Padrões de segurança no Azure AD

A Microsoft está disponibilizando padrões de segurança para todos, pois gerenciar a segurança pode ser difícil. Ataques relacionados à identidade, como pulverização de senha, reprodução e phishing, são comuns no ambiente atual. Mais de 99,9% desses ataques relacionados à identidade são interrompidos usando MFA (autenticação multifator) e bloqueando a autenticação herdada. A meta é garantir que todas as organizações tenham pelo menos um nível básico de segurança habilitado sem custos adicionais.

Os padrões de segurança facilitam a proteção da organização contra esses ataques relacionados à identidade com configurações de segurança pré-configuradas:

Para quem eles são?

  • Organizações que querem aumentar a postura de segurança, mas não sabem como ou por onde começar.
  • Organizações que usam a camada gratuita de licenciamento do Azure Active Directory.

Quem deve usar o Acesso Condicional?

  • Se você for uma organização que atualmente usa as políticas de Acesso Condicional, os padrões de segurança provavelmente não serão adequados a você.
  • Caso sua organização tenha licenças do Azure Active Directory Premium, os padrões de segurança provavelmente não são adequados para você.
  • Se sua organização possuir requisitos de segurança complexos, considere usar o Acesso Condicional.

Habilitar padrões de segurança

Caso seu locatário tenha sido criado em 22 de outubro de 2019 ou após essa data, é os padrões de segurança já podem estar habilitados em seu locatário. Para proteger todos os nossos usuários, padrões de segurança estão sendo implantados em todos os novos locatários na criação.

Para habilitar padrões de segurança no seu diretório:

  1. Entre no portal do Azure como administrador de segurança, administrador de acesso condicional ou administrador global.
  2. Acesse Azure Active Directory>Propriedades.
  3. Selecione Gerenciar padrões de segurança.
  4. Alterne a opção Habilitar padrões de segurança para Sim.
  5. Clique em Salvar.

Captura de tela do portal do Azure com a alternância para habilitar os padrões de segurança

Políticas de segurança impostas

Exigir que todos os usuários se registrem na autenticação multifator do Azure AD

Todos os usuários no seu locatário devem se registrar para a MFA (autenticação multifator) na forma da Autenticação Multifator do Azure AD. Os usuários têm 14 dias para se registrar na Autenticação Multifator do Azure AD usando o aplicativo Microsoft Authenticator ou qualquer aplicativo com suporte para OATH TOTP. Depois que os 14 dias tiverem passado, o usuário não poderá entrar até que o registro seja concluído. O período de 14 dias de um usuário começa após sua primeira entrada interativa bem-sucedida depois de habilitar os padrões de segurança.

Exigir que os administradores façam autenticação multifator

Os administradores aumentaram o acesso ao seu ambiente. Devido ao poder que essas contas altamente privilegiadas têm, você deverá tratá-las com cuidado especial. Um método comum para melhorar a proteção de contas privilegiadas é exigir uma forma mais forte de verificação de para entrar. No Azure AD, você pode obter uma verificação de conta mais forte ao exigir a autenticação multifator.

Dica

É recomendável ter contas separadas para tarefas de administração e produtividade padrão para reduzir significativamente o número de vezes que os administradores devem usar a MFA.

Depois de fazer o registro com a autenticação multifator do Microsoft Azure AD, as seguintes funções de administrador do Azure AD precisarão executar autenticação extra sempre que entrarem:

  • Administrador global
  • Administrador de aplicativos
  • Administrador de autenticação
  • Administrador de cobrança
  • Administrador de aplicativos de nuvem
  • Administrador de acesso condicional
  • Administrador do Exchange
  • Administrador de assistência técnica
  • Administrador de senha
  • Administrador de autenticação privilegiada
  • Administrador de segurança
  • Administrador do SharePoint
  • Administrador de usuários

Exigir que os usuários façam autenticação multifator quando necessário

Tendemos a imaginar que as contas de administrador são as únicas que precisam de camadas extras de autenticação. Os administradores têm amplo acesso a informações confidenciais e podem fazer alterações nas configurações de toda a assinatura. Mas os invasores costumam ter os usuários finais como alvo.

