Gerenciando o Ciclo de Vida de Identidades com o Azure AD Identity Governance

Gerenciando o Ciclo de Vida de Identidades com o Azure AD Identity Governance

01/01/2025

Este artigo técnico e educativo tem como objetivo guiar analistas de segurança, administradores de TI e engenheiros de sistemas na implementação e gerenciamento do ciclo de vida de identidades usando o Azure AD Identity Governance. Em ambientes corporativos modernos, onde usuários internos e externos acessam uma variedade crescente de recursos e aplicações, gerenciar quem tem acesso a quê, por quanto tempo e por que motivo se tornou um desafio complexo. O Azure AD Identity Governance oferece ferramentas para garantir que as identidades e seus acessos sejam gerenciados de forma eficaz, segura e em conformidade com as políticas da organização [1].

Introdução

O ciclo de vida de uma identidade abrange desde a sua criação, passando pela atribuição de acessos e permissões, até a sua desativação. Sem um gerenciamento robusto, as organizações podem acumular acessos excessivos ou desnecessários (conhecido como "privilege creep"), o que aumenta a superfície de ataque e o risco de violações de dados. A complexidade aumenta com a necessidade de gerenciar identidades de funcionários, parceiros, fornecedores e clientes, cada um com diferentes requisitos de acesso e períodos de validade. Processos manuais para gerenciar esse ciclo de vida são propensos a erros, ineficientes e difíceis de auditar [2].

O Azure AD Identity Governance é um conjunto de recursos do Microsoft Entra ID (anteriormente Azure Active Directory) projetado para ajudar as organizações a gerenciar e governar o ciclo de vida das identidades e seus acessos de forma automatizada e escalável. Ele inclui funcionalidades como Revisões de Acesso (Access Reviews), Gerenciamento de Direitos (Entitlement Management) e Workflows de Ciclo de Vida (Lifecycle Workflows), que permitem às organizações garantir que as pessoas certas tenham o acesso certo aos recursos certos, no momento certo. Isso é fundamental para manter a postura de segurança, alcançar a conformidade regulatória e otimizar as operações de TI [3].

Este guia prático abordará os componentes chave do Azure AD Identity Governance, com foco na configuração e utilização de Revisões de Acesso e Gerenciamento de Direitos. Serão fornecidas instruções passo a passo, exemplos práticos, e explicações concisas para que o leitor possa implementar e validar esses recursos. Além disso, serão discutidas dicas de segurança, verificação de conformidade e melhores práticas para garantir um gerenciamento de identidade e acesso eficaz, autônomo, profissional e confiável.

Por que o Azure AD Identity Governance é crucial?

  • Princípio do Privilégio Mínimo: Garante que os usuários tenham apenas os acessos necessários para suas funções, reduzindo o risco de acesso excessivo.
  • Conformidade Regulatória: Ajuda a atender aos requisitos de auditoria e conformidade (como LGPD, GDPR, HIPAA) que exigem revisões periódicas de acesso e controle rigoroso sobre quem pode acessar dados sensíveis.
  • Visibilidade e Auditoria: Fornece relatórios detalhados sobre o acesso, permitindo que as organizações auditem e demonstrem conformidade.
  • Automação do Ciclo de Vida: Automatiza o provisionamento, a atribuição de acesso e a desativação de identidades, reduzindo a carga administrativa e minimizando erros.
  • Gerenciamento de Acesso de Convidados: Simplifica o gerenciamento de identidades e acessos para usuários externos (parceiros, fornecedores), garantindo que o acesso seja concedido e revogado de forma oportuna.
  • Redução de Riscos: Minimiza o risco de contas órfãs ou com privilégios excessivos que podem ser exploradas por atacantes.

Pré-requisitos

Para utilizar o Azure AD Identity Governance, você precisará dos seguintes itens:

  1. Licenciamento: O Azure AD Identity Governance requer uma licença Microsoft Entra ID P2 (anteriormente Azure AD Premium P2) [4].
  2. Acesso Administrativo: Uma conta com a função de Administrador Global, Administrador de Governança de Identidade ou Administrador de Usuários no portal do Azure (https://portal.azure.com).
  3. Grupos e Aplicações Existentes: Grupos do Azure AD e/ou aplicações empresariais para os quais você deseja gerenciar o acesso.

Passo a Passo: Implementando o Azure AD Identity Governance

Vamos configurar Revisões de Acesso e Gerenciamento de Direitos.

