Configurações de acesso a dispositivo e identidade de Confiança Zero
A força de trabalho atual requer acesso a aplicativos e recursos que existem além dos limites tradicionais de rede corporativa. Arquiteturas de segurança que dependem de firewalls de rede e VPNs (redes virtuais privadas) para isolar e restringir o acesso aos recursos não são mais suficientes.
Para abordar esse novo mundo da computação, a Microsoft recomenda altamente o modelo de segurança Confiança Zero, que se baseia nesses princípios orientadores:
- Verifique explicitamente: autentique e autorize sempre com base em todos os pontos de dados disponíveis. Essa verificação é onde Confiança Zero identidade e políticas de acesso ao dispositivo são cruciais para a entrada e a validação contínua.
- Use acesso com privilégios mínimos: limitar o acesso do usuário com o Just-In-Time e o Just-Enough-Access (JIT/JEA), políticas adaptáveis baseadas em risco e proteção de dados.
- Suponha violação: minimizar o raio de explosão e o acesso ao segmento. Verifique a criptografia de ponta a ponta e use a análise para obter visibilidade, promover a detecção de ameaças e melhorar as defesas.
Aqui está a arquitetura geral do Confiança Zero:
Confiança Zero políticas de acesso ao dispositivo e identidade abordam o princípio Verificar explicitamente orientando para:
- Identidades: quando uma identidade tenta acessar um recurso, verifique essa identidade com autenticação forte e verifique se o acesso solicitado é compatível e típico.
- Dispositivos (também chamados de pontos de extremidade): monitorar e impor requisitos de integridade e conformidade do dispositivo para acesso seguro.
- Aplicativos: aplicar controles e tecnologias a:
- Verifique as permissões apropriadas no aplicativo.
- Controlar o acesso com base na análise em tempo real.
- Monitorar comportamento anormal
- Controlar as ações do usuário.
- Validar as opções de configuração segura.
Esta série de artigos descreve um conjunto de configurações e políticas de acesso ao dispositivo e identidade usando Microsoft Entra ID, Acesso Condicional, Microsoft Intune e outros recursos. Essas configurações e políticas fornecem acesso Confiança Zero ao Microsoft 365 para aplicativos e serviços de nuvem empresarial, outros serviços SaaS e aplicativos locais que são publicados com Microsoft Entra proxy de aplicativo.
Confiança Zero as configurações e as políticas de acesso ao dispositivo e identidade são recomendadas em três camadas:
- Ponto de partida.
- Empresa.
- Segurança especializada para ambientes com dados altamente regulamentados ou classificados.
Essas camadas e suas configurações correspondentes fornecem níveis consistentes de proteção Confiança Zero em seus dados, identidades e dispositivos. Essas funcionalidades e suas recomendações:
- Há suporte em Microsoft 365 E3 e Microsoft 365 E5.
- Estão alinhados com a Pontuação segura da Microsoft e a pontuação de identidade em Microsoft Entra ID. Seguir as recomendações aumentará essas pontuações para sua organização.
- Ajude você a implementar essas cinco etapas para proteger sua infraestrutura de identidade.
Se sua organização tiver requisitos ou complexidades exclusivos, use essas recomendações como ponto de partida. No entanto, a maioria das organizações pode implementar essas recomendações conforme prescrito.
Assista a este vídeo para obter uma visão geral rápida das configurações de acesso de identidade e dispositivo para o Microsoft 365 para empresas.
Observação
A Microsoft também vende licenças de Enterprise Mobility + Security (EMS) para assinaturas de Office 365. Os recursos EMS E3 e EMS E5 são equivalentes aos de Microsoft 365 E3 e Microsoft 365 E5. Para obter mais informações, confira Planos EMS.
Público-alvo pretendido
Essas recomendações são destinadas a arquitetos empresariais e profissionais de TI familiarizados com os serviços de segurança e produtividade da nuvem do Microsoft 365. Esses serviços incluem Microsoft Entra ID (identidade), Microsoft Intune (gerenciamento de dispositivo) e Proteção de Informações do Microsoft Purview (proteção de dados).
