Políticas de segurança comuns para organizações do Microsoft 365
As organizações têm muito com o que se preocupar ao implantar o Microsoft 365 para sua organização. As políticas de acesso condicional, proteção de aplicativo e conformidade do dispositivo referenciadas neste artigo baseiam-se nas recomendações da Microsoft e nos três princípios orientadores de Confiança Zero:
- Verificar explicitamente
- Usar privilégio mínimo
- Assumir violação
As organizações podem usar essas políticas como está ou personalizá-las para atender às suas necessidades. Se possível, teste suas políticas em um ambiente de não produção antes de ser distribuído aos usuários de produção. O teste é fundamental para identificar e comunicar quaisquer possíveis efeitos aos usuários.
Agrupamos essas políticas em três níveis de proteção com base em onde você está em sua jornada de implantação:
- Ponto de partida – controles básicos que introduzem autenticação multifator, alterações seguras de senha e políticas de proteção de aplicativo.
- Enterprise – controles aprimorados que introduzem a conformidade do dispositivo.
- Segurança especializada – Políticas que exigem autenticação multifator sempre para conjuntos de dados ou usuários específicos.
O diagrama a seguir mostra a qual nível de proteções cada política se aplica e se as políticas se aplicam a computadores ou telefones e tablets, ou ambas as categorias de dispositivos.
Você pode baixar este diagrama como um arquivo PDF .
Dica
É recomendável exigir o uso da MFA (autenticação multifator) antes de registrar dispositivos no Intune para garantir que o dispositivo esteja na posse do usuário pretendido. Você deve registrar dispositivos no Intune antes de poder impor políticas de conformidade do dispositivo.
Pré-requisitos
Permissões
- Os usuários que gerenciarão políticas de acesso condicional devem poder entrar no portal do Azure como administrador de acesso condicional, administrador de segurança ou administrador global.
- Os usuários que gerenciarão as políticas de proteção de aplicativos e conformidade do dispositivo devem poder entrar no Intune como administrador Intune ou administrador global.
- Aqueles usuários que só precisam exibir configurações podem receber as funções Leitor de Segurança ou Leitor Global .
Para obter mais informações sobre funções e permissões, consulte o artigo Microsoft Entra funções internas.
Registro de usuário
Verifique se os usuários se registram para autenticação multifator antes de exigir seu uso. Se você tiver licenças que incluem Microsoft Entra ID P2, poderá usar a política de registro de MFA no Microsoft Entra ID Protection para exigir que os usuários se registrem. Fornecemos modelos de comunicação, você pode baixar e personalizar, para promover o registro.
Grupos
Todos os grupos de Microsoft Entra usados como parte dessas recomendações devem ser criados como um grupo do Microsoft 365e não como um grupo de segurança. Esse requisito é importante para a implantação de rótulos de confidencialidade ao proteger documentos no Microsoft Teams e no SharePoint posteriormente. Para obter mais informações, consulte o artigo Saiba mais sobre grupos e direitos de acesso em Microsoft Entra ID
Atribuindo políticas
As políticas de acesso condicional podem ser atribuídas a usuários, grupos e funções de administrador. Intune as políticas de proteção de aplicativo e conformidade do dispositivo podem ser atribuídas apenas a grupos. Antes de configurar suas políticas, você deve identificar quem deve ser incluído e excluído. Normalmente, as políticas de nível de proteção do ponto de partida se aplicam a todos na organização.
Aqui está um exemplo de atribuição de grupo e exclusões para exigir MFA depois que seus usuários concluirem o registro de usuário.
| Microsoft Entra política de acesso condicional | Incluir | Excluir | |
|---|---|---|---|
| Ponto de partida | Exigir autenticação multifator para risco de entrada médio ou alto | Todos os usuários |
|
| Empresarial | Exigir autenticação multifator para risco de entrada baixo, médio ou alto | Grupo de funcionários executivos |
|
| Segurança especializada | Exigir autenticação multifator sempre | Grupo Top Secret Project Buckeye |
|
Tenha cuidado ao aplicar níveis mais altos de proteção a grupos e usuários. O objetivo da segurança não é adicionar atritos desnecessários à experiência do usuário. Por exemplo, os membros do grupo Top Secret Project Buckeye serão obrigados a usar o MFA toda vez que entrarem, mesmo que não estejam trabalhando no conteúdo de segurança especializado para seu projeto. O atrito excessivo de segurança pode levar à fadiga.
