Políticas comuns Confiança Zero identidade e acesso ao dispositivo

Este artigo descreve as políticas comuns recomendadas de acesso a dispositivos e identidade do Confiança Zero para proteger o acesso aos serviços de nuvem do Microsoft 365, incluindo aplicativos locais publicados com o Azure Active Directory (Azure AD) Proxy de Aplicativo.

Essas diretrizes discutem como implantar as políticas recomendadas em um ambiente recém-provisionado. Configurar essas políticas em um ambiente de laboratório separado permite que você entenda e avalie as políticas recomendadas antes de preparar a distribuição para seus ambientes de pré-produção e produção. Seu ambiente recém-provisionado pode ser somente na nuvem ou híbrido para refletir suas necessidades de avaliação.

Conjunto de políticas

O diagrama a seguir ilustra o conjunto recomendado de políticas. Ele mostra a qual camada de proteções cada política se aplica e se as políticas se aplicam a PCs, telefones e tablets, ou ambas as categorias de dispositivos. Ele também indica onde você configura essas políticas.

As políticas comuns para configurar a Confiança Zero e o acesso ao dispositivo.

O restante deste artigo descreve como configurar essas políticas.

Observação

É recomendável exigir o uso da MFA (autenticação multifator) antes de registrar dispositivos no Intune para garantir que o dispositivo esteja na posse do usuário pretendido. Você deve registrar dispositivos no Intune antes de impor políticas de conformidade do dispositivo.

Para dar tempo para realizar essas tarefas, recomendamos implementar as políticas de ponto de partida na ordem listada nesta tabela. No entanto, as políticas de MFA para níveis de proteção corporativos e especializados de segurança podem ser implementadas a qualquer momento.

Nível de Proteção Políticas Mais informações Licenciamento
Ponto de partida Exigir MFA quando o risco de entrada for médio ou alto Microsoft 365 E5 ou Microsoft 365 E3 com o complemento segurança do E5
Bloquear clientes sem suporte para a autenticação moderna Os clientes que não usam a autenticação moderna podem ignorar as políticas de Acesso Condicional, portanto, é importante bloqueiá-los. Microsoft 365 E3 ou E5
Usuários de alto risco devem alterar a senha Força os usuários a alterar sua senha ao entrar se a atividade de alto risco for detectada para sua conta. Microsoft 365 E5 ou Microsoft 365 E3 com o complemento segurança do E5
Aplicar Políticas de proteção de dados do Aplicativo (APP) Uma Proteção de Aplicativo do Intune política por plataforma (Windows, iOS/iPadOS, Android). Microsoft 365 E3 ou E5
Exigir aplicativos aprovados e proteção de aplicativo Impõe a proteção de aplicativo móvel para telefones e tablets usando iOS, iPadOS ou Android. Microsoft 365 E3 ou E5
Empresarial Exigir MFA quando o risco de entrada for baixo, médio ou alto Microsoft 365 E5 ou Microsoft 365 E3 com o complemento segurança do E5
Definir políticas de conformidade do dispositivo Uma política para cada plataforma. Microsoft 365 E3 ou E5
Exigir computadores e dispositivos móveis compatíveis Impõe o Intune para computadores (Windows ou macOS) e telefones ou tablets (iOS, iPadOS ou Android). Microsoft 365 E3 ou E5
Segurança especializada Sempre exigir MFA Microsoft 365 E3 ou E5

Atribuindo políticas a grupos e usuários

Antes de configurar políticas, identifique os grupos do Azure AD que você está usando para cada camada de proteção. Normalmente, a proteção de ponto de partida se aplica a todos na organização. Um usuário incluído para o ponto de partida e a proteção empresarial terá todas as políticas de ponto de partida aplicadas mais as políticas corporativas. A proteção é cumulativa e a política mais restritiva é imposta.

