Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve os pré-requisitos que os administradores devem atender para usar as políticas recomendadas de acesso de identidade e dispositivo de Confiança Zero e usar o Acesso Condicional. Ele também discute os padrões recomendados para configurar plataformas cliente para a melhor experiência de SSO (logon único).
Pré-requisitos
Antes de usar a identidade de Confiança Zero e as políticas de acesso ao dispositivo recomendadas, sua organização precisa atender aos pré-requisitos. Os requisitos são diferentes para os vários modelos de identidade e autenticação listados:
- Apenas na nuvem
- Autenticação híbrida com a PHS (sincronização de hash de senha)
- Híbrido com a PTA (autenticação de passagem)
- Federado
A tabela a seguir detalha os recursos de pré-requisitos e sua configuração que se aplicam a todos os modelos de identidade, exceto onde indicado.
| Configuração | Exceções | Licenciamento |
|---|---|---|
| Configurar PHS (Sincronização de hash de senha). Esse recurso deve ser habilitado para detectar credenciais vazadas e agir sobre elas para acesso condicional baseado em risco. Essa configuração é necessária independentemente de sua organização usar a autenticação federada. | Apenas na nuvem | Microsoft 365 E3 ou E5 |
| Habilite o logon único contínuo para conectar automaticamente os usuários em seus dispositivos de organização conectados à rede da sua organização. | Apenas na nuvem e federado | Microsoft 365 E3 ou E5 |
| Configurar locais de rede. A Proteção do Microsoft Entra ID coleta e analisa todos os dados de sessão disponíveis para gerar uma pontuação de risco. É recomendável especificar os intervalos de IP públicos da sua organização para sua rede na configuração de locais nomeados do Microsoft Entra ID. O tráfego desses intervalos recebe uma pontuação de risco reduzida, e o tráfego de fora desses intervalos recebe uma pontuação de risco maior. | Microsoft 365 E3 ou E5 | |
| Registre todos os usuários para a redefinição de senha com autogerenciamento (SSPR) e autenticação multifator (MFA). Recomendamos que você faça essa etapa antecipadamente. O Microsoft Entra ID Protection usa a autenticação multifator do Microsoft Entra para a verificação de segurança adicional. Para obter a melhor experiência de entrada, recomendamos usar o aplicativo Microsoft Authenticator e o aplicativo Microsoft Company Portal em dispositivos. Os usuários podem instalar esses aplicativos na loja de aplicativos para sua plataforma de dispositivo. | Microsoft 365 E3 ou E5 | |
| Planejar a implementação de ingresso no Microsoft Entra híbrido. O Acesso Condicional verifica se os dispositivos que se conectam a aplicativos estão associados ao domínio ou estão em conformidade. Para dar suporte a esse requisito em computadores Windows, o dispositivo deve ser registrado com a ID do Microsoft Entra. Este artigo descreve como configurar o registro automático do dispositivo. | Apenas na nuvem | Microsoft 365 E3 ou E5 |
| Preparar sua equipe de suporte. Tenha um plano para usuários que não podem fazer MFA. Por exemplo, adicione-as a um grupo de exclusão de políticas ou registre novas informações de MFA para elas. Se você fizer exceções sensíveis à segurança, verifique se o usuário está realmente fazendo a solicitação. Exigir que os gerentes ajudem com a aprovação dos usuários é uma etapa efetiva. | Microsoft 365 E3 ou E5 | |
Configurar o write-back de senha no Active Directory local. O rebote de senha permite que o Microsoft Entra ID exija que os usuários alterem suas senhas no local quando um comprometimento de conta de alto risco é detectado. Você pode habilitar esse recurso usando o Microsoft Entra Connect de duas maneiras:
|
Apenas na nuvem | Microsoft 365 E3 ou E5 |
| Configurar a proteção de senha do Microsoft Entra. A Proteção de Senha do Microsoft Entra detecta e bloqueia senhas fracas e suas variantes e também pode bloquear outros termos fracos que são específicos para sua organização. As listas de senhas proibidas globais padrão são aplicadas automaticamente a todos os usuários em uma organização do Microsoft Entra. Você pode definir outras entradas em uma lista personalizada de senhas proibidas. Quando os usuários alteram ou redefinem suas senhas, essas listas de senhas banidas são verificadas para impor o uso de senhas fortes. | Microsoft 365 E3 ou E5 | |
| Habilitar a proteção do Microsoft Entra ID. O Microsoft Entra ID Protection permite detectar possíveis vulnerabilidades que afetam as identidades da sua organização e configurar uma política de correção automatizada para risco de entrada baixo, médio e alto e risco de usuário. | Microsoft 365 E5 ou Microsoft 365 E3 com o complemento E5 Security | |
| Habilite a avaliação contínua de acesso para o Microsoft Entra ID. A avaliação contínua de acesso encerra proativamente as sessões de usuário ativas e impõe alterações na política da organização quase em tempo real. | Microsoft 365 E3 ou E5 |
Configurações de cliente recomendadas
Esta seção descreve as configurações de cliente de plataforma padrão recomendadas para a melhor experiência de SSO e os pré-requisitos técnicos para acesso condicional.
