Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo fornece um plano de implementação para criar Confiança Zero segurança com o Microsoft 365. Confiança Zero é um modelo de segurança que assume uma falha de segurança e verifica cada pedido como se fosse proveniente de uma rede não controlada. Independentemente da origem do pedido ou do recurso a que acede, o modelo de Confiança Zero ensina-nos a "nunca confiar, verificar sempre".
Utilize este artigo juntamente com este cartaz.
Confiança Zero princípios e arquitetura
Confiança Zero é uma estratégia de segurança. Não é um produto ou um serviço, mas uma abordagem na conceção e implementação do seguinte conjunto de princípios de segurança.
| Princípio | Descrição |
|---|---|
| Verificar explicitamente | Sempre autenticar e autorizar com base em todos os pontos de dados disponíveis. |
| Usar acesso com privilégios mínimos | Limite o acesso do utilizador com Acesso Just-In-Time e Just-Enough-Access (JIT/JEA), políticas adaptáveis baseadas em riscos e proteção de dados. |
| Assumir violação | Minimizar o raio de explosão e o acesso de segmento. Verifique a criptografia de ponta a ponta e use a análise para obter visibilidade, promover a detecção de ameaças e melhorar as defesas. |
A documentação de orientação neste artigo ajuda-o a aplicar estes princípios ao implementar capacidades com o Microsoft 365.
Uma abordagem Confiança Zero estende-se por todo o património digital e serve como uma filosofia de segurança integrada e estratégia ponto a ponto.
Esta ilustração fornece uma representação dos elementos principais que contribuem para Confiança Zero.
Na ilustração:
- A imposição de políticas de segurança está no centro de uma arquitetura Confiança Zero. Isto inclui a autenticação multifator com Acesso Condicional que tem em conta o risco da conta de utilizador, o status do dispositivo e outros critérios e políticas que definiu.
- As identidades, dispositivos, dados, aplicações, rede e outros componentes de infraestrutura estão todos configurados com segurança adequada. As políticas configuradas para cada um destes componentes são coordenadas com a sua estratégia de Confiança Zero geral. Por exemplo, as políticas de dispositivos determinam os critérios para dispositivos em bom estado de funcionamento e as políticas de Acesso Condicional requerem dispositivos em bom estado de funcionamento para aceder a aplicações e dados específicos.
- A proteção contra ameaças e as informações monitorizam o ambiente, superam os riscos atuais e efetuam ações automatizadas para remediar ataques.
Para obter mais informações sobre Confiança Zero, consulte Centro de Orientação Confiança Zero da Microsoft.
Implementar Confiança Zero para o Microsoft 365
O Microsoft 365 foi criado intencionalmente com muitas capacidades de proteção de informações e segurança para o ajudar a criar Confiança Zero no seu ambiente. Muitas das capacidades podem ser expandidas para proteger o acesso a outras aplicações SaaS que a sua organização utiliza e aos dados nestas aplicações.
Esta ilustração representa o trabalho de implementação de capacidades de Confiança Zero. Este trabalho está alinhado com Confiança Zero cenários empresariais no Confiança Zero framework de adoção.
Nesta ilustração, o trabalho de implementação é categorizado em cinco pistas de natação:
- Trabalho remoto e híbrido seguro – este trabalho cria uma base de proteção de identidades e dispositivos.
- Impedir ou reduzir danos comerciais de uma falha de segurança – a proteção contra ameaças fornece monitorização e remediação em tempo real de ameaças de segurança. Defender para Aplicativos de Nuvem fornece a deteção de aplicações SaaS, incluindo aplicações de IA, e permite-lhe expandir a proteção de dados para estas aplicações.
- Identificar e proteger dados empresariais confidenciais – as capacidades de proteção de dados fornecem controlos sofisticados direcionados para tipos específicos de dados para proteger as suas informações mais valiosas.
- Proteger aplicações e dados de IA – proteja rapidamente a utilização da sua organização de aplicações de IA e os dados com que estas interagem.
- Cumprir os requisitos regulamentares e de conformidade — Compreenda e controle o seu progresso no sentido de cumprir os regulamentos que afetam a sua organização.
Este artigo pressupõe que está a utilizar a identidade da cloud. Se precisar de orientação para este objetivo, consulte Implementar a sua infraestrutura de identidade para o Microsoft 365.
Dica
Quando compreender os passos e o processo de implementação ponto a ponto, pode utilizar o guia de implementação avançada Configurar o modelo de segurança do Microsoft Confiança Zero quando tiver sessão iniciada no Centro de administração do Microsoft 365. Este guia orienta-o ao longo da aplicação de princípios Confiança Zero para pilares tecnológicos padrão e avançados. Para percorrer o guia sem iniciar sessão, aceda ao portal de Configuração do Microsoft 365.