Depois que os invasores conseguirem acesso, eles poderão solicitar acesso a informações privilegiadas para o titular da conta original. Eles conseguem até mesmo baixar o diretório inteiro para realizar um ataque de phishing em toda a sua organização.

Um método comum para melhorar a proteção para todos os usuários é exigir uma forma mais forte de verificação da conta para todos, como a autenticação multifator. Depois que os usuários concluírem o registro, será solicitado que usem outra autenticação sempre que necessário. O Azure AD decide quando o usuário receberá uma solicitação de autenticação multifator com base em fatores como local, dispositivo, função e tarefa. Essa funcionalidade protege todos os aplicativos registrados no Azure AD, incluindo aplicativos SaaS.

Observação

No caso de usuários de conexão direta de B2B, qualquer requisito de autenticação multifator dos padrões de segurança habilitados no locatário do recurso precisará ser atendido, incluindo o registro de autenticação multifator pelo usuário de conexão direta no respectivo locatário inicial.

Bloquear protocolos de autenticação herdados

Para fornecer aos usuários acesso fácil aos aplicativos na nuvem, o Azure AD dá suporte a diversos protocolos de autenticação, incluindo a autenticação herdada. Autenticação herdada é um termo que se refere a uma solicitação de autenticação feita por:

  • Clientes que não usam uma autenticação moderna (por exemplo, um cliente do Office 2010).
  • Qualquer cliente que use protocolos de email mais antigos, como IMAP, SMTP ou POP3.

Hoje, a maioria das tentativas de entrada comprometidas é proveniente da autenticação herdada. A autenticação herdada não dá suporte à autenticação multifator. Assim, mesmo que você tenha uma política de MFA habilitada em seu diretório, um invasor pode ignorá-la ao se autenticar usando um protocolo mais antigo.

Depois que os padrões de segurança forem habilitados em seu locatário, todas as solicitações de autenticação feitas por um protocolo mais antigo serão bloqueadas. Os padrões de segurança bloqueiam a autenticação básica Exchange Active Sync.

Aviso

Antes de habilitar os padrões de segurança, garanta que os administradores não estejam usando protocolos de autenticação mais antigos. Para obter mais informações, consulte Como deixar de usar a autenticação herdada.

Proteger atividades com privilégios como o acesso ao portal do Azure

As organizações usam vários serviços do Azure gerenciados por meio da API do Azure Resource Manager, incluindo:

  • Portal do Azure
  • Azure PowerShell
  • CLI do Azure

O uso do Azure Resource Manager para gerenciar seus serviços é uma ação altamente privilegiada. O Azure Resource Manager pode alterar configurações em todo o locatário, como configurações de serviço e cobranças de assinatura. A autenticação de fator único é vulnerável a diversos tipos de ataques, como pulverização de senha e phishing.

É importante fazer a verificação da identidade dos usuários que desejam acessar o Azure Resource Manager e atualizar as configurações. Para fazer a verificação de identidade, você deve exigir mais autenticação antes de permitir o acesso.

Após habilitar os padrões de segurança no seu locatário, todos os usuários que acessarem os seguintes serviços deverão concluir a autenticação multifator:

  • Portal do Azure
  • Azure PowerShell
  • CLI do Azure

Essa política se aplica a todos os usuários que acessam os serviços do Azure Resource Manager, sejam administradores ou usuários.

Observação

Os locatários do Exchange Online anteriores a 2017 têm a autenticação moderna desabilitada por padrão. Para evitar que possa ocorrer um loop de logon durante a autenticação por meio desses locatários, você deve habilitar a autenticação moderna.

Observação

A conta de sincronização do Azure AD Connect é excluída dos padrões de segurança e a ela não serão solicitados o registro nem a execução da autenticação multifator. As organizações não devem usar essa conta para outras finalidades.

