Trabalho de pré-requisito para implementar políticas de acesso de identidade e dispositivo Confiança Zero
Este artigo descreve os pré-requisitos que os administradores devem atender para usar políticas recomendadas Confiança Zero identidade e acesso ao dispositivo e usar o Acesso Condicional. Ele também discute os padrões recomendados para configurar plataformas cliente para a melhor experiência de SSO (logon único).
Pré-requisitos
Antes de usar as políticas Confiança Zero identidade e acesso ao dispositivo recomendadas, sua organização precisa atender aos pré-requisitos. Os requisitos são diferentes para os vários modelos de identidade e autenticação listados:
- Apenas na nuvem
- Autenticação Híbrida com PHS (sincronização de hash de senha)
- Híbrido com autenticação de passagem (PTA)
- Federado
A tabela a seguir detalha os recursos de pré-requisito e sua configuração que se aplicam a todos os modelos de identidade, exceto quando observados.
| Configuração | Exceções | Licenciamento |
|---|---|---|
| Configurar o PHS. Esse recurso deve ser habilitado para detectar credenciais vazadas e agir sobre elas para acesso condicional baseado em risco. Nota: Isso é necessário independentemente de sua organização usar a autenticação federada. | Apenas na nuvem | Microsoft 365 E3 ou E5 |
| Habilite o logon único contínuo para conectar automaticamente os usuários quando eles estiverem em seus dispositivos de organização conectados à rede da sua organização. | Somente nuvem e federado | Microsoft 365 E3 ou E5 |
| Configure locais nomeados. Microsoft Entra ID Protection coleta e analisa todos os dados de sessão disponíveis para gerar uma pontuação de risco. Recomendamos que você especifique os intervalos de IP públicos da sua organização para sua rede na configuração Microsoft Entra ID locais nomeados. O tráfego proveniente desses intervalos recebe uma pontuação de risco reduzida, e o tráfego de fora do ambiente da organização recebe uma pontuação de risco maior. | Microsoft 365 E3 ou E5 | |
| Registre todos os usuários para SSPR (redefinição de senha de autoatendimento) e MFA (autenticação multifator). Recomendamos registrar usuários para Microsoft Entra autenticação multifator com antecedência. Microsoft Entra ID Protection usa Microsoft Entra autenticação multifator para executar verificação de segurança adicional. Além disso, para obter a melhor experiência de entrada, recomendamos que os usuários instalem o aplicativo Microsoft Authenticator e o aplicativo microsoft Portal da Empresa em seus dispositivos. Elas podem ser instaladas na loja de aplicativos para cada plataforma. | Microsoft 365 E3 ou E5 | |
| Planeje sua Microsoft Entra implementação de junção híbrida. O Acesso Condicional garantirá que os dispositivos que se conectam a aplicativos sejam ingressados no domínio ou em conformidade. Para dar suporte a isso em computadores Windows, o dispositivo deve ser registrado com Microsoft Entra ID. Este artigo discute como configurar o registro de dispositivo automático. | Apenas na nuvem | Microsoft 365 E3 ou E5 |
| Preparar sua equipe de suporte. Tenha um plano em vigor para os usuários que não podem concluir a MFA. Isso pode estar adicionando-os a um grupo de exclusão de políticas ou registrando novas informações de MFA para eles. Antes de fazer qualquer uma dessas alterações sensíveis à segurança, você precisa garantir que o usuário real esteja fazendo a solicitação. Exigir que os gerentes dos usuários ajudem na aprovação é uma etapa eficaz. | Microsoft 365 E3 ou E5 | |
| Configurar o write-back de senha para o AD local. O writeback de senha permite que Microsoft Entra ID exija que os usuários alterem suas senhas locais quando um compromisso de conta de alto risco é detectado. Você pode habilitar esse recurso usando Microsoft Entra Conectar de duas maneiras: habilitar o Writeback de Senha na tela de recursos opcionais do Microsoft Entra Instalação do Connect ou habilitá-lo por meio de Windows PowerShell. | Apenas na nuvem | Microsoft 365 E3 ou E5 |
| Configure Microsoft Entra proteção de senha. Microsoft Entra Proteção de Senha detecta e bloqueia senhas fracas conhecidas e suas variantes e também pode bloquear termos fracos adicionais específicos para sua organização. As listas de senhas proibidas globais padrão são aplicadas automaticamente a todos os usuários em um locatário Microsoft Entra. Você pode definir entradas adicionais em uma lista de senhas proibidas personalizadas. Quando os usuários alteram ou redefinem suas senhas, essas listas de senhas proibidas são verificadas para garantir o uso de senhas fortes. | Microsoft 365 E3 ou E5 | |
| Habilitar Microsoft Entra ID Protection. Microsoft Entra ID Protection permite detectar possíveis vulnerabilidades que afetam as identidades da sua organização e configurar uma política de correção automatizada para risco de usuário e risco de entrada baixo, médio e alto. | Microsoft 365 E5 ou Microsoft 365 E3 com o complemento de segurança do E5 | |
| Habilite a autenticação moderna para Exchange Online e para Skype for Business Online. A autenticação moderna é um pré-requisito para o uso de MFA. A autenticação moderna é habilitada por padrão para clientes do Office 2016 e 2019, SharePoint e OneDrive for Business. | Microsoft 365 E3 ou E5 | |
| Habilitar a avaliação de acesso contínuo para Microsoft Entra ID. A avaliação de acesso contínuo encerra proativamente as sessões ativas do usuário e impõe alterações na política de locatário quase em tempo real. | Microsoft 365 E3 ou E5 |
Configurações de cliente recomendadas
Esta seção descreve as configurações padrão do cliente da plataforma que recomendamos para fornecer a melhor experiência de SSO para seus usuários, bem como os pré-requisitos técnicos para acesso condicional.