Ambiente do cliente
As políticas recomendadas são aplicáveis a organizações empresariais que operam inteiramente na nuvem da Microsoft e para clientes com infraestrutura de identidade híbrida. Uma estrutura de identidade híbrida é uma floresta Active Directory local sincronizada com Microsoft Entra ID.
Muitas de nossas recomendações dependem de serviços que estão disponíveis apenas com as seguintes licenças:
- Microsoft 365 E5.
- Microsoft 365 E3 com o complemento E5 Security.
- EMS E5.
- Microsoft Entra ID licenças P2.
Para organizações que não têm essas licenças, recomendamos que você implemente pelo menos padrões de segurança, que estão incluídos em todos os planos do Microsoft 365.
Advertências
Sua organização pode estar sujeita a requisitos regulatórios ou outros requisitos de conformidade, incluindo recomendações específicas que exigem que você aplique políticas que divergem dessas configurações recomendadas. Essas configurações recomendam controles de uso que historicamente não estiveram disponíveis. Recomendamos esses controles porque acreditamos que eles representam um equilíbrio entre segurança e produtividade.
Fizemos o possível para considerar uma ampla variedade de requisitos de proteção organizacional, mas não podemos responder por todos os requisitos possíveis ou por todos os aspectos exclusivos da sua organização.
Três níveis de proteção
A maioria das organizações tem requisitos específicos sobre segurança e proteção de dados. Esses requisitos variam por segmento do setor e por funções de trabalho dentro das organizações. Por exemplo, seu departamento jurídico e administradores podem exigir controles adicionais de segurança e proteção de informações em torno de sua correspondência de email que não são necessários para outras unidades de negócios.
Cada setor também tem seu próprio conjunto de normas especializadas. Não estamos tentando fornecer uma lista de todas as opções de segurança possíveis ou uma recomendação por segmento do setor ou função de trabalho. Em vez disso, estamos fornecendo recomendações para três níveis de segurança e proteção que podem ser aplicados com base na granularidade de suas necessidades.
- Ponto de partida: recomendamos que todos os clientes estabeleçam e usem um padrão mínimo para proteger dados, bem como as identidades e dispositivos que acessam seus dados. Você pode seguir essas recomendações para fornecer forte proteção padrão como ponto de partida para todas as organizações.
- Enterprise: alguns clientes têm um subconjunto de dados que devem ser protegidos em níveis mais altos ou todos os dados devem ser protegidos em um nível mais alto. Você pode aplicar maior proteção a todos ou conjuntos de dados específicos em seu ambiente do Microsoft 365. É recomendável proteger identidades e dispositivos que acessam dados confidenciais com níveis compatíveis de segurança.
- Segurança especializada: conforme necessário, alguns clientes têm uma pequena quantidade de dados que é altamente classificada, constitui segredos comerciais ou é regulamentada. A Microsoft fornece recursos para ajudar esses clientes a atender a esses requisitos, incluindo proteção adicional para identidades e dispositivos.
Esta orientação mostra como implementar Confiança Zero proteção para identidades e dispositivos para cada um desses níveis de proteção. Use essas diretrizes como um mínimo para sua organização e ajuste as políticas para atender aos requisitos específicos da sua organização.
É importante usar níveis consistentes de proteção em suas identidades, dispositivos e dados. Por exemplo, a proteção para usuários com contas prioritárias, como executivos, líderes, gerentes e outros, deve incluir o mesmo nível de proteção para suas identidades, seus dispositivos e os dados que acessam.
Além disso, consulte a solução Implantar proteção de informações para regulamentações de privacidade de dados para proteger as informações armazenadas no Microsoft 365.
Vantagens e desvantagens de produtividade e segurança
Implementar qualquer estratégia de segurança requer compensações entre segurança e produtividade. É útil avaliar como cada decisão afeta o equilíbrio de segurança, funcionalidade e facilidade de uso.
