SC-900 Aula 02

Prévia do material em texto

<p>SC-900T00-A Roteiro de aprendizagem: descrever as funcionalidades do Microsoft Azure Active Directory, parte</p><p>do Microsoft Entra</p><p>© Copyright Microsoft Corporation. Todos os direitos reservados.</p><p>Cinza-azulado</p><p>R36 G58 B94</p><p>Hex #243A5E</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Branco</p><p>R255 G255 B255</p><p>Hex #FFFFFF</p><p>Cinza extra escuro</p><p>R47 G47 B47</p><p>Hexa #2f2f2f</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Azul</p><p>R0 G120 B212</p><p>Hex #0078D4</p><p>Cinza-escuro</p><p>R80 G80 B80</p><p>Hex #505050</p><p>Cinza claro</p><p>R235 G235 B235</p><p>Hexadecimal #EBEBEB</p><p>© Microsoft Corporation</p><p>1</p><p>Agenda do roteiro de aprendizagem</p><p>Explorar os serviços e tipos de identidade do Azure AD.</p><p>Explorar as funcionalidades de autenticação do Azure AD.</p><p>Explorar as funcionalidades de gerenciamento de acesso do Azure AD.</p><p>Descrever as funcionalidades de governança e proteção de identidade do Azure AD.</p><p>© Copyright Microsoft Corporation. Todos os direitos reservados.</p><p>Cinza-azulado</p><p>R36 G58 B94</p><p>Hex #243A5E</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Branco</p><p>R255 G255 B255</p><p>Hex #FFFFFF</p><p>Cinza extra escuro</p><p>R47 G47 B47</p><p>Hexa #2f2f2f</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Azul</p><p>R0 G120 B212</p><p>Hex #0078D4</p><p>Cinza-escuro</p><p>R80 G80 B80</p><p>Hex #505050</p><p>Cinza claro</p><p>R235 G235 B235</p><p>Hexadecimal #EBEBEB</p><p>Legendagem oculta</p><p>demarcação de espaço</p><p>Observe que Azure Active Directory e Azure AD são intercambiáveis.</p><p>© Microsoft Corporation.Todos os direitos reservados.A MICROSOFT NÃO OFERECE GARANTIAS, CONTRATUAIS, LEGAIS OU ESTATUTÁRIAS, EM RELAÇÃO ÀS INFORMAÇÕES CONTIDAS NESTA APRESENTAÇÃO.</p><p>12/12/2022 2:28 PM</p><p>2</p><p>Módulo 1: explorar os serviços e os tipos de identidade no Azure AD</p><p>© Copyright Microsoft Corporation. Todos os direitos reservados.</p><p>Cinza-azulado</p><p>R36 G58 B94</p><p>Hex #243A5E</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Branco</p><p>R255 G255 B255</p><p>Hex #FFFFFF</p><p>Cinza extra escuro</p><p>R47 G47 B47</p><p>Hexa #2f2f2f</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Azul</p><p>R0 G120 B212</p><p>Hex #0078D4</p><p>Cinza-escuro</p><p>R80 G80 B80</p><p>Hex #505050</p><p>Cinza claro</p><p>R235 G235 B235</p><p>Hexadecimal #EBEBEB</p><p>Legendagem oculta</p><p>demarcação de espaço</p><p>© Microsoft Corporation</p><p>3</p><p>Introdução ao Módulo 1</p><p>Depois de concluir este módulo, você poderá:</p><p>Descrever o Azure AD.</p><p>Descreva os tipos de identidade compatíveis com o Azure AD.</p><p>© Copyright Microsoft Corporation. Todos os direitos reservados.</p><p>Cinza-azulado</p><p>R36 G58 B94</p><p>Hex #243A5E</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Branco</p><p>R255 G255 B255</p><p>Hex #FFFFFF</p><p>Cinza extra escuro</p><p>R47 G47 B47</p><p>Hexa #2f2f2f</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Azul</p><p>R0 G120 B212</p><p>Hex #0078D4</p><p>Cinza-escuro</p><p>R80 G80 B80</p><p>Hex #505050</p><p>Cinza claro</p><p>R235 G235 B235</p><p>Hexadecimal #EBEBEB</p><p>Legendagem oculta</p><p>demarcação de espaço</p><p>Microsoft Azure Active Directory, parte do Microsoft Entra</p><p>O Microsoft Entra é nossa família de produtos que abrange todas as funcionalidades de identidade e acesso da Microsoft, incluindo o Microsoft Azure AD (Azure Active Directory).</p><p>O Azure AD é o serviço de gerenciamento de acesso e identidade baseado em nuvem da Microsoft.Os recursos do AD:</p><p>Permitem que as organizações possibilitem que os funcionários, convidados e outras pessoas façam logon e acessem os recursos necessários.</p><p>Proporcionam um sistema de identidade único para os aplicativos na nuvem e no local.</p><p>Protegem as identidades e credenciais do usuário e atendem às exigências de governança de acesso da organização.</p><p>Cada assinatura do Microsoft 365, Office 365, Azure e Dynamics 365 Online usa um locatário do Azure AD automaticamente.</p><p>© Copyright Microsoft Corporation. Todos os direitos reservados.</p><p>Cinza-azulado</p><p>R36 G58 B94</p><p>Hex #243A5E</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Branco</p><p>R255 G255 B255</p><p>Hex #FFFFFF</p><p>Cinza extra escuro</p><p>R47 G47 B47</p><p>Hexa #2f2f2f</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Azul</p><p>R0 G120 B212</p><p>Hex #0078D4</p><p>Cinza-escuro</p><p>R80 G80 B80</p><p>Hex #505050</p><p>Cinza claro</p><p>R235 G235 B235</p><p>Hexadecimal #EBEBEB</p><p>Legendagem oculta</p><p>demarcação de espaço</p><p>O Microsoft Entra é nossa nova família de produtos que abrange todas as funcionalidades de identidade e acesso da Microsoft. A família Entra inclui o Microsoft Azure AD (Azure Active Directory), bem como outras novas categorias de produto (observe que as novas categorias de produtos estão fora do escopo dos Conceitos básicos de segurança, conformidade e identidade).</p><p>O Azure AD (Azure Active Directory) é o serviço de gerenciamento de acesso e identidade baseado em nuvem da Microsoft.As organizações usam o Azure AD para permitir que os funcionários, convidados e outras pessoas façam logon e acessem os recursos necessários, incluindo:</p><p>Recursos internos, como aplicativos em sua rede corporativa e intranet, bem como aplicativos de nuvem desenvolvidos por sua organização.</p><p>Serviços externos, como o Microsoft Office 365, o portal do Azure e os aplicativos de SaaS usados pela organização.</p><p>O Azure AD simplifica a maneira como as organizações gerenciam a autorização e o acesso, fornecendo um único sistema de identidade para os aplicativos no local e na nuvem.O Azure AD pode ser sincronizado com o Active Directory local existente, sincronizado com outros serviços de diretório ou usado como serviço autônomo.</p><p>O Azure AD também permite que as organizações habilitem com segurança o uso de dispositivos pessoais, como celulares e tablets, e habilitem a colaboração com parceiros de negócios e clientes.</p><p>O Azure AD é usado por administradores de TI para controlar o acesso a aplicativos e recursos corporativos, com base nos requisitos de negócios.Também pode ser configurado para exigir a autenticação multifator ao acessar recursos organizacionais importantes.O Azure AD pode ser usado para automatizar o provisionamento de usuários entre o Windows Server AD existente e os aplicativos na nuvem, incluindo o Microsoft 365.Por fim, o Azure AD fornece ferramentas avançadas para ajudar a proteger automaticamente as credenciais e identidades de usuário e para atender aos requisitos de governança de acesso de uma organização.</p><p>Os desenvolvedores usam o Azure AD como abordagem baseada em padrões para adicionar o SSO (logon único) aos aplicativos, para que os usuários possam entrar com as credenciais preexistentes. O Azure AD também fornece APIs que permitem que os desenvolvedores criem experiências de aplicativo personalizadas usando os dados organizacionais existentes.</p><p>Os assinantes dos serviços do Azure, Microsoft 365 ou Dynamics 365 tem acesso automaticamente ao Azure AD.Os usuários desses serviços podem aproveitar os serviços incluídos do Azure AD e aprimorar a própria implementação do Azure AD, fazendo o upgrade para licenças do Azure AD Premium.</p><p>© Microsoft Corporation</p><p>5</p><p>Tipos de identidade do Azure AD</p><p>O Azure AD gerencia diferentes tipos de identidades: usuários, entidades de serviço, identidades gerenciadas e dispositivos.</p><p>Usuário – Em termos gerais, um usuário é uma representação da identidade de uma pessoa que é gerenciada pelo Azure AD. Os funcionários e convidados são representados como usuários no Azure AD.</p><p>Dispositivo – Uma unidade de hardware, como dispositivos móveis, notebooks, servidores ou impressoras. As identidades de dispositivo podem ser configuradas de maneiras diferentes no Azure AD, para determinar propriedades como quem é o proprietário do dispositivo.</p><p>Entidade de serviço – Você pode pensar nisso como a identidade de um aplicativo.  Uma entidade de serviço é criada em cada locatário que o aplicativo é usado e define quem pode acessá-lo, quais recursos ele pode acessar</p><p>e muito mais.</p><p>Identidade gerenciada – Um tipo de entidade de serviço, uma identidade gerenciada fornece uma identidade que os aplicativos podem usar ao se conectar a recursos que dão suporte à autenticação do Azure AD. Os desenvolvedores não precisam gerenciar credenciais.</p><p>© Copyright Microsoft Corporation. Todos os direitos reservados.</p><p>Cinza-azulado</p><p>R36 G58 B94</p><p>Hex #243A5E</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Branco</p><p>R255 G255 B255</p><p>Hex #FFFFFF</p><p>Cinza extra escuro</p><p>R47 G47 B47</p><p>Hexa #2f2f2f</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Azul</p><p>R0 G120 B212</p><p>Hex #0078D4</p><p>Cinza-escuro</p><p>R80 G80 B80</p><p>Hex #505050</p><p>Cinza claro</p><p>R235 G235 B235</p><p>Hexadecimal #EBEBEB</p><p>Legendagem oculta</p><p>demarcação de espaço</p><p>As identidades gerenciadas são um tipo de entidade de serviço gerenciada automaticamente no Azure AD que eliminam a necessidade</p><p>G185 B0OrangeR216 G59 B1Light YellowR255 G241 B0Light OrangeR255 G140 B0Light MagentaR227 G0 B140Light PurpleR180 G160 B255Light TealR0 G178 B148Light GreenR186 G216 B10Dark RedR168 G0 B0Dark Magenta R92 G0 B92Dark PurpleR50 G20 B90Mid BlueR0 G24 B143Dark TealR0 G75 B80Dark GreenR0 G75 B28Dark BlueR0 G32 B80Mid GrayR115 G115 B115 Dark GrayR80 G80 B80 Rich BlackR0 G0 B0 WhiteR255 G255 B255GrayR210 G210 B210 Light GrayR230 G230 B230</p><p>image16.png</p><p>de os desenvolvedores gerenciarem credenciais.As identidades gerenciadas fornecem uma identidade para os aplicativos usarem ao se conectar a recursos do Azure que dão suporte à autenticação do Azure AD e podem ser usadas sem nenhum custo extra.