1. Acessando o Azure AD Identity Governance

  1. Abra seu navegador e navegue até o portal do Azure: https://portal.azure.com.
  2. Faça login com uma conta que tenha as permissões necessárias.
  3. No campo de pesquisa superior, digite Identity Governance e selecione-o nos resultados.

2. Configurando uma Revisão de Acesso (Access Review)

As Revisões de Acesso permitem que as organizações revisem periodicamente os acessos de usuários a grupos, aplicações ou funções privilegiadas, garantindo que o acesso ainda seja necessário e apropriado.

  1. No painel de navegação esquerdo do Identity Governance, selecione Revisões de acesso.

  2. Clique em + Nova revisão de acesso.

  3. Selecionar o que revisar: Escolha o tipo de recurso para revisar:

    • Equipes + grupos
    • Aplicativos
    • Funções do Azure AD (para funções de diretório, como Administrador Global)
    • Funções de recurso do Azure (para funções de RBAC do Azure, como Proprietário de Assinatura)
    • Para este exemplo, selecione Equipes + grupos.

  4. Escopo da revisão: Selecione Selecionar grupos e adicione um grupo específico (ex: Grupo_Financeiro) ou Todos os grupos de convidados.

  5. Revisar escopo: Selecione Apenas usuários convidados ou Todos os usuários.

  6. Revisores: Defina quem realizará a revisão:

    • Proprietários do grupo (recomendado para grupos)
    • Gerentes (para revisar o acesso de seus subordinados)
    • Usuários selecionados
    • Para este exemplo, selecione Proprietários do grupo.

  7. Frequência: Defina a frequência da revisão (ex: Mensalmente, Trimestralmente, Anualmente, Uma vez).

  8. Duração: Defina por quantos dias a revisão ficará ativa.
  9. Data de início: Defina a data de início da revisão.

  10. Clique em Avançar: Configurações.

  11. Configurações:

    • Auto-aplicar resultados ao recurso: Selecione Ativar para que o sistema remova automaticamente o acesso para usuários que não foram aprovados.
    • Ação a ser executada após a conclusão: Selecione Remover acesso.
    • Se os revisores não responderem: Selecione Remover acesso (para garantir que o acesso seja removido se não houver resposta).
    • Assistência para decisão: Ative Recomendações e defina Nenhum login em X dias para ajudar os revisores a tomar decisões informadas.
    • Notificações: Configure se os revisores devem ser notificados por e-mail.
    • Lembretes: Ative Lembretes.

  12. Clique em Avançar: Revisar + criar.

  13. Revisar + criar: Dê um nome à revisão (ex: Revisao_Acesso_Financeiro_Trimestral) e uma descrição. Clique em Criar.

    • Explicação: Esta revisão de acesso será executada trimestralmente para o Grupo_Financeiro. Os proprietários do grupo serão notificados e deverão revisar o acesso dos membros. Se um membro não for aprovado ou o revisor não responder, seu acesso ao grupo será removido automaticamente.

3. Configurando o Gerenciamento de Direitos (Entitlement Management)

O Gerenciamento de Direitos permite que as organizações gerenciem o ciclo de vida de acesso a recursos para usuários internos e externos, automatizando o processo de solicitação, aprovação, provisionamento e desprovisionamento de acesso através de "pacotes de acesso" (access packages).

  1. No painel de navegação esquerdo do Identity Governance, selecione Gerenciamento de direitos.

  2. Catálogos: Primeiro, crie um catálogo para organizar seus pacotes de acesso.

    • Selecione Catálogos > + Novo catálogo.
    • Nome de exibição: Catalogo_Projetos.
    • Descrição: Catálogo para acesso a recursos de projetos específicos.
    • Habilitado: Sim.
    • Clique em Criar.

  3. Pacotes de acesso: Agora, crie um pacote de acesso.

    • Selecione Pacotes de acesso > + Novo pacote de acesso.
    • Noções básicas:
      • Nome: Acesso_Projeto_Alfa.
      • Descrição: Acesso aos recursos do Projeto Alfa.
      • Catálogo: Selecione Catalogo_Projetos.
    • Clique em Avançar.

  4. Recursos: Adicione os recursos que este pacote de acesso concederá.

    • Clique em + Adicionar grupos e equipes e adicione um grupo (ex: Grupo_Projeto_Alfa).
    • Clique em + Adicionar aplicativos e adicione um aplicativo (ex: App_Projeto_Alfa).
    • Clique em + Adicionar funções de recurso (ex: Colaborador em um grupo de recursos específico).
    • Clique em Avançar.