Uma prática recomendada é criar um grupo do Azure AD para exclusão de Acesso Condicional. Adicione esse grupo a todas as suas políticas de Acesso Condicional no valor Excluir da configuração Usuários e grupos na seção Atribuições. Isso fornece um método para fornecer acesso a um usuário enquanto você soluciona problemas de acesso. Isso é recomendado apenas como uma solução temporária. Monitore esse grupo quanto a alterações e verifique se o grupo de exclusão está sendo usado somente conforme o esperado.

Aqui está um exemplo de atribuição de grupo e exclusões para exigir MFA.

A atribuição de grupo de exemplo e exclusões para políticas de MFA

Aqui estão os resultados:

  • Todos os usuários devem usar a MFA quando o risco de entrada for médio ou alto.

  • Os membros do grupo De equipe executiva devem usar a MFA quando o risco de entrada for baixo, médio ou alto.

    Nesse caso, os membros do grupo De equipe executiva correspondem às políticas de ponto de partida e acesso condicional corporativo. Os controles de acesso para ambas as políticas são combinados, o que, nesse caso, é equivalente à política de Acesso Condicional da empresa.

  • Os membros do grupo Top Secret Project X são sempre necessários para usar a MFA

    Nesse caso, os membros do grupo Top Secret Project X correspondem ao ponto de partida e às políticas especializadas de acesso condicional de segurança. Os controles de acesso para ambas as políticas são combinados. Como o controle de acesso para a política de Acesso Condicional de segurança especializada é mais restritivo, ele é usado.

Tenha cuidado ao aplicar níveis mais altos de proteção a grupos e usuários. Por exemplo, os membros do grupo X Project Top Secret precisarão usar a MFA sempre que entrarem, mesmo que não estejam trabalhando no conteúdo de segurança especializado para Project X.

Todos os grupos do Azure AD criados como parte dessas recomendações devem ser criados Microsoft 365 grupos. Isso é importante para a implantação de rótulos de confidencialidade ao proteger documentos Microsoft Teams e SharePoint.

Criando um Microsoft 365 grupo

Exigir MFA com base no risco de entrada

Você deve fazer com que os usuários se registrem na MFA antes de exigir seu uso. Se você tiver Microsoft 365 E5, Microsoft 365 E3 com o complemento segurança do E5, Office 365 com licenças em EMS E5 ou Azure AD Premium P2 individuais, poderá usar a política de registro de MFA com o Azure AD Identity Protection para exigir que os usuários se registrem na MFA. O trabalho de pré-requisito inclui o registro de todos os usuários com a MFA.

Depois que os usuários forem registrados, você poderá exigir a MFA para entrar com uma nova política de Acesso Condicional.

  1. Acesse o Portal do Azure e entre com suas credenciais.
  2. Na lista de serviços do Azure, escolha Azure Active Directory.
  3. Na lista Gerenciar , escolha Segurança e, em seguida, escolha Acesso Condicional.
  4. Escolha Nova política e digite o nome da nova política.

As tabelas a seguir descrevem as configurações de política de Acesso Condicional para exigir MFA com base no risco de entrada.

Na seção Atribuições :

Setting Propriedades Valores Anotações
Usuários e grupos Incluir Selecione usuários e grupos > usuários e grupos: selecione grupos específicos que contêm contas de usuário direcionadas. Comece com o grupo que inclui contas de usuário piloto.
Excluir Usuários e grupos: selecione o grupo de exceção de Acesso Condicional; contas de serviço (identidades de aplicativo). A associação deve ser modificada de forma temporária e necessária.
Ações ou aplicativos de nuvem Aplicativos de nuvem > Incluir Selecione aplicativos: selecione os aplicativos aos quais você deseja que essa política se aplique. Por exemplo, selecione Exchange Online.
Condições Configure condições específicas para seu ambiente e suas necessidades.
Risco de entrada Consulte as diretrizes na tabela a seguir.

Configurações de condição de risco de entrada

Aplique as configurações de nível de risco com base no nível de proteção que você está direcionando.

