Planejar uma implantação de proteção de ID

O Microsoft Entra ID Protection detecta riscos baseados em identidade, os relata e permite que os administradores investiguem e corrijam esses riscos para manter as organizações seguras e protegidas. Os dados de risco podem ser alimentados ainda mais em ferramentas como Acesso Condicional para tomar decisões de acesso ou alimentados para uma ferramenta de SIEM (gerenciamento de eventos e informações de segurança) para investigação e análise mais aprofundadas.

Esse plano de implantação amplia os conceitos introduzidos no plano de implantação do Acesso Condicional.

Pré-requisitos

• Um locatário Microsoft Entra em funcionamento com Microsoft Entra ID P2 ou licença de avaliação habilitada. Se necessário, crie um gratuitamente.
• Os administradores que interagem com o Identity Protection devem ter uma ou mais das seguintes atribuições de função, dependendo das tarefas que estão executando. Para seguir o princípio de Confiança Zero de privilégios mínimos, considere usar o Privileged Identity Management (PIM) para ativar atribuições de funções privilegiadas just-in-time.
  • Ler as políticas e configurações de Proteção de ID e de Acesso Condicional
    • Leitor de segurança
    • Leitor global
  • Gerenciar proteção de identidade
    • Operador de Segurança
    • Administrador de segurança
  • Criar ou modificar as políticas de Acesso Condicional
    • Administrador de acesso condicional
    • Administrador de segurança
• Um usuário de teste que não é um administrador para verificar se as políticas funcionam conforme o esperado antes da implantação em usuários reais. Se você precisar criar um usuário, confira Início Rápido: Adicionar novos usuários ao Microsoft Entra ID.
• Um grupo do qual o usuário é membro. Para criar um grupo, veja Como criar um grupo e adicionar membros no Microsoft Entra ID.

Envolva os participantes certos

Quando os projetos de tecnologia falham, eles normalmente o fazem devido a expectativas incompatíveis sobre afeto, resultados e responsabilidades. Para evitar essas armadilhas, certifique-se de que você está envolvendo as partes interessadas certas e que as funções das partes interessadas no projeto sejam bem compreendidas documentando as partes interessadas, suas contribuições para o projeto e responsabilidade.

Comunicar a alteração

A comunicação é fundamental para o sucesso de qualquer nova funcionalidade. Você deve se comunicar proativamente com seus usuários sobre como a experiência deles muda, quando muda e como obter suporte em caso de problemas.

Etapa 1: analisar os relatórios existentes

É importante analisar os relatórios do Identity Protection antes de implantar políticas de Acesso Condicional baseadas em riscos. Esta revisão oferece a oportunidade de investigar qualquer comportamento suspeito existente. Você pode optar por ignorar o risco ou confirmar esses usuários como seguros se determinar que eles não estão em risco.

• Investigar detecções de risco
• Corrigir riscos e desbloquear usuários
• Faça alterações em massa usando o PowerShell do Microsoft Graph

Para maior eficiência, recomendamos permitir que os usuários se auto-reparem por meio das políticas discutidas na Etapa 3.

Etapa 2: planejar as políticas de risco de Acesso Condicional

A proteção de ID envia sinais de risco para o Acesso Condicional, para tomar decisões e impor políticas organizacionais. Essas políticas podem exigir que os usuários executem autenticação multifator ou alteração segura de senha. Há vários itens que as organizações devem planejar antes de criar suas políticas.

Exclusões de políticas

As políticas de Acesso Condicional são ferramentas avançadas, recomendamos excluir as seguintes contas das suas políticas:

• Acesso de emergência ou contas de emergência para evitar bloqueio devido à configuração incorreta da política. No cenário improvável de que todos os administradores sejam bloqueados, sua conta administrativa de acesso de emergência pode ser usada para fazer login e tomar medidas para recuperar o acesso.
  • Mais informações podem ser encontradas no artigo Gerenciar contas de acesso de emergência no Microsoft Entra ID.
• Contas de serviço e entidades de serviço, como a conta de sincronização do Microsoft Entra Connect. As contas de serviço são contas não interativas que não estão ligadas a nenhum usuário específico. Normalmente, elas são usadas por serviços de back-end que permitem acesso programático a aplicativos, mas também são usadas para entrar em sistemas para fins administrativos. As chamadas feitas pelas entidades de serviço não serão bloqueadas pelas políticas de Acesso Condicional com um escopo que inclua os usuários. Use o Acesso Condicional a identidades de carga de trabalho para definir políticas direcionadas a entidades de serviço.
  • Se a sua organização tiver essas contas em uso em scripts ou código, considere substituí-las por identidades gerenciadas.

