Proteger contas de administrador global em seu ambiente de teste do Microsoft 365 para empresas

  • Artigo
  • 4 minutos para o fim da leitura

Este Guia de Laboratório de Teste só pode ser usado para o Microsoft 365 para ambientes de teste empresariais.

Você pode evitar ataques digitais em sua organização, garantindo que suas contas de administrador estejam o mais seguras possível.

Este artigo descreve como usar políticas de acesso condicional do Azure Active Directory (Azure AD) para proteger contas de administrador global.

Proteger contas de administrador global em seu ambiente de teste do Microsoft 365 para empresas envolve duas fases:

Guias de laboratório de teste para a nuvem da Microsoft.

Ponta

Para obter um mapa visual de todos os artigos na pilha do Guia do Laboratório de Teste do Microsoft 365 para empresas, acesse a Pilha de Guia do Laboratório de Teste do Microsoft 365 para empresas.

Fase 1: Criar seu ambiente de teste do Microsoft 365 para empresas

Se você quiser testar a proteção da conta de administrador global de maneira leve com os requisitos mínimos, siga as instruções na configuração de base leve.

Se você quiser testar a proteção da conta de administrador global em uma empresa simulada, siga as instruções na autenticação de passagem.

Observação

Testar a proteção de conta de administrador global não requer o ambiente de teste corporativo simulado, que inclui uma intranet simulada conectada à Internet e à sincronização de diretório para um Active Directory Domain Services (AD DS). Ele é fornecido aqui como uma opção para que você possa testar a proteção da conta de administrador global e fazer experimentos com ela em um ambiente que representa uma organização típica.

Fase 2: Configurar políticas de acesso condicional

Primeiro, crie uma nova conta de usuário como um administrador global dedicado.

  1. Em uma guia separada, abra o Centro de administração do Microsoft 365.
  2. Selecione Usuários>Ativos e, em seguida, selecione Adicionar um usuário.
  3. No painel Adicionar usuário , insira DedicatedAdmin nas caixas Nome, Nomede exibição e Nome de usuário.
  4. Selecione Senha, selecione Deixe-me criar a senha e insira uma senha forte. Registre a senha dessa nova conta em um local seguro.
  5. Selecione Avançar.
  6. No painel Atribuir licenças de produto, selecione Microsoft 365 E5 e, em seguida, selecione Avançar.
  7. No painel Configurações opcionais, selecione Funções>Administração o administrador>global>avançar.
  8. No painel Você está quase pronto , selecione Concluir a adição e, em seguida, selecione Fechar.

Em seguida, crie um novo grupo chamado GlobalAdmins e adicione a conta DedicatedAdmin a ele.

  1. Na guia Centro de administração do Microsoft 365, selecione Grupos no painel de navegação esquerdo e, em seguida, selecione Grupos.
  2. Selecione Adicionar um grupo.
  3. No painel Escolher um tipo de grupo, selecione Segurança e, em seguida, selecione Avançar.
  4. No painel Configurar noções básicas , selecione Criar grupo e, em seguida, selecione Fechar.
  5. No painel Examinar e concluir a adição do grupo, insira GlobalAdmins e, em seguida, selecione Avançar.
  6. Na lista de grupos, selecione o grupo GlobalAdmins .
  7. No painel GlobalAdmins , selecione Membros e, em seguida, selecione Exibir todos e gerenciar membros.
  8. No painel GlobalAdmins , selecione Adicionar membros, selecione a conta DedicatedAdmin e sua conta de administrador global e, em seguida, selecione Salvar>Fechar>Fechar.

Em seguida, crie políticas de acesso condicional para exigir a autenticação multifator para contas de administrador global e negar a autenticação se o risco de entrada for médio ou alto.

Essa primeira política exige que todas as contas de administrador global usem MFA.

  1. Em uma nova guia do navegador, vá para https://portal.azure.com.
  2. Clique em Acesso Condicional de Segurança do Azure Active Directory>>.
  3. No painel Acesso condicional – Políticas , selecione Política de linha de base : Exigir MFA para administradores (versão prévia).
  4. No painel Política de linha de base, selecione Usar política imediatamente > Salvar.

Esta segunda política bloqueia o acesso à autenticação da conta de administrador global quando o risco de entrada é médio ou alto.

  1. No painel Acesso condicional – Políticas , selecione Nova política.
  2. No painel Novo , insira Administradores globais em Nome.
  3. Na seção Atribuições , selecione Usuários e grupos.
  4. Na guia Incluir do painel Usuários e grupos, selecione Selecionar usuários e grupos>Usuários e grupos>Selecionar.
  5. No painel Selecionar , selecione o grupo GlobalAdmins e selecione Selecionar>Concluído.
  6. Na seção Atribuições , selecione Condições.
  7. No painel Condições, selecione Risco de entrada, selecioneSim para Configurar, selecione Alto e Médio e, em seguida, selecione Selecionar e Concluído.
  8. Na seção Controles de acesso do painel Novo, selecione Conceder.
  9. No painel Conceder , selecione Bloquear acesso e selecione Selecionar.
  10. No painel Novo , selecione Ativado paraHabilitar política e, em seguida, selecione Criar.
  11. Feche as portal do Azure e Centro de administração do Microsoft 365 guia.

Para testar a primeira política, saia e entre com a conta DedicatedAdmin. Você deve ser solicitado a configurar a MFA. Isso demonstra que a primeira política está sendo aplicada.

Próxima etapa

Explorar recursos e funcionalidades adicionais de identidade no ambiente de teste.

Confira também

Implantar identidade

Guias do Laboratório de Teste do Microsoft 365 para empresas

Visão geral do Microsoft 365 para empresas

Documentação do Microsoft 365 para empresas