Nível de proteção Valores de nível de risco necessários Ação
Ponto de partida Alto, médio Verifique os dois.
Empresa Alto, médio, baixo Verifique os três.
Segurança especializada Deixe todas as opções desmarcadas para sempre impor a MFA.

Na seção Controles do Access :

Setting Propriedades Valores Ação
Conceder Grant access Selecionar
Exigir autenticação multifator Cheque
Exigir todos os controles selecionados Selecionar

Escolha Selecionar para salvar as configurações de Concessão.

Por fim, selecione Ativado para Habilitar política e, em seguida, escolha Criar.

Considere também usar a ferramenta What if para testar a política.

Bloquear clientes que não dão suporte a multifator

Use as configurações nessas tabelas para uma política de Acesso Condicional para bloquear clientes que não dão suporte à autenticação multifator.

Consulte este artigo para obter uma lista de clientes em Microsoft 365 que dão suporte à autenticação multifator.

Na seção Atribuições :

Setting Propriedades Valores Anotações
Usuários e grupos Incluir Selecione usuários e grupos > usuários e grupos: selecione grupos específicos que contêm contas de usuário direcionadas. Comece com o grupo que inclui contas de usuário piloto.
Excluir Usuários e grupos: selecione o grupo de exceção de Acesso Condicional; contas de serviço (identidades de aplicativo). A associação deve ser modificada de forma temporária e necessária.
Ações ou aplicativos de nuvem Aplicativos de nuvem > Incluir Selecionar aplicativos: selecione os aplicativos correspondentes aos clientes que não dão suporte à autenticação moderna.
Condições Aplicativos cliente Escolha Sim para Configurar

Desmarque as marcas de seleção para aplicativos móveis e navegadores e clientes da área de trabalho

Na seção Controles do Access :

Setting Propriedades Valores Ação
Conceder Bloquear acesso Selecionar
Exigir todos os controles selecionados Selecionar

Escolha Selecionar para salvar as configurações de Concessão.

Por fim, selecione Ativado para Habilitar política e, em seguida, escolha Criar.

Considere usar a ferramenta What if para testar a política.

Por Exchange Online, você pode usar políticas de autenticação para desabilitar a autenticação básica, o que força todas as solicitações de acesso do cliente a usar a autenticação moderna.

Usuários de alto risco devem alterar a senha

Para garantir que todas as contas comprometidas de todos os usuários de alto risco sejam forçadas a executar uma alteração de senha ao entrar, você deve aplicar a política a seguir.

Faça logon no Portal do Microsoft Azure (https://portal.azure.com) com suas credenciais de administrador e, em seguida, navegue até Azure AD Identity Protection > Política de Risco do Usuário.

Na seção Atribuições :

Tipo Propriedades Valores Ação
Usuários Incluir Todos os usuários Selecionar
Risco do usuário High Selecionar

Na segunda seção Atribuições :

Tipo Propriedades Valores Ação
Acessar Permitir acesso Selecionar
Requer a alteração de senha Cheque

Escolha Concluído para salvar as configurações do Access.

Por fim, selecione Ativado para Impor política e, em seguida, escolha Salvar.

Considere usar a ferramenta What if para testar a política.

Use essa política em conjunto com Configurar a proteção por senha do Azure AD, que detecta e bloqueia senhas fracas conhecidas e suas variantes e termos fracos adicionais específicos para sua organização. Usar a proteção por senha do Azure AD garante que as senhas alteradas sejam fortes.

Aplicar políticas de proteção de dados do APP

Os APPs definem quais aplicativos são permitidos e as ações que eles podem executar com os dados da sua organização. As opções disponíveis no APP permitem que as organizações adaptem a proteção às suas necessidades específicas. Para alguns, pode não ser óbvio quais configurações de política são necessárias para implementar um cenário completo. Para ajudar as organizações a priorizar a proteção de ponto de extremidade de cliente móvel, a Microsoft introduziu a taxonomia de sua estrutura de proteção de dados de aplicativo para gerenciamento de aplicativo móvel iOS e Android.

