Criar um plano de segurança para acesso externo a recursos
Antes de criar um plano de segurança de acesso externo, examine os dois artigos a seguir, que adicionam contexto e informações para o plano de segurança.
- Determine sua postura de segurança para acesso externo com a ID do Microsoft Entra
- Descubra o estado atual de colaboração externa na sua organização
Antes de começar
Este artigo é o número 3 em uma série de 10 artigos. Recomendamos que você revise os artigos na ordem. Vá para a seção Próximas etapas para ver toda a série.
Documentação do plano de segurança
Para seu plano de segurança, documente as seguintes informações:
- Aplicativos e recursos agrupados para acesso
- Condições de entrada para usuários externos
- Estado do dispositivo, local de login, requisitos do aplicativo cliente, risco do usuário e assim por diante.
- Políticas para determinar o tempo para revisões e remoção de acesso
- Populações de usuário agrupadas por experiências similares
Para implementar o plano de segurança, você pode usar políticas de gerenciamento de identidade e acesso da Microsoft ou outro provedor de identidade (IdP).
Saiba mais: Visão geral do gerenciamento de identidade e acesso
Usar grupos para acesso
Confira os seguintes links para artigos sobre estratégias de agrupamento de recursos:
- O Microsoft Teams agrupa arquivos, threads de conversa e outros recursos
- Formule uma estratégia de acesso externo para o Teams
- Consulte Proteger o acesso externo ao Microsoft Teams, SharePoint e OneDrive for Business com o Microsoft Entra ID
- Use pacotes de acesso de gerenciamento de direitos para criar e delegar o gerenciamento de pacotes de aplicativos, grupos, equipes, sites do SharePoint e assim por diante.
- Aplicar políticas de acesso condicional em até 250 aplicativos com os mesmos requisitos de acesso
- Definir o acesso para grupos de aplicativos de usuário externos
Documente os aplicativos agrupados. Entre as considerações estão:
- Perfil de risco – avalie o risco se um ator proibido obtiver acesso a um aplicativo
- Identifique o aplicativo como Alto, Médio ou Baixo risco. Recomendamos que você não agrupe Alto risco com Baixo risco.
- Documentar aplicativos que não devem ser compartilhados com usuários externos
- Estruturas de conformidade – determine as estruturas de conformidade para aplicativos
- Identificar os requisitos de acesso e de revisão
- Aplicativos para funções ou departamentos – avalie aplicativos agrupados para uma função ou acesso ao departamento
- Aplicativos de colaboração – identifique os aplicativos de colaboração que usuários externos podem acessar, como o Teams ou SharePoint
- Para aplicativos de produtividade, os usuários externos podem ter licenças ou você pode fornecer acesso
Documente as informações a seguir para acesso ao aplicativo e ao grupo de recursos por usuários externos.
- Nome descritivo do grupo, por exemplo High_Risk_External_Access_Finance
- Aplicativos e recursos no grupo
- Proprietários de aplicativos e recursos e suas informações de contato.
- A equipe de TI controla o acesso ou o controle é delegado a um proprietário comercial
- Pré-requisitos para acesso: verificação de antecedentes, treinamento e assim por diante.
- Requisitos de conformidade para acessar recursos
- Desafios, por exemplo, autenticação multifator para alguns recursos
- Cadência para revisões, por quem e onde resultados estão documentados
Dica
Use esse tipo de plano de governança para acesso interno.
Documentar as condições de conexão para usuários externos
Determine os requisitos de entrada para usuários externos que solicitam acesso. Requisitos básicos no perfil de risco do recurso e na avaliação de risco do usuário durante a entrada. Configure as condições de entrada usando o acesso condicional: uma condição e um resultado. Por exemplo, você pode exigir autenticação multifator.
Saiba mais sobre: o que é acesso condicional?
Condições de entrada do perfil de risco de recurso
Considere as seguintes políticas baseadas em risco para acionar a autenticação multifator.