Você pode considerar habilitar métodos de autenticação sem senha, como Windows Hello para Empresas ou chaves de segurança FIDO2 para reduzir alguns atritos criados por determinados controles de segurança.
Contas de acesso de emergência
Todas as organizações devem ter pelo menos uma conta de acesso de emergência monitorada para uso e excluída das políticas. Essas contas são usadas apenas no caso de todas as outras contas de administrador e métodos de autenticação ficarem bloqueadas ou não estiverem disponíveis. Mais informações podem ser encontradas no artigo Gerenciar contas de acesso de emergência no Microsoft Entra ID.
Exclusões
Uma prática recomendada é criar um grupo Microsoft Entra para exclusões de acesso condicional. Esse grupo oferece um meio de fornecer acesso a um usuário enquanto você soluciona problemas de acesso.
Aviso
Esse grupo é recomendado apenas para uso como uma solução temporária. Monitore e audite continuamente esse grupo para obter alterações e certifique-se de que o grupo de exclusão está sendo usado apenas conforme o planejado.
Para adicionar esse grupo de exclusão a quaisquer políticas existentes:
- Entre no portal do Azure como administrador de acesso condicional, administrador de segurança ou administrador global.
- Navegue até Microsoft Entra ID>Security>Conditional Access.
- Selecione uma política existente.
- Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
- Em Excluir, selecioneUsuários e grupos e escolha o acesso de emergência ou contas de quebra de vidro da sua organização e o grupo de exclusão de acesso condicional.
Implantação
Recomendamos implementar as políticas de ponto de partida na ordem listada nesta tabela. No entanto, as políticas de MFA para níveis corporativos e especializados de segurança de proteção podem ser implementadas a qualquer momento.
Ponto de partida
| Política | Mais informações | Licenciamento |
|---|---|---|
| Exigir MFA quando o risco de entrada é médio ou alto | Usar dados de risco de Microsoft Entra ID Protection para exigir MFA somente quando o risco for detectado | Microsoft 365 E5 ou Microsoft 365 E3 com o complemento de segurança do E5 |
| Bloquear clientes sem suporte para a autenticação moderna | Clientes que não usam autenticação moderna podem ignorar políticas de acesso condicional, portanto, é importante bloqueá-los. | Microsoft 365 E3 ou E5 |
| Usuários de alto risco devem alterar a senha | Força os usuários a alterar sua senha ao entrar se a atividade de alto risco for detectada para sua conta. | Microsoft 365 E5 ou Microsoft 365 E3 com o complemento de segurança do E5 |
| Aplicar políticas de proteção de aplicativo para proteção de dados | Uma Intune política de proteção de aplicativo por plataforma (Windows, iOS/iPadOS, Android). | Microsoft 365 E3 ou E5 |
| Exigir aplicativos aprovados e políticas de proteção de aplicativos | Impõe políticas de proteção de aplicativos móveis para telefones e tablets usando iOS, iPadOS ou Android. | Microsoft 365 E3 ou E5 |
Empresa
| Política | Mais informações | Licenciamento |
|---|---|---|
| Exigir MFA quando o risco de entrada for baixo, médio ou alto | Usar dados de risco de Microsoft Entra ID Protection para exigir MFA somente quando o risco for detectado | Microsoft 365 E5 ou Microsoft 365 E3 com o complemento de segurança do E5 |
| Definir políticas de conformidade do dispositivo | Defina requisitos mínimos de configuração. Uma política para cada plataforma. | Microsoft 365 E3 ou E5 |
| Exigir computadores e dispositivos móveis compatíveis | Impõe os requisitos de configuração para dispositivos que acessam sua organização | Microsoft 365 E3 ou E5 |
Segurança especializada
| Política | Mais informações | Licenciamento |
|---|---|---|
| Sempre exigir MFA | Os usuários devem executar o MFA sempre que entrarem nos serviços de suas organizações | Microsoft 365 E3 ou E5 |
Políticas de proteção de aplicativos
Proteção de aplicativos políticas definem quais aplicativos são permitidos e as ações que podem ser executadas com os dados da sua organização. Há muitas opções disponíveis e pode ser confuso para alguns. As linhas de base a seguir são as configurações recomendadas da Microsoft que podem ser adaptadas às suas necessidades. Fornecemos três modelos a seguir, mas achamos que a maioria das organizações escolherá os níveis 2 e 3.