A estrutura de proteção de dados de aplicativo é organizada em três níveis de configuração distintos, sendo que cada nível compila o nível anterior:

  • Nível 1: Enterprise proteção de dados básica garante que os aplicativos sejam protegidos com um PIN e criptografados e executem operações de apagamento seletivo. Para dispositivos Android, esse nível valida o atestado de dispositivo Android. Essa é uma configuração de nível de entrada que fornece controle de proteção de dados semelhante nas políticas de caixa de correio do Exchange Online e apresenta a TI e a população de usuários para a APP.
  • Nível 2: Enterprise proteção de dados aprimorada apresenta mecanismos de prevenção contra vazamento de dados do APP e requisitos mínimos do sistema operacional. Essa é a configuração aplicável à maioria dos usuários móveis que acessam dados corporativos ou de estudante.
  • Nível 3: Enterprise alta proteção de dados apresenta mecanismos avançados de proteção de dados, configuração de PIN aprimorada e Defesa contra Ameaças Móveis do APP. Essa configuração é desejável para usuários que estão acessando dados de alto risco.

Para ver as recomendações específicas para cada nível de configuração e os aplicativos mínimos que devem ser protegidos, examine Estrutura de proteção de dados usando as políticas de proteção de aplicativo.

Usando os princípios descritos em Confiança Zero configurações de acesso a dispositivos e identidade, as camadas de proteção de ponto de partida e Enterprise são mapeadas de perto com as configurações de proteção de dados aprimoradas da empresa de Nível 2. A camada de proteção de segurança especializada é mapeada de perto para as configurações de alta proteção de dados corporativos de Nível 3.

Nível de Proteção Política de Proteção de Aplicativo Mais informações
Ponto de partida Proteção de dados aprimorada de nível 2 As configurações de política impostas no nível 2 incluem todas as configurações de política recomendadas para o nível 1 e adicionam ou atualizam apenas as configurações de política abaixo para implementar mais controles e uma configuração mais sofisticada do que o nível 1.
Empresa Proteção de dados aprimorada de nível 2 As configurações de política impostas no nível 2 incluem todas as configurações de política recomendadas para o nível 1 e adicionam ou atualizam apenas as configurações de política abaixo para implementar mais controles e uma configuração mais sofisticada do que o nível 1.
Segurança especializada Proteção de dados alta empresarial de nível 3 As configurações de política impostas no nível 3 incluem todas as configurações de política recomendadas para os níveis 1 e 2 e adicionam ou atualizam apenas as configurações de política abaixo para implementar mais controles e uma configuração mais sofisticada do que o nível 2.

Para criar uma nova política de proteção de aplicativo para cada plataforma (iOS e Android) dentro Microsoft Endpoint Manager usando as configurações da estrutura de proteção de dados, você pode:

  1. Crie manualmente as políticas seguindo as etapas em Como criar e implantar políticas de proteção de aplicativo com Microsoft Intune.
  2. Importe o exemplo Intune JSON da Estrutura de Configuração da Política de Proteção de Aplicativo com scripts Intune PowerShell do Intune.

Exigir aplicativos aprovados e proteção de APLICATIVO

Para impor as políticas Proteção de aplicativos aplicadas no Intune, você deve criar uma política de Acesso Condicional para exigir aplicativos cliente aprovados e as condições definidas nas políticas de proteção do APP.

Impor políticas Proteção de aplicativos requer um conjunto de políticas descritas em Exigir política de proteção de aplicativo para acesso a aplicativos de nuvem com Acesso Condicional. Essas políticas estão incluídas neste conjunto recomendado de políticas de configuração de identidade e acesso.

Para criar a política de Acesso Condicional que requer aplicativos aprovados e proteção de APLICATIVO, siga as etapas em Exigir aplicativos cliente aprovados ou política de proteção de aplicativo com dispositivos móveis, que só permite que contas em aplicativos móveis protegidos por políticas Proteção de aplicativos acessem pontos de extremidade Microsoft 365.

