Guia de referência de operações de gestão de autenticação ativa do Azure Ative DirectoryAzure Active Directory Authentication management operations reference guide

Esta secção do guia de referência de operações Azure AD descreve os controlos e ações que deve tomar para proteger e gerir credenciais, definir experiência de autenticação, delegar, medir o uso e definir políticas de acesso com base na postura de segurança da empresa.This section of the Azure AD operations reference guide describes the checks and actions you should take to secure and manage credentials, define authentication experience, delegate assignment, measure usage, and define access policies based on enterprise security posture.

Nota

Estas recomendações estão em vigor a partir da data da publicação, mas podem mudar ao longo do tempo.These recommendations are current as of the date of publishing but can change over time. As organizações devem avaliar continuamente as suas práticas de identidade à medida que os produtos e serviços da Microsoft evoluem ao longo do tempo.Organizations should continuously evaluate their identity practices as Microsoft products and services evolve over time.

Principais processos operacionaisKey operational processes

Atribuir os proprietários a tarefas-chaveAssign owners to key tasks

A Gestão do Diretório Ativo Azure requer a execução contínua de tarefas e processos operacionais fundamentais, que podem não fazer parte de um projeto de implantação.Managing Azure Active Directory requires the continuous execution of key operational tasks and processes, which may not be part of a rollout project. Ainda é importante que crie estas tarefas para otimizar o seu ambiente.It is still important you set up these tasks to optimize your environment. As tarefas-chave e os seus proprietários recomendados incluem:The key tasks and their recommended owners include:

TarefaTask ProprietárioOwner
Gerir o ciclo de vida da configuração de um único sign-on (SSO) em Azure ADManage lifecycle of single sign-on (SSO) configuration in Azure AD Equipa de Operações do IAMIAM Operations Team
Conceber políticas de acesso condicional para aplicações AD AzureDesign conditional access policies for Azure AD applications Equipa de Arquitetura InfoSecInfoSec Architecture Team
Atividade de inscrição de arquivo num sistema SIEMArchive sign-in activity in a SIEM system Equipa de Operações InfoSecInfoSec Operations Team
Archive eventos de risco num sistema SIEMArchive risk events in a SIEM system Equipa de Operações InfoSecInfoSec Operations Team
Triagem e investigar relatórios de segurançaTriage and investigate security reports Equipa de Operações InfoSecInfoSec Operations Team
Triagem e investigar eventos de riscoTriage and investigate risk events Equipa de Operações InfoSecInfoSec Operations Team
Triagem e investigam utilizadores sinalizados por relatórios de risco e vulnerabilidade da Azure AD Identity ProtectionTriage and investigate users flagged for risk and vulnerability reports from Azure AD Identity Protection Equipa de Operações InfoSecInfoSec Operations Team

Nota

A Azure AD Identity Protection requer uma licença Azure AD Premium P2.Azure AD Identity Protection requires an Azure AD Premium P2 license. Para encontrar a licença certa para os seus requisitos, consulte comparar as funcionalidades geralmente disponíveis das edições Azure AD Free e Azure AD Premium.To find the right license for your requirements, see Comparing generally available features of the Azure AD Free and Azure AD Premium editions.

Ao rever a sua lista, poderá descobrir que precisa de atribuir um proprietário para tarefas que faltam a um proprietário ou ajustar a propriedade para tarefas com proprietários que não estejam alinhados com as recomendações acima.As you review your list, you may find you need to either assign an owner for tasks that are missing an owner or adjust ownership for tasks with owners that aren't aligned with the recommendations above.

Gestão de credenciaisCredentials management

Políticas de palavra-passePassword policies

Gerir as palavras-passe de forma segura é uma das partes mais críticas da gestão de identidade e acesso e muitas vezes o maior alvo de ataques.Managing passwords securely is one of the most critical parts of identity and access management and often the biggest target of attacks. A Azure AD suporta várias funcionalidades que podem ajudar a evitar que um ataque seja bem sucedido.Azure AD supports several features that can help prevent an attack from being successful.

Utilize o quadro abaixo para encontrar a solução recomendada para atenuar a questão que precisa de ser abordada:Use the table below to find the recommended solution for mitigating the issue that needs to be addressed:

ProblemaIssue RecomendaçãoRecommendation
Nenhum mecanismo para proteger contra senhas fracasNo mechanism to protect against weak passwords Ativar o reset da palavra-passe de autosserviço AZure (SSPR) e a proteção da palavra-passeEnable Azure AD self-service password reset (SSPR) and password protection
Nenhum mecanismo para detetar senhas vazadasNo mechanism to detect leaked passwords Permitir a sincronização de haxixe de palavra-passe (PHS) para obter insightsEnable password hash sync (PHS) to gain insights
Utilização de FS AD e incapaz de mover-se para a autenticação geridaUsing AD FS and unable to move to managed authentication Ativar o bloqueio inteligente da extranet AD FS e/ou Azure AD Smart LockoutEnable AD FS Extranet Smart Lockout and / or Azure AD Smart Lockout
A política de palavra-passe utiliza regras baseadas na complexidade, tais como comprimento, múltiplos conjuntos de caracteres ou expiraçãoPassword policy uses complexity-based rules such as length, multiple character sets, or expiration Reconsidere a favor das práticas recomendadas pela Microsoft e altere a sua abordagem para a gestão de passwords e implemente a proteção de senha AZure AD.Reconsider in favor of Microsoft Recommended Practices and switch your approach to password management and deploy Azure AD password protection.
Os utilizadores não estão registados para utilizar a autenticação de vários fatores (MFA)Users aren't registered to use multi-factor authentication (MFA) Registar todas as informações de segurança do utilizador para que possa ser usado como um mecanismo para verificar a identidade do utilizador juntamente com a sua palavra-passeRegister all user's security information so it can be used as a mechanism to verify the user's identity along with their password
Não há revogação de senhas baseadas no risco do utilizadorThere is no revocation of passwords based on user risk Implementar políticas de risco de proteção de identidade Azure AD para forçar alterações de senha em credenciais vazadas usando SSPRDeploy Azure AD Identity Protection user risk policies to force password changes on leaked credentials using SSPR
Não existe nenhum mecanismo de bloqueio inteligente para proteger a autenticação maliciosa de maus atores provenientes de endereços IP identificadosThere is no smart lockout mechanism to protect malicious authentication from bad actors coming from identified IP addresses Implementar a autenticação gerida pela nuvem com sincronização de haxixe de palavra-passe ou autenticação de passagem (PTA)Deploy cloud-managed authentication with either password hash sync or pass-through authentication (PTA)

