Trabalho de pré-requisito para implementar políticas de acesso de identidade e dispositivo de Confiança Zero
Este artigo descreve os pré-requisitos que os administradores devem atender para usar as políticas recomendadas de acesso de identidade e dispositivo de Confiança Zero e usar o Acesso Condicional. Ele também discute os padrões recomendados para configurar plataformas cliente para a melhor experiência de SSO (logon único).
Pré-requisitos
Antes de usar a identidade de Confiança Zero e as políticas de acesso ao dispositivo recomendadas, sua organização precisa atender aos pré-requisitos. Os requisitos são diferentes para os vários modelos de identidade e autenticação listados:
- Apenas na nuvem
- Autenticação híbrida com a PHS (sincronização de hash de senha)
- Híbrido com a PTA (autenticação de passagem)
- Federado
A tabela a seguir detalha os recursos de pré-requisito e sua configuração que se aplicam a todos os modelos de identidade, exceto quando observado.
| Configuração | Exceções | Licenciamento |
|---|---|---|
| Configurar o PHS. Esse recurso deve ser habilitado para detectar credenciais vazadas e agir sobre elas para acesso condicional baseado em risco. Observe que isso é necessário independentemente de sua organização usar a autenticação federada. | Apenas na nuvem | Microsoft 365 E3 ou E5 |
| Habilite o logon único contínuo para conectar automaticamente os usuários quando eles estiverem em seus dispositivos de organização conectados à rede da sua organização. | Somente nuvem e federado | Microsoft 365 E3 ou E5 |
| Configurar localizações nomeadas. A Proteção do Microsoft Entra ID coleta e analisa todos os dados de sessão disponíveis para gerar uma pontuação de risco. É recomendável especificar os intervalos de IP públicos da sua organização para sua rede na configuração de locais nomeados do Microsoft Entra ID. O tráfego proveniente destes intervalos recebe uma pontuação de risco reduzida e o tráfego de fora do ambiente da organização recebe uma pontuação de risco maior. | Microsoft 365 E3 ou E5 | |
| Registre todos os usuários para SSPR (redefinição de senha self-service) e MFA (autenticação multifator). É recomendável registrar usuários para a autenticação multifator do Microsoft Entra antecipadamente. A Proteção do Microsoft Entra ID usa a autenticação multifator do Microsoft Entra, para executar uma verificação de segurança adicional. Além disso, para obter a melhor experiência de entrada, é recomendável que os usuários instalem o aplicativo Microsoft Authenticator e o aplicativo Portal da Empresa Microsoft em seus dispositivos. Elas podem ser instaladas na loja de aplicativos para cada plataforma. | Microsoft 365 E3 ou E5 | |
| Planejar a implementação de ingresso híbrido no Microsoft Entra. O Acesso Condicional garantirá que os dispositivos que se conectam a aplicativos estejam conectados ao domínio ou em conformidade. Para ter este suporte em computadores do Windows, o dispositivo deve ser registrado com o Microsoft Entra ID. Este artigo descreve como configurar o registro automático do dispositivo. | Apenas na nuvem | Microsoft 365 E3 ou E5 |
| Preparar sua equipe de suporte. Ter um plano para usuários que não puderem concluir a MFA. Isto poderia ser adicioná-los a um grupo de exclusão de política ou registrar novas informações de MFA para eles. Antes de fazer qualquer uma dessas alterações sensíveis de segurança, você precisará garantir que o próprio usuário esteja fazendo a solicitação. Exigir que os gerentes de usuários ajudem com a aprovação é uma etapa eficaz. | Microsoft 365 E3 ou E5 | |
| Configurar o write-back de senha para o AD local. O write-back de senha permite que o Microsoft Entra ID exija que os usuários alterem suas senhas locais quando um comprometimento de conta de alto risco é detectado. Habilite esse recurso usando o Microsoft Entra Connect de duas maneiras: habilitar o Write-back de Senha na tela de recursos opcionais da instalação do Microsoft Entra Connect ou habilitá-lo por meio do Windows PowerShell. | Apenas na nuvem | Microsoft 365 E3 ou E5 |
| Configurar a proteção de senha do Microsoft Entra. A proteção de senha do Microsoft Entra detecta e bloqueia senhas fracas e suas variantes e também pode bloquear outros termos fracos que são específicos para sua organização. As listas padrão de senhas proibidas globais são aplicadas automaticamente a todos os usuários em um locatário do Microsoft Entra. É possível definir entradas adicionais em uma lista de senhas proibidas personalizadas. Quando os usuários alteram ou redefinem suas senhas, essas listas de senhas banidas são verificadas para impor o uso de senhas fortes. | Microsoft 365 E3 ou E5 | |
| Habilitar a proteção do Microsoft Entra ID. A Proteção do Microsoft Entra ID permite detectar possíveis vulnerabilidades que afetam as identidades da organização e configurar uma política de correção automatizada para baixo, médio e alto risco de conexão e risco de usuário. | Microsoft 365 E5 ou Microsoft 365 E3 com o complemento E5 Security | |
| Habilite a autenticação moderna para o Exchange Online e para o Skype for Business Online. A autenticação moderna é um pré-requisito para usar a MFA. A autenticação moderna é habilitada por padrão para clientes do Office 2016 e 2019, SharePoint e OneDrive for Business. | Microsoft 365 E3 ou E5 | |
| Habilite a avaliação contínua de acesso para o Microsoft Entra ID. A avaliação contínua de acesso encerra proativamente as sessões de usuário ativas e impõe alterações na política de locatário quase em tempo real. | Microsoft 365 E3 ou E5 |
Configurações de cliente recomendadas
Esta seção descreve as configurações de cliente de plataforma padrão que são recomendáveis para proporcionar a melhor experiência de SSO para seus usuários, bem como os pré-requisitos técnicos para o Acesso Condicional.