Observação

Essa política garante que os usuários móveis possam acessar todos os Microsoft 365 de extremidade usando os aplicativos aplicáveis.

Essa política também impede que Exchange ActiveSync clientes em dispositivos móveis se conectem Exchange Online. No entanto, você pode criar uma política separada para lidar com Exchange ActiveSync em todos os dispositivos. Para obter mais informações, consulte Bloquear clientes ActiveSync, o que impede que Exchange ActiveSync clientes que aproveitam a autenticação básica se conectem ao Exchange Online. Essa política não é ilustrada na parte superior deste artigo. Ele é descrito e descrito nas recomendações de política para proteger o email.

Essa política aproveita os controles de concessão Exigir aplicativo cliente aprovado e Exigir política de proteção de aplicativo.

Por fim, bloquear a autenticação herdada para outros aplicativos cliente em dispositivos iOS e Android garante que esses clientes não possam ignorar as políticas de Acesso Condicional. Se você estiver seguindo as diretrizes neste artigo, já configurou clientes de bloco que não dão suporte à autenticação moderna.

Definir políticas de conformidade do dispositivo

As políticas de conformidade do dispositivo definem os requisitos que os dispositivos devem atender para serem determinados como compatíveis. Você cria Intune de conformidade do dispositivo de dentro do Microsoft Endpoint Manager de administração.

Você deve criar uma política para cada plataforma de pc, telefone ou tablet:

  • Administrador de dispositivo Android
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 8.1 e posterior
  • Windows 10 e posterior

Para criar políticas de conformidade do dispositivo, faça logon no Centro de Administração do Microsoft Endpoint Manager com suas credenciais de administrador e navegue > até Políticas de Conformidade de > Dispositivos. Selecione Criar Política.

Para que as políticas de conformidade do dispositivo sejam implantadas, elas devem ser atribuídas a grupos de usuários. Você atribui uma política depois de criar e salvá-la. No centro de administração, selecione a política e, em seguida, selecione Atribuições. Depois de selecionar os grupos que você deseja receber a política, selecione Salvar para salvar essa atribuição de grupo e implantar a política.

Para obter diretrizes passo a passo sobre como criar políticas de conformidade no Intune, consulte Criar uma política de conformidade no Microsoft Intune na documentação Intune segurança.

O iOS/iPadOS dá suporte a vários cenários de registro, dois dos quais são abrangidos como parte desta estrutura:

  • Registro de dispositivo para dispositivos de propriedade pessoal – esses dispositivos são de propriedade pessoal e usados para uso pessoal e de trabalho.
  • Registro de dispositivo automatizado supervisionado para dispositivos corporativos – esses dispositivos são corporativos, associados a um único usuário e usados exclusivamente para trabalho e não para uso pessoal.

A estrutura de configuração de segurança do iOS/iPadOS é organizada em vários cenários de configuração distintos, fornecendo diretrizes para dispositivos de propriedade pessoal e supervisionados.

Para dispositivos de propriedade pessoal:

  • Segurança básica (Nível 1) – a Microsoft recomenda essa configuração como a configuração de segurança mínima para dispositivos pessoais em que os usuários acessam dados corporativos ou de estudante. Isso é feito por imposição de políticas de senha, características de bloqueio de dispositivo e desabilitação de determinadas funções do dispositivo (por exemplo, certificados não confiáveis).
  • Segurança aprimorada (Nível 2) – a Microsoft recomenda essa configuração para dispositivos em que os usuários acessam informações confidenciais ou confidenciais. Ela atua em controles de compartilhamento de dados. Essa configuração é aplicável à maioria dos usuários móveis que acessam dados corporativos ou de estudante em um dispositivo.
  • Alta segurança (Nível 3) – a Microsoft recomenda essa configuração para dispositivos usados por usuários ou grupos específicos que são exclusivamente de alto risco (usuários que lidam com dados altamente confidenciais em que a divulgação não autorizada causa perda de material considerável para a organização). Essa configuração aplica políticas de senha mais fortes, desabilita determinadas funções de dispositivo e impõe restrições adicionais de transferência de dados.

