Pão ralado Cabeçalho da postagem
Segurança

Zoho Directory 2.0: 8 novos recursos de segurança que transformam o gerenciamento de identidades

6 minutos de leitura
Experimente Zoho One Grátis (inclui diretório) Avaliação de 30 dias • Todos os mais de 45 aplicativos incluídos
Índice

Índice

  1. O que há de novo no diretório Zoho 2.0
  2. Cloud RADIUS: segurança WiFi sem servidores
  3. Grupos Inteligentes: Gerenciamento Automatizado de Usuários
  4. Políticas de acesso condicional
  5. Política de roteamento de autenticação
  6. Traga sua própria chave (BYOK)
  7. Integração LDAP na nuvem
  8. Registros de auditoria e detecção de anomalias
  9. Recomendações de implementação
Conteúdo principal

O que há de novo no diretório Zoho 2.0

Zoho acaba de lançar o Directory 2.0, uma grande atualização para sua plataforma de gerenciamento de identidade de força de trabalho. Como consultor Zoho que implementou soluções de identidade para dezenas de organizações, estou particularmente entusiasmado com essas atualizações porque elas abordam pontos problemáticos reais que vejo em campo todos os dias.

A atualização traz oito recursos principais que simplificam o gerenciamento de identidades e ao mesmo tempo fortalecem a segurança. O que mais me impressiona é que Zoho se concentrou em removendo dependências de infraestrutura - chega de manter servidores RADIUS ou instâncias LDAP. Agora tudo é nativo da nuvem.

Atribuição de fonte: Detalhes do recurso com base em Anúncio oficial de Zoho (novembro de 2025). As orientações de análise e implementação são de minha autoria, com base nas implantações do cliente.

1. Cloud RADIUS: segurança WiFi sem hardware

O problema que isso resolve

A segurança WiFi tradicional requer a manutenção de servidores RADIUS físicos. Quando os funcionários saem, você fica preso a senhas compartilhadas ou revogações manuais de certificados. Já vi empresas gastarem milhares em infraestrutura RADIUS apenas para proteger o WiFi de seus convidados.

Cloud RADIUS elimina isso completamente. Ele vincula o acesso à rede diretamente às identidades dos usuários no diretório Zoho, fornecendo:

  • Autenticação baseada em identidade: Acesso WiFi vinculado a contas de funcionários, não a senhas compartilhadas
  • Infraestrutura zero: Não há servidores para manter, corrigir ou fazer backup
  • Revogação de acesso instantâneo: Desative uma conta de usuário, perca o acesso WiFi imediatamente
  • Automação de certificado: Certificados de usuário emitidos e renovados automaticamente

Dica de implementação em campo

Comece primeiro com salas de conferência e WiFi para convidados. Isso permite testar o sistema sem interromper a rede principal. Quando estiver estável, implemente as redes de funcionários, departamento por departamento. Descobri que um período piloto de 2 semanas por departamento funciona bem.

Diagrama mostrando o fluxo do Cloud RADIUS: o usuário se conecta ao WiFi, a solicitação RADIUS vai para o diretório Zoho, o diretório valida e concede acesso à rede.

2. Grupos inteligentes: configure e esqueça Gerenciamento de usuários

Aqui está um cenário que vejo constantemente: o RH contrata alguém no escritório de Londres como Gerente de Vendas. A TI os adiciona manualmente a:

  • Grupo de escritórios de Londres
  • Grupo da equipe de vendas
  • Grupo de fuso horário GMT
  • Grupo de permissões de gerente

Os Grupos Inteligentes automatizam isso totalmente. Defina as condições uma vez e os usuários serão adicionados/removidos automaticamente com base em seus atributos.

Grupos Manuais (Maneira Antiga)

  • ❌ O administrador adiciona manualmente cada usuário
  • ❌ Fácil de esquecer assinaturas
  • ❌ Grupos desatualizados conforme as funções mudam
  • ❌ Sem trilha de auditoria de alterações

Grupos Inteligentes (Nova Maneira)

  • ✅ Automático com base nos atributos do usuário
  • ✅ Sempre preciso e atual
  • ✅ Automanutenção conforme os usuários mudam de função
  • ✅ Registro completo de auditoria de automação

Exemplos de condições que uso com clientes

  • Domínio de e-mail: Contratantes de grupo automático (@contractor.company.com) versus funcionários
  • Localização: Políticas de acesso regional (os usuários da UE obtêm diferentes acessos a aplicativos)
  • Departamento: Vendas obtém acesso ao CRM, Finanças obtém acesso a livros
  • Título do trabalho: Os gerentes obtêm permissões de aprovação automaticamente
Fluxograma mostrando a lógica dos Grupos Inteligentes: um atributo do usuário é alterado, a condição do grupo inteligente é avaliada e a associação ao grupo é atualizada automaticamente.

