Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A força de trabalho atual requer acesso a aplicativos e recursos que existem além dos limites tradicionais da rede corporativa. Arquiteturas de segurança que dependem de firewalls de rede e VPNs (redes virtuais privadas) para isolar e restringir o acesso aos recursos não são mais suficientes.
Para abordar esse novo mundo da computação, a Microsoft recomenda altamente o modelo de segurança de Confiança Zero, que se baseia nestes princípios orientadores:
- Verificar de modo explícito – sempre autentique e autorize com base em todos os pontos de dados disponíveis. As políticas de acesso de identidade e dispositivo de Confiança Zero são cruciais para a autenticação e a validação contínua.
- Usar o acesso com o mínimo de privilégios – limite o acesso do usuário com JIT/JEA (Just-In-Time e Just-Enough-Access), políticas adaptáveis baseadas em risco e proteção de dados.
- Pressupor a violação: minimize o raio de alcance e segmente o acesso. Verifique a criptografia de ponta a ponta e use a análise para obter visibilidade, promover a detecção de ameaças e melhorar as defesas.
As políticas de identidade e acesso a dispositivos de Confiança Zero abordam o princípio-guia Verificar explicitamente para:
- Identidades: quando uma identidade tenta acessar um recurso, verifique essa identidade usando uma autenticação forte e se o acesso solicitado está em conformidade e é típico.
- Dispositivos (também chamados de pontos de extremidade): monitore e aplique os requisitos de integridade e conformidade do dispositivo para acesso seguro.
- Aplicativos: aplicar controles e tecnologias para:
- Garantir permissões apropriadas no aplicativo.
- Controlar o acesso com base em análises em tempo real.
- Monitorar comportamento anormal
- Controlar ações do usuário.
- Validar opções de configuração seguras.
Esta série de artigos descreve um conjunto de configurações e políticas de acesso a identidades e dispositivos usando a Microsoft Entra ID, o Acesso Condicional, o Microsoft Intune e outros recursos. Essas configurações e políticas fornecem acesso de Confiança Zero aos seguintes locais:
- Microsoft 365 para aplicativos e serviços de nuvem empresarial.
- Outros serviços SaaS.
- Aplicativos locais que são publicados com o proxy de aplicativo do Microsoft Entra.
Políticas e configurações de acesso de identidade e dispositivo de Confiança Zero são recomendadas em três camadas:
- Ponto inicial.
- Enterprise.
- Segurança especializada para ambientes com dados altamente regulamentados ou confidenciais.
Estas camadas e suas configurações correspondentes fornecem níveis consistentes de proteção de Confiança Zero em seus dados, identidades e dispositivos. Estes recursos e suas recomendações:
- Há suporte no Microsoft 365 E3 e no Microsoft 365 E5.
- Estão alinhados com o Microsoft Secure Score e a classificação de identidade no Microsoft Entra ID. Nossas recomendações aumentam essas pontuações para sua organização.
- Ajuda você a implementar estas cinco etapas para proteger sua infraestrutura de identidade.
Se sua organização tiver requisitos ou complexidades exclusivos, use essas recomendações como ponto de partida. No entanto, a maioria das organizações pode implementar essas recomendações conforme prescrito.
Assista a este vídeo para obter uma visão geral rápida das configurações de acesso de identidade e dispositivo para o Microsoft 365 para empresas.
Observação
A Microsoft também vende licenças em EMS (Enterprise Mobility + Security) para assinaturas do Office 365. Os recursos em EMS E3 e EMS E5 são equivalentes ao Microsoft 365 E3 e ao Microsoft 365 E5. Para obter mais informações, consulte os planos do EMS.
Público-alvo
Essas recomendações são destinadas a arquitetos empresariais e profissionais de TI que estão familiarizados com os serviços de segurança e produtividade de nuvem do Microsoft 365. Esses serviços incluem o Microsoft Entra ID (identidade), o Microsoft Intune (gerenciamento de dispositivos) e a Proteção de Informações do Microsoft Purview (proteção de dados).
