Padrões de segurança no Azure AD

A Microsoft está disponibilizando padrões de segurança para todos, pois gerenciar a segurança pode ser difícil. Ataques relacionados à identidade, como pulverização de senha, reprodução e phishing, são comuns no ambiente atual. Mais de 99,9% desses ataques relacionados à identidade são interrompidos usando MFA (autenticação multifator) e bloqueando a autenticação herdada. A meta é garantir que todas as organizações tenham pelo menos um nível básico de segurança habilitado sem custos adicionais.

Os padrões de segurança facilitam a proteção da organização contra esses ataques relacionados à identidade com configurações de segurança pré-configuradas:

Para quem eles são?

  • Organizações que querem aumentar a postura de segurança, mas não sabem como ou por onde começar.
  • Organizações que usam a camada gratuita de licenciamento do Azure Active Directory.

Quem deve usar o Acesso Condicional?

  • Se você for uma organização que atualmente usa as políticas de Acesso Condicional, os padrões de segurança provavelmente não serão adequados a você.
  • Caso sua organização tenha licenças do Azure Active Directory Premium, os padrões de segurança provavelmente não são adequados para você.
  • Se sua organização possuir requisitos de segurança complexos, considere usar o Acesso Condicional.

Habilitar padrões de segurança

Caso seu locatário tenha sido criado em 22 de outubro de 2019 ou após essa data, é os padrões de segurança já podem estar habilitados em seu locatário. Para proteger todos os nossos usuários, padrões de segurança estão sendo implantados em todos os novos locatários na criação.

Para habilitar padrões de segurança no seu diretório:

  1. Entre no portal do Azure como administrador de segurança, administrador de acesso condicional ou administrador global.
  2. Acesse Azure Active Directory>Propriedades.
  3. Selecione Gerenciar padrões de segurança.
  4. Alterne a opção Habilitar padrões de segurança para Sim.
  5. Clique em Salvar.

Screenshot of the Azure portal with the toggle to enable security defaults

Políticas de segurança impostas

Exigir que todos os usuários se registrem na autenticação multifator do Azure AD

Todos os usuários no locatário devem se registrar para a MFA (Autenticação Multifator) na forma da Autenticação Multifator do Azure Active Directory. Os usuários têm 14 dias para se registrar na MFA do Azure AD usando o aplicativo Microsoft Authenticator. Depois que os 14 dias tiverem passado, o usuário não poderá entrar até que o registro seja concluído. O período de 14 dias de um usuário começa após sua primeira entrada interativa bem-sucedida depois de habilitar os padrões de segurança.

Exigir que os administradores façam autenticação multifator

Os administradores aumentaram o acesso ao seu ambiente. Devido ao poder que essas contas altamente privilegiadas têm, você deverá tratá-las com cuidado especial. Um método comum para melhorar a proteção de contas privilegiadas é exigir uma forma mais forte de verificação de para entrar. No Azure AD, você pode obter uma verificação de conta mais forte exigindo a autenticação multifator.

Dica

É recomendável ter contas separadas para tarefas de administração e produtividade padrão para reduzir significativamente o número de vezes que os administradores devem usar a MFA.

Depois de fazer o registro com a autenticação multifator do Microsoft Azure AD, as seguintes funções de administrador do Azure AD precisarão executar autenticação extra sempre que entrarem:

  • Administrador global
  • Administrador de aplicativos
  • Administrador de autenticação
  • Administrador de cobrança
  • Administrador de aplicativos de nuvem
  • Administrador de acesso condicional
  • Administrador do Exchange
  • Administrador de assistência técnica
  • Administrador de senha
  • Administrador de autenticação privilegiada
  • Administrador de segurança
  • Administrador do SharePoint
  • Administrador de usuários

Exigir que os usuários façam autenticação multifator quando necessário

Tendemos a imaginar que as contas de administrador são as únicas que precisam de camadas extras de autenticação. Os administradores têm amplo acesso a informações confidenciais e podem fazer alterações nas configurações de toda a assinatura. Mas os invasores costumam ter os usuários finais como alvo.