Ativar o reset da palavra-passe de autosserviço e a proteção da palavra-passeEnable self-service password reset and password protection

Os utilizadores que precisam de alterar ou redefinir as suas palavras-passe é uma das maiores fontes de volume e custo das chamadas de help desk.Users needing to change or reset their passwords is one of the biggest sources of volume and cost of help desk calls. Além do custo, alterar a palavra-passe como uma ferramenta para mitigar o risco do utilizador é um passo fundamental para melhorar a postura de segurança da sua organização.In addition to cost, changing the password as a tool to mitigate a user risk is a fundamental step in improving the security posture of your organization.

No mínimo, recomenda-se que implemente o reset da palavra-passe de autosserviço Azure AD (SSPR) e a proteção da palavra-passe no local para realizar:At a minimum, it is recommended you deploy Azure AD self-service password reset (SSPR) and on-premises password protection to accomplish:

  • Desvie as chamadas do balcão de ajuda.Deflect help desk calls.
  • Substitua a utilização de senhas temporárias.Replace the use of temporary passwords.
  • Substitua qualquer solução de gestão de senha de autosserviço existente que dependa de uma solução no local.Replace any existing self-service password management solution that relies on an on-premises solution.
  • Elimine senhas fracas na sua organização.Eliminate weak passwords in your organization.

Nota

Para organizações com uma assinatura Azure AD Premium P2, recomenda-se a implementação de SSPR e a sua utilização como parte de uma Política de Risco de Utilização de Proteçãode Identidade .For organizations with an Azure AD Premium P2 subscription, it is recommended to deploy SSPR and use it as part of an Identity Protection User Risk Policy.

Forte gestão credencialStrong credential management

As palavras-passe por si só não são seguras o suficiente para impedir que os maus atores tenham acesso ao seu ambiente.Passwords by themselves aren't secure enough to prevent bad actors from gaining access to your environment. No mínimo, qualquer utilizador com uma conta privilegiada deve ser ativado para a autenticação de vários fatores (MFA).At a minimum, any user with a privileged account must be enabled for multi-factor authentication (MFA). Idealmente, deve permitir o registo combinado e exigir que todos os utilizadores se registem para MFA e SSPR utilizando a experiência de registo combinado.Ideally, you should enable combined registration and require all users to register for MFA and SSPR using the combined registration experience. Eventualmente, recomendamos que adote uma estratégia para fornecer resiliência para reduzir o risco de bloqueio devido a circunstâncias imprevistas.Eventually, we recommend you adopt a strategy to provide resilience to reduce the risk of lockout due to unforeseen circumstances.

Fluxo combinado de experiência do utilizador

Resiliência da autenticação em localOn-premises outage authentication resiliency

Além dos benefícios da simplicidade e permitindo a deteção de credenciais vazadas, a Azure AD Password Hash Sync (PHS) e a Azure AD MFA permitem aos utilizadores aceder às aplicações saaS e à Microsoft 365, apesar de falhas no local devido a ciberataques como o NotPetya.In addition to the benefits of simplicity and enabling leaked credential detection, Azure AD Password Hash Sync (PHS) and Azure AD MFA allow users to access SaaS applications and Microsoft 365 in spite of on-premises outages due to cyberattacks such as NotPetya. Também é possível permitir phs enquanto em conjunto com a federação.It is also possible to enable PHS while in conjunction with federation. Ativar phs permite uma redução da autenticação quando os serviços da federação não estão disponíveis.Enabling PHS allows a fallback of authentication when federation services aren't available.

Se a sua organização no local não tiver uma estratégia de resiliência de paralisação ou tiver uma que não esteja integrada com a Azure AD, deve implementar phS AD Ad Azure e definir um plano de recuperação de desastres que inclua PHS.If your on-premises organization is lacking an outage resiliency strategy or has one that isn't integrated with Azure AD, you should deploy Azure AD PHS and define a disaster recovery plan that includes PHS. Permitir que o Azure AD PHS permita que os utilizadores autentem a autenticação contra a AD Azure caso o seu Ative Directory esteja indisponível.Enabling Azure AD PHS will allow users to authenticate against Azure AD should your on-premises Active Directory be unavailable.

fluxo de sincronização de haxixe de palavra-palavra

Para melhor compreender as suas opções de autenticação, consulte Escolha o método de autenticação certo para a sua solução de identidade híbrida Azure Ative Directory.To better understand your authentication options, see Choose the right authentication method for your Azure Active Directory hybrid identity solution.

