Configure o locatário do Microsoft 365 para aumentar a segurança

• Aplica-se a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Dica

Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

Suas necessidades organizacionais exigem segurança.

As especificidades são da sua empresa.

Este artigo orienta você sobre a configuração manual de configurações em todo o locatário que afetam a segurança do seu ambiente do Microsoft 365. Use essas recomendações como ponto de partida.

Ajustar políticas de proteção de EOP e Defender para Office 365 no portal do Microsoft Defender

O portal Microsoft Defender tem recursos para proteção e relatórios. Ele tem painéis que você pode usar para monitorar e tomar medidas quando surgirem ameaças.

Como etapa inicial, você precisa configurar registros de autenticação por email no DNS para todos os domínios de email personalizados no Microsoft 365 (SPF, DKIM e DMARC). O Microsoft 365 configura automaticamente a autenticação por email para o domínio *.onmicrosoft.com. Para obter mais informações, consulte Etapa 1: configurar a autenticação de email para seus domínios do Microsoft 365.

Observação

Para implantações não padrão do SPF, implantações híbridas e solução de problemas: configure o SPF para ajudar a evitar falsificações.

A maioria dos recursos de proteção no EOP (Proteção do Exchange Online) e Defender para Office 365 vem com configurações de política padrão. Para obter mais informações, confira a tabela aqui.

Recomendamos ativar e usar as políticas de segurança predefinidas Standard e/ou Strict para todos os destinatários. Para saber mais, confira os seguintes artigos:

• Ative e configure políticas de segurança predefinidas: políticas de segurança predefinidas no EOP e Microsoft Defender para Office 365.
• Diferença nas configurações entre as políticas de segurança predefinidas Standard e Strict: Configurações de políticas em políticas de segurança predefinidas.
• Lista completa de todos os recursos e configurações em políticas padrão, políticas de segurança predefinidas padrão e políticas de segurança predefinidas estritas: configurações recomendadas para segurança de EOP e Microsoft Defender para Office 365.

Políticas personalizadas são necessárias se as necessidades de negócios da sua organização exigirem configurações de política diferentes ou não definidas em políticas de segurança predefinidas. Ou, se sua organização exigir uma experiência de usuário diferente para mensagens em quarentena (incluindo notificações). Para obter mais informações, consulte Determinar sua estratégia de política de proteção.

Exibir painéis e relatórios no portal do Microsoft Defender

No portal do Defender, selecione https://security.microsoft.comRelatórios. Ou, para ir diretamente para a página Relatórios , use https://security.microsoft.com/securityreports.

Na página Relatórios, você pode exibir informações sobre tendências de segurança e acompanhar o status de proteção de suas identidades, dados, dispositivos, aplicativos e infraestrutura.

Os dados nesses relatórios ficam mais ricos à medida que sua organização usa serviços de Office 365 (tenha esse ponto em mente se você estiver pilotando ou testando). Por enquanto, familiarize-se com o que você pode monitorar e agir.

Na página Relatórios em https://security.microsoft.com/securityreports, selecione Email & colaboração>Email & relatórios de colaboração.

Na página Email & relatórios de colaboração que é aberta, observe os cartões disponíveis. Em qualquer cartão, selecione Exibir detalhes para investigar os dados. Para saber mais, confira os seguintes artigos:

• Exibir relatórios de segurança de email no portal do Microsoft Defender
• Exibir relatórios Defender para Office 365 no portal do Microsoft Defender

Relatórios e insights de fluxo de email estão disponíveis no Centro de administração do Exchange (EAC). Para obter mais informações, consulte Relatórios de fluxo de email e informações de fluxo de email.

|Se você estiver investigando ou enfrentando um ataque contra seu locatário, use o Threat Explorer (ou detecções em tempo real) para analisar ameaças. Explorer (e o relatório de detecções em tempo real) mostra o volume de ataques ao longo do tempo e você pode analisar esses dados por famílias de ameaças, infraestrutura de invasores e muito mais. Você também pode marcar qualquer email suspeito para a lista Incidentes.

Considerações adicionais

Para obter informações sobre proteção contra ransomware, confira os seguintes artigos:

• Proteção contra ransomware
• Proteção contra Malware e Ransomware no Microsoft 365
• Guias estratégicos de resposta a incidentes do Ransomware

Configurar políticas de compartilhamento em todo o locatário no centro de administração do SharePoint

Recomendações da Microsoft para configurar sites de equipe do SharePoint em níveis crescentes de proteção, começando com a proteção de linha de base. Para obter mais informações, consulte Recomendações de política para proteger sites e arquivos do SharePoint.

