Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo fornece um plano de implementação para criar Confiança Zero segurança com o Microsoft 365. O Zero Trust é um modelo de segurança que assume a violação e verifica cada solicitação como se tivesse sido originada de uma rede não controlada. Independentemente da origem do pedido ou do recurso a que acede, o modelo Zero Trust ensina-nos a "nunca confiar, verificar sempre".
Utilize este artigo juntamente com este cartaz.
Confiança Zero princípios e arquitetura
O Zero Trust é uma estratégia de segurança. Não é um produto ou um serviço, mas uma abordagem na conceção e implementação do seguinte conjunto de princípios de segurança.
| Princípio | Descrição |
|---|---|
| Verificar explicitamente | Sempre autentique e autorize com base em todos os pontos de dados disponíveis. |
| Usar acesso com privilégios mínimos | Limite o acesso do usuário com Just-In-Time e Just-Enough-Access (JIT/JEA), políticas adaptáveis baseadas em risco e proteção de dados. |
| Assuma que há uma violação | Minimizar o raio de explosão e segmentar o acesso. Verifique a criptografia de ponta a ponta e use análises para obter visibilidade, impulsionar a deteção de ameaças e melhorar as defesas. |
A documentação de orientação neste artigo ajuda-o a aplicar estes princípios ao implementar capacidades com o Microsoft 365.
Uma abordagem Zero Trust se estende por todo o patrimônio digital e serve como uma filosofia de segurança integrada e estratégia de ponta a ponta.
Esta ilustração fornece uma representação dos elementos principais que contribuem para Confiança Zero.
Na ilustração:
- A aplicação da política de segurança está no centro de uma arquitetura Zero Trust. Isto inclui a autenticação multifator com Acesso Condicional que tem em conta o risco da conta de utilizador, o estado do dispositivo e outros critérios e políticas que definiu.
- As identidades, dispositivos, dados, aplicações, rede e outros componentes de infraestrutura estão todos configurados com segurança adequada. As políticas configuradas para cada um desses componentes são coordenadas com sua estratégia geral de Zero Trust. Por exemplo, as políticas de dispositivos determinam os critérios para dispositivos em bom estado de funcionamento e as políticas de Acesso Condicional requerem dispositivos em bom estado de funcionamento para aceder a aplicações e dados específicos.
- A proteção contra ameaças e a inteligência monitoram o ambiente, apresentam os riscos atuais e tomam medidas automatizadas para remediar ataques.
Para obter mais informações sobre Confiança Zero, consulte Centro de Orientação Confiança Zero da Microsoft.
Implementar Confiança Zero para o Microsoft 365
O Microsoft 365 foi criado intencionalmente com muitas capacidades de proteção de informações e segurança para o ajudar a criar Confiança Zero no seu ambiente. Muitos dos recursos podem ser estendidos para proteger o acesso a outros aplicativos SaaS que sua organização usa e os dados dentro desses aplicativos.
Esta ilustração representa o trabalho de implementação de capacidades de Confiança Zero. Este trabalho está alinhado com Confiança Zero cenários empresariais no Confiança Zero framework de adoção.
Nesta ilustração, o trabalho de implementação é categorizado em cinco pistas de natação:
- Trabalho remoto e híbrido seguro – este trabalho cria uma base de proteção de identidades e dispositivos.
- Impedir ou reduzir danos comerciais de uma falha de segurança – a proteção contra ameaças fornece monitorização e remediação em tempo real de ameaças de segurança. Defender for Cloud Apps fornece a deteção de aplicações SaaS, incluindo aplicações de IA, e permite-lhe expandir a proteção de dados para estas aplicações.
- Identificar e proteger dados empresariais confidenciais – as capacidades de proteção de dados fornecem controlos sofisticados direcionados para tipos específicos de dados para proteger as suas informações mais valiosas.
- Proteger aplicações e dados de IA – proteja rapidamente a utilização da sua organização de aplicações de IA e os dados com que estas interagem.
- Cumprir os requisitos regulamentares e de conformidade — Compreenda e controle o seu progresso no sentido de cumprir os regulamentos que afetam a sua organização.
Este artigo pressupõe que está a utilizar a identidade da cloud. Se precisar de orientação para esse objetivo, consulte Implantar sua infraestrutura de identidade para o Microsoft 365.
Sugestão
Quando compreender os passos e o processo de implementação ponto a ponto, pode utilizar o guia de implementação avançada Configurar o modelo de segurança do Microsoft Confiança Zero quando tiver sessão iniciada no centro de administração do Microsoft 365. Este guia orienta-o ao longo da aplicação de princípios Confiança Zero para pilares tecnológicos padrão e avançados. Para percorrer o guia sem iniciar sessão, aceda ao portal de Configuração do Microsoft 365.