</p><p>Há vários benefícios para o uso de identidades gerenciadas, incluindo:</p><p>Qualquer serviço do Azure que dê suporte à autenticação do Azure AD pode usar identidades gerenciadas para ser autenticado em outro serviço do Azure, por exemplo, acessando o Azure Key Vault.</p><p>Por exemplo, desenvolvedores de aplicativos que desejam criar um aplicativo usando recursos do Azure, como uma VM, que acessa qualquer recurso do Azure que dá suporte à autenticação do Azure AD, sem ter que gerenciar credenciais.</p><p>As identidades gerenciadas podem ser usadas sem custos adicionais.</p><p>Há dois tipos de identidades gerenciadas: atribuída pelo sistema e atribuída pelo usuário.</p><p>Atribuída pelo sistema.Alguns serviços do Azure permitem que você habilite uma identidade gerenciada diretamente em uma instância de serviço.Quando você habilita uma identidade gerenciada atribuída pelo sistema, uma identidade é criada no Azure AD que está vinculada ao ciclo de vida dessa instância de serviço.Quando o recurso é excluído, o Azure exclui automaticamente a identidade para você.Por design, somente o recurso do Azure pode usar essa identidade para solicitar tokens do Azure AD.</p><p>Atribuída pelo usuário. Você também pode criar uma identidade gerenciada como um recurso autônomo do Azure.Depois de criar uma identidade gerenciada atribuída pelo usuário, é possível atribuí-la a uma ou mais instâncias de um serviço do Azure.Com as identidades gerenciadas atribuídas pelo usuário, a identidade é gerenciada separadamente dos recursos que a usam.</p><p>O dispositivo é uma parte do hardware, como dispositivos móveis, notebooks, servidores ou impressoras.Uma identidade do dispositivo fornece aos administradores informações que eles podem usar ao tomar decisões de acesso ou configuração.As identidades de dispositivo podem ser configuradas de diferentes modos no Azure AD.</p><p>Dispositivos registrados no Azure AD.A meta dos dispositivos registrados do Azure AD é fornecer aos usuários suporte para cenários BYOD (Traga seu próprio dispositivo) ou de dispositivo móvel.Nesses cenários, o usuário pode acessar os recursos da organização usando um dispositivo pessoal.Os dispositivos registrados no Azure AD se registram no Azure AD sem exigir que uma conta organizacional entre no dispositivo.Os sistemas operacionais com suporte para dispositivos registrados no Azure AD incluem Windows 10 e superior, iOS, Android e macOS.</p><p>Ingressado no Azure AD.Um dispositivo é ingressado no Azure AD por meio de uma conta organizacional, que é usada para entrar no dispositivo.Os dispositivos ingressados no Azure AD geralmente pertencem à organização.Os sistemas operacionais com suporte para dispositivos ingressados no Azure AD incluem Windows 10 ou superior (exceto edição Home) e Windows Server 2019 Máquinas Virtuais em execução no Azure.</p><p>Dispositivos ingressados no Azure AD híbrido.As organizações com implementações do Active Directory local podem se beneficiar da funcionalidade oferecida pelo Azure AD implementando dispositivos ingressados no Azure AD híbrido.Esses dispositivos são ingressados no Active Directory local e no Azure AD, exigindo que a conta organizacional se conecte ao dispositivo.</p><p>© Microsoft Corporation.Todos os direitos reservados.A MICROSOFT NÃO OFERECE GARANTIAS, CONTRATUAIS, LEGAIS OU ESTATUTÁRIAS, EM RELAÇÃO ÀS INFORMAÇÕES CONTIDAS NESTA APRESENTAÇÃO.</p><p>12/12/2022 2:28 PM</p><p>6</p><p>Demonstração</p><p>Configurações de usuário do Azure AD</p><p>© Copyright Microsoft Corporation. Todos os direitos reservados.</p><p>Cinza-azulado</p><p>R36 G58 B94</p><p>Hex #243A5E</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Branco</p><p>R255 G255 B255</p><p>Hex #FFFFFF</p><p>Cinza extra escuro</p><p>R47 G47 B47</p><p>Hexa #2f2f2f</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Azul</p><p>R0 G120 B212</p><p>Hex #0078D4</p><p>Cinza-escuro</p><p>R80 G80 B80</p><p>Hex #505050</p><p>Cinza claro</p><p>R235 G235 B235</p><p>Hexadecimal #EBEBEB</p><p>Legendagem oculta</p><p>demarcação de espaço</p><p>Ver script de demonstração no GitHub</p><p>7</p><p>Identidades externas no Azure AD</p><p>Duas Identidades externas diferentes do Azure AD:</p><p>Colaboração B2B</p><p>A colaboração B2B permite que você compartilhe os aplicativos e recursos com usuários externos.</p><p>Gerenciamento de acesso B2C</p><p>B2C é uma solução de gerenciamento de identidade para aplicativos voltados para o consumidor e para o cliente.</p><p>© Copyright Microsoft Corporation. Todos os direitos reservados.</p><p>Cinza-azulado</p><p>R36 G58 B94</p><p>Hex #243A5E</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Branco</p><p>R255 G255 B255</p><p>Hex #FFFFFF</p><p>Cinza extra escuro</p><p>R47 G47 B47</p><p>Hexa #2f2f2f</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Azul</p><p>R0 G120 B212</p><p>Hex #0078D4</p><p>Cinza-escuro</p><p>R80 G80 B80</p><p>Hex #505050</p><p>Cinza claro</p><p>R235 G235 B235</p><p>Hexadecimal #EBEBEB</p><p>Legendagem oculta</p><p>demarcação de espaço</p><p>As Identidades Externas do Azure AD consistem em um conjunto de recursos que possibilitam que as organizações permitam o acesso a usuários externos, como clientes ou parceiros.Os clientes, parceiros e outros usuários convidados podem "trazer suas próprias identidades" para se conectar.</p><p>Essa capacidade para usuários externos é habilitada por meio do suporte do Azure AD de provedores de identidade externos, como outros locatários do Azure AD, Facebook, Google ou provedores de identidade empresariais.Os administradores podem configurar a federação com provedores de identidade para que os usuários externos possam entrar com suas contas sociais ou corporativas existentes, em vez de criar uma nova conta apenas para seu aplicativo.</p><p>Há duas Identidades Externas do Azure AD diferentes: B2B e B2C.</p><p>A colaboração B2B permite que você compartilhe os aplicativos e recursos com usuários externos.</p><p>B2C é uma solução de gerenciamento de identidade para aplicativos voltados para o consumidor e para o cliente.</p><p>Colaboração B2B</p><p>A colaboração B2B permite que você compartilhe os aplicativos e serviços da sua organização com usuários convidados de outras organizações, mantendo o controle sobre seus próprios dados.A colaboração B2B usa um processo de convite e resgate, permitindo que usuários externos acessem os recursos com as credenciais deles.Os desenvolvedores podem personalizar o processo de convite e resgate usando as APIs do Azure AD B2B.</p><p>Com a colaboração B2B, os usuários externos são gerenciados no mesmo diretório que os funcionários, mas são anotados de normalmente como usuários convidados.Os usuários convidados podem ser gerenciados da mesma forma que os funcionários, ser adicionados aos mesmos grupos e assim por diante.Com o B2B, há suporte para SSO (logon único) em todos os aplicativos conectados ao Azure AD.</p><p>Gerenciamento de acesso B2C</p><p>O Azure AD B2C é uma solução de CIAM (gerenciamento de acesso de identidade do cliente).O Azure AD B2C permite que usuários externos entrem com suas identidades preferenciais de conta social, corporativa ou local para obter o logon único para os aplicativos.O Azure AD B2C dá suporte a milhões de usuários e bilhões de autenticações por dia.Ele cuida do dimensionamento e da segurança da plataforma de autenticação, do monitoramento e do tratamento automático de ameaças, como negação de serviço, irrigação de senha ou ataques de força bruta.</p><p>Com o Azure AD B2C, os usuários externos são gerenciados no diretório Azure AD B2C, separadamente do diretório de funcionários e parceiros da organização.Também há suporte para SSO para os aplicativos de clientes nos locatário do Azure AD B2C.</p><p>O Azure AD B2C é uma solução de autenticação que você pode personalizar com a sua marca para que seja combinada com os seus aplicativos Web e móveis.</p><p>As Identidades Externas do Azure AD são um recurso das edições Premium P1 e P2 do Azure AD e os preços se baseiam em usuários ativos mensais.Para obter mais informações, confira Preço do Azure AD.</p><p>© Microsoft Corporation</p><p>8</p><p>O conceito de identidades híbridas</p><p>Uma identidade híbrida é uma identidade de usuário comum para autenticação e autorização de todos os recursos, independentemente da localização (local e na nuvem).</p><p>Com o Azure</p><p>AD Connect,as atualizações no AD DS local são sincronizadas com o Azure AD.</p><p>Métodos de autenticação de identidade híbrida:</p><p>Sincronização de hash de senha</p><p>Autenticação de passagem</p><p>Autenticação federada</p><p>© Copyright Microsoft Corporation. Todos os direitos reservados.</p><p>Cinza-azulado</p><p>R36 G58 B94</p><p>Hex #243A5E</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Branco</p><p>R255 G255 B255</p><p>Hex #FFFFFF</p><p>Cinza extra escuro</p><p>R47 G47 B47</p><p>Hexa #2f2f2f</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Azul</p><p>R0 G120 B212</p><p>Hex #0078D4</p><p>Cinza-escuro</p><p>R80 G80 B80</p><p>Hex #505050</p><p>Cinza claro</p><p>R235 G235 B235</p><p>Hexadecimal #EBEBEB</p><p>Legendagem oculta</p><p>demarcação de espaço</p><p>Muitas organizações são uma mistura de aplicativos locais e em nuvem.Independentemente de um aplicativo ser hospedado localmente ou na nuvem, os usuários esperam e exigem acesso fácil.As soluções de identidade da Microsoft abrangem funcionalidades locais e baseadas em nuvem.Essas soluções criam uma identidade de usuário comum para autenticação e autorização para todos os recursos, independentemente da localização.Chamamos isso de identidade híbrida.</p><p>Uma consideração importante para as organizações que operam em um ambiente de nuvem mista e local (modelo híbrido) é determinar o método de autenticação certo para sua solução do Azure AD para elas.Essa é uma decisão importante no percurso de uma organização para a nuvem e como os usuários vão entrar e acessar os aplicativos.