Para dispositivos supervisionados:

  • Segurança básica (Nível 1) – a Microsoft recomenda essa configuração como a configuração de segurança mínima para dispositivos supervisionados em que os usuários acessam dados corporativos ou de estudante. Isso é feito por imposição de políticas de senha, características de bloqueio de dispositivo e desabilitação de determinadas funções do dispositivo (por exemplo, certificados não confiáveis).
  • Segurança aprimorada (Nível 2) – a Microsoft recomenda essa configuração para dispositivos em que os usuários acessam informações confidenciais ou confidenciais. Ela age sobre os controles de compartilhamento de dados e bloqueia o acesso a dispositivos USB. Essa configuração é aplicável à maioria dos usuários móveis que acessam dados corporativos ou de estudante em um dispositivo.
  • Alta segurança (Nível 3) – a Microsoft recomenda essa configuração para dispositivos usados por usuários ou grupos específicos que são exclusivamente de alto risco (usuários que lidam com dados altamente confidenciais em que a divulgação não autorizada causa perda de material considerável para a organização). Essa configuração aplica políticas de senha mais fortes, desabilita determinadas funções de dispositivo, impõe restrições adicionais de transferência de dados e exige que os aplicativos sejam instalados por meio do programa de compra por volume da Apple.

Usando os princípios descritos em Confiança Zero configurações de acesso de dispositivo e identidade, as camadas de proteção de ponto de partida e Enterprise são mapeadas de perto com as configurações de segurança aprimoradas de Nível 2. A camada de proteção de segurança especializada é mapeada de perto para as configurações de alta segurança de Nível 3.

Nível de Proteção Política de dispositivo Mais informações
Ponto de partida Segurança aprimorada (Nível 2) As configurações de política impostas no nível 2 incluem todas as configurações de política recomendadas para o nível 1 e adicionam ou atualizam apenas as configurações de política abaixo para implementar mais controles e uma configuração mais sofisticada do que o nível 1.
Empresa Segurança aprimorada (Nível 2) As configurações de política impostas no nível 2 incluem todas as configurações de política recomendadas para o nível 1 e adicionam ou atualizam apenas as configurações de política abaixo para implementar mais controles e uma configuração mais sofisticada do que o nível 1.
Segurança especializada Alta segurança (nível 3) As configurações de política impostas no nível 3 incluem todas as configurações de política recomendadas para os níveis 1 e 2 e adicionam ou atualizam apenas as configurações de política abaixo para implementar mais controles e uma configuração mais sofisticada do que o nível 2.

Para ver as recomendações específicas de conformidade do dispositivo e restrição de dispositivo para cada nível de configuração, examine a Estrutura de Configuração de Segurança do iOS/iPadOS.

O Enterprise Android dá suporte a vários cenários de registro, dois dos quais são abordados como parte dessa estrutura:

  • Perfil Enterprise trabalho do Android – esse modelo de registro normalmente é usado para dispositivos de propriedade pessoal, em que a TI deseja fornecer um limite de separação claro entre dados pessoais e de trabalho. As políticas controladas pela TI garantem que os dados de trabalho não possam ser transferidos para o perfil pessoal.
  • Dispositivos Enterprise Android totalmente gerenciados – esses dispositivos são corporativos, associados a um único usuário e usados exclusivamente para trabalho e não para uso pessoal.

A estrutura Enterprise de configuração de segurança do Android é organizada em vários cenários de configuração distintos, fornecendo diretrizes para o perfil de trabalho e cenários totalmente gerenciados.