O nível 2 mapeia para o que consideramos o ponto de partida ou a segurança no nível da empresa , o nível 3 mapeia para a segurança especializada .
Proteção de dados básica empresarial de nível 1 – a Microsoft recomenda essa configuração como a configuração mínima de proteção de dados para um dispositivo corporativo.
Proteção de dados aprimorada da empresa de nível 2 – a Microsoft recomenda essa configuração para dispositivos em que os usuários acessam informações confidenciais ou confidenciais. Essa configuração é aplicável à maioria dos usuários móveis que acessam dados de trabalho ou escola. Alguns dos controles podem afetar a experiência do usuário.
Proteção de dados alta corporativa de nível 3 – a Microsoft recomenda essa configuração para dispositivos executados por uma organização com uma equipe de segurança maior ou mais sofisticada, ou para usuários ou grupos específicos que estejam em risco exclusivamente alto (usuários que lidam com dados altamente confidenciais em que a divulgação não autorizada causa uma perda material considerável para a organização). Uma organização que provavelmente será alvo de adversários bem financiados e sofisticados deve aspirar a essa configuração.
Criar políticas de proteção de aplicativo
Create uma nova política de proteção de aplicativo para cada plataforma (iOS e Android) no Microsoft Intune usando as configurações da estrutura de proteção de dados por:
- Crie manualmente as políticas seguindo as etapas em Como criar e implantar políticas de proteção de aplicativo com Microsoft Intune.
- Importe o exemplo Intune modelos JSON da Estrutura de Configuração de Política de Proteção de Aplicativo com os scripts do PowerShell do Intune.
Políticas de conformidade do dispositivo
Intune políticas de conformidade do dispositivo definem os requisitos que os dispositivos devem atender para serem determinados como compatíveis.
Você deve criar uma política para cada computador, telefone ou plataforma de tablet. Este artigo abordará as recomendações para as seguintes plataformas:
Create políticas de conformidade do dispositivo
Para criar políticas de conformidade do dispositivo, entre no centro de administração Microsoft Intune e navegue atéPolíticas>> de conformidade de dispositivos. Selecione Criar Política.
Para obter diretrizes passo a passo sobre como criar políticas de conformidade no Intune, consulte Create uma política de conformidade no Microsoft Intune.
Configurações de registro e conformidade para iOS/iPadOS
O iOS/iPadOS dá suporte a vários cenários de registro, dois dos quais são abrangidos como parte desta estrutura:
- Registro de dispositivo para dispositivos de propriedade pessoal – esses dispositivos são de propriedade pessoal e usados para uso pessoal e de trabalho.
- Registro automatizado de dispositivos para dispositivos corporativos – esses dispositivos são de propriedade corporativa, associados a um único usuário e usados exclusivamente para trabalho e não para uso pessoal.
Usando os princípios descritos em Confiança Zero configurações de acesso ao dispositivo e identidade:
- O ponto de partida e os níveis de proteção da empresa são mapeados de perto com as configurações de segurança aprimoradas de nível 2.
- O nível de proteção de segurança especializado é mapeado de perto para as configurações de alta segurança de nível 3.
Configurações de conformidade para dispositivos registrados pessoalmente
- Segurança básica pessoal (nível 1) – a Microsoft recomenda essa configuração como a configuração de segurança mínima para dispositivos pessoais em que os usuários acessam dados de trabalho ou de estudante. Essa configuração é feita aplicando políticas de senha, características de bloqueio de dispositivo e desabilitando determinadas funções de dispositivo, como certificados não confiáveis.
- Segurança aprimorada pessoal (nível 2) – A Microsoft recomenda essa configuração para dispositivos em que os usuários acessam informações confidenciais ou confidenciais. Ela atua em controles de compartilhamento de dados. Essa configuração é aplicável à maioria dos usuários móveis que acessam dados corporativos ou de estudante em um dispositivo.