Uso programático de credenciaisProgrammatic usage of credentials

Os scripts AD do AD que utilizam o PowerShell ou aplicações que utilizam a API do Gráfico microsoft requerem autenticação segura.Azure AD scripts using PowerShell or applications using the Microsoft Graph API require secure authentication. A má gestão credencial que executa esses scripts e ferramentas aumenta o risco de roubo de credenciais.Poor credential management executing those scripts and tools increase the risk of credential theft. Se estiver a utilizar scripts ou aplicações que se baseiem em palavras-passe ou pedidos de palavra-passe codificados, deve primeiro rever as palavras-passe em ficheiros config ou código fonte, em seguida, substituir essas dependências e utilizar identidades geridas Integrated-Windows Azure, Integrated-Windows Autenticação ou certificados sempre que possível.If you are using scripts or applications that rely on hard-coded passwords or password prompts you should first review passwords in config files or source code, then replace those dependencies and use Azure Managed Identities, Integrated-Windows Authentication, or certificates whenever possible. Para aplicações em que as soluções anteriores não são possíveis, considere a utilização do Cofre da Chave Azure.For applications where the previous solutions aren't possible, consider using Azure Key Vault.

Se determinar que existem princípios de serviço com credenciais de senha e não tem a certeza de como essas credenciais de senha são protegidas por scripts ou aplicações, contacte o proprietário da aplicação para entender melhor os padrões de utilização.If you determine that there are service principals with password credentials and you're unsure how those password credentials are secured by scripts or applications, contact the owner of the application to better understand usage patterns.

A Microsoft também recomenda que contacte os proprietários de aplicações para entender os padrões de utilização se existirem princípios de serviço com credenciais de senha.Microsoft also recommends you contact application owners to understand usage patterns if there are service principals with password credentials.

Experiência de autenticaçãoAuthentication experience

Autenticação no localOn-premises authentication

A autenticação federada com autenticação integrada do Windows (IWA) ou a autenticação gerida sem emenda Sign-On (SSO) com sincronização de hash de palavra-passe ou autenticação pass-through é a melhor experiência do utilizador quando dentro da rede corporativa com controladores de domínio de linha de visão para as instalações.Federated Authentication with Integrated Windows Authentication (IWA) or Seamless Single Sign-On (SSO) managed authentication with password hash sync or pass-through authentication is the best user experience when inside the corporate network with line-of-sight to on-premises domain controllers. Minimiza a fadiga da origem da credencial e reduz o risco de os utilizadores serem vítimas de ataques de phishing.It minimizes credential prompt fatigue and reduces the risk of users falling prey to phishing attacks. Se já estiver a utilizar a autenticação gerida pela nuvem com PHS ou PTA, mas os utilizadores ainda precisam de escrever a sua palavra-passe ao autenticar no local, então deve implementar imediatamente o SSO sem emenda.If you are already using cloud-managed authentication with PHS or PTA, but users still need to type in their password when authenticating on-premises, then you should immediately deploy Seamless SSO. Por outro lado, se atualmente está federado com planos para eventualmente migrar para a autenticação gerida pela nuvem, então deve implementar o SSO sem emenda como parte do projeto de migração.On the other hand, if you are currently federated with plans to eventually migrate to cloud-managed authentication, then you should implement Seamless SSO as part of the migration project.

Políticas de acesso de confiança do dispositivoDevice trust access policies

Como um utilizador na sua organização, um dispositivo é uma identidade central que quer proteger.Like a user in your organization, a device is a core identity you want to protect. Pode utilizar a identidade de um dispositivo para proteger os seus recursos a qualquer momento e a partir de qualquer local.You can use a device's identity to protect your resources at any time and from any location. A autenticação do dispositivo e a contabilização do seu tipo de confiança melhora a sua postura de segurança e usabilidade através de:Authenticating the device and accounting for its trust type improves your security posture and usability by:

Pode realizar este objetivo trazendo identidades do dispositivo e gerindo-as em Azure AD utilizando um dos seguintes métodos:You can carry out this goal by bringing device identities and managing them in Azure AD by using one of the following methods:

  • As organizações podem usar o Microsoft Intune para gerir o dispositivo e impor políticas de conformidade, atestar a saúde do dispositivo e definir políticas de acesso condicional com base no facto de o dispositivo estar em conformidade.Organizations can use Microsoft Intune to manage the device and enforce compliance policies, attest device health, and set conditional access policies based on whether the device is compliant. O Microsoft Intune pode gerir dispositivos iOS, desktops Mac (via integração JAMF), desktops Windows (utilizando nativamente Mobile Device Management para Windows 10, e cogestão com o Microsoft Endpoint Configuration Manager) e dispositivos móveis Android.Microsoft Intune can manage iOS devices, Mac desktops (Via JAMF integration), Windows desktops (natively using Mobile Device Management for Windows 10, and co-management with Microsoft Endpoint Configuration Manager) and Android mobile devices.
  • A ad azure híbrida fornece gestão com políticas de grupo ou Microsoft Endpoint Configuration Manager em um ambiente com dispositivos de computadores ligados ao domínio do Ative Directory.Hybrid Azure AD join provides management with Group Policies or Microsoft Endpoint Configuration Manager in an environment with Active Directory domain-joined computers devices. As organizações podem implementar um ambiente gerido através de PHS ou PTA com SSO sem emenda.Organizations can deploy a managed environment either through PHS or PTA with Seamless SSO. Trazer os seus dispositivos para a Azure AD maximiza a produtividade do utilizador através do SSO através da sua nuvem e recursos no local, permitindo-lhe garantir o acesso à sua nuvem e recursos no local com Acesso Condicional ao mesmo tempo.Bringing your devices to Azure AD maximizes user productivity through SSO across your cloud and on-premises resources while enabling you to secure access to your cloud and on-premises resources with Conditional Access at the same time.

Se tiver dispositivos Windows associados a domínios que não estejam registados na nuvem, ou dispositivos Windows associados a domínios que estejam registados na nuvem mas sem políticas de acesso condicional, então deve registar os dispositivos não registados e, em qualquer dos casos, utilizar a AD Híbrida Azure como um controlo nas suas políticas de acesso condicional.If you have domain-joined Windows devices that aren't registered in the cloud, or domain-joined Windows devices that are registered in the cloud but without conditional access policies, then you should register the unregistered devices and, in either case, use Hybrid Azure AD join as a control in your conditional access policies.