Pista de natação 1 – Proteger o trabalho remoto e híbrido
A proteção do trabalho remoto e híbrido envolve a configuração da proteção de acesso de identidades e dispositivos. Estas proteções contribuem para que o princípio Confiança Zero verifique explicitamente.
Realize o trabalho de proteção do trabalho remoto e híbrido em três fases.
Fase 1 – Implementar políticas de identidade de ponto de partida e de acesso de dispositivos
A Microsoft recomenda um conjunto abrangente de políticas de identidade e acesso de dispositivos para Confiança Zero neste guia , Confiança Zero configurações de identidade e acesso a dispositivos.
Na fase 1, comece por implementar o escalão de ponto de partida. Estas políticas não requerem a inscrição de dispositivos para gestão.
Aceda a Confiança Zero identidade e proteção de acesso ao dispositivo para obter orientações prescritivas detalhadas. Esta série de artigos descreve um conjunto de configurações de pré-requisitos de identidade e acesso a dispositivos e um conjunto de Microsoft Entra Acesso Condicional, Microsoft Intune e outras políticas para proteger o acesso ao Microsoft 365 para aplicações e serviços na cloud empresarial, outros serviços SaaS e aplicações no local publicadas com Microsoft Entra aplicação proxy.
| Inclui | Pré-requisitos | Não inclui |
|---|---|---|
Políticas de identidade e acesso de dispositivo recomendadas para três níveis de proteção:
Recomendações adicionais para:
|
Microsoft E3 ou E5 Microsoft Entra ID em qualquer um destes modos:
|
Inscrição de dispositivos para políticas que requerem dispositivos geridos. Veja Gerir dispositivos com Intune para inscrever dispositivos. |
Fase 2 – Inscrever dispositivos para gestão com Intune
Em seguida, inscreva os seus dispositivos na gestão e comece a protegê-los com controlos mais sofisticados.
Veja Gerir dispositivos com Intune para obter orientações prescritivas detalhadas sobre a inscrição de dispositivos na gestão.
| Inclui | Pré-requisitos | Não inclui |
|---|---|---|
Inscrever dispositivos com Intune:
Configurar políticas:
|
Registar pontos finais com Microsoft Entra ID | Configurar capacidades de proteção de informações, incluindo:
Para estas capacidades, consulte Pista de natação 3 — Identificar e proteger dados empresariais confidenciais (mais adiante neste artigo). |
Para obter mais informações, veja Confiança Zero para Microsoft Intune.
Fase 3 — Adicionar Confiança Zero identidade e proteção de acesso a dispositivos: Políticas empresariais
Com os dispositivos inscritos na gestão, pode agora implementar o conjunto completo de políticas de identidade e acesso de dispositivos recomendadas Confiança Zero, que requerem dispositivos em conformidade.
Volte para Identidade comum e políticas de acesso a dispositivos e adicione as políticas na camada Empresa.
Leia mais sobre como proteger o trabalho remoto e híbrido na arquitetura de adoção do Confiança Zero — Proteger o trabalho remoto e híbrido.
Pista de natação 2 – Impedir ou reduzir danos comerciais causados por uma violação
Microsoft Defender XDR é uma solução de deteção e resposta alargada (XDR) que recolhe, correlaciona e analisa automaticamente dados de sinal, ameaças e alertas de todo o seu ambiente do Microsoft 365, incluindo pontos finais, e-mail, aplicações e identidades. Além disso, Microsoft Defender for Cloud Apps ajuda as organizações a identificar e gerir o acesso a aplicações SaaS, incluindo aplicações GenAI.
Evite ou reduza os danos comerciais causados por uma falha de segurança ao pilotar e implementar Microsoft Defender XDR.
Aceda a Piloto e implemente Microsoft Defender XDR para obter um guia metódico para testar e implementar componentes Microsoft Defender XDR.
| Inclui | Pré-requisitos | Não inclui |
|---|---|---|
Configure o ambiente de avaliação e piloto para todos os componentes:
Proteger contra ameaças Investigue e responda a ameaças |
Veja a documentação de orientação para ler sobre os requisitos de arquitetura de cada componente do Microsoft Defender XDR. | Microsoft Entra ID Protection não está incluído neste guia de solução. Está incluído na Pista de Natação 1 — Proteger o trabalho remoto e híbrido. |
Leia mais sobre como evitar ou reduzir danos comerciais causados por uma falha de segurança no quadro de adoção do Confiança Zero — Impedir ou reduzir danos comerciais de uma falha de segurança.