- Alta segurança pessoal (Nível 3) – a Microsoft recomenda essa configuração para dispositivos usados por usuários ou grupos específicos que são de alto risco (usuários que lidam com dados altamente confidenciais em que a divulgação não autorizada causa uma perda material considerável para a organização). Essa configuração decreta políticas de senha mais fortes, desabilita determinadas funções de dispositivo e impõe restrições extras de transferência de dados.
Configurações de conformidade para registro automatizado de dispositivo
- Segurança básica supervisionada (nível 1) – a Microsoft recomenda essa configuração como a configuração de segurança mínima para dispositivos supervisionados em que os usuários acessam dados de trabalho ou de estudante. Essa configuração é feita aplicando políticas de senha, características de bloqueio de dispositivo e desabilitando determinadas funções de dispositivo, como certificados não confiáveis.
- Segurança aprimorada supervisionada (nível 2) – A Microsoft recomenda essa configuração para dispositivos em que os usuários acessam informações confidenciais ou confidenciais. Ela age sobre os controles de compartilhamento de dados e bloqueia o acesso a dispositivos USB. Essa configuração é aplicável à maioria dos usuários móveis que acessam dados corporativos ou de estudante em um dispositivo.
- Alta segurança supervisionada (Nível 3) – a Microsoft recomenda essa configuração para dispositivos usados por usuários ou grupos específicos de alto risco (usuários que lidam com dados altamente confidenciais em que a divulgação não autorizada causa uma perda material considerável para a organização). Essa configuração decreta políticas de senha mais fortes, desabilita determinadas funções de dispositivo, impõe restrições extras de transferência de dados e exige que os aplicativos sejam instalados por meio do programa de compra de volume da Apple.
Configurações de registro e conformidade para Android
O Android Enterprise dá suporte a vários cenários de registro, dois dos quais são abordados como parte dessa estrutura:
- Perfil de trabalho do Android Enterprise – esse modelo de registro normalmente é usado para dispositivos de propriedade pessoal, em que a TI deseja fornecer um limite de separação claro entre o trabalho e os dados pessoais. Políticas controladas por TI garantem que os dados de trabalho não possam ser transferidos para o perfil pessoal.
- Dispositivos totalmente gerenciados do Android Enterprise – esses dispositivos são de propriedade corporativa, associados a um único usuário e usados exclusivamente para trabalho e não para uso pessoal.
A estrutura de configuração de segurança do Android Enterprise é organizada em vários cenários de configuração distintos, fornecendo diretrizes para o perfil de trabalho e cenários totalmente gerenciados.
Usando os princípios descritos em Confiança Zero configurações de acesso ao dispositivo e identidade:
- O ponto de partida e os níveis de proteção da empresa são mapeados de perto com as configurações de segurança aprimoradas de nível 2.
- O nível de proteção de segurança especializado é mapeado de perto para as configurações de alta segurança de nível 3.
Configurações de conformidade para dispositivos de perfil de trabalho do Android Enterprise
- Devido às configurações disponíveis para dispositivos de perfil de trabalho de propriedade pessoal, não há nenhuma oferta básica de segurança (nível 1). As configurações disponíveis não justificam uma diferença entre o nível 1 e o nível 2.
- Segurança aprimorada do perfil de trabalho (Nível 2)– a Microsoft recomenda essa configuração como a configuração de segurança mínima para dispositivos pessoais em que os usuários acessam dados de trabalho ou de estudante. Essa configuração apresenta os requisitos de senha, separa os dados corporativos e pessoais e valida o atestado de dispositivo Android.
- Alta segurança do perfil de trabalho (Nível 3) – a Microsoft recomenda essa configuração para dispositivos usados por usuários ou grupos específicos de alto risco (usuários que lidam com dados altamente confidenciais em que a divulgação não autorizada causa uma perda material considerável para a organização). Essa configuração apresenta defesa contra ameaças móveis ou Microsoft Defender para Ponto de Extremidade, define a versão mínima do Android, decreta políticas de senha mais fortes e restringe ainda mais o trabalho e a separação pessoal.