3. Políticas de acesso condicional: segurança baseada no contexto

É aqui que o Zoho Directory 2.0 realmente brilha para a segurança corporativa. O Acesso Condicional avalia cada tentativa de login com base em contexto, não apenas credenciais.

O que é avaliado

  • Localização: Bloqueie logins de países sancionados ou exija 2FA de novos locais
  • Hora: Restrinja o acesso ao horário comercial ou sinalize horários de login incomuns
  • Endereço IP: Coloque IPs de escritório na lista de permissões, bloqueie intervalos de VPN/proxy conhecidos
  • Tipo de dispositivo: Exigir dispositivos gerenciados para aplicativos confidenciais
  • Plataforma: Permitir iOS/Android, mas bloquear dispositivos desbloqueados

Exemplo de política do mundo real

Para um cliente de serviços financeiros, configurei:

Política: "Acesso à Equipe Financeira"
Usuário IF no departamento Financeiro
E acessando Zoho Books
E localização NÃO em [EUA, Canadá, Reino Unido]
ENTÃO exija aprovação do gerente 2FA +

SE o horário for 23h às 5h, horário local
ENTÃO bloquear o acesso + alertar a equipe de segurança

Isso detectou uma conta comprometida 2 horas após a violação – o invasor fez login na Europa Oriental às 3h EST. O sistema bloqueou o acesso e alertou automaticamente a equipe de segurança.

Árvore de decisão para acesso condicional: uma solicitação de login é verificada em relação a diversas condições (dispositivo, local, função) levando a resultados como permitir, negar ou exigir 2FA.

4. Política de roteamento: métodos de autenticação obrigatórios

Equipes diferentes precisam de abordagens de autenticação diferentes. A Política de Roteamento permite impor métodos de login específicos com base em grupos de usuários ou aplicativos.

Padrões de roteamento comuns

  • Executivos: Somente sem senha (chaves biométricas ou de hardware)
  • Desenvolvedores: SSO + 2FA com TOTP
  • Funcionários em geral: Senha + SMS 2FA
  • Empreiteiros: Login social (Google/Microsoft) com acesso restrito ao aplicativo

Estratégia de implementação

Não force a falta de senha em todos no primeiro dia. Comece com executivos e equipe de TI para provar o conceito. Quando estiverem confortáveis, expanda para departamentos que lidam com dados confidenciais (Finanças, RH). Deixe o resto da organização aderir voluntariamente por 2 a 3 meses antes de torná-lo obrigatório.

5. Traga sua própria chave (BYOK): controle final de dados

Para setores regulamentados (saúde, finanças, governo), as chaves de criptografia de dados são essenciais. BYOK significa você controla as chaves de criptografia que protegem seus dados no diretório Zoho.

Por que isso é importante

Com BYOK, Zoho não pode acessar seus dados criptografados sem suas chaves. Se você revogar o acesso à chave, seus dados se tornarão ilegíveis imediatamente - até mesmo para os próprios Zoho. Isto é crítico para:

  • Conformidade com HIPAA (saúde)
  • Aplicação do “direito ao esquecimento” do GDPR
  • Requisitos regulatórios de serviços financeiros
  • Contratantes do governo/defesa

Quem precisa disso: Se o seu responsável pela conformidade já perguntou "onde as chaves de criptografia estão armazenadas?" - você precisa de BYOK.

6. Cloud LDAP: serviços de diretório sem servidores

Semelhante ao Cloud RADIUS, o Cloud LDAP move a autenticação LDAP tradicional para a nuvem. Isso é importante para organizações com aplicativos legados que exigem LDAP, mas não desejam manter servidores Active Directory ou OpenLDAP.

Casos de uso que implantei

  • Autenticação VPN: OpenVPN/WireGuard autenticado no diretório Zoho
  • Equipamento de rede: Switches, roteadores, firewalls usando LDAP para acesso administrativo
  • Aplicativos legados: Aplicativos Java antigos que suportam apenas autenticação LDAP
  • Servidores Linux: Autenticação SSH via LDAP sem manter o diretório local
Diagrama de arquitetura para Cloud LDAP: um aplicativo legado envia uma solicitação LDAP para o endpoint Cloud LDAP, que é processado pelo Zoho Directory para fornecer uma resposta de autenticação.

7 e 8. Registros de auditoria + detecção de anomalias

Esses dois recursos trabalham juntos para fornecer visibilidade completa e detecção automática de ameaças.

