Proteger contas de administrador global no seu Microsoft 365 ambiente de teste empresarial

Este Guia de Laboratório de Teste só pode ser utilizado para o Microsoft 365 em ambientes de teste empresariais.

Pode impedir ataques digitais na sua organização ao garantir que as suas contas de administrador estão o mais seguras possível.

Este artigo descreve como utilizar as políticas de acesso condicional do Azure Active Directory Azure AD (Azure AD) para proteger as contas de administrador global.

Proteger contas de administrador global no seu Microsoft 365 ambiente de teste empresarial envolve duas fases:

Teste os Guias de Laboratório para a nuvem da Microsoft.

Dica

Para um mapa visual de todos os artigos na pilha Microsoft 365 Guia do Laboratório de Testes de Teste da empresa, vá para o Microsoft 365 para Pilha de Guias do Laboratório de Testes de Teste da empresa.

Fase 1: desenvolver o seu Microsoft 365 ambiente de teste empresarial

Se quiser testar a proteção da conta de administrador global de forma simples com os requisitos mínimos, siga as instruções em Configuração base simples.

Se quiser testar a proteção da conta de administrador global numa empresa simulada, siga as instruções em Autenticação pass-through.

Nota

Testar a proteção da conta de administrador global não requer o ambiente de teste empresarial simulado, que inclui uma intranet simulada ligada à Internet e a sincronização de diretórios para um Active Directory Domain Services (AD DS). É fornecido aqui como uma opção para que possa testar a proteção da conta de administrador global e experimentá-la num ambiente que representa uma organização típica.

Fase 2: configurar políticas de acesso condicional

Em primeiro lugar, crie uma nova conta de utilizador como um administrador global dedicado.

  1. Num separador separado, abra a janela centro de administração do Microsoft 365.
  2. Selecione Utilizadores > Utilizadores ativos e, em seguida, selecione Adicionar um utilizador.
  3. No painel Adicionar utilizador , introduza DedicadoAdmin nas caixas Nome a apresentar, Nome a apresentar e Nome de Utilizador.
  4. Selecione Palavra-passe, selecione Deixar-me criar a palavra-passe e, em seguida, introduza uma palavra-passe segura. Grave a palavra-passe desta nova conta num local seguro.
  5. Selecione Seguinte.
  6. No painel Atribuir licenças de produto, selecione Microsoft 365 E5 e, em seguida, selecione Seguinte.
  7. No painel Definições opcionais, selecione RolesAdmin > center accessGlobal > adminNext > .
  8. No painel Está quase a terminar , selecione Concluir a adição e, em seguida, selecione Fechar.

Em seguida, crie um novo grupo denominado GlobalAdmins e adicione-lhe a conta DedicadoAdmin.

  1. No separador centro de administração do Microsoft 365, selecione Grupos no painel de navegação esquerdo e, em seguida, selecione Grupos.
  2. Selecione Adicionar um grupo.
  3. No painel Escolher um tipo de grupo, selecione Segurança e, em seguida, selecione Seguinte.
  4. No painel Configurar as noções básicas , selecione Criar grupo e, em seguida, selecione Fechar.
  5. No painel Rever e terminar de adicionar grupos, introduza GlobalAdmins e, em seguida, selecione Seguinte.
  6. Na lista de grupos, selecione o grupo GlobalAdmins .
  7. No painel GlobalAdmins, selecione Membros e, em seguida, selecione Ver todos e gerir membros.
  8. No painel GlobalAdmins, selecione Adicionar membros, selecione a conta dedicadoAdmin e a sua conta de administrador global e, em seguida, selecione SaveCloseClose > > .

Em seguida, crie políticas de acesso condicional para exigir autenticação multifator para contas de administrador global e para negar a autenticação se o risco de sinal for médio ou elevado.

Esta primeira política exige que todas as contas de administrador global utilizem mfa.

  1. Num novo separador do seu browser, vá para https://portal.azure.com.
  2. Clique Azure Active Directory > SecurityConditional > Access.
  3. No painel Acesso condicional – Políticas, selecione Política de Linha de Base: Exigir MFA para administradores (pré-visualização).
  4. No painel Política de Linha de Base, selecione Utilizar política imediatamente > Guardar.

Esta segunda política bloqueia o acesso à autenticação da conta de administrador global quando o risco de locação for médio ou alto.

  1. No painel Acesso condicional – Políticas , selecione Nova política.
  2. No painel Novo , introduza Administradores globais em Nome.
  3. Na secção Tarefas , selecione Utilizadores e grupos.
  4. No separador Incluir do painel Utilizadores e grupos, selecione Selecionar utilizadores e gruposUtilizadores > e gruposSelecionar > .
  5. No painel Selecionar, selecione o grupo GlobalAdmins e, em seguida, selecione SelectDone > .
  6. Na secção Tarefas , selecione Condições.
  7. No painel Condições, selecione Risco de inscrever-se, selecione Sim para Configurar, selecione Alto e Médio e, em seguida, selecione Selecionar e Feito.
  8. Na secção Controlos do Access do painel Novo , selecione Conceder.
  9. No painel Conceder , selecione Bloquear acesso e, em seguida, selecione Selecionar.
  10. No painel Novo , selecione Ativado para Ativar política e, em seguida, selecione Criar.
  11. Feche os separadores portal do Azure e centro de administração do Microsoft 365 separadores.

Para testar a primeira política, termine a sua ação e inscreva-se com a conta dedicadoAdmin. Ser-lhe-á pedido para configurar o MFA. Isto demonstra que a primeira política está a ser aplicada.

Passo seguinte

Explore funcionalidades e funcionalidades de identidade adicionais no seu ambiente de teste.

Consulte também

Implementar identidade

Microsoft 365 para Guias de Laboratório de Teste de Empresa

Descrição geral do Microsoft 365 para empresas

Microsoft 365 para documentação empresarial