Uma imagem de concessão na política de acesso condicional que requer dispositivo híbrido

Se estiver a gerir dispositivos com MDM ou Microsoft Intune, mas não utilizar controlos de dispositivos nas suas políticas de acesso condicional, recomendamos que utilize o dispositivo Require para ser marcado como um controlo nessas políticas.If you are managing devices with MDM or Microsoft Intune, but not using device controls in your conditional access policies, then we recommend using Require device to be marked as compliant as a control in those policies.

Uma imagem de concessão na política de acesso condicional que exige a conformidade do dispositivo

Windows Hello para empresasWindows Hello for Business

No Windows 10, o Windows Hello for Business substitui as palavras-passe por uma forte autenticação de dois fatores nos Computadores.In Windows 10, Windows Hello for Business replaces passwords with strong two-factor authentication on PCs. O Windows Hello for Business permite uma experiência de MFA mais simplificada para os utilizadores e reduz a sua dependência de senhas.Windows Hello for Business enables a more streamlined MFA experience for users and reduces your dependency on passwords. Se ainda não começou a lançar dispositivos Windows 10, ou apenas os implementou parcialmente, recomendamos que atualize para o Windows 10 e permita o Windows Hello for Business em todos os dispositivos.If you haven't begun rolling out Windows 10 devices, or have only partially deployed them, we recommend you upgrade to Windows 10 and enable Windows Hello for Business on all devices.

Se quiser saber mais sobre a autenticação sem palavras-passe, consulte um mundo sem palavras-passe com o Azure Ative Directory.If you would like to learn more about passwordless authentication, see A world without passwords with Azure Active Directory.

Autenticação e atribuição de candidaturasApplication authentication and assignment

Único s-on para appsSingle sign-on for apps

Fornecer um mecanismo de inscrição único padronizado a toda a empresa é crucial para a melhor experiência do utilizador, redução de risco, capacidade de reportar e governação.Providing a standardized single sign-on mechanism to the entire enterprise is crucial for best user experience, reduction of risk, ability to report, and governance. Se estiver a utilizar aplicações que suportam SSO com AZure AD mas que estão atualmente configuradas para utilizar contas locais, deve reconfigurar essas aplicações para utilizar SSO com Azure AD.If you are using applications that support SSO with Azure AD but are currently configured to use local accounts, you should reconfigure those applications to use SSO with Azure AD. Da mesma forma, se estiver a utilizar quaisquer aplicações que suportem SSO com Azure AD mas que estejam a utilizar outro Fornecedor de Identidade, deverá reconfigurar essas aplicações para utilizar o SSO com Azure AD também.Likewise, if you are using any applications that support SSO with Azure AD but are using another Identity Provider, you should reconfigure those applications to use SSO with Azure AD as well. Para aplicações que não suportam protocolos da federação mas que suportem a autenticação baseada em formulários, recomendamos que configures a aplicação para usar o cofre de palavras-passe com o Azure AD Application Proxy.For applications that don't support federation protocols but do support forms-based authentication, we recommend you configure the application to use password vaulting with Azure AD Application Proxy.

Sinal de inscrição baseada em passwords do AppProxy

Nota

Se não tiver um mecanismo para descobrir aplicações não geridos na sua organização, recomendamos implementar um processo de descoberta utilizando uma solução de corretor de segurança de acesso à nuvem (CASB), como a Microsoft Cloud App Security.If you don't have a mechanism to discover unmanaged applications in your organization, we recommend implementing a discovery process using a cloud access security broker solution (CASB) such as Microsoft Cloud App Security.

Finalmente, se tiver uma galeria de aplicações AD Azure e utilizar aplicações que suportem SSO com AD AZure, recomendamos a listagem da aplicação na galeria de aplicações.Finally, if you have an Azure AD app gallery and use applications that support SSO with Azure AD, we recommend listing the application in the app gallery.

Migração de aplicações da AD FS para Azure ADMigration of AD FS applications to Azure AD

A migração de aplicações de AD FS para Azure AD permite capacidades adicionais em segurança, gestão mais consistente e uma melhor experiência de colaboração.Migrating apps from AD FS to Azure AD enables additional capabilities on security, more consistent manageability, and a better collaboration experience. Se tiver aplicações configuradas em FS AD que suportam SSO com Ad AD, então deve reconfigurar essas aplicações para usar SSO com Azure AD.If you have applications configured in AD FS that support SSO with Azure AD, then you should reconfigure those applications to use SSO with Azure AD. Se tiver aplicações configuradas em FS AD com configurações incomuns não suportadas pelo Azure AD, deve contactar os proprietários da aplicação para perceber se a configuração especial é um requisito absoluto da aplicação.If you have applications configured in AD FS with uncommon configurations unsupported by Azure AD, you should contact the app owners to understand if the special configuration is an absolute requirement of the application. Se não for necessário, então deve reconfigurar a aplicação para usar SSO com Azure AD.If it isn't required, then you should reconfigure the application to use SSO with Azure AD.

Azure AD como o fornecedor principal de identidade

Nota

O Azure AD Connect Health para ADFS pode ser usado para recolher detalhes de configuração sobre cada aplicação que pode potencialmente ser migrada para Azure AD.Azure AD Connect Health for ADFS can be used to collect configuration details about each application that can potentially be migrated to Azure AD.

