O que são os padrões de segurança?What are security defaults?

Gerenciar a segurança pode ser difícil com ataques comuns relacionados à identidade, como o spray de senha, reprodução e phishing se tornando cada vez mais popular.Managing security can be difficult with common identity-related attacks like password spray, replay, and phishing becoming more and more popular. Com os padrões de segurança, fica mais fácil proteger sua organização contra esses ataques devido a configurações de segurança pré-definidas que:Security defaults make it easier to help protect your organization from these attacks with preconfigured security settings:

  • Exigir que todos os usuários se registrem para a autenticação multifator do Azure AD.Requiring all users to register for Azure AD Multi-Factor Authentication.
  • Exigem que os administradores executem a autenticação multifator.Requiring administrators to perform multi-factor authentication.
  • Bloqueiem protocolos de autenticação herdados.Blocking legacy authentication protocols.
  • Exigem que os usuários executem a autenticação multifator quando necessário.Requiring users to perform multi-factor authentication when necessary.
  • Que protejam atividades privilegiadas como o acesso ao portal do Azure.Protecting privileged activities like access to the Azure portal.

Captura de tela do portal do Azure com a alternância para habilitar os padrões de segurança

Há mais detalhes sobre por que os padrões de segurança estão sendo disponibilizados podem ser encontrados na postagem do blog de Alex Weinert, Apresentação dos padrões de segurança.More details on why security defaults are being made available can be found in Alex Weinert's blog post, Introducing security defaults.

DisponibilidadeAvailability

A Microsoft está disponibilizando padrões de segurança para todos.Microsoft is making security defaults available to everyone. A meta é garantir que todas as organizações tenham um nível básico de segurança habilitado sem custos adicionais.The goal is to ensure that all organizations have a basic level of security enabled at no extra cost. A ativação dos padrões de segurança é feita no portal do Azure.You turn on security defaults in the Azure portal. Caso seu locatário tenha sido criado em 22 de outubro de 2019 ou após essa data, é possível que os padrões de segurança já estejam habilitados em seu locatário.If your tenant was created on or after October 22, 2019, it is possible security defaults are already enabled in your tenant. Em um esforço para proteger todos os nossos usuários, os padrões de segurança estão sendo distribuídos para todos os novos locatários que sejam criados.In an effort to protect all of our users, security defaults is being rolled out to all new tenants created.

Para quem eles são?Who's it for?

  • Caso sua organização deseje aumentar sua postura de segurança, mas não sabe como ou onde começar, os padrões de segurança são adequados para você.If you are an organization that wants to increase your security posture but you don't know how or where to start, security defaults are for you.
  • Caso sua organização use o tipo de preço gratuito de licenciamento do Azure Active Directory, os padrões de segurança são adequados para você.If you are an organization utilizing the free tier of Azure Active Directory licensing, security defaults are for you.

Quem deve usar o Acesso Condicional?Who should use Conditional Access?

  • Caso sua organização esteja atualmente usando políticas de Acesso Condicional para reunir sinais, tomar decisões e impor políticas organizacionais, os padrões de segurança provavelmente não são adequados para você.If you are an organization currently using Conditional Access policies to bring signals together, to make decisions, and enforce organizational policies, security defaults are probably not right for you.
  • Caso sua organização com licenças do Azure Active Directory Premium, os padrões de segurança provavelmente não são adequados para você.If you are an organization with Azure Active Directory Premium licenses, security defaults are probably not right for you.
  • Caso sua organização tenha requisitos de segurança complexos, você deve cogitar o uso do Acesso Condicional.If your organization has complex security requirements you should consider Conditional Access.

Políticas impostasPolicies enforced

Registro unificado da Autenticação MultifatorUnified Multi-Factor Authentication registration

Todos os usuários em seu locatário devem se registrar para a autenticação multifator (MFA) na forma da autenticação multifator do Azure AD.All users in your tenant must register for multi-factor authentication (MFA) in the form of the Azure AD Multi-Factor Authentication. Os usuários têm 14 dias para se registrarem na autenticação multifator do Azure AD usando o aplicativo Microsoft Authenticator.Users have 14 days to register for Azure AD Multi-Factor Authentication by using the Microsoft Authenticator app. Depois que os 14 dias tiverem passado, o usuário não conseguirá entrar até que o registro seja concluído.After the 14 days have passed, the user won't be able to sign in until registration is completed. O período de 14 dias de um usuário começa após sua primeira entrada interativa bem-sucedida depois de habilitar os padrões de segurança.A user's 14-day period begins after their first successful interactive sign-in after enabling security defaults.