Registros de auditoria

Cada operação administrativa é registrada com:

  • Quem executou a ação
  • O que mudou (valores antes/depois)
  • Quando aconteceu (com fuso horário)
  • De qual endereço IP

Isto é essencial para auditorias de conformidade. Não sei dizer quantas vezes as equipes de conformidade perguntam "provar que o usuário X teve acesso ao sistema Y na data Z" - os registros de auditoria tornam essa consulta uma consulta de 30 segundos em vez de uma investigação de 3 dias.

Detecção de anomalias

O aprendizado de máquina analisa padrões de comportamento do usuário e sinaliza atividades incomuns:

  • Faça login no novo dispositivo em horários estranhos
  • Aumento repentino nos downloads de arquivos
  • Acesso a aplicativos nunca usados antes
  • Viagem geográfica impossível (Tóquio → Nova York em 2 horas)

Exemplo real de resposta a incidentes

O funcionário de um cliente teve credenciais roubadas. Detecção de anomalia sinalizada:

  • Login da Nigéria (funcionário normalmente em Chicago)
  • Acessou 15 aplicativos diferentes em 3 minutos (normal: 2 a 3 aplicativos por dia)
  • Diretório completo de funcionários baixado (nunca feito antes)

A equipe de segurança foi alertada em 90 segundos. Conta bloqueada em menos de 5 minutos. Dano potencial total: mínimo.

Recomendações de implementação

Depois de implementar o Zoho Directory para mais de 20 organizações, esta é minha abordagem de implementação recomendada:

Fase 1: Fundação (Semana 1-2)

  1. Habilite os logs de auditoria imediatamente (você deseja dados históricos)
  2. Configure grupos inteligentes para estrutura organizacional básica
  3. Configure a detecção de anomalias com limites conservadores

Fase 2: Controles de acesso (Semanas 3-4)

  1. Implemente primeiro o acesso condicional para aplicativos de alto risco (sistemas financeiros, de RH)
  2. Teste a política de roteamento com grupo piloto (equipe de TI ou executivos)
  3. Documente exceções de política e fluxos de trabalho de aprovação

Fase 3: Substituição de Infraestrutura (Semanas 5 a 8)

  1. Implante o Cloud RADIUS para testar a rede (WiFi da sala de conferências)
  2. Migre aplicativos dependentes de LDAP para Cloud LDAP, um de cada vez
  3. Execute sistemas paralelos por 2 semanas antes de desativar a infraestrutura antiga

Fase 4: Segurança Avançada (Semana 9+)

  1. Implementar BYOK se necessário para conformidade
  2. Ajuste os limites de detecção de anomalias com base em dados reais
  3. Expanda o acesso condicional a todos os aplicativos
  4. Treine a equipe na resposta a incidentes usando registros de auditoria

Planejamento Orçamentário

Zoho O diretório está incluído com Zoho One (US$ 37/usuário/mês para todos os mais de 45 aplicativos). Se você só precisa do Directory, o preço começa muito mais baixo. O ROI vem do descomissionamento de servidores RADIUS/LDAP - normalmente vejo economias de custos de infraestrutura de US$ 500 a 2.000/mês, além de redução do tempo de administração de TI (4 a 10 horas/semana).

Conclusão

Zoho O Directory 2.0 não é apenas uma atualização incremental – é uma mudança fundamental de “o gerenciamento de identidades requer infraestrutura” para “o gerenciamento de identidades é puramente nativo da nuvem”. Os oito novos recursos abordam pontos problemáticos reais que encontro em quase todos os compromissos do cliente:

  • Cloud RADIUS elimina dores de cabeça de segurança WiFi
  • Grupos inteligentes reduzem a carga de trabalho administrativo em 60-80%
  • O acesso condicional detecta ameaças que o MFA tradicional não percebe
  • BYOK satisfaz até os responsáveis pela conformidade mais paranóicos
  • Logs de auditoria + detecção de anomalias fornecem visibilidade de nível empresarial

Se você gerencia atualmente o Active Directory, servidores RADIUS ou infraestrutura LDAP, o Zoho Directory 2.0 merece uma avaliação séria. O esforço de migração é real, mas as poupanças operacionais a longo prazo e as melhorias de segurança fazem com que valha a pena para a maioria das organizações.

Seção CTA

Experimente o diretório Zoho sem riscos

Zoho O diretório está incluído em Zoho One junto com mais de 45 outros aplicativos de negócios. Inicie um teste gratuito de 30 dias para explorar todos os recursos discutidos neste artigo.

Iniciar avaliação gratuita - Zoho One

Inclui Zoho Directory + mais de 45 aplicativos • Não é necessário cartão de crédito • Avaliação de 30 dias

Recursos relacionados

Recursos relacionados