É a base para a infraestrutura de TI moderna da organização sobre a qual as organizações vão criar sua solução de gerenciamento de segurança, identidade e acesso usando o Azure AD.Por fim, depois que um método de autenticação é estabelecido, fica mais difícil altera-lo porque isso pode causar ruptura na experiência de conexão dos usuários.Quando se trata de autenticação de identidades híbridas, a Microsoft oferece várias maneiras de autenticar.</p><p>Sincronização de hash de senha do Azure AD.</p><p>Autenticação de passagem do Azure AD</p><p>Autenticação federada</p><p>Essas opções de autenticação híbrida, descritas abaixo, exigem um Active Directory local.Além disso, o Azure AD Connect, um aplicativo da Microsoft local executado em um servidor, é necessário e serve como uma ponte entre o Azure AD e o Active Directory local.</p><p>Um dos três métodos de autenticação pode ser usado:</p><p>Sincronização de hash de senha.A sincronização de hash de senha do Azure AD é a maneira mais simples de habilitar a autenticação para objetos do directory locais no Azure AD.Os usuários podem entrar nos serviços do Azure AD usando o mesmo nome de usuário e senha usados para entrar na instância do Active Directory local.O Azure AD lida com o processo de entrada dos usuários.</p><p>PTA (autenticação de passagem). A autenticação de passagem do Azure AD permite que os usuários entrem em aplicativos locais e baseados em nuvem usando as mesmas senhas, como sincronização de hash de senha. Uma diferença importante, no entanto, é que, quando os usuários entram usando o Azure AD, a autenticação de passagem valida as senhas dos usuários diretamente em relação ao Active Directory local.A validação de senha não ocorre na nuvem.Isso pode ser um fator importante para as organizações que desejam impor as próprias políticas de segurança e senha do Active Directory local.</p><p>Autenticação federada. Na autenticação federada, o Azure AD entrega o processo de autenticação para um sistema de autenticação confiável separado, como os Serviços de Federação do Active Directory (AD FS) locais, para validar a senha do usuário.Esse método de entrada garante que toda a autenticação do usuário ocorra localmente. A federação é recomendada como uma autenticação para organizações que têm recursos avançados incompatíveis com o Azure AD no momento, incluindo logon usando cartões inteligentes ou certificados, logon usando o servidor de MFA (autenticação multifator) local e logon usando uma solução de autenticação de terceiros.</p><p>© Microsoft Corporation</p><p>9</p><p>Módulo 2: explorar as funcionalidades de autenticação do Azure AD</p><p>© Copyright Microsoft Corporation. Todos os direitos reservados.</p><p>Cinza-azulado</p><p>R36 G58 B94</p><p>Hex #243A5E</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Branco</p><p>R255 G255 B255</p><p>Hex #FFFFFF</p><p>Cinza extra escuro</p><p>R47 G47 B47</p><p>Hexa #2f2f2f</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Azul</p><p>R0 G120 B212</p><p>Hex #0078D4</p><p>Cinza-escuro</p><p>R80 G80 B80</p><p>Hex #505050</p><p>Cinza claro</p><p>R235 G235 B235</p><p>Hexadecimal #EBEBEB</p><p>Legendagem oculta</p><p>demarcação de espaço</p><p>© Microsoft Corporation</p><p>10</p><p>Introdução ao Módulo 2</p><p>Depois de concluir este módulo, você poderá:</p><p>Descrever os métodos de autenticação segura do Azure AD.</p><p>Descrever a autenticação multifator no Azure AD.</p><p>Descrever os recursos de gerenciamento e proteção de senha do Azure AD.</p><p>© Copyright Microsoft Corporation. Todos os direitos reservados.</p><p>Cinza-azulado</p><p>R36 G58 B94</p><p>Hex #243A5E</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Branco</p><p>R255 G255 B255</p><p>Hex #FFFFFF</p><p>Cinza extra escuro</p><p>R47 G47 B47</p><p>Hexa #2f2f2f</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Azul</p><p>R0 G120 B212</p><p>Hex #0078D4</p><p>Cinza-escuro</p><p>R80 G80 B80</p><p>Hex #505050</p><p>Cinza claro</p><p>R235 G235 B235</p><p>Hexadecimal #EBEBEB</p><p>Legendagem oculta</p><p>demarcação de espaço</p><p>Métodos de autenticação do Azure AD</p><p>Senhas (autenticação primária)</p><p>Autenticação baseada em telefone</p><p>SMS ( autenticação primária e secundária)</p><p>Voz (autenticação secundária)</p><p>Padrão OATH para a geração de códigos em senhas de uso único (autenticação secundária)</p><p>Tokens de SW</p><p>Tokens de HW</p><p>Sem senha (autenticação primária e secundária)</p><p>Biometria (Windows Hello)</p><p>Microsoft Authenticator</p><p>FIDO2</p><p>© Copyright Microsoft Corporation. Todos os direitos reservados.</p><p>Cinza-azulado</p><p>R36 G58 B94</p><p>Hex #243A5E</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Branco</p><p>R255 G255 B255</p><p>Hex #FFFFFF</p><p>Cinza extra escuro</p><p>R47 G47 B47</p><p>Hexa #2f2f2f</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Azul</p><p>R0 G120 B212</p><p>Hex #0078D4</p><p>Cinza-escuro</p><p>R80 G80 B80</p><p>Hex #505050</p><p>Cinza claro</p><p>R235 G235 B235</p><p>Hexadecimal #EBEBEB</p><p>Legendagem oculta</p><p>demarcação de espaço</p><p>Senhas – As senhas são a forma mais comum de autenticação, mas elas apresentam vários problemas, principalmente se usadas na autenticação de fator único, em que apenas uma forma de autenticação é usada. Se forem simples de lembrar, serão fáceis de serem comprometidas por um hacker.As senhas fortes que não apresentam facilidade de violação são difíceis de serem lembradas e afetam a produtividade do usuário quando esquecidas.</p><p>Autenticação baseada em telefone – O Azure AD é compatível com duas opções de autenticação baseada em telefone.</p><p>Autenticação baseada em SMS.O SMS (serviço de mensagem curta) usado em mensagens de texto de dispositivo móvel pode ser usado como uma forma primária de autenticação.Com a entrada baseada em SMS, os usuários não precisam saber um nome de usuário e uma senha para acessar aplicativos e serviços. Em vez disso, o usuário insere seu número de telefone celular registrado, recebe uma mensagem de texto com um código de verificação e insere isso na interface de entrada.Os usuários também podem optar por verificar a identidade por meio de mensagens SMS em um telefone celular como uma forma secundária de autenticação durante a SSPR (redefinição de senha self-service) ou a MFA. Por exemplo, os usuários podem complementar a senha usando mensagens SMS.Um SMS é enviado para o número do celular que contém um código de verificação.Para concluir o processo de entrada, o código de verificação fornecido é inserido na interface de entrada.</p><p>Verificação por chamada de voz. Os usuários também podem verificar a própria identidade por meio de uma chamada de voz como uma forma secundária de autenticação durante a MFA e a SSPR. Com a verificação por chamada telefônica, uma chamada de voz automatizada é feita para o número de telefone registrado pelo usuário.Para concluir o processo de entrada, o usuário será solicitado a pressionar # no teclado.Não há suporte para chamadas de voz como forma primária de autenticação no Azure AD.</p><p>OATH (autenticação aberta) é um padrão aberto que especifica como os códigos de TOTP (Senhas Avulsas por Tempo Limitado) são gerados. Os códigos de senhas avulsas podem ser usados para autenticar um usuário.As TOTP da OATH podem ser implementadas usando software ou hardware para gerar os</p><p>códigos.</p><p>Tokens OATH de software normalmente são aplicativos.O Azure AD gera a chave secreta ou semente, que é inserida no aplicativo e usada para gerar cada OTP.</p><p>Tokens de hardware OATH TOTP (com suporte na visualização pública) são pequenos dispositivos de hardware que se parecem com um chaveiro que exibe um código que é atualizado a cada 30 ou 60 segundos.Os tokens de hardware OATH TOTP normalmente vêm com uma chave secreta ou semente previamente programada no token.Essas chaves e outras informações específicas de cada token devem ser inseridas no Azure AD e ativadas para uso pelos usuários finais.</p><p>Há suporte para tokens de software e de hardware OATH apenas como formas secundárias de autenticação no Azure AD, para verificar uma identidade durante a SSPR ou a MFA.</p><p>Sem senha</p><p>Biometria (Windows Hello) – O Windows Hello para Empresas ajuda na proteção contra roubo de credenciais, pois o invasor precisa ter o dispositivo e as informações biométricas ou o PIN, o que dificulta ainda mais o acesso sem o conhecimento do funcionário. Como um método de autenticação sem senha, o Windows Hello para Empresas serve como uma forma primária de autenticação.Além disso, o Windows Hello para Empresas pode ser usado como uma forma secundária de autenticação para verificar uma identidade com a autenticação multifator.</p><p>Microsoft Authenticator – Como um método de autenticação sem senha, o aplicativo Microsoft Authenticator pode ser usado como uma forma primária de autenticação para entrar em qualquer conta do Azure AD ou como uma opção de verificação adicional, durante eventos de SSPR (redefinição de senha por autoatendimento) ou autenticação multifator do Azure AD.</p><p>FIDO 2 – Como um método de autenticação sem senha, o FIDO2 funciona como uma forma primária de autenticação. Além disso, o FIDO2 pode ser usado como uma forma secundária de autenticação para verificar uma identidade durante a autenticação multifator.</p><p>© Microsoft Corporation</p><p>12</p><p>MFA (autenticação multifator) no Azure AD</p><p>MFA (autenticação multifator) e padrões de segurança</p><p>A MFA exige mais de uma forma de verificação:</p><p>Algo que você sabe</p><p>Algo que você tem</p><p>Algo que você é</p><p>Padrões de segurança:</p><p>Um conjunto de mecanismos básicos de segurança de identidade recomendados pela Microsoft.</p><p>Uma ótima opção para as organizações que querem aumentar a postura de segurança, mas não sabem por onde começar, ou para organizações que usam a camada gratuita do licenciamento do Azure AD.</p><p>© Copyright Microsoft Corporation. Todos os direitos reservados.