Ambiente do cliente
As políticas recomendadas são aplicáveis a organizações empresariais que operam inteiramente na nuvem da Microsoft e para clientes com identidade híbrida. Uma infraestrutura de identidade híbrida sincroniza uma floresta do Active Directory local com a ID do Microsoft Entra.
Muitas de nossas recomendações dependem de serviços que estão disponíveis apenas com as seguintes licenças:
- Microsoft 365 E5
- Microsoft 365 E3 com o complemento E5 Security
- EMS E5
- Licenças do Microsoft Entra ID P2
Para organizações que não têm essas licenças, recomendamos padrões de segurança, que estão disponíveis em todos os planos do Microsoft 365 e estão habilitados por padrão.
Advertências
Sua organização pode estar sujeita a requisitos regulatórios ou outros requisitos de conformidade, incluindo recomendações específicas que exigem políticas que divergem de nossas configurações recomendadas. Recomendamos estes controles porque acreditamos que eles representam um equilíbrio entre a produtividade e a segurança.
Embora tenhamos tentado considerar uma ampla variedade de requisitos de proteção organizacional, não podemos considerar todos os requisitos possíveis ou os elementos exclusivos da sua organização.
Três níveis de proteção
A maioria das organizações têm requisitos específicos sobre segurança e proteção de dados. Esses requisitos variam por segmento do setor e por funções de trabalho dentro das organizações. Por exemplo, seu departamento jurídico e administradores podem exigir mais controles de segurança e proteção de informações em torno de suas correspondências de email que não são necessárias para outras unidades de negócios.
Cada setor também tem seu próprio conjunto de normas especializadas. Não estamos tentando fornecer uma lista de todas as opções de segurança possíveis ou uma recomendação por segmento do setor ou função de trabalho. Em vez disso, estamos fornecendo recomendações para três níveis de segurança e proteção que podem ser aplicados com base na granularidade de suas necessidades.
- Ponto de partida: é recomendável que todos os clientes estabeleçam e usem um padrão mínimo para proteger dados, bem como as identidades e dispositivos que acessam seus dados. Siga estas recomendações para fornecer proteção padrão forte como ponto de partida para todas as organizações.
- Empresarial: alguns clientes têm um subconjunto de dados que devem ser protegidos em níveis mais altos ou todos os dados devem ser protegidos em um nível mais alto. Aplique a proteção aprimorada a todos os dados ou a conjuntos de dados específicos em seu ambiente do Microsoft 365. É recomendável proteger identidades e dispositivos que acessem dados confidenciais com níveis compatíveis de segurança.
- Segurança especializada: conforme necessário, alguns clientes têm uma pequena quantidade de dados altamente confidenciais, que constituem segredos comerciais ou são regulamentados. A Microsoft fornece recursos para ajudar estes clientes a atender a esses requisitos, incluindo proteção adicional para identidades e dispositivos.
Estas diretrizes mostram como implementar a proteção de Confiança Zero para identidades e dispositivos, para cada um destes níveis de proteção. Use as diretrizes como um mínimo para sua organização e ajuste as políticas para atender aos requisitos específicos dela.
É importante usar níveis consistentes de proteção em suas identidades, dispositivos e dados. Por exemplo, a proteção para usuários com contas prioritárias (executivos, líderes, gerentes etc.) deve incluir o mesmo nível de proteção para suas identidades, seus dispositivos e os dados que acessam.
Além disso, consulte a solução: implante a proteção de informações para regulamentações de privacidade de dados para proteger as informações armazenadas no Microsoft 365.
Compensações entre segurança e produtividade
Implementar qualquer estratégia de segurança requer compensações entre segurança e produtividade. É útil avaliar como cada decisão afeta o equilíbrio de segurança, funcionalidade e facilidade de uso.
As recomendações fornecidas baseiam-se nos seguintes princípios:
- Conheça os usuários e seja flexível aos requisitos funcionais e de segurança.
- Aplique uma política de segurança no momento certo e garanta que ela seja significativa.
Serviços e conceitos para identidade de Confiança Zero e proteção de acesso ao dispositivo
O Microsoft 365 para empresas foi projetado para grandes organizações a fim de capacitar todos a serem criativos e trabalharem juntos com segurança.