Depois que os invasores conseguirem acesso, eles poderão solicitar acesso a informações privilegiadas para o titular da conta original. Eles conseguem até mesmo baixar o diretório inteiro para realizar um ataque de phishing em toda a sua organização.

Um método comum para melhorar a proteção para todos os usuários é exigir uma forma mais forte de verificação da conta para todos, como a MFA. Depois que os usuários concluírem o registro da MFA, eles serão solicitados a usar outra autenticação sempre que necessário. O Azure AD decide quando o usuário receberá uma solicitação de autenticação multifator, com base em fatores como local, dispositivo, função e tarefa. Essa funcionalidade protege todos os aplicativos registrados no Azure AD, incluindo aplicativos SaaS.

Bloquear protocolos de autenticação herdados

Para fornecer aos usuários acesso fácil aos aplicativos na nuvem, o Azure AD dá suporte a diversos protocolos de autenticação, incluindo a autenticação herdada. Autenticação herdada é um termo que se refere a uma solicitação de autenticação feita por:

  • Clientes que não usam uma autenticação moderna (por exemplo, um cliente do Office 2010).
  • Qualquer cliente que use protocolos de email mais antigos, como IMAP, SMTP ou POP3.

Hoje, a maioria das tentativas de entrada comprometidas é proveniente da autenticação herdada. A autenticação herdada não tem suporte para a MFA. Assim, mesmo que você tenha uma política de MFA habilitada em seu diretório, um invasor pode ignorá-la ao se autenticar usando um protocolo mais antigo.

Depois que os padrões de segurança forem habilitados em seu locatário, todas as solicitações de autenticação feitas por um protocolo mais antigo serão bloqueadas. Os padrões de segurança bloqueiam a autenticação básica Exchange Active Sync.

Aviso

Antes de habilitar os padrões de segurança, garanta que os administradores não estejam usando protocolos de autenticação mais antigos. Para obter mais informações, consulte Como deixar de usar a autenticação herdada.

Proteger atividades com privilégios como o acesso ao portal do Azure

As organizações usam vários serviços do Azure gerenciados por meio da API do Azure Resource Manager, incluindo:

  • Portal do Azure
  • Azure PowerShell
  • CLI do Azure

O uso do Azure Resource Manager para gerenciar seus serviços é uma ação altamente privilegiada. O Azure Resource Manager pode alterar configurações em todo o locatário, como configurações de serviço e cobranças de assinatura. A autenticação de fator único é vulnerável a diversos tipos de ataques, como pulverização de senha e phishing.

É importante fazer a verificação da identidade dos usuários que desejam acessar o Azure Resource Manager e atualizar as configurações. Para fazer a verificação de identidade, você deve exigir mais autenticação antes de permitir o acesso.

Após habilitar os padrões de segurança no locatário, todos os usuários que acessarem os seguintes serviços deverão concluir a autenticação multifator:

  • Portal do Azure
  • Azure PowerShell
  • CLI do Azure

Essa política se aplica a todos os usuários que acessam os serviços do Azure Resource Manager, sejam administradores ou usuários.

Observação

Os locatários do Exchange Online anteriores a 2017 têm a autenticação moderna desabilitada por padrão. Para evitar que possa ocorrer um loop de logon durante a autenticação por meio desses locatários, você deve habilitar a autenticação moderna.

Observação

A conta de sincronização do Azure AD Connect é excluída dos padrões de segurança e não serão solicitados o registro ou a execução da autenticação multifator. As organizações não devem usar essa conta para outras finalidades.

Considerações de implantação

Métodos de autenticação

Os padrões de segurança permitem o registro e o uso da autenticação multifator do Azure AD usando apenas o aplicativo Microsoft Authenticator com notificações. O Acesso Condicional permite o uso de qualquer método de autenticação que o administrador escolha habilitar.