</p><p>Cinza-azulado</p><p>R36 G58 B94</p><p>Hex #243A5E</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Branco</p><p>R255 G255 B255</p><p>Hex #FFFFFF</p><p>Cinza extra escuro</p><p>R47 G47 B47</p><p>Hexa #2f2f2f</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Azul</p><p>R0 G120 B212</p><p>Hex #0078D4</p><p>Cinza-escuro</p><p>R80 G80 B80</p><p>Hex #505050</p><p>Cinza claro</p><p>R235 G235 B235</p><p>Hexadecimal #EBEBEB</p><p>Legendagem oculta</p><p>demarcação de espaço</p><p>Os aplicativos herdados contam com uma única forma de autenticação, geralmente uma senha.No entanto, as senhas são problemáticas para os usuários e facilmente comprometidas. A autenticação multifator requer mais de uma forma de verificação, como um dispositivo confiável ou uma verificação de impressão digital, para provar a legitimidade de uma identidade. Isso significa que, mesmo quando a senha de uma identidade for comprometida, um hacker não poderá acessar um recurso.</p><p>A autenticação multifator melhora significativamente a segurança de uma identidade, ao mesmo tempo que ainda é simples para os usuários.O fator de autenticação extra deve ser algo difícil para um invasor obter ou duplicar.</p><p>O vídeo a seguir explica o problema com senhas e por que a autenticação multifator é tão importante. https://www.microsoft.com/videoplayer/embed/RE4zhD7</p><p>A autenticação multifator do Azure Active Directory funciona exigindo:</p><p>Algo que você sabe – Geralmente uma senha ou um PIN e</p><p>Algo que você tem – Como um dispositivo confiável que não pode ser duplicado com facilidade, como um telefone ou uma chave de hardware ou</p><p>Algo que você é – Uma biometria, como uma impressão digital ou uma verificação facial.</p><p>Os prompts de verificação da autenticação multifator estão configurados para fazer parte do evento de entrada do Azure AD.O Azure AD solicita e processa automaticamente a autenticação multifator, sem que você faça nenhuma alteração em seus aplicativos ou serviços.Quando um usuário entra, ele recebe um prompt de autenticação multifator e pode escolher uma das formas de verificação adicional que ele registrou.</p><p>Um administrador pode exigir determinados métodos de verificação, ou o usuário pode acessar a MyAccount dele para editar ou adicionar métodos de verificação.</p><p>As seguintes formas adicionais de verificação podem ser usadas com a autenticação multifator do Azure AD:</p><p>Aplicativo Microsoft Authenticator</p><p>sms</p><p>Chamada de voz</p><p>Token OATH de hardware</p><p>Padrões de segurança e autenticação multifator</p><p>Os padrões de segurança são um conjunto de mecanismos de segurança de identidade básicos recomendados pela Microsoft.Quando habilitadas, essas recomendações serão automaticamente impostas em sua organização.A meta é garantir que todas as organizações tenham um nível básico de segurança habilitado sem custos adicionais.Esses padrões habilitam alguns dos controles e recursos de segurança mais comuns, incluindo:</p><p>Impor o registro de autenticação multifator do Azure AD para todos os usuários.</p><p>Forçar os administradores a usar a autenticação multifator.</p><p>Exigir que todos os usuários concluam a autenticação multifator quando necessário.</p><p>Os padrões de segurança são uma ótima opção para as organizações que desejam aumentar a postura de segurança, mas não sabem por onde começar ou para organizações que usam a camada gratuita do licenciamento do Azure AD.Os padrões de segurança podem não ser apropriados para organizações com licenças premium do Azure AD ou requisitos de segurança mais complexos.</p><p>© Microsoft Corporation</p><p>13</p><p>Descrever a SSPR (redefinição de senha por autoatendimento) no Azure AD</p><p>Benefícios da redefinição de senha por autoatendimento:</p><p>Os administradores podem alterar as configurações para acomodar novos requisitos de segurança.</p><p>Economiza o dinheiro da organização, reduzindo o número de chamadas e solicitações para a equipe de suporte técnico.</p><p>Aumenta a produtividade, permitindo que o usuário retorne ao trabalho mais rapidamente.</p><p>A redefinição de senha por autoatendimento funciona nos seguintes cenários:</p><p>Alteração de senha</p><p>Redefinição de senha</p><p>Desbloqueio de conta</p><p>Método de autenticação de SSPR:</p><p>Notificação de aplicativo móvel	Telefone celular</p><p>Código do aplicativo móvel	Telefone comercial</p><p>email	Perguntas de segurança</p><p>© Copyright Microsoft Corporation. Todos os direitos reservados.</p><p>Cinza-azulado</p><p>R36 G58 B94</p><p>Hex #243A5E</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Branco</p><p>R255 G255 B255</p><p>Hex #FFFFFF</p><p>Cinza extra escuro</p><p>R47 G47 B47</p><p>Hexa #2f2f2f</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Azul</p><p>R0 G120 B212</p><p>Hex #0078D4</p><p>Cinza-escuro</p><p>R80 G80 B80</p><p>Hex #505050</p><p>Cinza claro</p><p>R235 G235 B235</p><p>Hexadecimal #EBEBEB</p><p>Legendagem oculta</p><p>demarcação de espaço</p><p>A SSPR (redefinição de senha self-service) é um recurso do Azure AD que permite aos usuários alterar ou redefinir a senha deles, sem envolvimento do administrador ou do suporte técnico.</p><p>Se a conta de um usuário estiver bloqueada ou se ele esquecer a senha, ele poderá seguir os prompts para redefini-la e voltar ao trabalho.A redefinição de senha self-service tem vários benefícios:</p><p>Os administradores podem alterar as configurações para acomodar novos requisitos de segurança e reverter essas alterações para os usuários sem interromper sua entrada.</p><p>Economiza o dinheiro da organização, reduzindo o número de chamadas e solicitações para a equipe de suporte técnico.</p><p>Aumenta a produtividade, permitindo que o usuário retorne ao trabalho mais rapidamente.</p><p>A redefinição de senha por autoatendimento funciona nos seguintes cenários:</p><p>Alteração de senha:: o usuário sabe a senha, mas deseja alterá-la para uma nova.</p><p>Redefinição de senha: o usuário não consegue entrar, por exemplo, porque esqueceu a senha, e deseja redefini-la.</p><p>Desbloqueio de</p><p>conta: o usuário não consegue entrar porque a conta está bloqueada.</p><p>Para usar a redefinição de senha self-service, os usuários devem:</p><p>Ter uma licença do Azure AD atribuída.Confira Requisitos de licenciamento para redefinição de senha por autoatendimento do Azure Active Directory na seção Saiba Mais abaixo.</p><p>Estar habilitados para SSPR por um administrador.</p><p>Estar registrados com os métodos de autenticação que desejam usar.Dois ou mais métodos de autenticação são recomendados no caso de um não estar disponível.</p><p>Os seguintes métodos de autenticação estão disponíveis para SSPR:</p><p>Notificação de aplicativo móvel</p><p>Código do aplicativo móvel</p><p>Email</p><p>Telefone celular</p><p>Telefone comercial</p><p>Perguntas de segurança</p><p>Quando um usuário redefine a senha usando a redefinição de senha self-service, também pode fazer write-back em um Active Directory local.O write-back de senha permite que os usuários usem suas credenciais atualizadas com dispositivos e aplicativos locais sem atraso.</p><p>Para manter os usuários informados sobre a atividade da conta, os administradores podem configurar notificações por email a serem enviadas quando ocorrer um evento de SSPR.Essas notificações podem abranger contas de usuário e contas de administrador comuns.Para contas de administrador, essa notificação fornece uma camada adicional de reconhecimento quando uma senha de conta de administrador com privilégios é redefinida usando SSPR.Todos os administradores globais serão notificados quando a SSPR for usada em uma conta do administrador.</p><p>disponíveis.</p><p>© Microsoft Corporation</p><p>14</p><p>Demonstração</p><p>Azure AD</p><p>SSPR (redefinição de senha</p><p>self-service).</p><p>© Copyright Microsoft Corporation. Todos os direitos reservados.</p><p>Cinza-azulado</p><p>R36 G58 B94</p><p>Hex #243A5E</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Branco</p><p>R255 G255 B255</p><p>Hex #FFFFFF</p><p>Cinza extra escuro</p><p>R47 G47 B47</p><p>Hexa #2f2f2f</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Azul</p><p>R0 G120 B212</p><p>Hex #0078D4</p><p>Cinza-escuro</p><p>R80 G80 B80</p><p>Hex #505050</p><p>Cinza claro</p><p>R235 G235 B235</p><p>Hexadecimal #EBEBEB</p><p>Legendagem oculta</p><p>demarcação de espaço</p><p>Ver script de demonstração no GitHub</p><p>.</p><p>15</p><p>Recursos de gerenciamento e proteção de senha do Azure AD</p><p>Lista de senhas proibidas globalmente</p><p>Listas personalizadas de senhas banidas</p><p>Proteger-se contra a pulverização de senha</p><p>Segurança híbrida</p><p>© Copyright Microsoft Corporation. Todos os direitos reservados.</p><p>Cinza-azulado</p><p>R36 G58 B94</p><p>Hex #243A5E</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Branco</p><p>R255 G255 B255</p><p>Hex #FFFFFF</p><p>Cinza extra escuro</p><p>R47 G47 B47</p><p>Hexa #2f2f2f</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Azul</p><p>R0 G120 B212</p><p>Hex #0078D4</p><p>Cinza-escuro</p><p>R80 G80 B80</p><p>Hex #505050</p><p>Cinza claro</p><p>R235 G235 B235</p><p>Hexadecimal #EBEBEB</p><p>Legendagem oculta</p><p>demarcação de espaço</p><p>A proteção de senha é um recurso do Azure AD que reduz o risco de os usuários configurarem senhas fracas.A proteção de senha do Azure AD detecta e bloqueia senhas fracas conhecidas e suas variantes e também pode bloquear outros termos fracos que são específicos para sua organização.</p><p>Com a proteção de senha do Azure AD, as listas globais padrão de senhas banidas são automaticamente aplicadas a todos os usuários em um locatário do Azure AD.Para dar suporte a suas necessidades de negócios e de segurança, você pode definir entradas em uma lista personalizada de senhas banidas.Quando os usuários alteram ou redefinem as senhas deles, essas listas são verificadas para impor o uso de senhas fortes.</p><p>Você deve usar recursos adicionais como a autenticação multifator do Azure AD, não apenas confiar em senhas fortes impostas pela proteção de senha do Azure AD.