Para dispositivos Enterprise perfil de trabalho do Android:

  • Segurança aprimorada do perfil de trabalho (Nível 2) – a Microsoft recomenda essa configuração como a configuração mínima de segurança para dispositivos pessoais em que os usuários acessam dados corporativos ou de estudante. Essa configuração apresenta os requisitos de senha, separa os dados corporativos e pessoais e valida o atestado de dispositivo Android.
  • Alta segurança do perfil de trabalho (Nível 3) – a Microsoft recomenda essa configuração para dispositivos usados por usuários ou grupos específicos que são exclusivamente de alto risco (usuários que lidam com dados altamente confidenciais em que a divulgação não autorizada causa perda de material considerável para a organização). Essa configuração apresenta a defesa contra ameaças móveis ou Microsoft Defender para Ponto de Extremidade, define a versão mínima do Android, aplica políticas de senha mais fortes e restringe ainda mais o trabalho e a separação pessoal.

Para dispositivos Android Enterprise totalmente gerenciados:

  • Segurança básica totalmente gerenciada (Nível 1) – a Microsoft recomenda essa configuração como a configuração de segurança mínima para um dispositivo empresarial. Essa configuração é aplicável à maioria dos usuários móveis que acessam dados corporativos ou de estudante. Essa configuração apresenta requisitos de senha, define a versão mínima do Android e aplica determinadas restrições de dispositivo.
  • Segurança aprimorada totalmente gerenciada (Nível 2) – a Microsoft recomenda essa configuração para dispositivos em que os usuários acessam informações confidenciais ou confidenciais. Essa configuração aplica políticas de senha mais fortes e desabilita os recursos de usuário/conta.
  • Alta segurança totalmente gerenciada (Nível 3) – a Microsoft recomenda essa configuração para dispositivos usados por usuários ou grupos específicos que são exclusivamente de alto risco (usuários que lidam com dados altamente confidenciais em que a divulgação não autorizada causa perda de material considerável para a organização). Essa configuração aumenta a versão mínima do Android, introduz a defesa contra ameaças móveis ou Microsoft Defender para Ponto de Extremidade e impõe restrições adicionais de dispositivo.

Usando os princípios descritos nas configurações de acesso de dispositivo e identidade do Confiança Zero, as camadas de proteção de ponto de partida e Enterprise são mapeadas de perto com a segurança básica de Nível 1 para dispositivos de propriedade pessoal e configurações de segurança aprimoradas de Nível 2 para dispositivos totalmente gerenciados. A camada de proteção de segurança especializada é mapeada de perto para as configurações de alta segurança de Nível 3.

Para dispositivos Enterprise perfil de trabalho do Android:

Nível de Proteção Política de dispositivo Mais informações
Ponto de partida Perfil de Trabalho: Segurança básica (Nível 1) N/D
Empresa Perfil de Trabalho: Segurança básica (Nível 1) N/D
Ponto de partida Totalmente gerenciado: segurança aprimorada (nível 2) As configurações de política impostas no nível 2 incluem todas as configurações de política recomendadas para o nível 1 e adicionam ou atualizam apenas as configurações de política abaixo para implementar mais controles e uma configuração mais sofisticada do que o nível 1.
Empresa Totalmente gerenciado: segurança aprimorada (nível 2) As configurações de política impostas no nível 2 incluem todas as configurações de política recomendadas para o nível 1 e adicionam ou atualizam apenas as configurações de política abaixo para implementar mais controles e uma configuração mais sofisticada do que o nível 1.
Segurança especializada Alta segurança (nível 3) As configurações de política impostas no nível 3 incluem todas as configurações de política recomendadas para os níveis 1 e 2 e adicionam ou atualizam apenas as configurações de política abaixo para implementar mais controles e uma configuração mais sofisticada do que o nível 2.

Para ver as recomendações específicas de conformidade do dispositivo e restrição de dispositivo para cada nível de configuração, examine o Android Enterprise Security Configuration Framework.

As configurações a seguir são recomendadas para computadores que executam Windows 10 e posteriores, conforme definido na Etapa 2: Configurações de conformidade, do processo de criação de política.

Para as regras de > Windows de avaliação do Serviço de Atestado de Integridade do Dispositivo, consulte esta tabela.