Administradores de proteçãoProtecting administrators

Usuários com acesso privilegiado aumentaram o acesso ao seu ambiente.Users with privileged access have increased access to your environment. Devido à capacidade que essas contas têm, devem ser tratadas com cuidado especial.Due to the power these accounts have, you should treat them with special care. Um método comum para melhorar a proteção de contas privilegiadas é exigir uma forma mais forte de verificação de para entrar.One common method to improve the protection of privileged accounts is to require a stronger form of account verification for sign-in. No Azure AD, você pode obter uma verificação de conta mais forte exigindo a autenticação multifator.In Azure AD, you can get a stronger account verification by requiring multi-factor authentication.

Após a conclusão do registro com a autenticação multifator do Azure AD, serão necessárias as nove funções de administrador do Azure AD a seguir para executar autenticação adicional sempre que entrarem:After registration with Azure AD Multi-Factor Authentication is finished, the following nine Azure AD administrator roles will be required to perform additional authentication every time they sign in:

  • Administrador globalGlobal administrator
  • Administrador do SharePointSharePoint administrator
  • Administrador do ExchangeExchange administrator
  • Administrador de acesso condicionalConditional Access administrator
  • Administrador de segurançaSecurity administrator
  • Administrador de assistência técnicaHelpdesk administrator
  • Administrador de cobrançaBilling administrator
  • Administrador de usuáriosUser administrator
  • Administrador de autenticaçãoAuthentication administrator

Proteção a todos os usuáriosProtecting all users

Tendemos a imaginar que as contas de administrador são as únicas que precisam de camadas extras de autenticação.We tend to think that administrator accounts are the only accounts that need extra layers of authentication. Os administradores têm amplo acesso a informações confidenciais e podem fazer alterações nas configurações de toda a assinatura.Administrators have broad access to sensitive information and can make changes to subscription-wide settings. Mas os invasores costumam ter os usuários finais como alvo.But attackers frequently target end users.

Depois que esses invasores conseguirem acesso, eles poderão solicitar acesso a informações privilegiadas em nome do titular da conta original.After these attackers gain access, they can request access to privileged information on behalf of the original account holder. Eles conseguem até mesmo baixar o diretório inteiro para executar um ataque de phishing em toda a sua organização.They can even download the entire directory to perform a phishing attack on your whole organization.

Um método comum para melhorar a proteção para todos os usuários é exigir uma forma mais forte de verificação da conta para todos, como a MFA.One common method to improve protection for all users is to require a stronger form of account verification, such as Multi-Factor Authentication, for everyone. Depois que os usuários concluírem o registro da MFA, eles serão solicitados a usar essa autenticação adicional sempre que necessário.After users complete Multi-Factor Authentication registration, they'll be prompted for additional authentication whenever necessary. Essa funcionalidade protege todos os aplicativos registrados no Azure AD, incluindo aplicativos SaaS.This functionality protects all applications registered with Azure AD including SaaS applications.

Bloqueio da autenticação herdadaBlocking legacy authentication

Para fornecer aos usuários acesso fácil aos aplicativos na nuvem, o Azure AD tem suporte a uma variedade de protocolos de autenticação, incluindo a autenticação herdada.To give your users easy access to your cloud apps, Azure AD supports a variety of authentication protocols, including legacy authentication. Autenticação herdada é um termo que se refere a uma solicitação de autenticação feita por:Legacy authentication is a term that refers to an authentication request made by:

  • Clientes que não usam uma autenticação moderna (por exemplo, um cliente do Office 2010).Clients that don't use modern authentication (for example, an Office 2010 client).
  • Qualquer cliente que use protocolos de email mais antigos, como IMAP, SMTP ou POP3.Any client that uses older mail protocols such as IMAP, SMTP, or POP3.

Hoje, a maior parte de tentativas de entrada comprometidas é proveniente da autenticação herdada.Today, the majority of compromising sign-in attempts come from legacy authentication. A autenticação herdada não tem suporte para a MFA.Legacy authentication does not support Multi-Factor Authentication. Assim, mesmo que você tenha uma política de MFA habilitada em seu diretório, um invasor pode ignorá-la ao se autenticar usando um protocolo mais antigo.Even if you have a Multi-Factor Authentication policy enabled on your directory, an attacker can authenticate by using an older protocol and bypass Multi-Factor Authentication.