</p><p>Lista de senhas proibidas globalmente</p><p>Uma lista global de senhas banidas com senhas fracas conhecidas é automaticamente atualizada e imposta pela Microsoft.Essa lista é mantida pela equipe do Azure AD Identity Protection, que analisa dados telemétricos de segurança para localizar senhas fracas ou comprometidas.Exemplos de senhas que podem ser bloqueadas são P@$$w0rd ou Passw0rd1 e todas as variações.</p><p>As variações são criadas usando um algoritmo que transpõe letras maiúsculas e minúsculas em números, como "1" para "l".As variações em Password1 podem incluir Passw0rd1, Pass0rd1 e outras.Essas senhas são verificadas, adicionadas à lista global de senhas banidas e disponibilizadas para todos os usuários do Azure AD.A lista global de senhas banidas é aplicada automaticamente e não pode ser desabilitada.</p><p>Se um usuário do Azure AD tentar definir a senha como uma dessas senhas fracas, ele receberá uma notificação para escolher uma mais segura.A lista global de senhas banidas é originada de ataques reais de pulverização de senha.Essa abordagem melhora a segurança e a eficácia geral, e o algoritmo de validação de senha também usa técnicas inteligentes de correspondência difusa.A proteção de senha do Azure AD detecta e bloqueia com eficiência milhões de senhas fracas mais comuns de serem usadas em sua empresa.</p><p>Listas personalizadas de senhas banidas</p><p>Os administradores também podem criar listas personalizadas de senhas banidas para dar suporte a necessidades específicas de segurança de negócios.A lista personalizada de senhas banidas proíbe o uso de senhas como o nome ou o local da organização.As senhas adicionadas à lista personalizada de senhas banidas devem ser focadas em termos específicos da organização, como:</p><p>Nomes de marcas</p><p>Nomes de produtos</p><p>Localizações, como a sede da empresa</p><p>Termos internos específicos da empresa</p><p>Abreviações que tenham um significado específico para a empresa</p><p>A lista personalizada de senhas proibidas é combinada com a lista global de senhas banidas para bloquear variações de todas as senhas.</p><p>Proteger-se contra a pulverização de senha</p><p>A proteção de senha do Azure AD ajuda você a se defender contra ataques de pulverização de senha.A maioria dos ataques de pulverização de senha usa algumas das senhas mais fracas conhecidas em cada uma das contas de uma empresa.Essa técnica permite que o invasor pesquise com rapidez uma conta facilmente comprometida e evite possíveis limites de detecção.</p><p>A proteção de senha do Azure AD bloqueia com eficiência todas as senhas fracas conhecidas com probabilidade de uso em ataques de pulverização de senha.Essa proteção se baseia em dados reais de telemetria de segurança do Azure AD, os quais são usados para criar a lista global de senhas banidas.</p><p>Segurança híbrida</p><p>Para a segurança híbrida, os administradores podem integrar a proteção de senha do Azure AD a um ambiente local do Active Directory.Um componente instalado no ambiente local recebe a lista global de senhas banidas e as políticas de proteção de senha personalizadas do Azure AD.Os controladores de domínio as usam para processar eventos de alteração de senha.Essa abordagem híbrida garante que, onde quer que um usuário altere a senha, a proteção de senha do Azure AD seja aplicada.</p><p>Embora a proteção de senha aprimore a força das senhas, você ainda deve usar os recursos recomendados pelas melhores práticas, como a autenticação multifator do Azure AD.As senhas por si só, até mesmo as mais fortes, não são tão seguras quanto várias camadas de segurança.</p><p>© Microsoft Corporation.Todos os direitos reservados.A MICROSOFT NÃO OFERECE GARANTIAS, CONTRATUAIS, LEGAIS OU ESTATUTÁRIAS, EM RELAÇÃO ÀS INFORMAÇÕES CONTIDAS NESTA APRESENTAÇÃO.</p><p>12/12/2022 2:28 PM</p><p>16</p><p>Módulo 3: explorar as funcionalidades de gerenciamento de acesso do Azure AD</p><p>© Copyright Microsoft Corporation. Todos os direitos reservados.</p><p>Cinza-azulado</p><p>R36 G58 B94</p><p>Hex #243A5E</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Branco</p><p>R255 G255 B255</p><p>Hex #FFFFFF</p><p>Cinza extra escuro</p><p>R47 G47 B47</p><p>Hexa #2f2f2f</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Azul</p><p>R0 G120 B212</p><p>Hex #0078D4</p><p>Cinza-escuro</p><p>R80 G80 B80</p><p>Hex #505050</p><p>Cinza claro</p><p>R235 G235 B235</p><p>Hexadecimal #EBEBEB</p><p>Legendagem oculta</p><p>demarcação de espaço</p><p>© Microsoft Corporation</p><p>17</p><p>Introdução ao Módulo 3</p><p>Depois de concluir este módulo, você poderá:</p><p>Descrever o acesso condicional e seus benefícios.</p><p>Descrever o RBAC (controle de acesso baseado em função) e as funções do Azure AD.</p><p>© Copyright Microsoft Corporation. Todos os direitos reservados.</p><p>Cinza-azulado</p><p>R36 G58 B94</p><p>Hex #243A5E</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Branco</p><p>R255 G255 B255</p><p>Hex #FFFFFF</p><p>Cinza extra escuro</p><p>R47 G47 B47</p><p>Hexa #2f2f2f</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Azul</p><p>R0 G120 B212</p><p>Hex #0078D4</p><p>Cinza-escuro</p><p>R80 G80 B80</p><p>Hex #505050</p><p>Cinza claro</p><p>R235 G235 B235</p><p>Hexadecimal #EBEBEB</p><p>Legendagem oculta</p><p>demarcação de espaço</p><p>Acesso condicional</p><p>Sinais do acesso condicional:</p><p>Associação de usuário ou grupo</p><p>Informações de localização denominada</p><p>Dispositivo</p><p>Aplicativo</p><p>Detecção de risco de entrada em tempo real</p><p>Aplicativos na nuvem ou ações</p><p>Risco do usuário</p><p>Controles de acesso:</p><p>Bloquear acesso</p><p>Conceder acesso</p><p>Exija que uma ou mais condições sejam atendidas antes de conceder acesso.</p><p>Controar o acesso do usuário com base em controles de sessão para permitir experiências limitadas em aplicativos de nuvem específicos.</p><p>© Copyright Microsoft Corporation. Todos os direitos reservados.</p><p>Cinza-azulado</p><p>R36 G58 B94</p><p>Hex #243A5E</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Branco</p><p>R255 G255 B255</p><p>Hex #FFFFFF</p><p>Cinza extra escuro</p><p>R47 G47 B47</p><p>Hexa #2f2f2f</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Azul</p><p>R0 G120 B212</p><p>Hex #0078D4</p><p>Cinza-escuro</p><p>R80 G80 B80</p><p>Hex #505050</p><p>Cinza claro</p><p>R235 G235 B235</p><p>Hexadecimal #EBEBEB</p><p>Legendagem oculta</p><p>demarcação de espaço</p><p>O acesso condicional é um recurso do Azure AD que fornece uma camada extra de segurança antes de permitir que usuários autenticados acessem dados ou outros ativos.O acesso condicional é implementado por meio de políticas que são criadas e gerenciadas no Azure AD.Uma política de acesso condicional analisa sinais, incluindo usuário, localização, dispositivo, aplicativo e risco, para automatizar decisões de autorização de acesso a recursos (aplicativos e dados).</p><p>Uma política de acesso condicional pode declarar que, se um usuário pertencer a determinado grupo, será necessário fornecer autenticação multifator para entrar em um aplicativo.</p><p>Assista ao vídeo para ver como as políticas de acesso condicional funcionam. https://www.microsoft.com/videoplayer/embed/RE4INyI</p><p>Sinais do acesso condicional</p><p>O acesso condicional pode usar os seguintes sinais para controlar as pessoas, as informações e os locais envolvidos na política:</p><p>Associação de usuário ou grupo. As políticas podem ser destinadas a usuários e grupos específicos (incluindo funções de administrador), oferecendo aos administradores um controle refinado sobre o acesso.</p><p>Informações de localização nomeada. As informações de localização nomeada podem ser criadas usando intervalos de endereços IP e usadas ao tomar decisões sobre a política.Além disso, os administradores podem optar por bloquear ou permitir o tráfego do intervalo de IP de um país inteiro.</p><p>Dispositivo. Os usuários com dispositivos de plataformas específicas ou marcados com um estado específico podem ser usados.</p><p>Aplicativo.Os usuários que tentam acessar aplicativos específicos podem disparar diferentes políticas de acesso condicional.</p><p>Detecção de risco de entrada em tempo real. A integração de sinais ao Azure AD Identity Protection permite que as políticas de acesso condicional identifiquem o comportamento de entrada de risco.As políticas podem forçar os usuários a realizar alterações de senha ou a autenticação multifator para reduzir seu nível de risco ou ter o acesso bloqueado até que um administrador execute uma ação manual.</p><p>Aplicativos de nuvem ou ações. Os aplicativos de nuvem ou as ações podem incluir ou excluir aplicativos de nuvem ou ações do usuário que estarão sujeitas à política.</p><p>Risco do usuário. Para clientes com acesso à proteção de identidade, o risco do usuário pode ser avaliado como parte de uma política de acesso condicional.O risco do usuário representa a probabilidade de que determinada identidade ou conta seja comprometida.O risco do usuário pode ser configurado para uma probabilidade alta, média ou baixa.</p><p>Controles de acesso</p><p>Quando a política de acesso condicional tiver sido aplicada, uma decisão informada será atingida para conceder acesso, bloquear acesso ou exigir verificação adicional.As decisões comuns são:</p><p>Bloquear acesso</p><p>Conceder acesso</p><p>Exigir que uma ou mais condições sejam atendidas antes de conceder acesso:</p><p>Exigir autenticação multifator.</p><p>Exigir que o dispositivo seja marcado como em conformidade.</p><p>Exigir um dispositivo ingressado no Azure AD híbrido.</p><p>Exigir um aplicativo cliente aprovado.</p><p>Exigir uma política de proteção do aplicativo.</p><p>Exigir uma alteração de senha.</p><p>Controar o acesso do usuário com base em controles de sessão para permitir experiências limitadas em aplicativos de nuvem específicos.Como exemplo, o Controle de Aplicativos de Acesso Condicional usa sinais do Microsoft Defender for Cloud Apps para bloquear, baixar, recortar, copiar e imprimir documentos confidenciais ou para exigir a rotulagem de arquivos confidenciais.Outros controles de sessão incluem frequência de entrada e restrições aplicadas no aplicativo que, para os aplicativos selecionados, usam as informações do dispositivo para fornecer aos usuários uma experiência completa ou limitada, dependendo do estado do dispositivo.