  5. Solicitações: Defina quem pode solicitar este pacote e o processo de aprovação.

    • Usuários que podem solicitar acesso: Selecione Para usuários em seu diretório ou Para usuários não em seu diretório (para convidados).
    • Requer aprovação: Selecione Sim.
    • Primeiro aprovador: Selecione Gerente ou Usuários selecionados (ex: Gerente do Projeto Alfa).
    • Requer justificativa: Sim.
    • Exigir aprovação de todos os aprovadores selecionados: Não (ou Sim, dependendo da sua política).
    • Habilitar novas solicitações: Sim.
    • Exigir aprovação de segundo aprovador: Não (ou Sim para aprovação de dois estágios).
    • Clique em Avançar.

  6. Informações do solicitante: Adicione perguntas personalizadas que os solicitantes devem responder. Clique em Avançar.

  7. Ciclo de vida: Defina por quanto tempo o acesso é concedido e se ele deve expirar.

    • Expiração: Selecione Em número de dias (ex: 30) ou Data específica.
    • Exigir revisão de acesso para estender acesso: Sim (para revisar se o acesso ainda é necessário antes de expirar).
    • Permitir que usuários estendam acesso: Sim.
    • Exigir aprovação para conceder extensão: Sim.
    • Clique em Avançar.

  8. Revisar + criar: Revise as configurações e clique em Criar.

    • Explicação: Este pacote de acesso permite que usuários internos solicitem acesso aos recursos do Projeto Alfa. A solicitação exigirá a aprovação do Gerente do Projeto, e o acesso concedido expirará após 30 dias, com a possibilidade de extensão mediante revisão.

4. Testando o Gerenciamento de Direitos (Experiência do Usuário)

  1. Compartilhar o Link: Após a criação do pacote de acesso, copie o link de "Meu Acesso" (My Access Portal) para o pacote de acesso.
  2. Experiência do Usuário: Peça a um usuário de teste (que não tenha acesso aos recursos do Projeto Alfa) para navegar até o link de "Meu Acesso" e solicitar o pacote Acesso_Projeto_Alfa.
  3. Experiência do Aprovador: O aprovador configurado (Gerente do Projeto Alfa) receberá uma notificação por e-mail e deverá aprovar ou negar a solicitação no portal "Meu Acesso" ou no portal do Azure.
  4. Verificação: Após a aprovação, o usuário de teste deve ter acesso aos recursos especificados no pacote de acesso. Verifique se o usuário pode acessar o Grupo_Projeto_Alfa e o App_Projeto_Alfa.

5. Gerenciando Usuários Externos com Organizações Conectadas (Connected Organizations)

Para gerenciar usuários externos que vêm de organizações parceiras, você pode configurar Organizações Conectadas.

  1. No painel de navegação esquerdo do Identity Governance, selecione Organizações conectadas.
  2. Clique em + Nova organização conectada.

  3. Noções básicas:

    • Nome: Parceiro_X.
    • Descrição: Organização parceira para colaboração.
    • Estado: Configurado.
    • Tipo de identidade: Azure AD (se o parceiro usa Azure AD) ou Diretório externo.
    • Adicionar diretório: Pesquise pelo domínio do parceiro (ex: parceirox.com).
    • Clique em Criar.

  4. Agora, ao criar um pacote de acesso, você pode configurar a política de solicitação para permitir que usuários de Parceiro_X solicitem acesso, simplificando o processo de onboarding para colaboradores externos.

Dicas de Segurança e Melhores Práticas

  • Princípio do Privilégio Mínimo: Sempre projete seus pacotes de acesso e revisões para conceder o menor privilégio necessário. Revise regularmente as permissões concedidas.
  • Automação Sempre que Possível: Use Workflows de Ciclo de Vida para automatizar o provisionamento e desprovisionamento de usuários, especialmente para funcionários e convidados.
  • Revisões de Acesso Regulares: Agende revisões de acesso periódicas para todos os grupos, aplicações e funções privilegiadas. Isso garante que o acesso seja continuamente validado.
  • Políticas de Expiração de Acesso: Configure a expiração de acesso para pacotes de acesso e para usuários convidados. Isso garante que o acesso seja automaticamente revogado após um período definido, a menos que seja explicitamente estendido.
  • Aprovadores Adequados: Selecione aprovadores que tenham conhecimento suficiente para tomar decisões informadas sobre as necessidades de acesso (ex: proprietários de recursos, gerentes).
  • Documentação Clara: Mantenha uma documentação clara sobre seus catálogos, pacotes de acesso, políticas e revisões de acesso. Isso facilita a auditoria e a compreensão do seu modelo de acesso.
  • Monitoramento e Alerta: Monitore os logs de auditoria do Azure AD para atividades relacionadas ao Identity Governance, como criações de pacotes de acesso, solicitações, aprovações e remoções de acesso. Configure alertas para atividades suspeitas.
  • Educação do Usuário e Aprovador: Treine os usuários sobre como solicitar acesso via portal "Meu Acesso" e os aprovadores sobre suas responsabilidades na revisão e aprovação de solicitações.

