Proteja as identidades da sua organização com o Microsoft Entra ID
Pode parecer assustador tentar proteger seus trabalhadores no mundo de hoje, especialmente quando você tem que responder rapidamente e fornecer acesso a muitos serviços rapidamente. Este artigo destina-se a fornecer uma lista concisa de todas as ações a serem tomadas, ajudando você a identificar e priorizar qual ordem implantar os recursos do Microsoft Entra com base no tipo de licença que você possui.
O Microsoft Entra ID oferece muitos recursos e fornece muitas camadas de segurança para suas identidades, navegar por qual recurso é relevante às vezes pode ser esmagador. Este documento destina-se a ajudar as organizações a implantar serviços rapidamente, com identidades seguras como a principal consideração.
Cada tabela fornece uma recomendação de segurança consistente, protegendo as identidades de ataques de segurança comuns enquanto minimiza o atrito do usuário.
As orientações ajudam:
- Configure o acesso a software como serviço (SaaS) e aplicativos locais de forma segura e protegida
- Identidades híbridas e na nuvem
- Usuários trabalhando remotamente ou no escritório
Pré-requisitos
Este guia pressupõe que suas identidades somente na nuvem ou híbridas já foram estabelecidas no Microsoft Entra ID. Para obter ajuda com a escolha do tipo de identidade, consulte o artigo Escolha o método de autenticação (AuthN) correto para sua solução de identidade híbrida Microsoft Entra.
Passo a passo guiado
Para obter um passo a passo guiado de muitas das recomendações neste artigo, consulte o guia Configurar o Microsoft Entra ID quando conectado ao Centro de Administração do Microsoft 365. Para rever as práticas recomendadas sem iniciar sessão e ativar funcionalidades de configuração automatizada, aceda ao portal de configuração do Microsoft 365.
Orientação para clientes do Microsoft Entra ID Free, Office 365 ou Microsoft 365
Há muitas recomendações que os clientes do aplicativo Microsoft Entra ID Free, Office 365 ou Microsoft 365 devem seguir para proteger suas identidades de usuário. A tabela a seguir destina-se a destacar as principais ações para as seguintes assinaturas de licença:
- Office 365 (Office 365 E1, E3, E5, F1, A1, A3, A5)
- Microsoft 365 (Business Basic, Apps for Business, Business Standard, Business Premium, A1)
- Microsoft Entra ID Free (incluído no Azure, Dynamics 365, Intune e Power Platform)
| Ação recomendada | Detalhe |
|---|---|
| Ativar padrões de segurança | Proteja todas as identidades de usuário e aplicativos habilitando a autenticação multifator e bloqueando a autenticação herdada. |
| Habilitar a sincronização de hash de senha (se estiver usando identidades híbridas) | Forneça redundância para autenticação e melhore a segurança (incluindo Smart Lockout, IP Lockout e a capacidade de descobrir credenciais vazadas). |
| Habilitar o bloqueio inteligente do AD FS (se aplicável) | Protege os seus utilizadores contra o bloqueio da conta extranet devido a atividades maliciosas. |
| Habilitar o bloqueio inteligente do Microsoft Entra (se estiver usando identidades gerenciadas) | O bloqueio inteligente ajuda a bloquear agentes mal-intencionados que estão tentando adivinhar as senhas de seus usuários ou usar métodos de força bruta para entrar. |
| Desabilitar o consentimento do usuário final para aplicativos | O fluxo de trabalho de consentimento do administrador oferece aos administradores uma maneira segura de conceder acesso a aplicativos que exigem aprovação do administrador para que os usuários finais não exponham dados corporativos. A Microsoft recomenda desativar futuras operações de consentimento do usuário para ajudar a reduzir sua área de superfície e mitigar esse risco. |
| Integre aplicativos SaaS suportados da galeria ao Microsoft Entra ID e habilite o logon único (SSO) | O Microsoft Entra ID tem uma galeria que contém milhares de aplicativos pré-integrados. Alguns dos aplicativos que sua organização usa provavelmente estão na galeria acessível diretamente do portal do Azure. Forneça acesso a aplicativos SaaS corporativos de forma remota e segura com experiência de usuário aprimorada (logon único (SSO)). |
| Automatize o provisionamento e o desprovisionamento de usuários de aplicativos SaaS (se aplicável) | Crie automaticamente identidades de usuário e funções nos aplicativos de nuvem (SaaS) aos quais os usuários precisam acessar. Além de criar identidades de usuário, o provisionamento automático inclui a manutenção e remoção de identidades de usuário à medida que o status ou as funções mudam, aumentando a segurança da sua organização. |
| Habilitar acesso híbrido seguro: proteja aplicativos herdados com controladores e redes de entrega de aplicativos existentes (se aplicável) | Publique e proteja seus aplicativos de autenticação locais e herdados na nuvem conectando-os à ID do Microsoft Entra com seu controlador de entrega de aplicativos ou rede existente. |
