Confiança Zero plano de implantação com o Microsoft 365

  • Artigo

Este artigo fornece um plano de implantação para criar Confiança Zero segurança com o Microsoft 365. Confiança Zero é um novo modelo de segurança que assume a violação e verifica cada solicitação como se tivesse se originado de uma rede descontrolada. Independentemente de onde a solicitação se origina ou qual recurso ela acessa, o modelo Confiança Zero nos ensina a "nunca confiar, sempre verificar".

Use este artigo junto com este pôster.

Item Descrição
Ilustração do plano de implantação do Microsoft 365 Confiança Zero.
PDF | Visio
Atualizado em março de 2024		 Guias de solução relacionados

arquitetura de segurança Confiança Zero

Uma abordagem Confiança Zero se estende por toda a propriedade digital e serve como uma filosofia de segurança integrada e estratégia de ponta a ponta.

Esta ilustração fornece uma representação dos elementos primários que contribuem para Confiança Zero.

A arquitetura de segurança Confiança Zero

Na ilustração:

  • A aplicação da política de segurança está no centro de uma arquitetura Confiança Zero. Isso inclui a autenticação multifator com o Acesso Condicional que leva em conta o risco da conta de usuário, o dispositivo status e outros critérios e políticas que você definiu.
  • Identidades, dispositivos, dados, aplicativos, rede e outros componentes de infraestrutura estão configurados com a segurança apropriada. As políticas configuradas para cada um desses componentes são coordenadas com sua estratégia de Confiança Zero geral. Por exemplo, as políticas de dispositivo determinam os critérios para dispositivos saudáveis e políticas de acesso condicional exigem dispositivos saudáveis para acesso a aplicativos e dados específicos.
  • A proteção contra ameaças e a inteligência monitoram o ambiente, apresentam riscos atuais e adotam ações automatizadas para corrigir ataques.

Para obter mais informações sobre Confiança Zero, consulte Centro de Diretrizes de Confiança Zero da Microsoft.

Implantando Confiança Zero para o Microsoft 365

O Microsoft 365 foi criado intencionalmente com muitos recursos de segurança e proteção de informações para ajudá-lo a criar Confiança Zero em seu ambiente. Muitos dos recursos podem ser estendidos para proteger o acesso a outros aplicativos SaaS que sua organização usa e os dados dentro desses aplicativos.

Esta ilustração representa o trabalho de implantação de recursos Confiança Zero. Esse trabalho é dividido em unidades de trabalho que podem ser configuradas em conjunto, partindo da parte inferior e trabalhando até a parte superior para garantir que o trabalho de pré-requisito seja concluído.

Diagrama que mostra a pilha de implantação do Microsoft 365 Confiança Zero.

Nesta ilustração:

  • Confiança Zero começa com uma base de identidade e proteção de dispositivo.
  • As funcionalidades de proteção contra ameaças são criadas sobre essa base para fornecer monitoramento e correção em tempo real de ameaças à segurança.
  • A proteção e a governança de informações fornecem controles sofisticados direcionados a tipos específicos de dados para proteger suas informações mais valiosas e ajudá-lo a cumprir as normas de conformidade, incluindo a proteção de informações pessoais.

Este artigo pressupõe que você esteja usando a identidade de nuvem. Se você precisar de diretrizes para esse objetivo, consulte Implantar sua infraestrutura de identidade para o Microsoft 365.

Dica

Quando você entende as etapas e o processo de implantação de ponta a ponta, você pode usar o Guia de implantação avançada do modelo de segurança do Microsoft Confiança Zero quando conectado ao Centro de administração do Microsoft 365. Este guia orienta a aplicação de princípios Confiança Zero para pilares de tecnologia padrão e avançado. Para passar pelo guia sem entrar, acesse o portal de instalação do Microsoft 365.

Etapa 1: configurar Confiança Zero identidade e proteção de acesso ao dispositivo: políticas de ponto de partida

A primeira etapa é criar sua base de Confiança Zero configurando a identidade e a proteção de acesso ao dispositivo.

Diagrama que mostra o processo para configurar Confiança Zero identidade e proteção de acesso ao dispositivo.

Acesse Confiança Zero identidade e proteção de acesso ao dispositivo para obter diretrizes prescritivas detalhadas. Esta série de artigos descreve um conjunto de configurações de pré-requisitos de acesso de identidade e dispositivo e um conjunto de Microsoft Entra Acesso Condicional, Microsoft Intune e outras políticas para proteger o acesso ao Microsoft 365 para aplicativos e serviços de nuvem empresarial, outros serviços SaaS e aplicativos locais publicados com Microsoft Entra aplicativo Proxy.