Pista de natação 3 – Identificar e proteger dados empresariais confidenciais
Implemente Proteção de Informações do Microsoft Purview para o ajudar a descobrir, classificar e proteger informações confidenciais onde quer que estejam ou viajem.
Proteção de Informações do Microsoft Purview capacidades estão incluídas no Microsoft Purview e fornecem-lhe as ferramentas para conhecer os seus dados, proteger os seus dados e evitar a perda de dados. Pode começar este trabalho em qualquer altura.
Proteção de Informações do Microsoft Purview fornece uma arquitetura, processo e capacidades que pode utilizar para atingir os seus objetivos empresariais específicos.
Para obter mais informações sobre como planejar e implantar a proteção de informações, consulte Implantar uma solução de proteção de informações do Microsoft Purview.
Leia mais sobre como identificar e proteger dados empresariais confidenciais na estrutura de adoção do Confiança Zero — Identificar e proteger dados empresariais confidenciais.
Pista de natação 4 – Proteger aplicações e dados de IA
O Microsoft 365 inclui capacidades para ajudar as organizações a proteger rapidamente as aplicações de IA e os dados que estas utilizam.
Comece por utilizar o purview Gestão da Postura de Segurança de Dados (DSPM) para IA. Esta ferramenta centra-se na forma como a IA é utilizada na sua organização, especialmente os dados confidenciais que interagem com as ferramentas de IA. O DSPM para IA fornece informações mais detalhadas para o Microsoft Copilots e aplicativos SaaS de terceiros, como o ChatGPT Enterprise e o Google Gemini.
O diagrama a seguir mostra uma das visualizações agregadas sobre o impacto do uso da IA em seus dados — interações sensíveis por aplicativo de IA generativo.
Utilize DSPM para IA para:
- Obtenha visibilidade sobre a utilização de IA, incluindo dados confidenciais.
- Reveja as avaliações de dados para saber mais sobre as lacunas na partilha excessiva que podem ser mitigadas com controlos de partilha excedido do SharePoint.
- Encontre lacunas na cobertura da política para etiquetas de confidencialidade e políticas de prevenção de perda de dados (DLP).
Defender for Cloud Apps é outra ferramenta avançada para detetar e governar as aplicações e a utilização do SaaS GenAI. Defender for Cloud Apps inclui mais de mil aplicações geradas relacionadas com IA no catálogo, fornecendo visibilidade sobre como as aplicações de IA geradas são utilizadas na sua organização e ajudando-o a geri-las de forma segura.
Além destas ferramentas, o Microsoft 365 fornece um conjunto abrangente de capacidades para proteger e governar a IA. Veja Descobrir, proteger e governar aplicações e dados de IA para saber como começar a utilizar estas capacidades.
A tabela seguinte lista as capacidades do Microsoft 365 com ligações para mais informações na biblioteca Segurança para IA.
Pista de natação 5 – Cumprir os requisitos regulamentares e de conformidade
Independentemente da complexidade do ambiente de TI da sua organização ou da dimensão da sua organização, os novos requisitos regulamentares que podem afetar a sua empresa estão continuamente a aumentar. Uma abordagem Confiança Zero excede frequentemente alguns tipos de requisitos impostos pelos regulamentos de conformidade, por exemplo, aqueles que controlam o acesso aos dados pessoais. As organizações que implementaram uma abordagem Confiança Zero podem descobrir que já cumprem algumas novas condições ou podem facilmente basear-se na sua arquitetura Confiança Zero para estarem em conformidade.
O Microsoft 365 inclui capacidades para ajudar na conformidade regulamentar, incluindo:
- Gerente de Conformidade
- Explorador de conteúdos
- Políticas de retenção, etiquetas de confidencialidade e políticas DLP
- Conformidade com a comunicação
- Gerenciamento do ciclo de vida dos dados
- Priva Gestão de Riscos de Privacidade
Utilize os seguintes recursos para cumprir os requisitos regulamentares e de conformidade.
| Recurso | Mais informações |
|---|---|
| Confiança Zero adoção – Cumprir os requisitos regulamentares e de conformidade | Descreve uma abordagem metódica que a sua organização pode seguir, incluindo definir estratégia, planeamento, adoção e governação. |
| Governar aplicações e dados de IA para conformidade regulamentar | Resolve a conformidade regulamentar dos regulamentos relacionados com IA emergentes, incluindo capacidades específicas que ajudam. |
| Gerir a privacidade dos dados e a proteção de dados com o Microsoft Priva e o Microsoft Purview | Avalie os riscos e tome as medidas adequadas para proteger os dados pessoais no ambiente da sua organização com o Microsoft Priva e o Microsoft Purview. |
Próximos passos
Saiba mais sobre Confiança Zero ao visitar o centro de orientação Confiança Zero.