Atribuir utilizadores a aplicaçõesAssign users to applications

Atribuir os utilizadores às aplicações é melhor mapeado através da utilização de grupos, porque permitem uma maior flexibilidade e capacidade de gestão em escala.Assigning users to applications is best mapped by using groups because they allow greater flexibility and ability to manage at scale. Os benefícios da utilização de grupos incluem a adesão dinâmica baseada no atributo e delegação aos proprietários de aplicações.The benefits of using groups include attribute-based dynamic group membership and delegation to app owners. Portanto, se já está a utilizar e a gerir grupos, recomendamos que tome as seguintes ações para melhorar a gestão em escala:Therefore, if you are already using and managing groups, we recommend you take the following actions to improve management at scale:

  • Delegar gestão e governação de grupos aos proprietários de candidaturas.Delegate group management and governance to application owners.
  • Permitir o acesso self-service à aplicação.Allow self-service access to the application.
  • Defina grupos dinâmicos se os atributos do utilizador puderem determinar consistentemente o acesso às aplicações.Define dynamic groups if user attributes can consistently determine access to applications.
  • Implementar atestado a grupos utilizados para acesso a aplicações utilizando revisões de acesso AZure AD.Implement attestation to groups used for application access using Azure AD access reviews.

Por outro lado, se encontrar aplicações que tenham atribuição a utilizadores individuais, não se esqueça de implementar a governação em torno dessas aplicações.On the other hand, if you find applications that have assignment to individual users, be sure to implement governance around those applications.

Políticas de acessoAccess policies

Localizações com nomeNamed locations

Com localizações nomeadas em Azure AD, pode rotular gamas de endereços IP fidedignos na sua organização.With named locations in Azure AD, you can label trusted IP address ranges in your organization. O Microsoft Azure AD utiliza localizações com nome para:Azure AD uses named locations to:

Localização com nome

Com base na prioridade, utilize a tabela abaixo para encontrar a solução recomendada que melhor satisfaça as necessidades da sua organização:Based on priority, use the table below to find the recommended solution that best meets your organization's needs:

PriorityPriority CenárioScenario RecomendaçãoRecommendation
11 Se você usar PHS ou PTA e locais nomeados não foram definidosIf you use PHS or PTA and named locations haven't been defined Definir localizações nomeadas para melhorar a deteção de eventos de riscoDefine named locations to improve detection of risk events
22 Se você é federado e não usar a reivindicação "insideCorporateNetwork" e locais nomeados não foram definidosIf you are federated and don't use "insideCorporateNetwork" claim and named locations haven't been defined Definir localizações nomeadas para melhorar a deteção de eventos de riscoDefine named locations to improve detection of risk events
33 Se não utilizar localizações nomeadas em políticas de acesso condicional e não houver riscos ou controlos de dispositivos em políticas de acesso condicionalIf you don't use named locations in conditional access policies and there is no risk or device controls in conditional access policies Configure a política de acesso condicional para incluir localizações nomeadasConfigure the conditional access policy to include named locations
44 Se você é federado e você usa a reivindicação "insideCorporateNetwork" e locais nomeados não foram definidosIf you are federated and do use "insideCorporateNetwork" claim and named locations haven't been defined Definir localizações nomeadas para melhorar a deteção de eventos de riscoDefine named locations to improve detection of risk events
55 Se estiver a usar endereços IP fidedignos com MFA em vez de localizações nomeadas e marcando-os como confiáveisIf you are using trusted IP addresses with MFA rather than named locations and marking them as trusted Defina localizações nomeadas e marque-as como confiáveis para melhorar a deteção de eventos de riscoDefine named locations and mark them as trusted to improve detection of risk events

Políticas de acesso baseadas no riscoRisk-based access policies

O Azure AD pode calcular o risco para cada sedura e cada utilizador.Azure AD can calculate the risk for every sign-in and every user. A utilização do risco como critério nas políticas de acesso pode proporcionar uma melhor experiência do utilizador, por exemplo, menos pedidos de autenticação e uma melhor segurança, por exemplo, apenas levar os utilizadores quando são necessários, e automatizar a resposta e a remediação.Using risk as a criterion in access policies can provide a better user experience, for example, fewer authentication prompts, and better security, for example, only prompt users when they are needed, and automate the response and remediation.

Política de risco do início de sessão

Se já possui licenças Azure AD Premium P2 que suportam o uso de riscos nas políticas de acesso, mas não estão a ser utilizadas, recomendamos vivamente adicionar riscos à sua postura de segurança.If you already own Azure AD Premium P2 licenses that support using risk in access policies, but they aren't being used, we highly recommend adding risk to your security posture.

Políticas de acesso a aplicações ao clienteClient application access policies

A Microsoft Intune Application Management (MAM) fornece a capacidade de pressionar controlos de proteção de dados, tais como encriptação de armazenamento, PIN, limpeza remota de armazenamento, etc. para aplicações móveis compatíveis com clientes, como o Outlook Mobile.Microsoft Intune Application Management (MAM) provides the ability to push data protection controls such as storage encryption, PIN, remote storage cleanup, etc. to compatible client mobile applications such as Outlook Mobile. Além disso, podem ser criadas políticas de acesso condicional para restringir o acesso a serviços na nuvem, como o Exchange Online, a partir de aplicações aprovadas ou compatíveis.In addition, conditional access policies can be created to restrict access to cloud services such as Exchange Online from approved or compatible apps.

Se os seus colaboradores instalarem aplicações capazes de MAM, como aplicações móveis do Office, acederem a recursos corporativos como o Exchange Online ou SharePoint Online, e também apoiarem o BYOD (tragam o seu próprio dispositivo), recomendamos que implemente políticas de aplicação MAM para gerir a configuração da aplicação em dispositivos de propriedade pessoal sem a inscrição de MDM e, em seguida, atualize as suas políticas de acesso condicional para permitir apenas o acesso a clientes capazes de MAM.If your employees install MAM-capable applications such as Office mobile apps to access corporate resources such as Exchange Online or SharePoint Online, and you also support BYOD (bring your own device), we recommend you deploy application MAM policies to manage the application configuration in personally owned devices without MDM enrollment and then update your conditional access policies to only allow access from MAM-capable clients.