Esta seção fornece uma visão geral dos serviços e recursos do Microsoft 365 que são importantes para a identidade de Confiança Zero e o acesso ao dispositivo.
Microsoft Entra ID
O Microsoft Entra ID fornece um conjunto completo de recursos de gerenciamento de identidade. É recomendável usar esses recursos para proteger o acesso.
| Capacidade ou recurso | Descrição | Licenciamento |
|---|---|---|
| MFA (autenticação multifator) | A MFA exige que os usuários forneçam duas formas de verificação, como uma senha de usuário mais uma notificação do aplicativo do Microsoft Authenticator ou uma chamada telefônica. A MFA reduz consideravelmente o risco de que as credenciais roubadas possam ser usadas para acessar seu ambiente. O Microsoft 365 usa o serviço de autenticação multifator do Microsoft Entra para credenciais baseadas em MFA. | Microsoft 365 E3 ou E5 |
| Acesso Condicional | O Microsoft Entra ID avalia as condições da entrada do usuário e usa as políticas de Acesso Condicional para determinar o acesso permitido. Por exemplo, nestas diretrizes, mostramos como criar uma política de Acesso Condicional para exigir a conformidade do dispositivo para acesso a dados confidenciais. Essa configuração reduz consideravelmente o risco de que um hacker com seu próprio dispositivo e credenciais roubadas possa acessar seus dados confidenciais. Também protege dados confidenciais nos dispositivos, pois os dispositivos devem atender a requisitos específicos de integridade e segurança. | Microsoft 365 E3 ou E5 |
| Grupos do Microsoft Entra | As políticas de Acesso Condicional, o gerenciamento de dispositivos com o Intune e até mesmo permissões para arquivos e sites em sua organização dependem da atribuição para contas de usuário ou grupos do Microsoft Entra. Recomendamos que você crie grupos do Microsoft Entra que correspondam aos níveis de proteção implementados. Por exemplo, os membros de sua equipe executiva provavelmente são alvos de alto valor para hackers. Você deve adicionar essas contas de usuário a um grupo do Microsoft Entra e atribuir esse grupo a políticas de Acesso Condicional e outras políticas que imponham um nível mais alto de proteção. | Microsoft 365 E3 ou E5 |
| Registro de dispositivo | Registre um dispositivo no Microsoft Entra ID para criar uma identidade para ele. Esta identidade é usada para autenticar o dispositivo quando um usuário entra e aplica políticas de Acesso Condicional que exigem computadores em conformidade ou conectados ao domínio. Para essa diretriz, usamos o registro de dispositivo para registrar automaticamente computadores do Windows conectados ao domínio. O registro de dispositivo é um pré-requisito para gerenciar dispositivos com o Intune. | Microsoft 365 E3 ou E5 |
| Microsoft Entra ID Protection | Permite que você detecte possíveis vulnerabilidades que afetam as identidades da organização e configure a política de correção automatizada para risco de login e risco do usuário baixo, médio e alto. Essa diretriz depende dessa avaliação de risco para aplicar políticas de Acesso Condicional à autenticação multifator. Essa diretriz também inclui uma política de Acesso Condicional que exige que os usuários alterem sua senha se uma atividade de alto risco for detectada para sua conta. | Licenças do Microsoft 365 E5, Microsoft 365 E3 com o complemento de Segurança E5, EMS E5 ou Microsoft Entra ID P2 |
| SSPR (redefinição de senha por autoatendimento) | Permita que os usuários redefinam as senhas com segurança e sem intervenção da assistência técnica, fornecendo a verificação de vários métodos de autenticação que o administrador pode controlar. | Microsoft 365 E3 ou E5 |
| Proteção de senha do Microsoft Entra | Detecte e bloqueie senhas fracas conhecidas, variantes de senha e outros termos fracos específicos para sua organização. As listas de senhas proibidas globais padrão são aplicadas automaticamente a todos os usuários em uma organização do Microsoft Entra. Você também pode definir entradas específicas em uma lista personalizada de senhas proibidas. Quando os usuários alteram ou redefinem suas senhas, essas listas de senhas banidas são verificadas para impor o uso de senhas fortes. | Microsoft 365 E3 ou E5 |
Aqui estão os componentes da identidade de Confiança Zero e do acesso ao dispositivo, incluindo objetos, configurações e subserviços do Intune e do Microsoft Entra.