As recomendações fornecidas baseiam-se nos seguintes princípios:
- Conheça seus usuários e seja flexível para seus requisitos funcionais e de segurança.
- Aplique uma política de segurança bem a tempo e verifique se ela é significativa.
Serviços e conceitos para Confiança Zero identidade e proteção de acesso ao dispositivo
O Microsoft 365 for Enterprise foi projetado para grandes organizações para capacitar todos a serem criativos e trabalharem juntos com segurança.
Esta seção fornece uma visão geral dos serviços e recursos do Microsoft 365 que são importantes para Confiança Zero identidade e acesso ao dispositivo.
Microsoft Entra ID
Microsoft Entra ID fornece um conjunto completo de recursos de gerenciamento de identidade. Recomendamos usar essas funcionalidades para proteger o acesso.
| Capcidade ou recurso | Descrição | Licenças |
|---|---|---|
| MFA (autenticação multifator) | O MFA exige que os usuários forneçam duas formas de verificação, como uma senha do usuário, além de uma notificação do aplicativo Microsoft Authenticator ou uma chamada telefônica. A MFA reduz consideravelmente o risco de que as credenciais roubadas possam ser usadas para acessar seu ambiente. O Microsoft 365 usa o serviço de autenticação multifator Microsoft Entra para entradas baseadas em MFA. | Microsoft 365 E3 ou E5 |
| Acesso condicional | Microsoft Entra ID avalia as condições da entrada do usuário e usa políticas de Acesso Condicional para determinar o acesso permitido. Por exemplo, nestas diretrizes, mostramos como criar uma política de Acesso Condicional para exigir a conformidade do dispositivo para acesso a dados confidenciais. Isso reduz consideravelmente o risco de que um hacker com seu próprio dispositivo e credenciais roubadas possa acessar seus dados confidenciais. Ele também protege dados confidenciais nos dispositivos, pois os dispositivos devem atender a requisitos específicos de integridade e segurança. | Microsoft 365 E3 ou E5 |
| grupos Microsoft Entra | Políticas de acesso condicional, gerenciamento de dispositivos com Intune e até mesmo permissões para arquivos e sites em sua organização dependem da atribuição para contas de usuário ou grupos de Microsoft Entra. Recomendamos que você crie Microsoft Entra grupos que correspondam aos níveis de proteção que você está implementando. Por exemplo, sua equipe executiva provavelmente são alvos de maior valor para hackers. Portanto, faz sentido adicionar as contas de usuário desses funcionários a um grupo Microsoft Entra e atribuir esse grupo a políticas de Acesso Condicional e outras políticas que impõem um nível mais alto de proteção para acesso. | Microsoft 365 E3 ou E5 |
| Registro de dispositivo | Você registra um dispositivo em Microsoft Entra ID para criar uma identidade para o dispositivo. Essa identidade é usada para autenticar o dispositivo quando um usuário entra e para aplicar políticas de Acesso Condicional que exigem PCs ingressados no domínio ou em conformidade. Para essa orientação, usamos o registro de dispositivo para registrar automaticamente computadores Windows ingressados no domínio. O registro do dispositivo é um pré-requisito para gerenciar dispositivos com Intune. | Microsoft 365 E3 ou E5 |
| Microsoft Entra ID Protection | Permite detectar possíveis vulnerabilidades que afetam as identidades da sua organização e configurar a política de correção automatizada como risco de usuário e risco de entrada baixo, médio e alto. Essa diretriz depende dessa avaliação de risco para aplicar políticas de Acesso Condicional para autenticação multifator. Essa diretriz também inclui uma política de Acesso Condicional que exige que os usuários alterem sua senha se a atividade de alto risco for detectada para sua conta. | Microsoft 365 E5, Microsoft 365 E3 com o suplemento E5 Security, licenças EMS E5 ou Microsoft Entra ID P2 |
| Redefinição de senha de autoatendimento (SSPR) | Permitir que seus usuários redefinam suas senhas com segurança e sem intervenção no help-desk, fornecendo a verificação de vários métodos de autenticação que o administrador pode controlar. | Microsoft 365 E3 ou E5 |
| Microsoft Entra proteção de senha | Detecte e bloqueie senhas fracas conhecidas e suas variantes e termos fracos adicionais específicos para sua organização. As listas de senhas proibidas globais padrão são aplicadas automaticamente a todos os usuários em um locatário Microsoft Entra. Você pode definir entradas adicionais em uma lista de senhas proibidas personalizadas. Quando os usuários alteram ou redefinem suas senhas, essas listas de senhas proibidas são verificadas para garantir o uso de senhas fortes. | Microsoft 365 E3 ou E5 |
Aqui estão os componentes de Confiança Zero identidade e acesso ao dispositivo, incluindo objetos Intune e Microsoft Entra, configurações e subsserviços.