Controlo de concessão de acesso condicional

Se os colaboradores instalarem aplicações capazes de MAM contra recursos corporativos e o acesso for restrito em dispositivos Geridos Intune, então deve considerar a implementação de políticas de MAM para gerir a configuração da aplicação para dispositivos pessoais e atualizar políticas de Acesso Condicional apenas para permitir o acesso a clientes capazes de MAM.Should employees install MAM-capable applications against corporate resources and access is restricted on Intune Managed devices, then you should consider deploying application MAM policies to manage the application configuration for personal devices, and update Conditional Access policies to only allow access from MAM capable clients.

Implementação do Acesso CondicionalConditional Access implementation

O Acesso Condicional é uma ferramenta essencial para melhorar a postura de segurança da sua organização.Conditional Access is an essential tool for improving the security posture of your organization. Por isso, é importante que siga estas boas práticas:Therefore, it is important you follow these best practices:

  • Certifique-se de que todas as aplicações saaS têm pelo menos uma política aplicadaEnsure that all SaaS applications have at least one policy applied
  • Evite combinar o filtro All apps com o controlo de blocos para evitar o risco de bloqueioAvoid combining the All apps filter with the block control to avoid lockout risk
  • Evite utilizar os Todos os utilizadores como filtro e adicionar inadvertidamente os HóspedesAvoid using the All users as a filter and inadvertently adding Guests
  • Migrar todas as políticas "legados" para o portal AzureMigrate all "legacy" policies to the Azure portal
  • Apanhe todos os critérios para utilizadores, dispositivos e aplicaçõesCatch all criteria for users, devices, and applications
  • Utilizar políticas de acesso condicional para implementar MFA,em vez de utilizar um MFA por utilizadorUse Conditional Access policies to implement MFA, rather than using a per-user MFA
  • Ter um pequeno conjunto de políticas fundamentais que podem aplicar-se a múltiplas aplicaçõesHave a small set of core policies that can apply to multiple applications
  • Defina grupos de exceção vazios e adicione-os às políticas para ter uma estratégia de exceçãoDefine empty exception groups and add them to the policies to have an exception strategy
  • Plano para quebrar contas de vidro sem controlos de MFAPlan for break glass accounts without MFA controls
  • Garantir uma experiência consistente em aplicações de clientes Microsoft 365, por exemplo, Equipas, OneDrive, Outlook, etc.) implementando o mesmo conjunto de controlos para serviços como Exchange Online e Sharepoint OnlineEnsure a consistent experience across Microsoft 365 client applications, for example, Teams, OneDrive, Outlook, etc.) by implementing the same set of controls for services such as Exchange Online and Sharepoint Online
  • A atribuição às políticas deve ser implementada através de grupos, não de indivíduosAssignment to policies should be implemented through groups, not individuals
  • Faça revisões regulares dos grupos de exceção utilizados nas políticas para limitar o tempo que os utilizadores estão fora da postura de segurança.Do regular reviews of the exception groups used in policies to limit the time users are out of the security posture. Se possuir Azure AD P2, então pode usar comentários de acesso para automatizar o processoIf you own Azure AD P2, then you can use access reviews to automate the process

Área de superfície de acessoAccess surface area

Autenticação do legadoLegacy authentication

Credenciais fortes como mFA não podem proteger aplicações usando protocolos de autenticação legado, que fazem dele o vetor de ataque preferido por atores mal-intencionados.Strong credentials such as MFA cannot protect apps using legacy authentication protocols, which make it the preferred attack vector by malicious actors. Bloquear a autenticação do legado é crucial para melhorar a postura de segurança de acesso.Locking down legacy authentication is crucial to improve the access security posture.

A autenticação do legado é um termo que se refere a protocolos de autenticação utilizados por apps como:Legacy authentication is a term that refers to authentication protocols used by apps like:

  • Clientes do Escritório mais antigos que não usam a autenticação moderna (por exemplo, cliente do Office 2010)Older Office clients that don't use modern authentication (for example, Office 2010 client)
  • Clientes que utilizam protocolos de correio como IMAP/SMTP/POPClients that use mail protocols such as IMAP/SMTP/POP

Os atacantes preferem fortemente estes protocolos - na verdade, quase 100% dos ataques de spray de senha usam protocolos de autenticação legado!Attackers strongly prefer these protocols - in fact, nearly 100% of password spray attacks use legacy authentication protocols! Os hackers usam protocolos de autenticação antigas, porque não suportam a inscrição interativa, o que é necessário para desafios adicionais de segurança como a autenticação de vários fatores e a autenticação do dispositivo.Hackers use legacy authentication protocols, because they don't support interactive sign-in, which is needed for additional security challenges like multi-factor authentication and device authentication.

Se a autenticação de legados for amplamente utilizada no seu ambiente, deverá planear migrar clientes legados para clientes que suportem a autenticação moderna o mais rapidamente possível.If legacy authentication is widely used in your environment, you should plan to migrate legacy clients to clients that support modern authentication as soon as possible. No mesmo tom, se já tem alguns utilizadores que já utilizam a autenticação moderna mas outros que ainda utilizam a autenticação antiga, deverá tomar as seguintes medidas para bloquear clientes de autenticação legado:In the same token, if you have some users already using modern authentication but others that still use legacy authentication, you should take the following steps to lock down legacy authentication clients:

  1. Utilize relatórios de Atividade de Inscrição para identificar utilizadores que ainda utilizam a autenticação do legado e planeiam a reparação:Use Sign-In Activity reports to identify users who are still using legacy authentication and plan remediation:

    a.a. Upgrade para clientes capazes de autenticação moderna para utilizadores afetados.Upgrade to modern authentication capable clients to affected users.

    b.b. Planeie um prazo de corte para bloquear por degraus abaixo.Plan a cutover timeframe to lock down per steps below.

    c.c. Identifique quais aplicações antigas têm uma dependência difícil da autenticação do legado.Identify what legacy applications have a hard dependency on legacy authentication. Veja o passo 3 abaixo.See step 3 below.