Pista de natação 1 – Proteger o trabalho remoto e híbrido
A proteção do trabalho remoto e híbrido envolve a configuração da proteção de acesso de identidades e dispositivos. Estas proteções contribuem para que o princípio Confiança Zero verifique explicitamente.
Realize o trabalho de proteção do trabalho remoto e híbrido em três fases.
Fase 1 – Implementar políticas de identidade de ponto de partida e de acesso de dispositivos
A Microsoft recomenda um conjunto abrangente de políticas de identidade e acesso de dispositivos para Confiança Zero neste guia , Confiança Zero configurações de identidade e acesso a dispositivos.
Na fase 1, comece por implementar o escalão de ponto de partida. Estas políticas não requerem a inscrição de dispositivos para gestão.
Aceda a Confiança Zero identidade e proteção de acesso ao dispositivo para obter orientações prescritivas detalhadas. Esta série de artigos descreve um conjunto de configurações de pré-requisitos de identidade e acesso a dispositivos e um conjunto de Microsoft Entra Acesso Condicional, Microsoft Intune e outras políticas para proteger o acesso ao Microsoft 365 para aplicações e serviços na cloud empresarial, outros serviços SaaS e aplicações no local publicadas com Microsoft Entra aplicação proxy.
| Inclui | Pré-requisitos | Não inclui |
|---|---|---|
Políticas de identidade e acesso de dispositivo recomendadas para três níveis de proteção:
Recomendações adicionais para:
|
Microsoft E3 ou E5 Microsoft Entra ID em qualquer um destes modos:
|
Inscrição de dispositivos para políticas que requerem dispositivos geridos. Veja Gerir dispositivos com Intune para inscrever dispositivos. |
Fase 2 – Inscrever dispositivos para gestão com Intune
Em seguida, inscreva os seus dispositivos na gestão e comece a protegê-los com controlos mais sofisticados.
Veja Gerir dispositivos com Intune para obter orientações prescritivas detalhadas sobre a inscrição de dispositivos na gestão.
| Inclui | Pré-requisitos | Não inclui |
|---|---|---|
Inscrever dispositivos com Intune:
Configurar políticas:
|
Registar pontos finais com Microsoft Entra ID | Configurar capacidades de proteção de informações, incluindo:
Para estas capacidades, consulte Pista de natação 3 — Identificar e proteger dados empresariais confidenciais (mais adiante neste artigo). |
Para obter mais informações, veja Confiança Zero para Microsoft Intune.
Fase 3 — Adicionar Confiança Zero identidade e proteção de acesso a dispositivos: Políticas empresariais
Com os dispositivos inscritos na gestão, pode agora implementar o conjunto completo de políticas de identidade e acesso de dispositivos recomendadas Confiança Zero, que requerem dispositivos em conformidade.
Regresse às políticas de acesso a identidades e dispositivos comuns e adicione as políticas no escalão Enterprise.
Leia mais sobre como proteger o trabalho remoto e híbrido na arquitetura de adoção do Confiança Zero — Proteger o trabalho remoto e híbrido.
Pista de natação 2 – Impedir ou reduzir danos comerciais causados por uma violação
Microsoft Defender XDR é uma solução de deteção e resposta alargada (XDR) que recolhe, correlaciona e analisa automaticamente dados de sinal, ameaças e alertas de todo o seu ambiente do Microsoft 365, incluindo pontos finais, e-mail, aplicações e identidades. Além disso, Microsoft Defender para Aplicativos de Nuvem ajuda as organizações a identificar e gerir o acesso a aplicações SaaS, incluindo aplicações GenAI.
Evite ou reduza os danos comerciais causados por uma falha de segurança ao pilotar e implementar Microsoft Defender XDR.
Aceda a Piloto e implemente Microsoft Defender XDR para obter um guia metódico para testar e implementar componentes Microsoft Defender XDR.
| Inclui | Pré-requisitos | Não inclui |
|---|---|---|
Configure o ambiente de avaliação e piloto para todos os componentes:
Proteção contra ameaças Investigar e responder às ameaças |
Veja a documentação de orientação para ler sobre os requisitos de arquitetura de cada componente do Microsoft Defender XDR. | Microsoft Entra ID Protection não está incluído neste guia de solução. Está incluído na Pista de Natação 1 — Proteger o trabalho remoto e híbrido. |
Leia mais sobre como evitar ou reduzir danos comerciais causados por uma falha de segurança no quadro de adoção do Confiança Zero — Impedir ou reduzir danos comerciais de uma falha de segurança.