Depois que os padrões de segurança forem habilitados em seu locatário, todas as solicitações de autenticação feitas por um protocolo mais antigo serão bloqueadas.After security defaults are enabled in your tenant, all authentication requests made by an older protocol will be blocked. Os padrões de segurança bloqueiam a autenticação básica Exchange Active Sync.Security defaults blocks Exchange Active Sync basic authentication.

Aviso

Antes de habilitar os padrões de segurança, garanta que os administradores não estejam usando protocolos de autenticação mais antigos.Before you enable security defaults, make sure your administrators aren't using older authentication protocols. Para obter mais informações, consulte Como deixar de usar a autenticação herdada.For more information, see How to move away from legacy authentication.

Proteção a ações privilegiadasProtecting privileged actions

As organizações usam diversos serviços do Azure gerenciados por meio da API do Azure Resource Manager, incluindo:Organizations use a variety of Azure services managed through the Azure Resource Manager API, including:

  • Portal do AzureAzure portal
  • Azure PowerShellAzure PowerShell
  • CLI do AzureAzure CLI

O uso do Azure Resource Manager para gerenciar seus serviços é uma ação altamente privilegiada.Using Azure Resource Manager to manage your services is a highly privileged action. O Azure Resource Manager pode alterar configurações em todo o locatário, como configurações de serviço e cobranças de assinatura.Azure Resource Manager can alter tenant-wide configurations, such as service settings and subscription billing. A autenticação de fator único é vulnerável a diversos tipos de ataques, como pulverização de senha e phishing.Single-factor authentication is vulnerable to a variety of attacks like phishing and password spray.

É importante fazer a verificação da identidade dos usuários que desejam acessar o Azure Resource Manager e atualizar as configurações.It's important to verify the identity of users who want to access Azure Resource Manager and update configurations. Para fazer a verificação de identidade, você deve exigir uma autenticação adicional antes de permitir o acesso.You verify their identity by requiring additional authentication before you allow access.

Depois de habilitar os padrões de segurança em seu locatário, qualquer usuário que estiver acessando o portal do Azure, o Azure PowerShell ou a CLI do Azure precisará realizar a autenticação adicional.After you enable security defaults in your tenant, any user who's accessing the Azure portal, Azure PowerShell, or the Azure CLI will need to complete additional authentication. Essa política se aplica a todos os usuários que estejam acessando o Azure Resource Manager, sejam eles administradores ou usuários.This policy applies to all users who are accessing Azure Resource Manager, whether they're an administrator or a user.

Observação

Os locatários do Exchange Online anteriores a 2017 têm a autenticação moderna desabilitada por padrão.Pre-2017 Exchange Online tenants have modern authentication disabled by default. Para evitar que possa ocorrer um loop de logon durante a autenticação por meio desses locatários, você deve habilitar a autenticação moderna.In order to avoid the possibility of a login loop while authenticating through these tenants, you must enable modern authentication.

Observação

A conta de sincronização do Azure AD Connect é excluída dos padrões de segurança e não serão solicitados o registro ou a execução da autenticação multifator.The Azure AD Connect synchronization account is excluded from security defaults and will not be prompted to register for or perform multi-factor authentication. As organizações não devem usar essa conta para outras finalidades.Organizations should not be using this account for other purposes.

Considerações de implantaçãoDeployment considerations

As considerações adicionais a seguir estão relacionadas à implantação dos padrões de segurança.The following additional considerations are related to deployment of security defaults.

Métodos de autenticaçãoAuthentication methods

Esses padrões de segurança gratuitos permitem o registro e o uso da autenticação multifator do Azure AD usando apenas o aplicativo Microsoft Authenticator usando notificações.These free security defaults allow registration and use of Azure AD Multi-Factor Authentication using only the Microsoft Authenticator app using notifications. O Acesso Condicional permite o uso de qualquer método de autenticação que o administrador escolha habilitar.Conditional Access allows the use of any authentication method the administrator chooses to enable.