  2. Desative os protocolos legados na fonte (por exemplo, Exchange Mailbox) para utilizadores que não estão a usar o legado para evitar mais exposição.Disable legacy protocols at the source (for example Exchange Mailbox) for users who aren't using legacy auth to avoid more exposure.

  3. Para as restantes contas (idealmente identidades não-humanas, como contas de serviço), utilize o acesso condicional para restringir os protocolos legados pós-autenticação.For the remaining accounts (ideally non-human identities such as service accounts), use conditional access to restrict legacy protocols post-authentication.

Num ataque de concessão de consentimento ilícito, o intruso cria uma aplicação registada em Azure que solicita o acesso a dados como informações de contacto, e-mail ou documentos.In an illicit consent grant attack, the attacker creates an Azure AD-registered application that requests access to data such as contact information, email, or documents. Os utilizadores podem estar a conceder consentimento a aplicações maliciosas através de ataques de phishing ao aterrarem em sites fraudulentos.Users might be granting consent to malicious applications via phishing attacks when landing on malicious websites.

Abaixo está uma lista de aplicações com permissões que você pode querer examinar para os serviços na nuvem da Microsoft:Below are a list of apps with permissions you might want to scrutinize for Microsoft cloud services:

  • Aplicativos com app ou * delegados. Permissões ReadWriteApps with app or delegated *.ReadWrite Permissions
  • Aplicações com permissões delegadas podem ler, enviar ou gerir e-mail em nome do utilizadorApps with delegated permissions can read, send, or manage email on behalf of the user
  • Aplicativos a quem é concedida a utilização das seguintes permissões:Apps that are granted the using the following permissions:
RecursoResource PermissãoPermission
Exchange OnlineExchange Online EAS. AccessAsUser.AllEAS.AccessAsUser.All
EWS. AccessAsUser.AllEWS.AccessAsUser.All
Mail.ReadMail.Read
Microsoft Graph APIMicrosoft Graph API Mail.ReadMail.Read
Mail.Read.SharedMail.Read.Shared
E-mail.ReadWriteMail.ReadWrite
  • As aplicações concederam a personificação completa do utilizador do utilizador inscrito.Apps granted full user impersonation of the signed-in user. Por exemplo:For example:
RecursoResource PermissãoPermission
Microsoft Graph APIMicrosoft Graph API Diretório.AccessAsUser.AllDirectory.AccessAsUser.All
API REST do AzureAzure REST API user_impersonationuser_impersonation

Para evitar este cenário, deverá consultar e remediar as subvenções de consentimento ilícitas no Office 365 para identificar e corrigir quaisquer pedidos com subvenções ilícitas ou pedidos que tenham mais subvenções do que o necessário.To avoid this scenario, you should refer to detect and remediate illicit consent grants in Office 365 to identify and fix any applications with illicit grants or applications that have more grants than are necessary. Em seguida, remova completamente o autosserviço e estabeleça procedimentos de governação.Next, remove self-service altogether and establish governance procedures. Por fim, agende as análises regulares das permissões de apps e remova-as quando não forem necessárias.Finally, schedule regular reviews of app permissions and remove them when they are not needed.

Configurações de utilizador e grupoUser and group settings

Abaixo estão as configurações do utilizador e do grupo que podem ser bloqueadas se não houver uma necessidade explícita do negócio:Below are the user and group settings that can be locked down if there isn't an explicit business need:

Definições do utilizadorUser settings

  • Utilizadores Externos - a colaboração externa pode acontecer organicamente na empresa com serviços como Equipas, Power BI, Sharepoint Online e Azure Information Protection.External Users - external collaboration can happen organically in the enterprise with services like Teams, Power BI, Sharepoint Online, and Azure Information Protection. Se tiver restrições explícitas para controlar a colaboração externa iniciada pelo utilizador, recomenda-se que ative utilizadores externos utilizando a gestão do Direito AD Azure ou uma operação controlada, como através do seu balcão de ajuda.If you have explicit constraints to control user-initiated external collaboration, it is recommended you enable external users by using Azure AD Entitlement management or a controlled operation such as through your help desk. Se não quiser permitir a colaboração externa orgânica para serviços, pode impedir os membros de convidarem completamente utilizadores externos.If you don't want to allow organic external collaboration for services, you can block members from inviting external users completely. Em alternativa, também pode permitir ou bloquear domínios específicos em convites externos do utilizador.Alternatively, you can also allow or block specific domains in external user invitations.
  • Registos de aplicações - quando os registos da App estiverem ativados, os utilizadores finais podem embarcar aplicações e conceder acesso aos seus dados.App Registrations - when App registrations are enabled, end users can onboard applications themselves and grant access to their data. Um exemplo típico do registo de Aplicações são os utilizadores que permitem que os plug-ins do Outlook, ou assistentes de voz como a Alexa e a Siri, leiam os seus emails e calendários ou enviem e-mails em seu nome.A typical example of App registration is users enabling Outlook plug-ins, or voice assistants such as Alexa and Siri to read their email and calendar or send emails on their behalf. Se o cliente decidir desligar o registo da App, as equipas InfoSec e IAM devem estar envolvidas na gestão de exceções (registos de aplicações que são necessários com base nos requisitos do negócio), uma vez que teriam de registar as aplicações com uma conta de administração, e muito provavelmente requerem a conceção de um processo para operacionalizar o processo.If the customer decides to turn off App registration, the InfoSec and IAM teams must be involved in the management of exceptions (app registrations that are needed based on business requirements), as they would need to register the applications with an admin account, and most likely require designing a process to operationalize the process.
  • Portal da Administração - as organizações podem bloquear a lâmina AZure AD no portal Azure para que os não administradores não possam aceder à gestão AD do Azure no portal Azure e ficar confusos.Administration Portal - organizations can lock down the Azure AD blade in the Azure portal so that non-administrators can't access Azure AD management in the Azure portal and get confused. Aceda às definições do utilizador no portal de gestão Azure AD para restringir o acesso:Go to the user settings in the Azure AD management portal to restrict access:

Portal da administração restrito acesso

Nota

Os não administradores ainda podem aceder às interfaces de gestão AZure AD através da linha de comando e de outras interfaces programáticas.Non-adminstrators can still access to the Azure AD management interfaces via command-line and other programmatic interfaces.