Microsoft Intune
Intune é o serviço de gerenciamento de dispositivo móvel baseado em nuvem da Microsoft. Essa diretriz recomenda o gerenciamento de dispositivos de computadores Windows com Intune e recomenda configurações de política de conformidade do dispositivo. Intune determina se os dispositivos estão em conformidade e envia esses dados para Microsoft Entra ID usar ao aplicar políticas de Acesso Condicional.
Intune proteção de aplicativo
Intune políticas de proteção de aplicativo podem ser usadas para proteger os dados da sua organização em aplicativos móveis, com ou sem registrar dispositivos no gerenciamento. Intune ajuda a proteger as informações, certificando-se de que seus funcionários ainda podem ser produtivos e evitando a perda de dados. Ao implementar políticas no nível do aplicativo, você pode restringir o acesso aos recursos da empresa e manter os dados dentro do controle do departamento de TI.
Essas diretrizes mostram como criar políticas recomendadas para impor o uso de aplicativos aprovados e determinar como esses aplicativos podem ser usados com seus dados de negócios.
Microsoft 365
Esta diretriz mostra como implementar um conjunto de políticas para proteger o acesso aos serviços de nuvem do Microsoft 365, incluindo Microsoft Teams, Exchange, SharePoint e OneDrive. Além de implementar essas políticas, recomendamos que você também eleve o nível de proteção para seu locatário usando esses recursos:
Windows 11 ou Windows 10 com Microsoft 365 Apps para Grandes Empresas
Windows 11 ou Windows 10 com Microsoft 365 Apps para Grandes Empresas é o ambiente de cliente recomendado para computadores. Recomendamos Windows 11 ou Windows 10 porque Microsoft Entra foi projetado para fornecer a experiência mais suave possível para Microsoft Entra ID e locais. Windows 11 ou Windows 10 também inclui recursos avançados de segurança que podem ser gerenciados por meio de Intune. Microsoft 365 Apps para Grandes Empresas inclui as versões mais recentes de aplicativos do Office. Eles usam a autenticação moderna, que é mais segura e um requisito para acesso condicional. Esses aplicativos também incluem ferramentas avançadas de conformidade e segurança.
Aplicando esses recursos nos três níveis de proteção
A tabela a seguir resume nossas recomendações para usar esses recursos nos três níveis de proteção.
| Mecanismo de proteção | Ponto de partida | Empresa | Segurança especializada |
|---|---|---|---|
| Impor a MFA | No risco de entrada médio ou acima | No risco de entrada baixo ou acima | Em todas as novas sessões |
| Impor alteração de senha | Para usuários de alto risco | Para usuários de alto risco | Para usuários de alto risco |
| Impor Intune proteção de aplicativo | Sim | Sim | Sim |
| Impor Intune registro para dispositivo de propriedade da organização | Exigir um computador compatível ou ingressado no domínio, mas permitir telefones e tablets BYOD (dispositivos próprios) | Exigir um dispositivo compatível ou ingressado no domínio | Exigir um dispositivo compatível ou ingressado no domínio |
Propriedade do dispositivo
A tabela acima reflete a tendência de muitas organizações darem suporte a uma mistura de dispositivos de propriedade da organização e BYODs pessoais ou pessoais para habilitar a produtividade móvel em toda a força de trabalho. Intune políticas de proteção de aplicativo garantem que o email esteja protegido contra a exfiltração do aplicativo móvel do Outlook e de outros aplicativos móveis do Office, em dispositivos de propriedade da organização e BYODs.