Troubleshooting Comum

  • Usuário não consegue solicitar pacote de acesso:
    • Verifique se o usuário está incluído na política de solicitação do pacote de acesso (ex: Para usuários em seu diretório ou Para usuários não em seu diretório).
    • Certifique-se de que o pacote de acesso está Habilitado para novas solicitações.
    • Verifique se o usuário tem a licença Azure AD P2 apropriada.
  • Aprovador não recebe notificação de solicitação:
    • Verifique as configurações de e-mail na política de solicitação do pacote de acesso.
    • Certifique-se de que o e-mail do aprovador está correto e que as notificações não estão sendo filtradas por spam.
    • Verifique os logs de auditoria do Azure AD para ver se a solicitação foi enviada e se houve algum erro.
  • Revisão de acesso não inicia ou não notifica revisores:
    • Verifique a Data de início e a Frequência da revisão de acesso.
    • Certifique-se de que as configurações de notificação por e-mail estão ativadas na revisão de acesso.
    • Verifique os logs de auditoria do Azure AD para eventos relacionados à revisão de acesso.
  • Acesso não é removido automaticamente após revisão:
    • Verifique se a opção Auto-aplicar resultados ao recurso está Ativada na revisão de acesso.
    • Certifique-se de que a Ação a ser executada após a conclusão está definida como Remover acesso.
    • Pode levar algum tempo para que as remoções de acesso sejam processadas após a conclusão da revisão.
  • Problemas com usuários externos/convidados:
    • Verifique se a organização conectada está configurada corretamente e se o tipo de identidade corresponde ao diretório do parceiro.
    • Certifique-se de que as configurações de colaboração externa no Azure AD permitem o convite e o acesso de usuários externos.

Conclusão

O Azure AD Identity Governance é uma solução poderosa para gerenciar o complexo ciclo de vida de identidades e seus acessos em ambientes modernos. Ao implementar Revisões de Acesso, Gerenciamento de Direitos e Workflows de Ciclo de Vida, as organizações podem garantir que o acesso aos recursos seja sempre apropriado, revisado e revogado de forma oportuna. Isso não apenas fortalece a postura de segurança, mas também ajuda a alcançar a conformidade regulatória e a otimizar a eficiência operacional. Com este guia prático, os profissionais de segurança e administradores de TI estarão bem equipados para configurar, validar e gerenciar o Azure AD Identity Governance, construindo um ambiente de identidade e acesso mais seguro, controlado e automatizado para suas organizações.

Referências:

[1] Microsoft Learn. O que é o Microsoft Entra ID Governance?. Disponível em: https://learn.microsoft.com/pt-br/entra/id-governance/identity-governance-overview [2] Microsoft Learn. Governar o ciclo de vida do funcionário com a Governança de Identidade do Microsoft Entra. Disponível em: https://learn.microsoft.com/pt-br/entra/id-governance/scenarios/govern-the-employee-lifecycle [3] Microsoft Learn. Automatizar o gerenciamento do ciclo de vida da identidade com o Microsoft Entra ID Governance. Disponível em: https://learn.microsoft.com/pt-br/entra/id-governance/scenarios/automate-identity-lifecycle [4] Microsoft Learn. Requisitos de licenciamento para o Microsoft Entra ID Governance. Disponível em: https://learn.microsoft.com/pt-br/entra/id-governance/licensing [5] Microsoft Learn. Criar uma revisão de acesso de grupos e aplicativos no Microsoft Entra ID. Disponível em: https://learn.microsoft.com/pt-br/entra/id-governance/create-access-review [6] Microsoft Learn. O que é o gerenciamento de direitos do Microsoft Entra?. Disponível em: https://learn.microsoft.com/pt-br/entra/id-governance/entitlement-management-overview [7] Microsoft Learn. Criar um pacote de acesso no gerenciamento de direitos do Microsoft Entra. Disponível em: https://learn.microsoft.com/pt-br/entra/id-governance/entitlement-management-access-package-create [8] Microsoft Learn. O que são organizações conectadas no gerenciamento de direitos do Microsoft Entra?. Disponível em: https://learn.microsoft.com/pt-br/entra/id-governance/entitlement-management-connected-organization