Propriedades Valor Ação
Requer BitLocker Exigir Selecionar
Exigir que a Inicialização Segura esteja habilitada no dispositivo Exigir Selecionar
Exigir integridade de código Exigir Selecionar

Para propriedades do dispositivo, especifique os valores apropriados para versões do sistema operacional com base em suas políticas de ti e segurança.

Para Configuration Manager Conformidade, selecione Exigir.

Para segurança do sistema, consulte esta tabela.

Tipo Propriedades Valor Ação
Password Exigir uma senha para desbloquear os dispositivos móveis Exigir Selecionar
Senhas simples Bloquear Selecionar
Tipo de senha Padrão do dispositivo Selecionar
Tamanho mínimo da senha 6 Tipo
Máximo de minutos de inatividade antes que a senha seja exigida 15 Tipo

Essa configuração é compatível com as versões 4.0 e superiores do Android ou KNOX 4.0 e superior. Para dispositivos iOS, ele tem suporte para iOS 8.0 e superior.

Vencimento da senha (dias) 41 Tipo
Número de senhas anteriores para evitar a reutilização 5 Tipo
Exigir senha quando o dispositivo retornar do estado ocioso (Móvel e Holográfico) Exigir Disponível para Windows 10 e posterior
Criptografia Criptografia de armazenamento de dados no dispositivo Exigir Selecionar
Segurança do dispositivo Firewall Exigir Selecionar
Antivírus Exigir Selecionar
Antispyware Exigir Selecionar

Essa configuração requer uma solução Anti-Spyware registrada com o Segurança do Windows aplicativo.

Defender para Nuvem Microsoft Defender Antimalware Exigir Selecionar
Versão mínima do Microsoft Defender Antimalware Tipo

Compatível apenas com Windows 10 desktop. A Microsoft recomenda versões com no máximo cinco versões anteriores da versão mais recente.

Assinatura do Microsoft Defender Antimalware atualizada Exigir Selecionar
Proteção em tempo real Exigir Selecionar

Compatível apenas com Windows 10 área de trabalho posterior

Microsoft Defender para Ponto de Extremidade

Tipo Propriedades Valor Ação
Microsoft Defender para Ponto de Extremidade regras no centro de Microsoft Endpoint Manager administrador Exigir que o dispositivo esteja na pontuação de risco do computador ou abaixo Médio Selecionar

Exigir computadores e dispositivos móveis compatíveis

Para exigir conformidade para todos os dispositivos:

  1. Acesse o Portal do Azure e entre com suas credenciais.

  2. Na lista de serviços do Azure, escolha Azure Active Directory.

  3. Na lista Gerenciar , escolha Segurança e, em seguida, escolha Acesso Condicional.

  4. Escolha Nova política e digite o nome da nova política.

  5. Em Atribuições, escolha Usuários e grupos e inclua a quem você deseja que a política se aplique. Exclua também o grupo de exclusão de Acesso Condicional.

  6. Em Atribuições, escolha Aplicativos de nuvem ou ações.

  7. Para Incluir, escolha Selecionar aplicativos > Selecionar e, em seguida, selecione os aplicativos desejados na lista de aplicativos de nuvem . Por exemplo, selecione Office 365. Escolha Selecionar quando terminar.

  8. Em Controles de acesso, escolha Conceder .

  9. Escolha Conceder acesso e marque Exigir que o dispositivo seja marcado como compatível. Para vários controles, selecione Exigir todos os controles selecionados. Ao concluir, escolha Selecionar.

  10. Selecione Ativado para Habilitar política e, em seguida, escolha Criar.

Observação

Verifique se o dispositivo está em conformidade antes de habilitar essa política. Caso contrário, você poderá ser bloqueado e não poderá alterar essa política até que sua conta de usuário seja adicionada ao grupo de exclusão de Acesso Condicional.

Próxima etapa

Etapa 3: Políticas para usuários convidados e externos.

Saiba mais sobre as recomendações de política para usuários convidados e externos