- Baixa - autenticação multifator para alguns conjuntos de aplicativos
- Média - autenticação multifatorial quando outros riscos estão presentes
- Alta - usuários externos sempre usam autenticação multifator
Saiba mais:
- Tutorial: Aplicar autenticação multifator para usuários convidados B2B
- Confie na autenticação multifator de locatários externos
Condições de entrada de usuários e dispositivos
Use a tabela a seguir para ajudar a avaliar a política para resolver o risco.
| Risco ao usuário ou de entrada | Política proposta |
|---|---|
| Dispositivo | Exigir dispositivos em conformidade |
| Aplicativos móveis | Requerer aplicativos aprovados |
| A proteção de identidade é de Alto risco | Requer que o usuário altere a senha do Google |
| Local da rede | Para acessar projetos confidenciais, exija a entrada a partir de um intervalo de endereços IP |
Para usar o estado do dispositivo como entrada de política, registre-se ou junte o dispositivo ao seu locatário. Para confiar nas declarações do dispositivo do locatário inicial, defina as configurações de acesso entre locatários. Confira: modificar configurações de acesso de entrada.
Você pode usar políticas de risco de proteção de identidade. No entanto, atenue problemas no locatário inicial do usuário. Confira: política de acesso condicional comum: autenticação multifator baseada em risco de entrada.
Para locais de rede, é possível restringir o acesso a qualquer intervalo de endereços IP que você possui. Use esse método se parceiros externos acessam aplicativos enquanto estão na localização. Confira: acesso condicional: bloquear o acesso por localização
Documentar políticas de revisão de acesso
Documentar políticas que determinam quando examinar o acesso a recursos e remover o acesso à conta para usuários externos. As entradas podem incluir:
- Requisitos de estruturas de conformidade
- Processos e políticas de negócios internos
- Comportamento do usuário
Em geral, as organizações personalizam a política, no entanto, considere os seguintes parâmetros:
- Revisões de acesso de gerenciamento de direitos:
- Grupos do Microsoft 365
- Opções:
- Se os usuários externos não usarem pacotes de acesso ou grupos do Microsoft 365, determine quando as contas ficam inativas ou são excluídas
- Remover a entrada de contas que não se conectarem por 90 dias
- Avaliar regularmente o acesso de usuários externos
Métodos de controle de acesso
Alguns recursos, por exemplo, gerenciamento de direitos, estão disponíveis com uma licença da ID do Microsoft Entra P1 ou P2. As licenças do Microsoft 365 E5 e do Office 365 E5 incluem as licenças do Microsoft Entra ID P2. Saiba mais na seção de gerenciamento de direitos a seguir.
Observação
As licenças são para um usuário. Portanto, usuários, administradores e proprietários de negócios podem ter controle de acesso delegado. Este cenário poderá ocorrer com o Microsoft Entra ID P2 ou o Microsoft 365 E5, e não é necessário habilitar as licenças para todos os usuários. Os primeiros 50.000 usuários externos são gratuitos. Se você não habilitar licenças P2 para outros usuários internos, eles não poderão usar o gerenciamento de direitos.
Outras combinações do Microsoft 365, do Office 365 e do Microsoft Entra ID têm funcionalidade para gerenciar usuários externos. Veja, Orientações do Microsoft 365 para segurança e conformidade.
Controlar o acesso com o Microsoft Entra ID P2, Microsoft 365 ou Office 365 E5
O Microsoft Entra ID P2, incluído no Microsoft 365 E5, tem recursos adicionais de segurança e governança.
Provisionar, entrar, examinar o acesso e desprovisionar o acesso
Entradas em negrito são ações recomendadas.
| Recurso | Provisionar usuários externos | Impor requisitos de entrada | Examinar acesso | Desprovisionar o acesso |
|---|---|---|---|---|
| Colaboração B2B do Microsoft Entra | Convidar por email, OTP (senha única), autoatendimento | N/D | Revisão periódica de parceiros | Remover conta Restringir entrada |
| Gerenciamento de direitos | Adicionar usuário por atribuição ou acesso de autoatendimento | N/D | Análises de acesso | Expiração ou remoção do pacote de acesso |
| Grupos do Office 365 | N/D | N/D | Revisar as Associações de grupo | Expiração ou exclusão de grupos Remoção do grupo |
| Grupos de segurança do Microsoft Entra | N/D | Políticas de acesso condicional: adicionar usuários externos a grupos de segurança, conforme necessário | N/D | N/D |
Acesso a recursos
Entradas em negrito são ações recomendadas.