Inclui Pré-requisitos Não inclui
Políticas de acesso de dispositivo e identidade recomendadas para três níveis de proteção:
  • Ponto de partida
  • Empresa (recomendado)
  • Especializada

Recomendações adicionais para:
  • Usuários externos (convidados)
  • Microsoft Teams
  • SharePoint Online
  • Microsoft Defender for Cloud Apps
 Microsoft E3 ou E5

Microsoft Entra ID em qualquer um desses modos:
  • Apenas na nuvem
  • Autenticação Híbrida com PHS (sincronização de hash de senha)
  • Híbrido com autenticação de passagem (PTA)
  • Federado
 Registro de dispositivo para políticas que exigem dispositivos gerenciados. Consulte Etapa 2. Gerenciar pontos de extremidade com Intune para registrar dispositivos

Comece implementando a camada de ponto de partida. Essas políticas não exigem o registro de dispositivos no gerenciamento.

Diagrama que mostra as políticas de identidade e acesso Confiança Zero para a camada ponto de partida

Etapa 2: Gerenciar pontos de extremidade com Intune

Em seguida, registre seus dispositivos no gerenciamento e comece a protegê-los com controles mais sofisticados.

Diagrama que mostra os pontos de extremidade Gerenciar com Intune elemento.

Consulte Gerenciar dispositivos com Intune para obter diretrizes prescritivas detalhadas.

Inclui Pré-requisitos Não inclui
Registrar dispositivos com Intune:
  • Dispositivos de propriedade corporativa
  • Autopilot/automatizado
  • Inscrição

Configurar políticas:
  • Políticas de Proteção de Aplicativos
  • Políticas de conformidade
  • Políticas de perfil de dispositivo
 Registrar pontos de extremidade com Microsoft Entra ID Configurando recursos de proteção de informações, incluindo:
  • Tipos de informações confidenciais
  • Rótulos
  • Políticas DLP

Para esses recursos, consulte Etapa 5. Proteja e governe dados confidenciais (posteriormente neste artigo).

Para obter mais informações, consulte Confiança Zero para Microsoft Intune.

Etapa 3: Adicionar Confiança Zero identidade e proteção de acesso ao dispositivo: políticas corporativas

Com os dispositivos registrados no gerenciamento, agora você pode implementar o conjunto completo de políticas recomendadas de Confiança Zero identidade e acesso ao dispositivo, exigindo dispositivos compatíveis.

As políticas de identidade e acesso Confiança Zero com o gerenciamento de dispositivos

Retorne às políticas comuns de acesso à identidade e ao dispositivo e adicione as políticas na camada Enterprise.

Diagrama que mostra as políticas de acesso e identidade Confiança Zero para a camada Enterprise (recomendada).

Etapa 4: Avaliar, pilotar e implantar Microsoft Defender XDR

Microsoft Defender XDR é uma solução XDR (detecção e resposta estendida) que coleta, correlaciona e analisa automaticamente dados de sinal, ameaça e alerta de todo o ambiente do Microsoft 365, incluindo ponto de extremidade, email, aplicativos e identidades.

O processo de adicionar Microsoft Defender XDR à arquitetura Confiança Zero

Acesse Avaliar e Microsoft Defender XDR piloto para obter um guia metódico para pilotar e implantar componentes Microsoft Defender XDR.

Inclui Pré-requisitos Não inclui
Configure o ambiente de avaliação e piloto para todos os componentes:
  • Defender para Identidade
  • O que é o Defender para Office 365?
  • Pilot Defender para Ponto de Extremidade
  • Microsoft Defender for Cloud Apps

Proteção contra ameaças

Investigar e responder às ameaças		 Consulte as diretrizes para ler sobre os requisitos de arquitetura para cada componente de Microsoft Defender XDR. Microsoft Entra ID Protection não está incluído neste guia de solução. Ele está incluído na Etapa 1. Configure Confiança Zero identidade e proteção de acesso ao dispositivo.

Para obter mais informações, consulte estes artigos de Confiança Zero adicionais:

Etapa 5: Proteger e governar dados confidenciais

Implemente Proteção de Informações do Microsoft Purview para ajudá-lo a descobrir, classificar e proteger informações confidenciais onde quer que ela more ou viaje.

Proteção de Informações do Microsoft Purview recursos são incluídos no Microsoft Purview e fornecem as ferramentas para conhecer seus dados, proteger seus dados e evitar perda de dados.

As funcionalidades de proteção de informações que protegem dados por meio da aplicação da política

Embora este trabalho esteja representado na parte superior da pilha de implantação ilustrada anteriormente neste artigo, você pode começar esse trabalho a qualquer momento.

Proteção de Informações do Microsoft Purview fornece uma estrutura, um processo e recursos que você pode usar para alcançar seus objetivos de negócios específicos.

Proteção de Informações do Microsoft Purview

Para obter mais informações sobre como planejar e implantar a proteção de informações, consulte Implantar uma solução de Proteção de Informações do Microsoft Purview.

Se você estiver implantando a proteção de informações para regulamentos de privacidade de dados, este guia de solução fornecerá uma estrutura recomendada para todo o processo: implantar a proteção de informações para regulamentos de privacidade de dados com o Microsoft 365.