Considerações de implantação

Métodos de autenticação

Os usuários padrões de segurança devem se registrar e usar a Autenticação Multifator do Azure AD usando o aplicativo Microsoft Authenticator com notificações. Os usuários podem usar códigos de verificação do aplicativo Microsoft Authenticator, mas só podem se registrar usando a opção de notificação. Os usuários também podem usar qualquer aplicativo de terceiros usando OATH TOTP para gerar códigos.

Aviso

Não desabilite métodos para sua organização se você estiver usando padrões de segurança. A desabilitação de métodos pode levar ao bloqueio de seu locatário. Deixe todos os Métodos disponíveis para os usuários habilitados no portal de configurações do serviço MFA.

Contas de administrador de backup

Cada organização deve ter pelo menos duas contas de administrador de backup configuradas. Chamamos essas contas de acesso de emergência.

Essas contas podem ser usadas em cenários em que suas contas de administrador normais não podem ser usadas. Por exemplo: a pessoa com acesso administrativo global mais recente deixou a organização. O Azure AD impede que a conta do último administrador global seja excluída, mas não impede que a conta seja excluída ou desabilitada localmente. Qualquer situação pode fazer com que a organização não consiga recuperar a conta.

As contas de acesso de emergência são:

  • Direitos de administrador global atribuídos no Azure AD.
  • Não são usados diariamente.
  • São protegidos com uma senha longa e complexa.

As credenciais para essas contas de acesso de emergência devem ser armazenadas offline em um local seguro, como um cofre à prova de incêndio. Somente indivíduos autorizados devem ter acesso a essas credenciais.

Para criar uma conta de acesso de emergência:

  1. Entre no portal do Azure como administrador global.
  2. Navegue até Azure Active Directory>Usuários.
  3. Selecione Novo usuário.
  4. Selecione Criar usuário.
  5. Dê um Nome de usuário à conta.
  6. Dê um Nome à conta.
  7. Crie uma senha longa e complexa para a conta.
  8. Em Funções, atribua a função Administrador Global.
  9. Em Local de uso, selecione o local apropriado.
  10. Selecione Criar.

Você pode optar por desabilitar a expiração de senha para essas contas usando o PowerShell do Azure AD.

Para obter informações mais detalhadas sobre contas de acesso de emergência, confira o artigo Gerenciar contas de acesso de emergência no Azure AD.

Usuários B2B

Todos os usuários convidados B2B ou usuários de conexão direta B2B que acessam o seu diretório são tratados da mesma forma que os usuários da sua organização.

Status desabilitado da MFA

Caso sua organização seja um antigo usuário da MFA do Azure Active Directory por usuário, não se assuste caso não veja usuários com um status Habilitado ou Imposto ao observar a página de status da MFA. Desabilitado é o status apropriado para os usuários que estão usando padrões de segurança ou a MFA do Azure Active Directory baseada em Acesso Condicional.

Acesso Condicional

Você pode usar o Acesso Condicional para configurar políticas semelhantes a padrões de segurança, mas com mais granularidade. As políticas de Acesso Condicional permitem selecionar outros métodos de autenticação e oferecem a capacidade de excluir usuários, itens que não estão disponíveis nos padrões de segurança. Se você estiver usando o Acesso Condicional em seu ambiente atual, os padrões de segurança não estarão disponíveis para você.

Mensagem de aviso informando que você pode ter padrões de segurança ou Acesso Condicional, mas não ambos

Se você quiser habilitar o Acesso Condicional para configurar um conjunto de políticas, que formam um bom ponto de partida para proteger as identidades:

Desabilitar padrões de segurança

As organizações que optarem por implementar políticas de Acesso Condicional que substituam os padrões de segurança devem desabilitar os padrões de segurança.

Mensagem de aviso informando para desabilitar os padrões de segurança para habilitar o Acesso Condicional

Para desabilitar padrões de segurança no seu diretório:

  1. Entre no portal do Azure como administrador de segurança, administrador de acesso condicional ou administrador global.
  2. Acesse Azure Active Directory>Propriedades.
  3. Selecione Gerenciar padrões de segurança.
  4. Alterne a opção Habilitar padrões de segurança para Não.
  5. Clique em Salvar.

Próximas etapas