| Ativar a redefinição de senha de autoatendimento (aplicável a contas somente na nuvem) | Essa capacidade reduz as chamadas de suporte técnico e a perda de produtividade quando um usuário não consegue entrar em seu dispositivo ou aplicativo. |
| Use funções menos privilegiadas sempre que possível | Dê aos seus administradores apenas o acesso de que precisam apenas às áreas às quais precisam de acesso. |
| Ativar a orientação de senha da Microsoft | Pare de exigir que os usuários alterem suas senhas em um cronograma definido, desative os requisitos de complexidade e seus usuários estarão mais aptos a lembrar suas senhas e mantê-las em segurança. |
Orientação para clientes do Microsoft Entra ID P1
A tabela a seguir destina-se a destacar as principais ações para as seguintes assinaturas de licença:
- Microsoft Entra ID P1
- Microsoft Enterprise Mobility + Segurança E3
- Microsoft 365 (E3, A3, F1, F3)
| Ação recomendada | Detalhe |
|---|---|
| Criar mais de um Administrador Global | Atribua pelo menos duas contas permanentes de Administrador Global somente na nuvem para uso em caso de emergência. Essas contas não devem ser usadas diariamente e devem ter senhas longas e complexas. |
| Habilite a experiência de registro combinada para autenticação multifator Microsoft Entra e SSPR para simplificar a experiência de registro do usuário | Permita que seus usuários se registrem a partir de uma experiência comum para autenticação multifator do Microsoft Entra e redefinição de senha de autoatendimento. |
| Definir configurações de autenticação multifator para sua organização | Certifique-se de que as contas estão protegidas contra serem comprometidas com a autenticação multifator. |
| Ativar a reposição de palavras-passe self-service | Essa capacidade reduz as chamadas de suporte técnico e a perda de produtividade quando um usuário não consegue entrar em seu dispositivo ou aplicativo. |
| Implementar write-back de senha (se estiver usando identidades híbridas) | Permita que as alterações de senha na nuvem sejam gravadas novamente em um ambiente local do Ative Directory do Windows Server. |
| Criar e habilitar políticas de Acesso Condicional | Autenticação multifator para administradores para proteger contas às quais são atribuídos direitos administrativos. Bloqueie protocolos de autenticação herdados devido ao maior risco associado aos protocolos de autenticação herdados. Autenticação multifator para todos os usuários e aplicativos para criar uma política de autenticação multifator equilibrada para seu ambiente, protegendo seus usuários e aplicativos. Exija autenticação multifator para o Gerenciamento do Azure para proteger seus recursos privilegiados exigindo autenticação multifator para qualquer usuário que acesse os recursos do Azure. |
| Habilitar a sincronização de hash de senha (se estiver usando identidades híbridas) | Forneça redundância para autenticação e melhore a segurança (incluindo Bloqueio Inteligente, Bloqueio de IP e a capacidade de descobrir credenciais vazadas.) |
| Habilitar o bloqueio inteligente do AD FS (se aplicável) | Protege os seus utilizadores contra o bloqueio da conta extranet devido a atividades maliciosas. |
| Habilitar o bloqueio inteligente do Microsoft Entra (se estiver usando identidades gerenciadas) | O bloqueio inteligente ajuda a bloquear agentes mal-intencionados que estão tentando adivinhar as senhas de seus usuários ou usar métodos de força bruta para entrar. |
| Desabilitar o consentimento do usuário final para aplicativos | O fluxo de trabalho de consentimento do administrador oferece aos administradores uma maneira segura de conceder acesso a aplicativos que exigem aprovação do administrador para que os usuários finais não exponham dados corporativos. A Microsoft recomenda desativar futuras operações de consentimento do usuário para ajudar a reduzir sua área de superfície e mitigar esse risco. |
| Habilite o acesso remoto a aplicativos herdados locais com o Proxy de Aplicativo | Habilite o proxy de aplicativo Microsoft Entra e integre-o a aplicativos herdados para que os usuários acessem com segurança aplicativos locais entrando com sua conta Microsoft Entra. |
| Habilitar acesso híbrido seguro: proteja aplicativos herdados com controladores e redes de entrega de aplicativos existentes (se aplicável). | Publique e proteja seus aplicativos de autenticação locais e herdados na nuvem conectando-os à ID do Microsoft Entra com seu controlador de entrega de aplicativos ou rede existente. |
| Integre aplicativos SaaS suportados da galeria ao Microsoft Entra ID e habilite o logon único | O Microsoft Entra ID tem uma galeria que contém milhares de aplicativos pré-integrados. Alguns dos aplicativos que sua organização usa provavelmente estão na galeria acessível diretamente do portal do Azure. Forneça acesso a aplicativos SaaS corporativos de forma remota e segura com experiência do usuário (SSO) aprimorada. |