Avaliação contínua de acesso
A avaliação contínua de acesso para o Microsoft 365 e o Microsoft Entra ID encerra proativamente as sessões de usuário ativas e impõe alterações de política quase em tempo real.
A ID do Microsoft Entra notifica os serviços do Microsoft 365 compatíveis quando o estado de autenticação de uma conta de usuário requer reavaliação. Quando um aplicativo com suporte tenta acessar um serviço do Microsoft 365 com um token de acesso revogado, o serviço rejeita o token e a sessão do usuário é redirecionada para a ID do Microsoft Entra para autenticação novamente. Essa ação é conhecida como desafio de declaração. O resultado é uma imposição quase em tempo real da conta de usuário e das alterações de política.
A avaliação contínua de acesso está incluída em todas as versões do Office 365 e do Microsoft 365. A configuração de políticas de Acesso Condicional requer o Microsoft Entra ID P1, que está incluído em todas as versões do Microsoft 365.
Para obter informações, consulte Avaliação contínua de acesso.
Microsoft Intune
O Intune é o serviço de gerenciamento de dispositivo móvel baseado em nuvem da Microsoft. Essa diretriz recomenda o gerenciamento de dispositivos de computadores do Windows com o Intune e recomenda configurações de política de conformidade do dispositivo. O Intune determina se os dispositivos estão em conformidade e envia estes dados para o Microsoft Entra ID para uso ao aplicar políticas de Acesso Condicional.
Proteção de aplicativo do Intune
As políticas de proteção de aplicativo do Intune podem ser usadas para proteger os dados de sua organização em aplicativos móveis, com ou sem o registro dos dispositivos no gerenciamento. O Intune ajuda a proteger as informações, mantendo a produtividade do usuário e evitando a perda de dados. Ao implementar as políticas de nível de aplicativo, você pode restringir o acesso aos recursos da empresa e manter os dados sob o controle do seu departamento de TI.
Esta orientação mostra como criar políticas para impor o uso de aplicativos aprovados e especificar como esses aplicativos podem ser usados com seus dados comerciais.
Microsoft 365
Essa diretriz mostra como implementar um conjunto de políticas para proteger o acesso aos serviços de nuvem do Microsoft 365, incluindo Microsoft Teams, Exchange, SharePoint e OneDrive. Além de implementar essas políticas, recomendamos que você também aumente o nível de proteção para sua organização usando estes recursos:
Windows 11 ou Windows 10 com o Microsoft 365 Apps para empresas
O Windows 11 ou Windows 10 com o Microsoft 365 Apps para empresas é o ambiente de cliente recomendado para computadores. Recomendamos o uso do Windows 11 ou Windows 10, pois o Microsoft Entra foi projetado para fornecer a melhor experiência possível, tanto no ambiente local quanto com o Microsoft Entra ID. O Windows 11 ou Windows 10 também inclui recursos de segurança avançados que podem ser gerenciados por meio do Intune. O Microsoft 365 Apps para empresas inclui as versões mais recentes de aplicativos do Office. Esses aplicativos usam a autenticação moderna, que é mais segura e é necessária para acesso condicional. Esses aplicativos também incluem ferramentas avançadas de conformidade e segurança.
Aplicar estes recursos nos três níveis de proteção
A tabela a seguir resume nossas recomendações para usar esses recursos nos três níveis de proteção.