Dispositivos Windows
É recomendável o Windows 11 ou o Windows 10 (versão 2004 ou posterior), pois o Azure foi desenvolvido para proporcionar a experiência de SSO mais uniforme possível, tanto localmente quanto para o Microsoft Entra ID. Dispositivos corporativos ou de estudante devem ser configurados para ingressar diretamente no Microsoft Entra ID ou, se a organização usa o ingresso no domínio do AD localmente, esses dispositivos devem ser configurados para registrar-se de modo automático e silencioso no Microsoft Entra ID.
Para dispositivos Windows BYOD, os usuários podem usar Adicionar conta corporativa ou de estudante. Observe que os usuários do navegador Google Chrome em dispositivos Windows 11 ou Windows 10 precisam instalar uma extensão para obter a mesma experiência de entrada suave que os usuários do Microsoft Edge. Além disso, se sua organização tiver dispositivos do Windows 8 ou 8.1 conectado ao domínio, você poderá instalar o Workplace Join da Microsoft para computadores não Windows 10. Baixe o pacote para registrar os dispositivos com o Microsoft Entra ID.
Dispositivos iOS
É recomendável instalar o aplicativo Microsoft Authenticator em dispositivos de usuário antes de implantar o Acesso Condicional ou as políticas de MFA. No mínimo, o aplicativo deverá ser instalado quando os usuários forem solicitados a registrar seus dispositivos no Microsoft Entra ID, adicionando uma conta corporativa ou de estudante ou ao instalarem o aplicativo Portal da Empresa do Intune para inscreverem seus dispositivos no gerenciamento. Isso dependerá da política de Acesso Condicional configurada.
Dispositivos Android
É recomendável que os usuários instalem o aplicativo Portal da Empresa do Intune e o aplicativo Microsoft Authenticator antes que as políticas de Acesso Condicional sejam implantadas ou quando solicitado, durante determinadas tentativas de autenticação. Após a instalação do aplicativo, os usuários poderão ser solicitados a inscreverem-se no Microsoft Entra ID ou registrar seus dispositivos no Intune. Isso dependerá da política de Acesso Condicional configurada.
Também é recomendável que dispositivos de propriedade da organização sejam padronizados de acordo com as OEMs e versões que dão suporte ao Android for Work ou Samsung Knox para permitir que as contas de email sejam gerenciadas e protegidas pela política de MDM do Intune.
Clientes de email recomendados
Os seguintes clientes de email dão suporte à autenticação moderna e ao Acesso Condicional.
| Plataforma | Cliente | Versão/Notas |
|---|---|---|
| Windows | Outlook | 2019, 2016 |
| iOS | Outlook para iOS | Mais recente |
| Android | Outlook para Android | Mais recente |
| macOS | Outlook | 2019 e 2016 |
| Linux | Sem suporte |
Plataformas de cliente recomendadas ao proteger documentos
Os clientes a seguir são recomendados quando uma política de documentos seguros é aplicada.
| Plataforma | Word/Excel/PowerPoint | OneNote | Aplicativo do OneDrive | Aplicativo do SharePoint | Cliente de sincronização do OneDrive |
|---|---|---|---|---|---|
| Windows 11 ou Windows 10 | Com suporte | Com suporte | N/D | N/D | Com suporte |
| Windows 8.1 | Com suporte | Com suporte | N/D | N/D | Com suporte |
| Android | Com suporte | Compatível | Compatível | Com suporte | N/D |
| iOS | Com suporte | Compatível | Compatível | Com suporte | N/D |
| macOS | Com suporte | Com suporte | N/D | N/D | Sem suporte |
| Linux | Sem suporte | Sem suporte | Sem suporte | Sem suporte | Sem suporte |
Suporte ao cliente do Microsoft 365
Para obter mais informações sobre o suporte ao cliente no Microsoft 365, consulte os seguintes artigos:
- Suporte ao aplicativo cliente do Microsoft 365 – Acesso condicional
- Suporte ao aplicativo cliente do Microsoft 365 – autenticação multifator
Proteger contas de administrador
Para o Microsoft 365 E3 ou E5 ou com licenças separadas do Microsoft Entra ID P1 ou P2, você poderá exigir a MFA para contas de administrador com uma política de Acesso Condicional criada manualmente. Consulte Acesso Condicional: exigir a MFA para administradores para obter os detalhes.
Para edições do Microsoft 365 ou Office 365 que não dão suporte ao Acesso Condicional, você poderá habilitar padrões de segurança para exigir a MFA para todas as contas.
Aqui estão algumas recomendações adicionais:
- Use o Microsoft Entra Privileged Identity Management para reduzir o número de contas administrativas persistentes.
- Use o gerenciamento de acesso privilegiado para proteger sua organização contra violações que podem usar contas de administrador com privilégios existentes com acesso permanente a dados confidenciais ou acesso a configurações críticas.
- Crie e use contas separadas que são atribuídas as funções Administrador do Microsoft 365 somente para administração. Os administradores devem ter sua própria conta de usuário para uso não administrativo regular e usar apenas uma conta administrativa quando necessário para concluir uma tarefa associada à função ou função de trabalho.
- Siga as melhores práticas para proteger contas com privilégios no Microsoft Entra ID.
Próxima etapa
Confira Políticas comuns de acesso de dispositivo e identidade de Confiança Zero
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de