Método Padrões de segurança Acesso Condicional
Notificação pelo aplicativo móvel X X
O código de verificação do aplicativo móvel ou token de hardware X** X
Mensagem de texto para telefone X
Ligue para o telefone X
Senhas de aplicativo X***
  • ** Os usuários podem usar códigos de verificação do aplicativo Microsoft Authenticator, mas só podem se registrar usando a opção de notificação.
  • *** As senhas de aplicativo só estarão disponíveis no MFA por usuário com cenários de autenticação herdados se elas tiverem sido habilitadas pelos administradores.

Aviso

Não desabilite métodos para sua organização se você estiver usando padrões de segurança. A desabilitação de métodos pode levar ao bloqueio de seu locatário. Deixe todos os Métodos disponíveis para os usuários habilitados no portal de configurações do serviço MFA.

Contas de administrador de backup

Cada organização deve ter pelo menos duas contas de administrador de backup configuradas. Chamamos essas contas de acesso de emergência.

Essas contas podem ser usadas em cenários em que suas contas de administrador normais não podem ser usadas. Por exemplo: a pessoa com acesso administrativo global mais recente saiu da organização. O Azure AD impede que a conta do último Administrador Global seja excluída, mas não impede que a conta seja excluída ou desabilitada localmente. Qualquer situação pode fazer com que a organização não consiga recuperar a conta.

As contas de acesso de emergência são:

  • Direitos de Administrador Global atribuídos no Azure AD.
  • Não são usados diariamente.
  • São protegidos com uma senha longa e complexa.

As credenciais para essas contas de acesso de emergência devem ser armazenadas offline em um local seguro, como um cofre à prova de incêndio. Somente indivíduos autorizados devem ter acesso a essas credenciais.

Para criar uma conta de acesso de emergência:

  1. Entre no portal do Azure como administrador global.
  2. Navegue até Azure Active Directory>Usuários.
  3. Selecione Novo usuário.
  4. Selecione Criar usuário.
  5. Dê um Nome de usuário à conta.
  6. Dê um Nome à conta.
  7. Crie uma senha longa e complexa para a conta.
  8. Em Funções, atribua a função Administrador Global.
  9. Em Local de uso, selecione o local apropriado.
  10. Selecione Criar.

Você pode optar por desabilitar a expiração de senha para essas contas usando o PowerShell do Azure AD.

Para obter informações mais detalhadas sobre contas de acesso de emergência, confira o artigo Gerenciar contas de acesso de emergência no Azure AD.

Status desabilitado da MFA

Caso sua organização seja um antigo usuário da MFA do Azure Active Directory por usuário, não se assuste caso não veja usuários com um status Habilitado ou Imposto ao observar a página de status da MFA. Desabilitado é o status apropriado para os usuários que estão usando padrões de segurança ou a MFA do Azure Active Directory baseada em Acesso Condicional.

Acesso Condicional

Você pode usar o Acesso Condicional para configurar políticas semelhantes a padrões de segurança, mas com mais granularidade, incluindo exclusões de usuário, as quais não estão disponíveis em padrões de segurança. Se você estiver usando o Acesso Condicional em seu ambiente atual, os padrões de segurança não estarão disponíveis para você.

Warning message that you can have security defaults or Conditional Access not both

Se você quiser habilitar o Acesso Condicional para configurar um conjunto de políticas, que formam um bom ponto de partida para proteger as identidades:

Desabilitar padrões de segurança

As organizações que optarem por implementar políticas de Acesso Condicional que substituam os padrões de segurança devem desabilitar os padrões de segurança.

Warning message disable security defaults to enable Conditional Access

Para desabilitar padrões de segurança no seu diretório:

  1. Entre no portal do Azure como administrador de segurança, administrador de acesso condicional ou administrador global.
  2. Acesse Azure Active Directory>Propriedades.
  3. Selecione Gerenciar padrões de segurança.
  4. Alterne a opção Habilitar padrões de segurança para Não.
  5. Clique em Salvar.

Próximas etapas