Os sites de equipe do SharePoint configurados no nível da linha de base permitem o compartilhamento de arquivos com usuários externos usando links de acesso anônimos. Essa abordagem é recomendada em vez de enviar arquivos por email.

Para dar suporte às metas de proteção de linha de base, configure políticas de compartilhamento em todo o locatário, conforme recomendado aqui. As configurações de compartilhamento para sites individuais podem ser mais restritivas do que essa política em todo o locatário, mas não mais permissivas.

Área	Inclui uma política padrão	Recomendação
Compartilhamento (SharePoint Online e OneDrive for Business)	Sim	O compartilhamento externo está habilitado por padrão. Essas configurações são recomendadas: Permitir o compartilhamento para usuários externos autenticados e usar links de acesso anônimos (configuração padrão). Os links de acesso anônimo expiram nestes muitos dias. Insira um número, se desejado, como 30 dias. Tipo de link > padrão selecione Interno (somente pessoas na organização). Os usuários que desejam compartilhar usando links anônimos devem escolher essa opção no menu de compartilhamento. Mais informações: Visão geral do compartilhamento externo

O centro de administração do SharePoint e OneDrive for Business centro de administração incluem as mesmas configurações. As configurações em ambos os centro de administração se aplicam a ambos.

Configurar configurações no Microsoft Entra ID

Visite essas duas áreas em Microsoft Entra ID para concluir a instalação em todo o locatário para ambientes mais seguros.

Configurar locais nomeados (em acesso condicional)

Se sua organização incluir escritórios com acesso seguro à rede, adicione os intervalos de endereços IP confiáveis a Microsoft Entra ID como locais nomeados. Esse recurso ajuda a reduzir o número de falsos positivos relatados para eventos de risco de entrada.

Confira: Locais nomeados no Microsoft Entra ID

Bloquear aplicativos que não dão suporte à autenticação moderna

A autenticação multifator requer aplicativos que dão suporte à autenticação moderna. Aplicativos que não dão suporte à autenticação moderna não podem ser bloqueados usando regras de acesso condicional.

Para ambientes seguros, desabilite a autenticação para aplicativos que não dão suporte à autenticação moderna. Você pode fazer isso em Microsoft Entra ID com um controle que será feito em breve.

Enquanto isso, use um dos seguintes métodos para bloquear o acesso a aplicativos no SharePoint Online e OneDrive for Business que não dão suporte à autenticação moderna:

• Centro de administração do SharePoint:

  1. No centro de administração do SharePoint em https://admin.microsoft.com/sharepoint, acesse Controle deacesso de políticas>.
  2. Na página Controle de acesso , selecione Aplicativos que não usam autenticação moderna.
  3. Nos Aplicativos que não usam o flyout de autenticação moderna que é aberto, selecione Bloquear acesso e, em seguida, selecione Salvar.

• PowerShell: confira Bloquear aplicativos que não usam autenticação moderna.

Introdução ao Defender para Aplicativos de Nuvem ou Office 365 Cloud App Security

Use o Microsoft 365 Cloud App Security para avaliar o risco, alertar sobre atividades suspeitas e agir automaticamente. Requer Office 365 E5 plano.

Ou use Microsoft Defender para Aplicativos de Nuvem para obter visibilidade mais profunda mesmo depois que o acesso for concedido, controles abrangentes e proteção aprimorada para todos os seus aplicativos de nuvem, incluindo Office 365.

Como essa solução recomenda o plano EMS E5, recomendamos que você comece com o Defender para Aplicativos de Nuvem para que você possa usá-lo com outros aplicativos SaaS em seu ambiente. Comece com políticas e configurações padrão.

Mais informações:

• Implantar o Defender para Aplicativos na Nuvem
• Mais informações sobre o Microsoft Defender for Cloud Apps
• O que é o Defender for Cloud Apps?

Recursos adicionais

Esses artigos e guias fornecem informações prescritivas adicionais para proteger seu ambiente do Microsoft 365:

• Diretrizes de segurança da Microsoft para campanhas políticas, organizações sem fins lucrativos e outras organizações ágeis (você pode usar essas recomendações em qualquer ambiente, especialmente em ambientes somente na nuvem)

• Políticas e configurações de segurança recomendadas para identidades e dispositivos (essas recomendações incluem ajuda para ambientes do AD FS)