Pista de natação 3 – Identificar e proteger dados empresariais confidenciais
Implemente Proteção de Informações do Microsoft Purview para o ajudar a descobrir, classificar e proteger informações confidenciais onde quer que estejam ou viajem.
Proteção de Informações do Microsoft Purview capacidades estão incluídas no Microsoft Purview e fornecem-lhe as ferramentas para conhecer os seus dados, proteger os seus dados e evitar a perda de dados. Pode começar este trabalho em qualquer altura.
Proteção de Informações do Microsoft Purview fornece uma arquitetura, processo e capacidades que pode utilizar para atingir os seus objetivos empresariais específicos.
Para obter mais informações sobre como planear e implementar a proteção de informações, veja Implementar uma solução de Proteção de Informações do Microsoft Purview.
Leia mais sobre como identificar e proteger dados empresariais confidenciais na estrutura de adoção do Confiança Zero — Identificar e proteger dados empresariais confidenciais.
Pista de natação 4 – Proteger aplicações e dados de IA
O Microsoft 365 inclui capacidades para ajudar as organizações a proteger rapidamente as aplicações de IA e os dados que estas utilizam.
Comece por utilizar o Purview Gerenciamento da Postura de Segurança de Dados (DSPM) para IA. Esta ferramenta centra-se na forma como a IA é utilizada na sua organização, especialmente os dados confidenciais que interagem com as ferramentas de IA. DSPM para IA fornece informações mais aprofundadas sobre o Microsoft Copilots e aplicações SaaS de terceiros, como ChatGPT Enterprise e Google Gemini.
O diagrama seguinte mostra uma das vistas agregadas sobre o impacto da utilização de IA nos seus dados : Interações confidenciais por aplicação de IA gerada.
Utilize DSPM para IA para:
- Obtenha visibilidade sobre a utilização de IA, incluindo dados confidenciais.
- Reveja as avaliações de dados para saber mais sobre as lacunas na partilha excessiva que podem ser mitigadas com controlos de partilha excedido do SharePoint.
- Encontre lacunas na cobertura da política para etiquetas de confidencialidade e políticas de prevenção de perda de dados (DLP).
Defender para Aplicativos de Nuvem é outra ferramenta poderosa para detetar e governar as aplicações e a utilização do SaaS GenAI. Defender para Aplicativos de Nuvem inclui mais de mil aplicações geradoras relacionadas com IA no catálogo, fornecendo visibilidade sobre como as aplicações de IA geradas são utilizadas na sua organização e ajudando-o a geri-las de forma segura.
Além destas ferramentas, o Microsoft 365 fornece um conjunto abrangente de capacidades para proteger e governar a IA. Veja Descobrir, proteger e governar aplicações e dados de IA para saber como começar a utilizar estas capacidades.
A tabela seguinte lista as capacidades do Microsoft 365 com ligações para mais informações na biblioteca Segurança para IA.
Pista de natação 5 – Cumprir os requisitos regulamentares e de conformidade
Independentemente da complexidade do ambiente de TI da sua organização ou da dimensão da sua organização, os novos requisitos regulamentares que podem afetar a sua empresa estão continuamente a aumentar. Uma abordagem Confiança Zero excede frequentemente alguns tipos de requisitos impostos pelos regulamentos de conformidade, por exemplo, aqueles que controlam o acesso aos dados pessoais. As organizações que implementaram uma abordagem Confiança Zero podem descobrir que já cumprem algumas novas condições ou podem facilmente basear-se na sua arquitetura Confiança Zero para estarem em conformidade.
O Microsoft 365 inclui capacidades para ajudar na conformidade regulamentar, incluindo:
- Gerenciador de Conformidade
- Explorador de conteúdo
- Políticas de retenção, etiquetas de confidencialidade e políticas DLP
- Conformidade de comunicações
- Gerenciamento do ciclo de vida de dados
- Gerenciamento de risco de privacidade Priva
Utilize os seguintes recursos para cumprir os requisitos regulamentares e de conformidade.
| Recurso | Mais informações |
|---|---|
| Confiança Zero adoção – Cumprir os requisitos regulamentares e de conformidade | Descreve uma abordagem metódica que a sua organização pode seguir, incluindo definir estratégia, planeamento, adoção e governação. |
| Governar aplicações e dados de IA para conformidade regulamentar | Resolve a conformidade regulamentar dos regulamentos relacionados com IA emergentes, incluindo capacidades específicas que ajudam. |
| Gerir a privacidade dos dados e a proteção de dados com o Microsoft Priva e o Microsoft Purview | Avalie os riscos e tome as medidas adequadas para proteger os dados pessoais no ambiente da sua organização com o Microsoft Priva e o Microsoft Purview. |
Próximas etapas
Saiba mais sobre Confiança Zero ao visitar o centro de orientação Confiança Zero.