Recomendamos que os dispositivos de propriedade da organização sejam gerenciados por Intune ou ingressados no domínio para aplicar proteções e controle adicionais. Dependendo da confidencialidade de dados, sua organização pode optar por não permitir BYODs para populações de usuários específicas ou aplicativos específicos.
Implantação e seus aplicativos
Antes de configurar e implantar Confiança Zero identidade e configuração de acesso ao dispositivo para seus aplicativos integrados Microsoft Entra, você deve:
Decida quais aplicativos usados em sua organização você deseja proteger.
Analise esta lista de aplicativos para determinar os conjuntos de políticas que fornecem níveis apropriados de proteção.
Você não deve criar conjuntos separados de políticas para cada aplicativo porque o gerenciamento delas pode se tornar complicado. A Microsoft recomenda que você agrupe seus aplicativos com os mesmos requisitos de proteção para os mesmos usuários.
Por exemplo, tenha um conjunto de políticas que incluem todos os aplicativos do Microsoft 365 para todos os usuários para proteção do ponto de partida. Tenha um segundo conjunto de políticas para todos os aplicativos confidenciais, como aqueles usados por recursos humanos ou departamentos financeiros, e aplique-os a esses grupos.
Depois de determinar o conjunto de políticas para os aplicativos que você deseja proteger, role as políticas para os usuários incrementalmente, abordando problemas ao longo do caminho. Por exemplo:
- Configure as políticas que você pretende usar para todos os aplicativos do Microsoft 365.
- Adicione apenas o Exchange com suas alterações necessárias, implemente as políticas aos usuários e trabalhe em todos os problemas.
- Adicione o Teams com suas alterações necessárias, implemente as políticas aos usuários e trabalhe em quaisquer problemas.
- Adicione o SharePoint com suas alterações necessárias, implemente as políticas aos usuários e trabalhe em quaisquer problemas.
- Continue adicionando o restante de seus aplicativos até que você possa configurar com confiança essas políticas de ponto de partida para incluir todos os aplicativos do Microsoft 365.
Da mesma forma, para seus aplicativos confidenciais, crie o conjunto de políticas e adicione um aplicativo por vez. Trabalhe em quaisquer problemas até que todos eles sejam incluídos no conjunto de políticas de aplicativo confidenciais.
A Microsoft recomenda que você não crie conjuntos de políticas que se apliquem a todos os aplicativos porque isso pode resultar em algumas configurações não intencionais. Por exemplo, políticas que bloqueiam todos os aplicativos podem bloquear seus administradores do centro de administração do Microsoft Entra e as exclusões não podem ser configuradas para pontos de extremidade importantes, como o Microsoft Graph.
Etapas para configurar Confiança Zero identidade e acesso ao dispositivo
- Configure os recursos de identidade de pré-requisito e suas configurações.
- Configure a identidade comum e acesse políticas de acesso condicional.
- Configure políticas de Acesso Condicional para usuários convidados e externos.
- Configure políticas de Acesso Condicional para aplicativos de nuvem do Microsoft 365, como Microsoft Teams, Exchange e SharePoint, e políticas de Microsoft Defender para Aplicativos de Nuvem.
Depois de configurar Confiança Zero identidade e acesso ao dispositivo, consulte o guia de implantação do recurso Microsoft Entra para obter uma lista de verificação em fases de recursos adicionais a serem considerados e Microsoft Entra ID Governance para proteger, monitorar e auditar o acesso.
Próxima etapa
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de