| Recurso | Acesso a aplicativos e recursos | Acesso ao SharePoint e ao OneDrive | Acesso ao Teams | Segurança de documentos e emails |
|---|---|---|---|---|
| Gerenciamento de direitos | Adicionar usuário por atribuição ou acesso de autoatendimento | Pacotes de acesso | Pacotes de acesso | N/D |
| Grupo do Office 365 | N/D | Acesso a sites e conteúdo de grupo | Acesso a equipes e conteúdo de grupo | N/D |
| Rótulos de confidencialidade | N/D | Classificar e restringir o acesso manualmente e automaticamente | Classificar e restringir o acesso manualmente e automaticamente | Classificar e restringir o acesso manualmente e automaticamente |
| Grupos de segurança do Microsoft Entra | Políticas de acesso condicional para acesso não incluídas em pacotes do Access | N/D | N/D | N/D |
Gerenciamento de direitos
Use o gerenciamento de direitos para provisionar e desprovisionar o acesso a grupos e equipes, aplicativos e sites do SharePoint. Defina o acesso concedido, solicitações de autoatendimento e fluxos de trabalho de aprovação das organizações conectadas. Para garantir que o acesso termine corretamente, defina políticas de expiração e revisões de acesso para pacotes.
Saiba mais sobre: criar um novo pacote de acesso no gerenciamento de direitos
Gerenciar o acesso com o Microsoft Entra ID P1, Microsoft 365, Office 365 E3
Provisionar, entrar, examinar o acesso e desprovisionar o acesso
Itens em negrito são ações recomendadas.
| Recurso | Provisionar usuários externos | Impor requisitos de entrada | Examinar acesso | Desprovisionar o acesso |
|---|---|---|---|---|
| Colaboração B2B do Microsoft Entra | Convidar por email, OTP, autoatendimento | Federação B2B direta | Revisão periódica de parceiros | Remover conta Restringir entrada |
| Grupos do Microsoft 365 ou Office 365 | N/D | N/D | N/D | Expiração ou exclusão de grupos Remoção do grupo |
| Grupos de segurança | N/D | Adicione usuários externos a grupos de segurança (organização, equipe, projeto e assim por diante) | N/D | N/D |
| Políticas de acesso condicional | N/D | Políticas de acesso condicional de entrada para usuários externos | N/D | N/D |
Acesso a recursos
| Recurso | Acesso a aplicativos e recursos | Acesso ao SharePoint e ao OneDrive | Acesso ao Teams | Segurança de documentos e emails |
|---|---|---|---|---|
| Grupos do Microsoft 365 ou Office 365 | N/D | Acesso a sites de grupo e conteúdo associado | Acesso a equipes de grupo do Microsoft 365 e conteúdo associado | N/D |
| Rótulos de confidencialidade | N/D | Classificar e restringir o acesso manualmente | Classificar e restringir o acesso manualmente | Classificar manualmente para restringir e criptografar |
| Políticas de acesso condicional | Políticas de acesso condicional para controle de acesso | N/D | N/D | N/D |
| Outros métodos | N/D | Restringir acesso ao site do SharePoint com grupos de segurança Não permitir compartilhamento direto |
Restringir convites externos de uma equipe | N/D |
Próximas etapas
Confira os artigos a seguir para saber mais sobre como proteger o acesso externo aos recursos. Recomendamos que você siga a ordem listada.
Determine sua postura de segurança para acesso externo com a ID do Microsoft Entra
Descubra o estado atual de colaboração externa na sua organização
Criar um plano de segurança para acesso externo a recursos (Você está aqui)
Proteger o acesso externo com grupos na ID do Microsoft Entra e no Microsoft 365
Transição para colaboração governada com colaboração B2B do Microsoft Entra
Gerenciar o acesso externo com o gerenciamento de direitos do Microsoft Entra
Gerenciar o acesso externo com políticas de Acesso Condicional
Controlar acesso externo aos recursos no Microsoft Entra ID com rótulos de confidencialidade
Converter contas de convidado locais nas contas de convidado B2B do Microsoft Entra