MétodoMethod Padrões de segurançaSecurity defaults Acesso CondicionalConditional Access
Notificação pelo aplicativo móvelNotification through mobile app XX XX
O código de verificação do aplicativo móvel ou token de hardwareVerification code from mobile app or hardware token X**X** XX
Mensagem de texto para telefoneText message to phone XX
Ligue para o telefoneCall to phone XX
Senhas de aplicativoApp passwords X * * X**
  • _ * Os usuários podem usar códigos de verificação do aplicativo Microsoft Authenticator, mas só podem se registrar usando a opção de notificação._* Users may use verification codes from the Microsoft Authenticator app but can only register using the notification option.
  • * * _ As senhas de aplicativo só estarão disponíveis no MFA por usuário com cenários de autenticação herdados somente se habilitadas pelos administradores.**_ App passwords are only available in per-user MFA with legacy authentication scenarios only if enabled by administrators.

Status desabilitado da MFADisabled MFA status

Se sua organização for um usuário anterior da autenticação multifator baseada em usuário do Azure AD, não se assuste para não ver os usuários em um status _ habilitado* ou imposto se você olhar para a página de status da autenticação multifator.If your organization is a previous user of per-user based Azure AD Multi-Factor Authentication, do not be alarmed to not see users in an _ Enabled* or Enforced status if you look at the Multi-Factor Auth status page. Disabled é o status apropriado para os usuários que estão usando padrões de segurança ou a autenticação multifator do Azure AD com base no acesso condicional.Disabled is the appropriate status for users who are using security defaults or Conditional Access based Azure AD Multi-Factor Authentication.

Acesso CondicionalConditional Access

Você pode usar o Acesso Condicional para configurar políticas semelhantes a padrões de segurança, mas com mais granularidade, incluindo exclusões de usuário, as quais não estão disponíveis em padrões de segurança.You can use Conditional Access to configure policies similar to security defaults, but with more granularity including user exclusions, which are not available in security defaults. Caso esteja usando o Acesso Condicional e tiver políticas habilitadas desse recurso em seu ambiente, os padrões de segurança não estarão disponíveis para você.If you're using Conditional Access and have Conditional Access policies enabled in your environment, security defaults won't be available to you. Caso tenha uma licença que forneça Acesso Condicional, mas não tenha políticas habilitadas desse recurso em seu ambiente, você poderá usar os padrões de segurança até habilitar as políticas de Acesso Condicional.If you have a license that provides Conditional Access but don't have any Conditional Access policies enabled in your environment, you are welcome to use security defaults until you enable Conditional Access policies. É possível encontrar mais informações sobre o licenciamento do Azure AD podem na página de preços do Azure AD.More information about Azure AD licensing can be found on the Azure AD pricing page.

Mensagem de aviso informando que você pode ter padrões de segurança ou Acesso Condicional, mas não ambos

Veja alguns guias passo a passo sobre como você pode usar o Acesso Condicional para configurar políticas equivalentes para essas políticas habilitadas por padrões de segurança:Here are step-by-step guides on how you can use Conditional Access to configure equivalent policies to those policies enabled by security defaults:

Habilitar padrões de segurançaEnabling security defaults

Para habilitar padrões de segurança no seu diretório:To enable security defaults in your directory:

  1. Entre no  portal do Azure como administrador de segurança, administrador de Acesso Condicional ou administrador global.Sign in to the Azure portal as a security administrator, Conditional Access administrator, or global administrator.
  2. Acesse  Azure Active Directory > Propriedades.Browse to Azure Active Directory > Properties.
  3. Selecione Gerenciar padrões de segurança.Select Manage security defaults.
  4. Alterne a opção Habilitar padrões de segurança para Sim.Set the Enable security defaults toggle to Yes.
  5. Clique em Salvar.Select Save.

Desabilitar padrões de segurançaDisabling security defaults

As organizações que optarem por implementar políticas de Acesso Condicional que substituam os padrões de segurança devem desabilitar os padrões de segurança.Organizations that choose to implement Conditional Access policies that replace security defaults must disable security defaults.

Mensagem de aviso informando para desabilitar os padrões de segurança para habilitar o Acesso Condicional

Para desabilitar padrões de segurança no seu diretório:To disable security defaults in your directory:

  1. Entre no  portal do Azure como administrador de segurança, administrador de Acesso Condicional ou administrador global.Sign in to the Azure portal as a security administrator, Conditional Access administrator, or global administrator.
  2. Acesse  Azure Active Directory > Propriedades.Browse to Azure Active Directory > Properties.
  3. Selecione Gerenciar padrões de segurança.Select Manage security defaults.
  4. Alterne a opção Habilitar padrões de segurança para Não.Set the Enable security defaults toggle to No.
  5. Clique em Salvar.Select Save.

Próximas etapasNext steps

Políticas de acesso condicional comunsCommon Conditional Access policies