Autenticação multifator

No entanto, para que os usuários corrijam os riscos automaticamente, eles devem se registrar na autenticação multifator do Microsoft Entra antes que se tornem arriscados. Para obter mais informações, consulte o artigo Como planejar a implantação de autenticação multifator no Microsoft Entra.

Locais de rede conhecidos

É importante configurar locais nomeados no Acesso Condicional e adicionar seus intervalos de VPN aos Aplicativos Defender para Nuvem. Entradas de locais nomeados, marcados como confiáveis ou conhecidos, melhoram a precisão dos cálculos de risco da Proteção de ID. Essas entradas diminuem o risco do usuário quando ele se autentica em um local marcado como confiável ou conhecido. Essa prática reduz os falsos positivos de algumas detecções no seu ambiente.

Modo somente de relatório

O Modo somente relatório é um estado de política de Acesso Condicional que permite que os administradores avaliem o efeito das políticas de Acesso Condicional antes de aplicá-las em seu ambiente.

Etapa 3: configurar suas políticas

Política de registro com MFA de proteção de ID

Use a política de registro com autenticação multifator da proteção de ID para ajudar a registrar seus usuários na autenticação multifator do Microsoft Entra antes que eles precisem usá-la. Siga as etapas no artigo Instruções: como configurar a política de registro da autenticação multifator do Microsoft Entra para habilitar essa política.

Políticas de acesso condicional

Risco de entrada: a maioria dos usuários tem um comportamento normal que pode ser rastreado. Quando eles estão fora dessa norma, pode ser arriscado permitir que eles se conectem diretamente. Talvez seja melhor bloquear esse usuário ou pedir que ele faça a autenticação multifator para provar que realmente é quem diz ser. Você começa definindo o escopo dessas políticas para um subconjunto de seus usuários.

Risco do usuário: a Microsoft trabalha com pesquisadores, autoridades, várias equipes de segurança da Microsoft e outras fontes confiáveis para encontrar pares de nomes de usuário e senhas vazados. Quando esses usuários vulneráveis forem detectados, recomendamos que os usuários realizem a autenticação multifatorial e redefinam suas senhas.

O artigo Configurar e habilitar políticas de risco fornece diretrizes para criar políticas de Acesso Condicional para lidar com esses riscos.

Etapa 4: monitoramento e necessidades operacionais contínuas

Notificações por email

Habilite as notificações para que você possa responder quando um usuário for sinalizado como em risco. Essas notificações permitem que você comece a investigar imediatamente. Você também pode configurar emails de resumo semanais, fornecendo uma visão geral do risco dessa semana.

Monitorar e investigar

A pasta de trabalho de análise de impacto de políticas de acesso baseadas em risco ajuda os administradores a entender o impacto do usuário antes de criar políticas de Acesso Condicional baseadas em risco.

A pasta de trabalho da proteção de ID pode ajudar a monitorar e procurar padrões no seu locatário. Monitore esta pasta de trabalho em busca de tendências e também os resultados do modo Somente Relatório de Acesso Condicional para ver se há alterações que precisam ser feitas, por exemplo, adições a locais nomeados.

O Microsoft Defender para Aplicativos de Nuvem fornece uma estrutura de investigação que as organizações podem usar como ponto de partida. Para mais informações, veja o artigo Como investigar alertas de detecção de anomalias.

Você também pode usar as APIs do Identity Protection para exportar informações de risco para outras ferramentas, para que sua equipe de segurança possa monitorar e alertar sobre eventos de risco.

Durante o teste, você pode simular algumas ameaças para testar seus processos de investigação.

Próximas etapas

O que é risco?