Dispositivos Windows
É recomendável o Windows 11 ou o Windows 10 (versão 2004 ou posterior), pois o Azure foi desenvolvido para proporcionar a experiência de SSO mais uniforme possível, tanto localmente quanto para o Microsoft Entra ID. Configure dispositivos de propriedade da organização usando uma das seguintes opções:
- Ingresse diretamente na ID do Microsoft Entra.
- Configurar dispositivos ingressados no domínio do Active Directory local para se registrarem automaticamente e silenciosamente com a ID do Microsoft Entra
Para dispositivos Windows pessoais (traga seu próprio dispositivo ou BYOD), os usuários podem usar Adicionar conta corporativa ou de estudante. Os usuários do Google Chrome em dispositivos Windows 11 ou Windows 10 precisam instalar uma extensão para obter a mesma experiência de entrada suave que os usuários do Microsoft Edge.
Dispositivos iOS/iPadOS
É recomendável instalar o aplicativo Microsoft Authenticator em dispositivos de usuário antes de implantar o Acesso Condicional ou as políticas de MFA. Se não puder, instale o aplicativo nos seguintes cenários:
- Quando os usuários são solicitados a registrar seu dispositivo com a ID do Microsoft Entra adicionando uma conta corporativa ou de estudante.
- Quando os usuários instalam o aplicativo do portal da empresa do Intune para registrar seu dispositivo no gerenciamento.
A solicitação depende da política de Acesso Condicional configurada.
Dispositivos Android
Recomendamos que os usuários instalem o aplicativo Portal da Empresa do Intune e o aplicativo Microsoft Authenticator antes que as políticas de Acesso Condicional sejam implantadas ou durante tentativas de autenticação específicas. Após a instalação do aplicativo, os usuários podem ser solicitados a se registrar na ID do Microsoft Entra ou registrar seu dispositivo no Intune, dependendo da política de Acesso Condicional configurada.
Também recomendamos que os dispositivos de propriedade da organização ofereçam suporte ao Android for Work ou ao Samsung Knox para permitir o gerenciamento e a proteção de contas de email por políticas de MDM (gerenciamento de dispositivo móvel) do Intune.
Clientes de email recomendados
Os clientes de email na tabela a seguir dão suporte à autenticação moderna e ao acesso condicional:
| Plataforma | Cliente | Versão/Notas |
|---|---|---|
| Windows | Outlook | 2016 ou posterior Atualizações Necessárias |
| iOS/iPadOS | Outlook para iOS | Mais recente |
| Android | Outlook para Android | Mais recente |
| macOS | Outlook | 2016 ou posterior |
| Linux | Sem suporte |
Plataformas de cliente recomendadas ao proteger documentos
Recomendamos os aplicativos cliente na tabela a seguir quando uma política de documentos seguros é aplicada:
| Plataforma | Word/Excel/PowerPoint | OneNote | Aplicativo OneDrive | Aplicativo do SharePoint | Cliente de sincronização do OneDrive |
|---|---|---|---|---|---|
| Windows 11 ou Windows 10 | Com suporte | Suportado | N/D | Não disponível | Com suporte |
| Android | Com suporte | Suportado | Com suporte | Suportado | N/D |
| iOS/iPadOS | Suportado | Com suporte | Suportado | Suportado | N/D |
| macOS | Suportado | Suportado | Não se Aplica | N/D | Sem suporte |
| Linux | Sem suporte | Sem suporte | Sem suporte | Sem suporte | Sem suporte |
Suporte ao cliente do Microsoft 365
Para obter mais informações sobre o suporte ao cliente no Microsoft 365, consulte Implantar sua infraestrutura de identidade para o Microsoft 365.
Proteger contas de administrador
Para o Microsoft 365 E3 ou E5 ou com licenças separadas do Microsoft Entra ID P1 ou P2, você pode exigir MFA resistente a phishing para contas de administrador com uma política de Acesso Condicional criada manualmente. Para obter mais informações, consulte Acesso Condicional: exigir MFA resistente a phishing para administradores.
Para edições do Microsoft 365 ou do Office 365 que não dão suporte ao Acesso Condicional, você pode habilitar padrões de segurança para exigir MFA para todas as contas.
Aqui estão algumas outras recomendações:
- Use o Microsoft Entra Privileged Identity Management para reduzir o número de contas administrativas persistentes.
- Use o gerenciamento de acesso privilegiado para proteger sua organização contra violações que possam usar contas de administrador com privilégios existentes com acesso permanente a dados confidenciais ou acesso a configurações críticas.
- Crie e use contas separadas que são atribuídas a funções de administrador do Microsoft 365somente para administração. Os administradores devem ter sua própria conta de usuário para uso regular. Eles devem usar uma conta administrativa somente quando necessário para concluir uma tarefa associada à função ou função de trabalho.
- Siga as melhores práticas para proteger contas com privilégios no Microsoft Entra ID.
Próxima etapa
Configure as Políticas comuns de acesso de dispositivo e identidade de Confiança Zero