</p><p>© Microsoft Corporation</p><p>19</p><p>Demonstração</p><p>Acesso Condicional do Azure AD</p><p>© Copyright Microsoft Corporation. Todos os direitos reservados.</p><p>Cinza-azulado</p><p>R36 G58 B94</p><p>Hex #243A5E</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Branco</p><p>R255 G255 B255</p><p>Hex #FFFFFF</p><p>Cinza extra escuro</p><p>R47 G47 B47</p><p>Hexa #2f2f2f</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Azul</p><p>R0 G120 B212</p><p>Hex #0078D4</p><p>Cinza-escuro</p><p>R80 G80 B80</p><p>Hex #505050</p><p>Cinza claro</p><p>R235 G235 B235</p><p>Hexadecimal #EBEBEB</p><p>Legendagem oculta</p><p>demarcação de espaço</p><p>Ver script de demonstração no GitHub</p><p>--------</p><p>Acesse https://portal.azure.com</p><p>Acesso condicional de demonstração (Azure AD>Segurança>Acesso Condicional)</p><p>Algumas ideias para demonstrações:</p><p>Demonstre como criar uma nova política (demonstre os parâmetros de Atribuições)</p><p>Localização nomeada (Localização de países e intervalo de IP)</p><p>https://docs.microsoft.com/en-us/azure/active-directory/authentication/tutorial-enable-azure-mfa</p><p>20</p><p>RBAC (Controle de acesso baseado em função) e funções do Azure AD</p><p>As funções do Azure AD controlam permissões para gerenciar recursos do Azure AD.</p><p>Funções internas</p><p>Funções personalizadas</p><p>Categorias de funções do Azure AD: Específicas do Azure AD, específicas a um serviço,</p><p>entre serviços</p><p>Conceder acesso apenas para os usuários que precisam</p><p>© Copyright Microsoft Corporation. Todos os direitos reservados.</p><p>Cinza-azulado</p><p>R36 G58 B94</p><p>Hex #243A5E</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Branco</p><p>R255 G255 B255</p><p>Hex #FFFFFF</p><p>Cinza extra escuro</p><p>R47 G47 B47</p><p>Hexa #2f2f2f</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Azul</p><p>R0 G120 B212</p><p>Hex #0078D4</p><p>Cinza-escuro</p><p>R80 G80 B80</p><p>Hex #505050</p><p>Cinza claro</p><p>R235 G235 B235</p><p>Hexadecimal #EBEBEB</p><p>Legendagem oculta</p><p>demarcação de espaço</p><p>As funções do Azure AD controlam permissões para gerenciar recursos do Azure AD.Por exemplo, permitir que contas de usuário sejam criadas ou informações de cobrança sejam exibidas.O Azure AD dá suporte a funções internas e personalizadas.</p><p>Funções internas</p><p>Algumas das funções internas mais comuns são:</p><p>Administrador global: usuários com esta função têm acesso a todos os recursos administrativos no Azure Active Directory.A pessoa que se inscreve no locatário do Azure Active Directory se torna automaticamente um administrador global.</p><p>Administrador do usuário: usuários com esta função podem criar e gerenciar todos os aspectos de usuários e grupos.Além disso, ela também inclui a capacidade de gerenciar tíquetes de suporte e monitorar a integridade do serviço.</p><p>Administrador de cobrança: usuários com esta função podem fazer compras, gerenciar assinaturas e tíquetes de suporte e monitorar a integridade do serviço.</p><p>Há muitas funções internas para diferentes áreas de responsabilidade.Todas as funções internas são pacotes pré-configurados de permissões elaboradas para tarefas específicas.</p><p>Funções personalizadas</p><p>Embora haja muitas funções de administrador internas no Azure AD, as funções personalizadas oferecerão flexibilidade ao conceder acesso.</p><p>A concessão de permissão usando funções personalizadas do Azure AD é um processo de duas etapas que envolve a criação de uma definição de função personalizada, que</p><p>consiste em uma coleção de permissões que você adiciona de uma lista predefinida.Essas permissões são iguais àquelas usadas nas funções internas.Quando criar sua definição de função, você poderá atribuí-la a um usuário criando uma atribuição de função.</p><p>Uma atribuição de função concede ao usuário as permissões em uma definição de função, em um escopo especificado.Uma função personalizada pode ser atribuída no escopo de toda a organização, o que significa que o membro da função tem as permissões de função sobre todos os recursos.</p><p>Uma função personalizada também pode ser atribuída em um escopo de objeto.Um exemplo de escopo de objeto seria um único aplicativo.</p><p>Diferentemente das funções internas, que são atribuídas no nível do locatário e são pacotes pré-configurados de permissões projetadas para tarefas específicas, as funções personalizadas podem ser atribuídas no nível do recurso (como um único aplicativo) e conceder permissões para serem adicionadas a uma definição de função personalizada.</p><p>As funções personalizadas exigem uma licença Azure AD Premium P1 ou P2.</p><p>Controle de acesso baseado em função do Azure AD</p><p>O gerenciamento de acesso usando funções é conhecido como RBAC (controle de acesso baseado em função).As funções internas e personalizadas do Azure AD são uma forma de RBAC no qual as funções do Azure AD controlam o acesso aos recursos do Azure AD.</p><p>Conceder acesso apenas para os usuários que precisam</p><p>A melhor prática, considerada mais segura, é conceder aos usuários o privilégio mínimo para realizar seu trabalho.Isso significa que, se alguém gerencia principalmente usuários, você deve atribuir a função de administrador de usuários, e não de administrador global.Isso reduz o risco de que uma conta de usuário seja comprometida e de que um hacker bloqueie você de sua conta.Ao atribuir privilégios mínimos, você limita o dano que pode ocorrer com uma conta comprometida.</p><p>Categorias de funções do Azure AD</p><p>Para facilitar o gerenciamento de identidades nos serviços do Microsoft 365, o Azure AD adicionou algumas funções internas específicas do serviço, cada uma delas permite acesso administrativo a um serviço do Microsoft 365.Isso significa que as funções internas do Azure AD podem ser usadas para fins diferentes.Há três categorias amplas.</p><p>Usuários em funções específicas do Azure AD: Essas funções concedem permissões para gerenciar recursos somente no Azure AD.Por exemplo, Administrador de Usuários, Administrador de Aplicativos, Administrador de Grupos concedem permissões para gerenciar recursos que residem no Azure AD.</p><p>Funções específicas do serviço: para os principais serviços do Microsoft 365, o Azure AD inclui funções específicas de serviço integradas que concedem permissões para gerenciar os recursos no serviço.Por exemplo, as funções internas do Azure AD para Administradores do Exchange, do Intune, do SharePoint e do Teams podem gerenciar recursos em seus respectivos serviços.</p><p>Funções entre serviços: há algumas funções no Azure AD que abrangem vários serviços.Por exemplo, o Azure AD tem funções relacionadas à segurança, como o Administrador de Segurança, que concedem acesso em vários serviços de segurança em Microsoft 365.Da mesma forma, na função Administrador de Conformidade, você pode gerenciar configurações relacionadas à Conformidade no portal de conformidade do Microsoft Purview, no Exchange e assim por diante.</p><p>Diferença entre o RBAC do Azure AD e o RBAC do Azure</p><p>Embora o conceito de RBAC se aplique ao RBAC do Azure AD e ao RBAC do Azure, o que eles controlam é diferente.</p><p>RBAC do Azure AD – as funções do Azure AD controlam o acesso a recursos do Azure AD como usuários, grupos e aplicativos.</p><p>RBAC do Azure: as funções do Azure controlam o acesso a recursos do Azure como máquinas virtuais ou armazenamento usando o Gerenciamento de Recursos do Azure.</p><p>© Microsoft Corporation</p><p>21</p><p>Módulo 4: descrever as funcionalidades de governança e proteção de identidade do AD</p><p>© Copyright Microsoft Corporation. Todos os direitos reservados.</p><p>Cinza-azulado</p><p>R36 G58 B94</p><p>Hex #243A5E</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Branco</p><p>R255 G255 B255</p><p>Hex #FFFFFF</p><p>Cinza extra escuro</p><p>R47 G47 B47</p><p>Hexa #2f2f2f</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Azul</p><p>R0 G120 B212</p><p>Hex #0078D4</p><p>Cinza-escuro</p><p>R80 G80 B80</p><p>Hex #505050</p><p>Cinza claro</p><p>R235 G235 B235</p><p>Hexadecimal #EBEBEB</p><p>Legendagem oculta</p><p>demarcação de espaço</p><p>© Microsoft Corporation</p><p>22</p><p>Introdução ao Módulo 4</p><p>Depois de concluir este módulo, você poderá:</p><p>Descrever os recursos de governança de identidade do Azure AD.</p><p>Descrever os benefícios do PIM (Privileged Identity Management).</p><p>Descrever os recursos do Azure AD Identity Protection.</p><p>© Copyright Microsoft Corporation. Todos os direitos reservados.</p><p>Cinza-azulado</p><p>R36 G58 B94</p><p>Hex #243A5E</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Branco</p><p>R255 G255 B255</p><p>Hex #FFFFFF</p><p>Cinza extra escuro</p><p>R47 G47 B47</p><p>Hexa #2f2f2f</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Azul</p><p>R0 G120 B212</p><p>Hex #0078D4</p><p>Cinza-escuro</p><p>R80 G80 B80</p><p>Hex #505050</p><p>Cinza claro</p><p>R235 G235 B235</p><p>Hexadecimal #EBEBEB</p><p>Legendagem oculta</p><p>demarcação de espaço</p><p>A governança de identidade equilibra a segurança da identidade com a produtividade do usuário de uma forma que possa ser justificada e auditada.O Azure AD fornece muitos recursos de governança e proteção de identidade, incluindo o PIM (Privileged Identity Management), o Identity Protection e as declarações de termos de uso.</p><p>© Microsoft Corporation</p><p>23</p><p>Governança de identidade do Azure AD</p><p>As tarefas do Azure AD Identity</p><p>Controlar o ciclo de vida de identidade.</p><p>Controlar o ciclo de vida de acesso.</p><p>Proteger o acesso privilegiado para a administração.</p><p>Ciclo de vida de identidade</p><p>Ingressar: É criada uma nova identidade digital.</p><p>Mover: Atualizar autorizações de acesso.</p><p>Sair: O acesso pode precisar ser removido.</p><p>© Copyright Microsoft Corporation. Todos os direitos reservados.