Dispositivos Windows
Recomendamos Windows 11 ou Windows 10 (versão 2004 ou posterior), pois o Azure foi projetado para fornecer a experiência de SSO mais suave possível para Microsoft Entra ID e locais. Dispositivos emitidos pela escola ou de trabalho devem ser configurados para ingressar Microsoft Entra ID diretamente ou se a organização usar a junção de domínio do AD local, esses dispositivos devem ser configurados para se registrar automaticamente e silenciosamente com Microsoft Entra ID.
Para dispositivos BYOD Windows, os usuários podem usar Adicionar conta de trabalho ou de estudante. Observe que os usuários do navegador Google Chrome em dispositivos Windows 11 ou Windows 10 precisam instalar uma extensão para obter a mesma experiência de entrada suave que os usuários do Microsoft Edge. Além disso, se sua organização tiver dispositivos Windows 8 ou 8.1 ingressados no domínio, você poderá instalar o Microsoft Workplace Join para computadores não Windows 10. Baixe o pacote para registrar os dispositivos com Microsoft Entra ID.
Dispositivos iOS
Recomendamos instalar o aplicativo Microsoft Authenticator em dispositivos de usuário antes de implantar políticas de Acesso Condicional ou MFA. No mínimo, o aplicativo deve ser instalado quando os usuários forem solicitados a registrar seu dispositivo com Microsoft Entra ID adicionando uma conta corporativa ou escolar ou quando instalarem o aplicativo do portal da empresa Intune para registrar seu dispositivo no gerenciamento. Isso depende da política de acesso condicional configurada.
Dispositivos Android
Recomendamos que os usuários instalem o aplicativo Portal da Empresa do Intune e o aplicativo Microsoft Authenticator antes que as políticas de Acesso Condicional sejam implantadas ou quando necessárias durante determinadas tentativas de autenticação. Após a instalação do aplicativo, os usuários podem ser solicitados a se registrar com Microsoft Entra ID ou registrar seu dispositivo com Intune. Isso depende da política de acesso condicional configurada.
Também recomendamos que dispositivos de propriedade da organização sejam padronizados em OEMs e versões que dão suporte ao Android for Work ou ao Samsung Knox para permitir contas de email, sejam gerenciados e protegidos por Intune política de MDM.
Clientes de email recomendados
Os clientes de email a seguir dão suporte à autenticação moderna e ao acesso condicional.
| Plataforma | Cliente | Versão/Notas |
|---|---|---|
| Windows | Outlook | 2019, 2016 |
| iOS | Outlook para iOS | Mais recente |
| Android | Outlook para Android | Mais recente |
| macOS | Outlook | 2019 e 2016 |
| Linux | Sem suporte |
Plataformas de cliente recomendadas ao proteger documentos
Os clientes a seguir são recomendados quando uma política de documentos seguros é aplicada.
| Plataforma | Word/Excel/PowerPoint | OneNote | Aplicativo OneDrive | Aplicativo do SharePoint | Cliente de sincronização do OneDrive |
|---|---|---|---|---|---|
| Windows 11 ou Windows 10 | Com suporte | Com suporte | N/D | N/D | Com suporte |
| Windows 8.1 | Com suporte | Com suporte | N/D | N/D | Com suporte |
| Android | Com suporte | Com suporte | Com suporte | Com suporte | N/D |
| iOS | Com suporte | Com suporte | Com suporte | Com suporte | N/D |
| macOS | Com suporte | Com suporte | N/D | N/D | Sem suporte |
| Linux | Sem suporte | Sem suporte | Sem suporte | Sem suporte | Sem suporte |
Suporte ao aplicativo cliente do Microsoft 365
Para obter mais informações sobre o suporte ao cliente no Microsoft 365, confira os seguintes artigos:
- Suporte ao aplicativo cliente do Microsoft 365 – Acesso condicional
- Suporte ao aplicativo cliente do Microsoft 365 – autenticação multifator
Proteger contas de administrador
Para Microsoft 365 E3 ou E5 ou com licenças P1 ou P2 Microsoft Entra ID separadas, você pode exigir MFA para contas de administrador com uma política de Acesso Condicional criada manualmente. Consulte Acesso Condicional: exigir MFA para administradores para obter os detalhes.
Para edições do Microsoft 365 ou Office 365 que não dão suporte ao Acesso Condicional, você pode habilitar padrões de segurança para exigir MFA para todas as contas.
Aqui estão algumas recomendações adicionais:
- Use Microsoft Entra Privileged Identity Management para reduzir o número de contas administrativas persistentes.
- Use o gerenciamento de acesso privilegiado para proteger sua organização contra violações que podem usar contas de administrador privilegiado existentes com acesso permanente a dados confidenciais ou acesso a configurações críticas.
- Create e use contas separadas que recebem funções de administrador do Microsoft 365somente para administração. Os administradores devem ter sua própria conta de usuário para uso regular não administrativo e usar apenas uma conta administrativa quando necessário para concluir uma tarefa associada à função ou função de trabalho.
- Siga as melhores práticas para proteger contas privilegiadas em Microsoft Entra ID.
Próxima etapa
Configurar as políticas comuns Confiança Zero identidade e acesso ao dispositivo
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de