| Automatize o provisionamento e o desprovisionamento de usuários de aplicativos SaaS (se aplicável) | Crie automaticamente identidades de usuário e funções nos aplicativos de nuvem (SaaS) aos quais os usuários precisam acessar. Além de criar identidades de usuário, o provisionamento automático inclui a manutenção e remoção de identidades de usuário à medida que o status ou as funções mudam, aumentando a segurança da sua organização. |
| Habilitar acesso condicional – baseado em dispositivo | Melhore a segurança e as experiências do usuário com o Acesso Condicional baseado em dispositivo. Esta etapa garante que os usuários só possam acessar a partir de dispositivos que atendam aos seus padrões de segurança e conformidade. Esses dispositivos também são conhecidos como dispositivos gerenciados. Os dispositivos gerenciados podem ser compatíveis com o Intune ou dispositivos híbridos ingressados no Microsoft Entra. |
| Ativar proteção por senha | Proteja os usuários de usar senhas fracas e fáceis de adivinhar. |
| Use funções menos privilegiadas sempre que possível | Dê aos seus administradores apenas o acesso de que precisam apenas às áreas às quais precisam de acesso. |
| Ativar a orientação de senha da Microsoft | Pare de exigir que os usuários alterem suas senhas em um cronograma definido, desative os requisitos de complexidade e seus usuários estarão mais aptos a lembrar suas senhas e mantê-las em segurança. |
| Criar uma lista de senhas proibidas personalizada específica da organização | Impeça que os utilizadores criem palavras-passe que incluam palavras ou frases comuns da sua organização ou área. |
| Implante métodos de autenticação sem senha para seus usuários | Forneça aos seus utilizadores métodos de autenticação convenientes sem palavra-passe. |
| Criar um plano para acesso de usuário convidado | Colabore com utilizadores convidados permitindo-lhes iniciar sessão nas suas aplicações e serviços com as suas próprias identidades profissionais, escolares ou sociais. |
Orientação para clientes Microsoft Entra ID P2
A tabela a seguir destina-se a destacar as principais ações para as seguintes assinaturas de licença:
- Microsoft Entra ID P2
- Microsoft Enterprise Mobility + Segurança E5
- Microsoft 365 (E5, A5)
| Ação recomendada | Detalhe |
|---|---|
| Criar mais de um Administrador Global | Atribua pelo menos duas contas permanentes de Administrador Global somente na nuvem para uso em caso de emergência. Essas contas não devem ser usadas diariamente e devem ter senhas longas e complexas. |
| Habilite a experiência de registro combinada para autenticação multifator Microsoft Entra e SSPR para simplificar a experiência de registro do usuário | Permita que seus usuários se registrem a partir de uma experiência comum para autenticação multifator do Microsoft Entra e redefinição de senha de autoatendimento. |
| Definir configurações de autenticação multifator para sua organização | Certifique-se de que as contas estão protegidas contra serem comprometidas com a autenticação multifator. |
| Ativar a reposição de palavras-passe self-service | Essa capacidade reduz as chamadas de suporte técnico e a perda de produtividade quando um usuário não consegue entrar em seu dispositivo ou aplicativo. |
| Implementar write-back de senha (se estiver usando identidades híbridas) | Permita que as alterações de senha na nuvem sejam gravadas novamente em um ambiente local do Ative Directory do Windows Server. |
| Habilitar políticas de Proteção de Identidade para impor o registro de autenticação multifator | Gerencie a implantação da autenticação multifator do Microsoft Entra. |
| Habilite as políticas de risco de entrada e usuário do Identity Protection | Habilite as políticas de usuário e entrada de proteção de identidade. A política de entrada recomendada é direcionar entradas de risco médio e exigir autenticação multifator. Para políticas de usuário, você deve segmentar usuários de alto risco que exigem a ação de alteração de senha. |
| Criar e habilitar políticas de Acesso Condicional | Autenticação multifator para administradores para proteger contas às quais são atribuídos direitos administrativos. Bloqueie protocolos de autenticação herdados devido ao maior risco associado aos protocolos de autenticação herdados. Exija autenticação multifator para o Gerenciamento do Azure para proteger seus recursos privilegiados exigindo autenticação multifator para qualquer usuário que acesse os recursos do Azure. |
| Habilitar a sincronização de hash de senha (se estiver usando identidades híbridas) | Forneça redundância para autenticação e melhore a segurança (incluindo Bloqueio Inteligente, Bloqueio de IP e a capacidade de descobrir credenciais vazadas.) |
| Habilitar o bloqueio inteligente do AD FS (se aplicável) | Protege os seus utilizadores contra o bloqueio da conta extranet devido a atividades maliciosas. |