</p><p>Cinza-azulado</p><p>R36 G58 B94</p><p>Hex #243A5E</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Branco</p><p>R255 G255 B255</p><p>Hex #FFFFFF</p><p>Cinza extra escuro</p><p>R47 G47 B47</p><p>Hexa #2f2f2f</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Azul</p><p>R0 G120 B212</p><p>Hex #0078D4</p><p>Cinza-escuro</p><p>R80 G80 B80</p><p>Hex #505050</p><p>Cinza claro</p><p>R235 G235 B235</p><p>Hexadecimal #EBEBEB</p><p>Legendagem oculta</p><p>demarcação de espaço</p><p>A governança de identidade do Azure AD oferece às organizações a capacidade de realizar as seguintes tarefas:</p><p>Controlar o ciclo de vida de identidade.</p><p>Controlar o ciclo de vida de acesso.</p><p>Proteger o acesso privilegiado para a administração.</p><p>Essas ações podem ser concluídas para funcionários, parceiros de negócios e fornecedores e entre serviços e aplicativos, tanto localmente quanto na nuvem.</p><p>Elas se destinam a ajudar as organizações a lidar com estas quatro perguntas principais:</p><p>Quais usuários devem ter acesso a quais recursos?</p><p>O que esses usuários estão fazendo com esse acesso?</p><p>Existem controles organizacionais em vigor para gerenciar o acesso?</p><p>Auditores podem verificar se os controles estão funcionando?</p><p>Ciclo de vida de identidade</p><p>O gerenciamento do ciclo de vida de identidade dos usuários é a essência do controle de identidade.</p><p>Ao planejar o gerenciamento do ciclo de vida de identidades para funcionários, por exemplo, muitas organizações seguem como modelo o processo de "ingresso, transferência e saída".Ou, quando uma pessoa ingressa pela primeira vez em uma organização, uma nova identidade digital é criada, caso uma já não esteja disponível.Quando uma pessoa é transferida entre fronteiras organizacionais, pode ser preciso adicionar ou remover autorizações de acesso na identidade digital dela.Quando um indivíduo sai da organização, pode ser preciso remover o acesso, e a identidade pode não ser mais necessária, exceto para fins de auditoria.</p><p>Em geral, o gerenciamento do ciclo de vida de uma identidade lida com a atualização do acesso necessário para os usuários, seja por meio da integração com um sistema de RH ou por meio de aplicativos de provisionamento de usuários.</p><p>Ciclo de vida de acesso</p><p>O ciclo de vida do acesso é o processo de gerenciamento de acesso ao longo a vida do usuário na organização.Os usuários exigem diferentes níveis de acesso desde o momento em que eles ingressam</p><p>em uma organização até o momento em que saem dela.Nos vários estágios entre esses dois pontos, eles precisarão de direitos de acesso a diferentes recursos, dependendo de sua função e responsabilidades.</p><p>As organizações podem automatizar o processo de ciclo de vida do acesso por meio de tecnologias como grupos dinâmicos.Os grupos dinâmicos permitem que os administradores criem regras baseadas em atributos para determinar a associação de grupos.Quando qualquer atributo de um usuário ou dispositivo mudar, o sistema avaliará todas as regras de grupo dinâmico em um diretório para ver se a mudança dispararia a adição ou remoção de quaisquer usuários de um grupo.Se um usuário ou dispositivo atender a uma regra de um grupo, ele será adicionado como membro desse grupo.Se ele não atender mais à regra, ele será removido.</p><p>Ciclo de vida de acesso privilegiado</p><p>O monitoramento do acesso privilegiado é uma parte fundamental do controle de identidade.Quando funcionários, fornecedores e prestadores de serviço recebem direitos administrativos, deve haver um processo de governança devido ao potencial de uso indevido.</p><p>O Azure AD PIM (Privileged Identity Manager) fornece controles extras personalizados para proteger os direitos de acesso.O PIM ajuda a minimizar o número de pessoas que têm acesso aos recursos no Azure AD, no Azure e em outros serviços online da Microsoft.O PIM fornece um conjunto abrangente de controles de governança para ajudar a proteger os recursos da sua empresa.O PIM é um recurso do Azure AD Premium P2.</p><p>© Microsoft Corporation</p><p>24</p><p>Gerenciamento de direitos e revisões de acesso</p><p>Gerenciamento de direitos</p><p>É um recurso de governança de identidade que permite às organizações gerenciar o ciclo de vida de identidade e acesso em escala.</p><p>Automatiza fluxos de trabalho de solicitação de acesso, bem como atribuições, revisões e expiração de acesso.</p><p>Análises de acesso</p><p>Permite que as organizações gerenciem com eficiência as associações</p><p>a grupos, o acesso a aplicativos empresariais e a atribuição de função.</p><p>Garante que apenas as pessoas certas possam acessar os recursos.</p><p>É usado para examinar e gerenciar o acesso de usuários e convidados.</p><p>Termos de uso</p><p>Permitem que as informações sejam apresentadas aos usuários antes que eles acessem dados ou aplicativos.</p><p>Garantem que os usuários leiam avisos de isenção de responsabilidade relevantes para requisitos legais ou de conformidade.</p><p>© Copyright Microsoft Corporation. Todos os direitos reservados.</p><p>Cinza-azulado</p><p>R36 G58 B94</p><p>Hex #243A5E</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Branco</p><p>R255 G255 B255</p><p>Hex #FFFFFF</p><p>Cinza extra escuro</p><p>R47 G47 B47</p><p>Hexa #2f2f2f</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Azul</p><p>R0 G120 B212</p><p>Hex #0078D4</p><p>Cinza-escuro</p><p>R80 G80 B80</p><p>Hex #505050</p><p>Cinza claro</p><p>R235 G235 B235</p><p>Hexadecimal #EBEBEB</p><p>Legendagem oculta</p><p>demarcação de espaço</p><p>O gerenciamento de direitos é um recurso de governança de identidade que permite às organizações gerenciar o ciclo de vida de identidade e acesso em escala.O gerenciamento de direitos automatiza fluxos de trabalho de solicitação de acesso, bem como atribuições, revisões e expiração de acesso.</p><p>O vídeo a seguir apresenta o gerenciamento de direitos e examina como os pacotes de acesso são usados para os recursos. https://www.microsoft.com/videoplayer/embed/RE4JXQr</p><p>Ao gerenciar o acesso de funcionários a recursos, as organizações empresariais geralmente enfrentam desafios como:</p><p>Os usuários podem não saber que tipo de acesso devem ter e, mesmo que saibam, podem ter dificuldades em localizar as pessoas certas para aprová-lo.</p><p>Quando os usuários localizam um recurso e recebem acesso a ele, esse acesso pode ser mantido por mais tempo que o necessário para fins empresariais.</p><p>Gerenciamento do acesso de usuários externos.</p><p>O gerenciamento de direitos inclui os seguintes recursos para resolver esses desafios:</p><p>Delegar a criação de pacotes de acesso a usuários não administradores.Esses pacotes de acesso contêm recursos que os usuários podem solicitar.Os gerenciadores de pacotes de acesso delegados definem políticas que incluem regras como quais usuários podem solicitar acesso, quem deve aprovar o acesso e quando ele expira.</p><p>Gerenciar usuários externos.Quando um usuário que ainda não está em seu diretório solicita acesso e é aprovado, ele é automaticamente convidado para seu diretório e recebe acesso.Quando o acesso expirar, se o usuário não tiver nenhuma outra atribuição de pacote de acesso, a conta B2B do seu diretório poderá ser automaticamente removida.</p><p>O gerenciamento de direitos é um recurso do Azure AD Premium P2.</p><p>Revisões de acesso do Azure AD</p><p>As revisões de acesso do Azure AD (Azure Active Directory) permitem que as organizações gerenciem com eficiência as associações a grupos, o acesso a aplicativos empresariais e a atribuição de função.As revisões regulares de acesso garantem que apenas as pessoas certas possam acessar os recursos.Direitos de acesso excessivos são um risco de segurança conhecido.No entanto, quando as pessoas mudam de equipe ou assumem ou abrem mão de responsabilidades, os direitos de acesso podem ser difíceis de controlar.</p><p>As revisões de acesso são úteis quando:</p><p>Você tem muitos usuários em funções com privilégios, como administradores globais.</p><p>A automação não é possível, como quando os dados de RH não estão no Azure AD.</p><p>Você deseja controlar o acesso a dados comercialmente críticos.</p><p>Suas políticas de governança exigem revisões periódicas de permissões de acesso.</p><p>As revisões de acesso podem ser criadas por meio de revisões de acesso do Azure AD ou PIM (Privileged Identity Management).Elas podem ser usadas para examinar e gerenciar o acesso de usuários e convidados.Quando uma revisão de acesso é criada, ela pode ser configurada para que cada usuário avalie seu próprio acesso ou para que um ou mais usuários examinem o acesso de todos.Da mesma forma, todos os convidados podem ser solicitados a avaliar seu próprio acesso ou podem ter o próprio acesso examinado por um ou mais usuários.</p><p>Os administradores que criam revisões de acesso podem acompanhar o progresso à medida que os revisores concluem seu processo.Nenhum direito de acesso é alterado até que a revisão seja concluída.Você pode, entretanto, interromper uma revisão antes que ela chegue ao fim programado.</p><p>Quando a revisão for concluída, ela poderá ser configurada para aplicar as alterações de forma manual ou automática a fim de remover o acesso de uma associação de grupo ou atribuição de aplicativo, exceto para um grupo dinâmico ou originado no local.Nesses casos, as alterações devem ser aplicadas diretamente ao grupo.</p><p>Termos de uso do Azure AD</p><p>Os termos de uso do Azure AD permitem que as informações sejam apresentadas aos usuários antes que eles acessem dados ou aplicativos.Os termos de uso garantem que os usuários leiam avisos de isenção de responsabilidade relevantes para requisitos legais ou de conformidade.</p><p>Os funcionários ou convidados podem precisar aceitar os termos de uso nas seguintes situações:</p><p>Antes que eles acessem dados confidenciais ou um aplicativo.</p><p>Em um agendamento recorrente, para que eles sejam lembrados das regulamentações.</p><p>Quando os termos de uso são necessários em idiomas diferentes.