| Mecanismo de proteção | Ponto inicial | Empresa | Segurança especializada |
|---|---|---|---|
| Impor MFA | O risco de login é médio ou alto. | O risco de entrada é baixo, médio ou alto. | Todas as novas sessões. |
| Impor a alteração de senha | Para usuários de alto risco. | Para usuários de alto risco. | Para usuários de alto risco. |
| Impor a proteção de aplicativo do Intune | Sim | Sim | Sim |
| Impor o registro do Intune para dispositivo de propriedade da organização | Exigir um computador em conformidade ou conectado ao domínio, mas permitir telefones e tablets BYOD (traga seus próprios dispositivos). | Exigir um dispositivo em conformidade ou vinculado ao domínio. | Exigir um dispositivo em conformidade ou conectado ao domínio. |
Propriedade do dispositivo
A tabela anterior reflete a tendência de muitas organizações oferecerem suporte a uma combinação de dispositivos BYOD (organização e pessoais) que acessam dados da empresa. As políticas de proteção de aplicativo do Intune garantem que os dados da empresa estejam protegidos contra exfiltração no Outlook para iOS e Android e em outros aplicativos móveis do Microsoft 365 em dispositivos pessoais e organizacionais.
Recomendamos que você use o Intune para gerenciar dispositivos de propriedade da organização ou que os dispositivos sejam ingressados no domínio para aplicar proteções e controles adicionais. Dependendo da confidencialidade de dados, sua organização pode não permitir BYODs para grupos de usuários ou aplicativos específicos.
Implantação e seus aplicativos
Antes de configurar e distribuir a identidade de Confiança Zero e a configuração de acesso ao dispositivo para seus aplicativos integrados do Microsoft Entra, você deve executar as seguintes etapas:
Decida os aplicativos para proteger em sua organização.
Analisar esta lista de aplicativos para determinar os conjuntos de políticas que fornecem níveis apropriados de proteção.
Não recomendamos conjuntos separados de políticas para cada aplicativo porque o gerenciamento de políticas separadas pode se tornar complicado. Em vez disso, recomendamos que você agrupe aplicativos com os mesmos requisitos de proteção para os mesmos usuários.
Por exemplo, comece com um conjunto de políticas que incluem todos os aplicativos do Microsoft 365 para todos os usuários. Use um conjunto diferente e mais restritivo de políticas para todos os aplicativos confidenciais (por exemplo, aplicativos usados por recursos humanos ou departamentos financeiros) e aplique essas políticas restritivas aos grupos afetados.
Depois de determinar o conjunto de políticas para os aplicativos que você deseja proteger, implemente incrementalmente as políticas para os usuários, resolvendo problemas ao longo do caminho. Por exemplo:
- Configure as políticas a serem usada para todos os aplicativos do Microsoft 365.
- Adicione o Exchange com as alterações necessárias, implemente as políticas para os usuários e resolva quaisquer problemas.
- Adicione o Teams com suas alterações necessárias, implemente as políticas aos usuários e resolva quaisquer problemas.
- Adicione o SharePoint com suas alterações necessárias, implemente as políticas aos usuários e resolva quaisquer problemas.
- Continue adicionando aplicativos até que você possa configurar com confiança essas políticas de ponto de partida para incluir todos os aplicativos do Microsoft 365.
Da mesma forma, crie o conjunto de políticas para aplicativos confidenciais adicionando um aplicativo de cada vez. Resolva quaisquer problemas até que todos eles sejam incluídos no conjunto de políticas para aplicativos confidenciais.
A Microsoft recomenda que você não crie conjuntos de políticas que se apliquem a todos os aplicativos, pois isso pode resultar em algumas configurações não intencionais. Por exemplo, políticas que bloqueiam todos os aplicativos podem impedir que seus administradores acessem o centro de administração do Microsoft Entra, e as exclusões não podem ser configuradas para pontos de extremidade importantes, como o Microsoft Graph.
Etapas para configurar a identidade de Confiança Zero e o acesso ao dispositivo
- Configure as características e configurações de identidade necessárias.
- Configure a identidade comum e acesse as políticas de Acesso Condicional.
- Configure políticas de Acesso Condicional para acesso de convidado.
- Configure as políticas de Acesso Condicional para aplicativos de nuvem do Microsoft 365 (por exemplo, Microsoft Teams, Exchange e SharePoint) e configure as políticas do Microsoft Defender para Aplicativos de Nuvem.
Depois de configurar a identidade de Confiança Zero e o acesso ao dispositivo, consulte o Guia de implantação de recursos do Microsoft Entra para uma lista de verificação em fases de outros recursos a serem considerados e o Microsoft Entra ID Governance para proteger, monitorar e auditar o acesso.