| Habilitar o bloqueio inteligente do Microsoft Entra (se estiver usando identidades gerenciadas) | O bloqueio inteligente ajuda a bloquear agentes mal-intencionados que estão tentando adivinhar as senhas de seus usuários ou usar métodos de força bruta para entrar. |
| Desabilitar o consentimento do usuário final para aplicativos | O fluxo de trabalho de consentimento do administrador oferece aos administradores uma maneira segura de conceder acesso a aplicativos que exigem aprovação do administrador para que os usuários finais não exponham dados corporativos. A Microsoft recomenda desativar futuras operações de consentimento do usuário para ajudar a reduzir sua área de superfície e mitigar esse risco. |
| Habilite o acesso remoto a aplicativos herdados locais com o Proxy de Aplicativo | Habilite o proxy de aplicativo Microsoft Entra e integre-o a aplicativos herdados para que os usuários acessem com segurança aplicativos locais entrando com sua conta Microsoft Entra. |
| Habilitar acesso híbrido seguro: proteja aplicativos herdados com controladores e redes de entrega de aplicativos existentes (se aplicável). | Publique e proteja seus aplicativos de autenticação locais e herdados na nuvem conectando-os à ID do Microsoft Entra com seu controlador de entrega de aplicativos ou rede existente. |
| Integre aplicativos SaaS suportados da galeria ao Microsoft Entra ID e habilite o logon único | O Microsoft Entra ID tem uma galeria que contém milhares de aplicativos pré-integrados. Alguns dos aplicativos que sua organização usa provavelmente estão na galeria acessível diretamente do portal do Azure. Forneça acesso a aplicativos SaaS corporativos de forma remota e segura com experiência do usuário (SSO) aprimorada. |
| Automatize o provisionamento e o desprovisionamento de usuários de aplicativos SaaS (se aplicável) | Crie automaticamente identidades de usuário e funções nos aplicativos de nuvem (SaaS) aos quais os usuários precisam acessar. Além de criar identidades de usuário, o provisionamento automático inclui a manutenção e remoção de identidades de usuário à medida que o status ou as funções mudam, aumentando a segurança da sua organização. |
| Habilitar acesso condicional – baseado em dispositivo | Melhore a segurança e as experiências do usuário com o Acesso Condicional baseado em dispositivo. Esta etapa garante que os usuários só possam acessar a partir de dispositivos que atendam aos seus padrões de segurança e conformidade. Esses dispositivos também são conhecidos como dispositivos gerenciados. Os dispositivos gerenciados podem ser compatíveis com o Intune ou dispositivos híbridos ingressados no Microsoft Entra. |
| Ativar proteção por senha | Proteja os usuários de usar senhas fracas e fáceis de adivinhar. |
| Use funções menos privilegiadas sempre que possível | Dê aos seus administradores apenas o acesso de que precisam apenas às áreas às quais precisam de acesso. |
| Ativar a orientação de senha da Microsoft | Pare de exigir que os usuários alterem suas senhas em um cronograma definido, desative os requisitos de complexidade e seus usuários estarão mais aptos a lembrar suas senhas e mantê-las em segurança. |
| Criar uma lista de senhas proibidas personalizada específica da organização | Impeça que os utilizadores criem palavras-passe que incluam palavras ou frases comuns da sua organização ou área. |
| Implante métodos de autenticação sem senha para seus usuários | Forneça aos seus usuários métodos convenientes de autenticação sem senha |
| Criar um plano para acesso de usuário convidado | Colabore com utilizadores convidados permitindo-lhes iniciar sessão nas suas aplicações e serviços com as suas próprias identidades profissionais, escolares ou sociais. |
| Habilitar o PIM, gerenciamento privilegiado de identidades (PIM) | Permite gerenciar, controlar e monitorar o acesso a recursos importantes em sua organização, garantindo que os administradores tenham acesso somente quando necessário e com aprovação. |
| Conclua uma revisão de acesso para funções de diretório do Microsoft Entra no PIM | Trabalhe com suas equipes de segurança e liderança para criar uma política de revisão de acesso para revisar o acesso administrativo com base nas políticas da sua organização. |
Confiança Zero
Esse recurso ajuda as organizações a alinhar suas identidades com os três princípios orientadores de uma arquitetura Zero Trust:
- Verificar explicitamente
- Use o privilégio mínimo
- Assuma a violação
Para saber mais sobre o Zero Trust e outras formas de alinhar a sua organização aos princípios orientadores, consulte o Centro de Orientação Zero Trust.
Próximos passos
- Para obter orientações detalhadas de implantação para recursos individuais do Microsoft Entra ID, revise os planos de implantação do projeto Microsoft Entra ID.
- As organizações podem usar a pontuação segura de identidade para acompanhar seu progresso em relação a outras recomendações da Microsoft.