</p><p>Com base em atributos de usuário, como termos aplicáveis a determinadas funções.</p><p>Apresentação de termos para todos os usuários em sua organização.</p><p>Os termos de uso são apresentados em um formato PDF, usando o conteúdo que você cria, como um documento de contrato existente.Os termos de uso também pode ser apresentados aos usuários em dispositivos móveis.</p><p>Políticas de acesso condicional são usadas para exigir que a declaração dos termos de uso seja exibida e garantir que o usuário concordou com esses termos antes de acessar um aplicativo.Os administradores podem exibir quem concordou com os termos de uso e quem os recusou.</p><p>© Microsoft Corporation</p><p>25</p><p>PIM (Privileged Identity Management)</p><p>Ele permite que você gerencie, controle e monitore o acesso a recursos importantes em sua organização.</p><p>Just-in-time: fornece acesso privilegiado somente quando necessário, não antes.</p><p>Calendarizado:</p><p>atribui datas de início e de término que indicam quando um usuário pode acessar os recursos.</p><p>Baseado em aprovação: exige aprovações específicas para ativar privilégios.</p><p>Visualizável: envia notificações quando funções com privilégios são ativadas.</p><p>Auditável: permite que um histórico de acesso completo seja baixado.</p><p>© Copyright Microsoft Corporation. Todos os direitos reservados.</p><p>Cinza-azulado</p><p>R36 G58 B94</p><p>Hex #243A5E</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Branco</p><p>R255 G255 B255</p><p>Hex #FFFFFF</p><p>Cinza extra escuro</p><p>R47 G47 B47</p><p>Hexa #2f2f2f</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Azul</p><p>R0 G120 B212</p><p>Hex #0078D4</p><p>Cinza-escuro</p><p>R80 G80 B80</p><p>Hex #505050</p><p>Cinza claro</p><p>R235 G235 B235</p><p>Hexadecimal #EBEBEB</p><p>Legendagem oculta</p><p>demarcação de espaço</p><p>O PIM (Privileged Identity Management) é um serviço no Azure AD (Azure Active Directory) que permite gerenciar, controlar e monitorar o acesso a importantes recursos na sua organização.Eles incluem os recursos do Azure AD, do Azure e de outros Serviços Online da Microsoft, como o Microsoft 365 ou o Microsoft Intune.O PIM reduz os riscos de permissões de acesso excessivas, desnecessárias ou inutilizadas.Ele exige uma justificativa para entender por que os usuários desejam permissões e impõe a autenticação multifator para ativar qualquer função.</p><p>O PIM é:</p><p>Just-in-time: fornece acesso privilegiado somente quando necessário, não antes.</p><p>Calendarizado: atribui datas de início e de término que indicam quando um usuário pode acessar os recursos.</p><p>Baseado em aprovação: exige aprovações específicas para ativar privilégios.</p><p>Visualizável: envia notificações quando funções com privilégios são ativadas.</p><p>Auditável: permite que um histórico de acesso completo seja baixado.</p><p>O Privileged Identity Management é um recurso do Azure AD Premium P2.</p><p>Por que usar o PIM?</p><p>O PIM reduz a chance de um ator mal-intencionado obter acesso, minimizando o número de pessoas que têm acesso a informações ou recursos protegidos.Ao limitar o tempo de acesso de usuários autorizados, ele reduz o risco de um usuário autorizado afetar inadvertidamente os recursos confidenciais.O PIM também fornece supervisão sobre o que os usuários estão fazendo com seus privilégios de administrador.</p><p>Neste vídeo, você verá o que é o PIM e por que convém usá-lo: https://www.microsoft.com/videoplayer/embed/RE4ILbu</p><p>© Microsoft Corporation</p><p>26</p><p>Azure Identity Protection</p><p>Permite que as organizações realizem três tarefas essenciais:</p><p>Automatizar a detecção e a correção de riscos baseados em identidade.</p><p>Investigar os riscos usando os dados no portal.</p><p>Exportar os dados de detecção de riscos a utilitários de terceiros para análise adicional.</p><p>Pode categorizar e calcular riscos:</p><p>Categorizar risco em três camadas: baixa, média e alta.</p><p>Calcular o risco de entrada e o risco de identidade do usuário.</p><p>Gera três relatórios para as organizações:</p><p>Usuários de risco</p><p>Entradas de risco</p><p>Detecções de risco</p><p>© Copyright Microsoft Corporation. Todos os direitos reservados.</p><p>Cinza-azulado</p><p>R36 G58 B94</p><p>Hex #243A5E</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Branco</p><p>R255 G255 B255</p><p>Hex #FFFFFF</p><p>Cinza extra escuro</p><p>R47 G47 B47</p><p>Hexa #2f2f2f</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Azul</p><p>R0 G120 B212</p><p>Hex #0078D4</p><p>Cinza-escuro</p><p>R80 G80 B80</p><p>Hex #505050</p><p>Cinza claro</p><p>R235 G235 B235</p><p>Hexadecimal #EBEBEB</p><p>Legendagem oculta</p><p>demarcação de espaço</p><p>Com a ferramenta Identity Protection, as organizações podem executar três tarefas importantes:</p><p>Automatizar a detecção e a correção de riscos baseados em identidade.</p><p>Investigar os riscos usando os dados no portal.</p><p>Exportar os dados de detecção de riscos a utilitários de terceiros para análise adicional.</p><p>A Microsoft analisa 6,5 trilhões de sinais por dia para identificar possíveis ameaças.Esses sinais são provenientes do aprendizado da Microsoft obtido por meio de sua posição nas organizações com o Azure AD, o espaço do consumidor com as contas da Microsoft e em jogos com o Xbox.</p><p>Os sinais gerados por esses serviços são distribuídos para o Identity Protection.Esses sinais podem ser usados por ferramentas como o Acesso Condicional, que os utiliza para tomar decisões de acesso.Os sinais também são enviados para ferramentas de SIEM (gerenciamento de eventos e informações de segurança), como o Azure Sentinel, para uma investigação mais aprofundada.</p><p>O Identity Protection categoriza os riscos em três camadas: baixa, média e alta.Ele também pode calcular o risco de entrada e o risco de identidade do usuário.</p><p>O risco de entrada é a probabilidade de que acesso não tenha sido realizado pelo usuário. Ele usa os seguintes sinais para calcular o risco:</p><p>Viagem atípica.Entrada proveniente de um local atípico com base na atividade recente do usuário.</p><p>Endereço IP anônimo.Entrada de um endereço IP anônimo; por exemplo, Tor browser, VPNs anonimáveis).</p><p>O risco do usuário consiste na probabilidade de que sua identidade tenha sido comprometida. Ele usa os seguintes sinais para calcular o risco:</p><p>Propriedades de entrada desconhecidas.Entrada com propriedades que você não viu recentemente para um determinado usuário.</p><p>Entrada de um endereço IP vinculado a malware.</p><p>Credenciais vazadas.Indica que as credenciais válidas do usuário foram vazadas.</p><p>Pulverização de senha.Indica que vários nomes de usuário estão sendo atacados por meio de senhas comuns de maneira unificada, por força bruta.</p><p>Inteligência contra ameaças do Azure AD.As fontes internas e externas de inteligência contra ameaças da Microsoft identificaram um padrão de ataque conhecido.</p><p>Esses sinais de risco podem disparar ações como: exigir que os usuários forneçam autenticação multifator, redefinir a senha ou bloquear o acesso até que um administrador entre em ação.</p><p>O Identity Protection fornece às organizações três relatórios que elas podem usar para investigar os riscos de identidade nos ambientes.Esses relatórios são usuários suspeitos, entradas suspeitas e detecções de risco. A investigação de eventos é essencial para a compreensão e identificação dos pontos fracos em sua estratégia de segurança.</p><p>Depois de concluir uma investigação, os administradores deverão tomar medidas para corrigir o risco ou desbloquear os usuários.As organizações também podem habilitar a correção automatizada usando suas políticas de risco.A Microsoft recomenda o fechamento dos eventos rapidamente, pois o tempo é essencial quando se lida com riscos.</p><p>O Identity Protection é um recurso do Azure AD Premium P2.</p><p>© Microsoft Corporation</p><p>27</p><p>Resumo do roteiro de aprendizagem</p><p>Neste roteiro de aprendizagem, você:</p><p>Aprendeu sobre o Azure AD e os tipos de serviços e identidades compatíveis com o Azure AD.</p><p>Explorou as funcionalidades de autenticação do Azure AD e de MFA.</p><p>Explorou as funcionalidades de gerenciamento de acesso do Azure AD com Acesso Condicional e o RBAC do Azure AD.</p><p>Descreveu recursos de governança e proteção de identidade do Azure AD, incluindo o PIM, o gerenciamento de direitos e as revisões de acesso.</p><p>Aprendeu sobre os recursos do Azure AD Identity Protection.</p><p>© Copyright Microsoft Corporation. Todos os direitos reservados.</p><p>Cinza-azulado</p><p>R36 G58 B94</p><p>Hex #243A5E</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Branco</p><p>R255 G255 B255</p><p>Hex #FFFFFF</p><p>Cinza extra escuro</p><p>R47 G47 B47</p><p>Hexa #2f2f2f</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Azul</p><p>R0 G120 B212</p><p>Hex #0078D4</p><p>Cinza-escuro</p><p>R80 G80 B80</p><p>Hex #505050</p><p>Cinza claro</p><p>R235 G235 B235</p><p>Hexadecimal #EBEBEB</p><p>Legendagem oculta</p><p>demarcação de espaço</p><p>Slide de finalização</p><p>© Copyright Microsoft Corporation. Todos os direitos reservados.</p><p>Cinza-azulado</p><p>R36 G58 B94</p><p>Hex #243A5E</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Branco</p><p>R255 G255 B255</p><p>Hex #FFFFFF</p><p>Cinza extra escuro</p><p>R47 G47 B47</p><p>Hexa #2f2f2f</p><p>Preto</p><p>R0 G0 B0</p><p>Hex #000000</p><p>Azul</p><p>R0 G120 B212</p><p>Hex #0078D4</p><p>Cinza-escuro</p><p>R80 G80 B80</p><p>Hex #505050</p><p>Cinza claro</p><p>R235 G235 B235</p><p>Hexadecimal #EBEBEB</p><p>Legendagem oculta</p><p>demarcação de espaço</p><p>image1.png</p><p>image3.jpeg</p><p>image17.wmf</p><p>image5.jpeg</p><p>image18.png</p><p>image6.jpeg</p><p>image19.png</p><p>image20.png</p><p>image21.png</p><p>image22.png</p><p>image23.png</p><p>image24.png</p><p>image25.png</p><p>image2.png</p><p>image15.emf</p><p>Light BlueR0 G188 B242GreenR16 G124 B16RedR232 G17 B35MagentaR180 G0 B158PurpleR92 G45 B145BlueR0 G120 B215TealR0 G130 B114YellowR255</p>