Configurações de conformidade para dispositivos totalmente gerenciados do Android Enterprise
- Segurança básica totalmente gerenciada (Nível 1) – a Microsoft recomenda essa configuração como a configuração de segurança mínima para um dispositivo corporativo. Essa configuração é aplicável à maioria dos usuários móveis que acessam dados de trabalho ou escola. Essa configuração apresenta requisitos de senha, define a versão mínima do Android e decreta determinadas restrições de dispositivo.
- Segurança aprimorada totalmente gerenciada (Nível 2) – a Microsoft recomenda essa configuração para dispositivos em que os usuários acessam informações confidenciais ou confidenciais. Essa configuração decreta políticas de senha mais fortes e desabilita os recursos de usuário/conta.
- Alta segurança totalmente gerenciada (Nível 3) – a Microsoft recomenda essa configuração para dispositivos usados por usuários ou grupos específicos que são de risco exclusivamente alto. Esses usuários podem lidar com dados altamente confidenciais em que a divulgação não autorizada pode causar uma perda material considerável para a organização. Essa configuração aumenta a versão mínima do Android, apresenta defesa contra ameaças móveis ou Microsoft Defender para Ponto de Extremidade e impõe restrições extras de dispositivo.
Configurações de conformidade recomendadas para Windows 10 e posterior
As seguintes configurações estão configuradas na Etapa 2: configurações de conformidade, do processo de criação de política de conformidade para dispositivos Windows 10 e mais recentes. Essas configurações se alinham com os princípios descritos em Confiança Zero configurações de identidade e acesso ao dispositivo.
Para regras de avaliação do Serviço de Atestado de Integridade do Windows health do dispositivo>, consulte esta tabela.
| Propriedade | Valor |
|---|---|
| Requer BitLocker | Exigir |
| Exigir que a Inicialização Segura seja habilitada no dispositivo | Exigir |
| Exigir integridade de código | Exigir |
Para propriedades do dispositivo, especifique valores apropriados para versões do sistema operacional com base em suas políticas de TI e segurança.
Para Configuration Manager Conformidade, se você estiver em um ambiente cogerenciado com Configuration Manager selecione Exigir caso contrário, selecione Não configurado.
Para segurança do sistema, confira esta tabela.
| Propriedade | Valor |
|---|---|
| Exigir uma senha para desbloquear os dispositivos móveis | Exigir |
| Senhas simples | Bloquear |
| Tipo de senha | Padrão do dispositivo |
| Tamanho mínimo da senha | 6 |
| Minutos máximos de inatividade antes que uma senha seja necessária | 15 minutos |
| Vencimento da senha (dias) | 41 |
| Número de senhas anteriores para evitar a reutilização | 5 |
| Exigir senha quando o dispositivo retornar do estado ocioso (Móvel e Holográfico) | Exigir |
| Exigir criptografia do armazenamento de dados no dispositivo | Exigir |
| Firewall | Exigir |
| Antivírus | Exigir |
| Antispyware | Exigir |
| Microsoft Defender Antimalware | Exigir |
| Versão mínima do Microsoft Defender Antimalware | A Microsoft recomenda versões não mais do que cinco atrás da versão mais recente. |
| Microsoft Defender assinatura antimalware atualizada | Exigir |
| Proteção em tempo real | Exigir |
Para Microsoft Defender para Ponto de Extremidade
| Propriedade | Valor |
|---|---|
| Exigir que o dispositivo esteja em ou sob a pontuação de risco do computador | Médio |
Políticas de Acesso Condicional
Depois que as políticas de proteção do aplicativo e conformidade do dispositivo forem criadas em Intune, você poderá habilitar a aplicação com políticas de Acesso Condicional.
Exigir MFA com base no risco de entrada
Siga as diretrizes no artigo Política de Acesso Condicional Comum: autenticação multifator baseada em risco de entrada para criar uma política para exigir autenticação multifator com base no risco de entrada.
