- Acesso Condicional: aplicações na cloud, ações e contexto de autenticação
- Guia do desenvolvedor para o contexto de autenticação de Acesso Condicional
- Políticas de sessão
Atributos atribuídos a recursos
O Azure inclui controle de acesso baseado em atributos (Azure ABAC) para armazenamento. Atribua tags de metadados em dados armazenados em uma conta de Armazenamento de Blob do Azure. Atribua os metadados aos usuários usando atribuições de função para conceder acesso.
Saiba mais: O que é o controle de acesso baseado em atributos do Azure?
Gestão de acesso privilegiado
O memorando cita a ineficiência do uso de ferramentas de gerenciamento de acesso privilegiado com credenciais efêmeras de fator único para acessar sistemas. Estas tecnologias incluem cofres de palavras-passe que aceitam início de sessão com autenticação multifator para um administrador. Essas ferramentas geram uma senha para uma conta alternativa acessar o sistema. O acesso ao sistema ocorre com um único fator.
As ferramentas da Microsoft implementam o Privileged Identity Management (PIM) para sistemas privilegiados com o Microsoft Entra ID como o sistema central de gerenciamento de identidades. Imponha a autenticação multifator para a maioria dos sistemas privilegiados que são aplicativos, elementos de infraestrutura ou dispositivos.
Use o PIM para uma função privilegiada, quando ele for implementado com identidades do Microsoft Entra. Identificar sistemas privilegiados que requerem proteções para evitar movimentos laterais.
Saiba mais:
- O que é o Microsoft Entra Privileged Identity Management?
- Planejar uma implantação do Privileged Identity Management
Próximos passos
- Atenda aos requisitos de identidade do memorando 22-09 com o Microsoft Entra ID
- Memo 22-09 Sistema de gerenciamento de identidade em toda a empresa
- Atender aos requisitos de autenticação multifator do memorando 22-09
- Outras áreas da Zero Trust abordadas no memorando 22-09
- Protegendo a identidade com Zero Trust