Definições de grupoGroup settings

Gestão do Grupo self-Service / Os utilizadores podem criar grupos de Segurança / Microsoft 365.Self-Service Group Management / Users can create Security groups / Microsoft 365 groups. Se não houver uma iniciativa de autosserviço atual para grupos na nuvem, os clientes podem decidir desligá-la até estarem prontos a usar esta capacidade.If there is no current self-service initiative for groups in the cloud, customers might decide to turn it off until they are ready to use this capability.

Tráfego de locais inesperadosTraffic from unexpected locations

Os agressores são originários de várias partes do mundo.Attackers originate from various parts of the world. Gerencie este risco utilizando políticas de acesso condicional com a localização como condição.Manage this risk by using conditional access policies with location as the condition. A condição de localização de uma política de Acesso Condicional permite-lhe bloquear o acesso a locais de onde não há razão comercial para iniciar sedu.The location condition of a Conditional Access policy enables you to block access for locations from where there is no business reason to sign in from.

Criar um novo local nomeado

Se disponível, utilize uma solução de informação de segurança e gestão de eventos (SIEM) para analisar e encontrar padrões de acesso entre regiões.If available, use a security information and event management (SIEM) solution to analyze and find patterns of access across regions. Se não utilizar um produto SIEM, ou se não estiver a ingerir informações de autenticação a partir da Azure AD, recomendamos que utilize o Azure Monitor para identificar padrões de acesso em todas as regiões.If you don't use a SIEM product, or it isn't ingesting authentication information from Azure AD, we recommend you use Azure Monitor to identify patterns of access across regions.

Utilização de acessoAccess usage

Registos AD AD arquivados e integrados com planos de resposta a incidentesAzure AD logs archived and integrated with incident response plans

Ter acesso a atividade de inscrição, auditorias e eventos de risco para a Azure AD é crucial para a resolução de problemas, análises de uso e investigações forenses.Having access to sign-in activity, audits and risk events for Azure AD is crucial for troubleshooting, usage analytics, and forensics investigations. A Azure AD fornece acesso a estas fontes através de APIs REST que têm um período de retenção limitado.Azure AD provides access to these sources through REST APIs that have a limited retention period. Um sistema de informação de segurança e gestão de eventos (SIEM), ou tecnologia de arquivo equivalente, é fundamental para o armazenamento a longo prazo de auditorias e suporte.A security information and event management (SIEM) system, or equivalent archival technology, is key for long-term storage of audits and supportability. Para permitir o armazenamento a longo prazo dos Registos AD Azure, deve adicioná-los à sua solução SIEM existente ou utilizar o Azure Monitor.To enable long-term storage of Azure AD Logs, you must either add them to your existing SIEM solution or use Azure Monitor. Registos de arquivo que podem ser usados como parte dos seus planos de resposta a incidentes e investigações.Archive logs that can be used as part of your incident response plans and investigations.

ResumoSummary

Há 12 aspetos para uma infraestrutura de identidade segura.There are 12 aspects to a secure Identity infrastructure. Esta lista irá ajudá-lo a proteger e gerir ainda mais as credenciais, definir experiência de autenticação, delegar atribuição, medir o uso e definir políticas de acesso baseadas na postura de segurança da empresa.This list will help you further secure and manage credentials, define authentication experience, delegate assignment, measure usage, and define access policies based on enterprise security posture.

  • Atribua os proprietários a tarefas-chave.Assign owners to key tasks.
  • Implementar soluções para detetar senhas fracas ou vazadas, melhorar a gestão e proteção de passwords e garantir ainda mais o acesso dos utilizadores aos recursos.Implement solutions to detect weak or leaked passwords, improve password management and protection, and further secure user access to resources.
  • Gerencie a identidade dos dispositivos para proteger os seus recursos a qualquer momento e a partir de qualquer local.Manage the identity of devices to protect your resources at any time and from any location.
  • Implementar a autenticação sem palavras-passe.Implement passwordless authentication.
  • Forneça um mecanismo de inscrição único padronizado em toda a organização.Provide a standardized single sign-on mechanism across the organization.
  • Migrar aplicativos de AD FS para Azure AD para permitir uma melhor segurança e uma gestão mais consistente.Migrate apps from AD FS to Azure AD to enable better security and more consistent manageability.
  • Atribua os utilizadores às aplicações utilizando grupos para permitir uma maior flexibilidade e capacidade de gestão em escala.Assign users to applications by using groups to allow greater flexibility and ability to manage at scale.
  • Configure políticas de acesso baseadas no risco.Configure risk-based access policies.
  • Bloqueie os protocolos de autenticação do legado.Lock down legacy authentication protocols.
  • Detetar e remediar subsídios de consentimento ilícitos.Detect and remediate illicit consent grants.
  • Bloqueie as definições do utilizador e do grupo.Lock down user and group settings.
  • Permitir armazenamento a longo prazo de registos AZure AD para resolução de problemas, análises de uso e investigações forenses.Enable long-term storage of Azure AD logs for troubleshooting, usage analytics, and forensics investigations.

Passos seguintesNext steps

Começar com os controlos operacionais e ações operacionais da governação da identidade.Get started with the Identity governance operational checks and actions.