Ao configurar sua política, use os seguintes níveis de risco.
| Nível de proteção | Valores de nível de risco necessários | Ação |
|---|---|---|
| Ponto de partida | Alto, médio | Verifique ambos. |
| Empresa | Alto, médio, baixo | Verifique todos os três. |
Bloquear clientes que não dão suporte à autenticação multifator
Siga as diretrizes no artigo Common Conditional Access policy: Bloquear a autenticação herdada para bloquear a autenticação herdada.
Usuários de alto risco devem alterar a senha
Siga as diretrizes no artigo Política de Acesso Condicional Comum: alteração de senha baseada em risco do usuário para exigir que usuários com credenciais comprometidas alterem sua senha.
Use essa política juntamente com Microsoft Entra proteção de senha, que detecta e bloqueia senhas fracas conhecidas e suas variantes, além de termos específicos para sua organização. Usar Microsoft Entra proteção de senha garante que as senhas alteradas sejam mais fortes.
Exigir aplicativos aprovados e políticas de proteção de aplicativos
Você deve criar uma política de Acesso Condicional para impor as políticas de proteção de aplicativo criadas no Intune. Impor políticas de proteção de aplicativo requer uma política de Acesso Condicional e uma política de proteção de aplicativo correspondente.
Para criar uma política de Acesso Condicional que requer aplicativos aprovados e proteção de APLICATIVO, siga as etapas em Exigir aplicativos cliente aprovados ou política de proteção de aplicativo com dispositivos móveis. Essa política só permite que contas em aplicativos móveis protegidos por políticas de proteção de aplicativo acessem pontos de extremidade do Microsoft 365.
Bloquear a autenticação herdada para outros aplicativos cliente em dispositivos iOS e Android garante que esses clientes não possam ignorar as políticas de Acesso Condicional. Se você estiver seguindo as diretrizes neste artigo, já configurou clientes block que não dão suporte à autenticação moderna.
Exigir computadores e dispositivos móveis compatíveis
As etapas a seguir ajudarão a criar uma política de Acesso Condicional para exigir que os dispositivos que acessam recursos sejam marcados como compatíveis com as políticas de conformidade Intune da sua organização.
Cuidado
Verifique se o dispositivo está em conformidade antes de habilitar essa política. Caso contrário, você pode ficar bloqueado e não conseguir alterar essa política até que sua conta de usuário tenha sido adicionada ao grupo de exclusão do Acesso Condicional.
- Entre no portal do Azure.
- Navegue até Microsoft Entra ID>Security>Conditional Access.
- Selecione Nova política.
- Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
- Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
- Em Incluir, selecione Todos os usuários.
- Em Excluir, selecioneUsuários e grupos e escolha as contas de acesso de emergência ou de quebra de vidro da sua organização.
- Em Aplicativos de nuvem ou ações>Incluir, selecione Todos os aplicativos de nuvem.
- Se você precisar excluir aplicativos específicos de sua política, poderá selecioná-los na guia Excluir em Selecionar aplicativos de nuvem excluídos e escolher Selecionar.
- Em Controles de> acessoGrant.
- Selecione Exigir que o dispositivo seja marcado como em conformidade.
- Selecione Selecionar.
- Confirme suas configurações e defina Habilitar a política para Ativado.
- Selecione Create para criar para habilitar sua política.
Observação
Você pode registrar seus novos dispositivos para Intune mesmo se selecionar Exigir que o dispositivo seja marcado como compatível comTodos os usuários e todos os aplicativos de nuvem em sua política. Exigir que o dispositivo seja marcado como controle compatível não bloqueia Intune registro e o acesso ao aplicativo Portal da Empresa Web Microsoft Intune.
Ativação de assinatura
As organizações que usam o recurso de Ativação de Assinatura para permitir que os usuários "avancem" de uma versão do Windows para outra, podem querer excluir as APIs do Serviço de Loja Universal e o Aplicativo Web, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f de sua política de conformidade do dispositivo.
Sempre exigir MFA
Siga as diretrizes no artigo Política de Acesso Condicional Comum: exija que o MFA para todos os usuários exija que os usuários de nível de segurança especializados sempre executem a autenticação multifator.
Aviso
Ao configurar sua política, selecione o grupo que requer segurança especializada e use-a em vez de selecionar Todos os usuários.
Próximas etapas
Saiba mais sobre as recomendações de política para usuários convidados e externos
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de