Etapa 1. Aumentar a segurança de entrada para funcionários híbridos com a MFA
Para aumentar a segurança das entradas dos seus trabalhadores híbridos, use a autenticação multifator (MFA). A MFA exige que as entradas do usuário estejam sujeitas a uma verificação adicional, além da senha da conta do usuário. Mesmo que um usuário mal-intencionado determine uma senha de conta de usuário, ele também deverá responder a uma verificação adicional, como uma mensagem de texto enviada a um smartphone antes do acesso ser concedido.
Para todos os usuários, incluindo funcionários híbridos e especialmente administradores, a Microsoft fortemente recomenda a MFA.
Há três maneiras de exigir que seus usuários usem a MFA com base no seu plano do Microsoft 365.
| Plano | Recomendação |
|---|---|
| Planos do Microsoft 365 (sem licenças do Microsoft Azure AD Premium P1 ou P2) | Habilitar os padrões de segurança no Microsoft Azure Active Directory. Os padrões de segurança no Microsoft Azure Active Directory incluem a MFA para usuários e administradores. |
| Microsoft 365 E3 (inclui licenças do Azure AD Premium P1) | Use políticas de Acesso Condicional Comuns para configurar as seguintes políticas: - Exigir MFA para administradores - Exigir MFA para todos os usuários - Bloquear autenticação herdada |
| Microsoft 365 E5 (inclui licenças do Azure AD Premium P2) | Aproveitando o recurso no Azure Active Directory, comece a implementar o conjunto recomendado da Microsoft de Acesso Condicional e políticas relacionadas como: - Exigir MFA quando o risco de entrada é médio ou alto. - Bloquear clientes que não dão suporte à autenticação moderna. – Exigir que usuários de alto risco alterem sua senha. |
Padrões de segurança
Os padrões de segurança são um novo recurso para assinaturas pagas ou de avaliação do Microsoft 365 e Office 365 criadas após 21 de outubro de 2019. Essas assinaturas têm padrões de segurança ativados, o que exige que todos os usuários usem o MFA com o aplicativo Microsoft Authenticator.
Os usuários têm 14 dias para se registrar na MFA com o aplicativo Microsoft Authenticator em seus smartphones, que começa na primeira vez em que eles entram depois de os padrões de segurança terem sido habilitados. Após 14 dias, o usuário não poderá entrar até que o registro da MFA seja concluído.
Os padrões de segurança garantem que todas as organizações tenham um nível básico de segurança para a entrada do usuário, que é habilitado por padrão. Você pode desativar os padrões de segurança em favor da MFA com políticas de Acesso Condicional ou para contas individuais.
Para obter mais informações, confira esta visão geral dos padrões de segurança.
Políticas de Acesso Condicional
As políticas de acesso condicional são um conjunto de regras que especificam as condições sob as quais as entradas são avaliadas e permitidas. Por exemplo, você pode criar uma política de acesso condicional que declare:
- Se o nome da conta de usuário for membro de um grupo para usuários a quem são atribuídas as funções de administrador do Exchange, de usuário, de senha, de segurança, do SharePoint ou global, exija a MFA antes de permitir o acesso.
Essa política permite exigir a MFA com base na associação ao grupo, em vez de tentar configurar contas de usuário individuais para a MFA quando elas são atribuídas ou não a essas funções de administrador.
Você também pode usar políticas de Acesso Condicional para recursos mais avançados, como exigir que a entrada seja feita a partir de um dispositivo compatível, como seu laptop executando Windows 11 ou 10.
O Acesso Condicional requer as licenças do Microsoft Azure AD Premium P1, incluídas no Microsoft 365 E3 e E5.
Para mais informações, confira esta visão geral do Acesso Condicional.
Suporte ao Azure AD Identity Protection
Com o Azure AD Identity Protection, é possível criar uma política de acesso condicional adicional que declara:
- Se o risco de entrada for determinado como médio ou alto, exija a MFA.
A Azure Active Directory Identity Protection requer as licenças do Microsoft Azure AD Premium P2, incluídas no Microsoft 365 E5.
Para mais informações, confira Acesso Condicional com base no risco.
Com o Azure AD Identity Protection, você também pode criar uma política para exigir que seus usuários se registrem no MFA. Para obter mais informações, confira Configurar a política de registro de Autenticação Multifator do Microsoft Azure Active Directory
Usando esses métodos juntos
Lembre-se do seguinte:
- Você não pode habilitar os padrões de segurança se tiver alguma política de Acesso Condicional ativada.
- Você não pode habilitar nenhuma política de Acesso Condicional se tiver os padrões de segurança habilitados.
Se os padrões de segurança estiverem ativados, todos os novos usuários serão solicitados a fazer o registro da MFA e usar o aplicativo Microsoft Authenticator.
Esta tabela mostra os resultados da habilitação da MFA com padrões de segurança e políticas de Acesso Condicional.
| Método | Habilitado | Desabilitado | Método de autenticação adicional |
|---|---|---|---|
| Padrões de segurança | Não é possível usar políticas de Acesso Condicional | Pode usar políticas de Acesso Condicional | Aplicativo Microsoft Authenticator |
| Políticas de Acesso Condicional | Se alguma delas estiver habilitada, você não poderá habilitar os padrões de segurança | Se todas estiverem desabilitadas, você poderá habilitar os padrões de segurança | Especificado pelo usuário durante o registro da MFA |
Permitir que os usuários redefinam suas próprias senhas
O Autoatendimento de Redefinição de Senha (SSPR) permite que os usuários redefinam suas próprias senhas, sem afetar a equipe de TI. Os usuários podem redefinir suas senhas rapidamente a qualquer momento e em qualquer lugar. Para obter mais informações, consulte Planejar a implantação de um autoatendimento do Microsoft Azure AD para redefinição de senha.
Entrar em aplicativos SaaS com o Azure AD
Além de fornecer autenticação na nuvem aos usuários, o Azure AD também pode ser a maneira central de proteger todos os seus aplicativos, seja no local, na nuvem da Microsoft ou em outra nuvem. Ao integrar seus aplicativos no Microsoft Azure Active Directory, você pode facilitar para os funcionários híbridos descobrirem os aplicativos de que precisam e se conectarem a eles com segurança.
Treinamento de administrador e recursos técnicos para MFA e identidade
- As 5 principais formas como o Microsoft Azure Active Directory pode ajudar você a habilitar o trabalho remoto
- Infraestrutura de identidade para o Microsoft 365
- Vídeos de treinamento do Microsoft Azure Active Directory da Azure Academy
Resultados da Etapa 1
Após a implantação da MFA, seus usuários:
- Necessitam usar a MFA para entradas.
- Concluíram o processo de registro da MFA e estão usando a MFA para todas as entradas.
- Pode usar SSPR para redefinir suas próprias senhas.
Próxima etapa
Continue com a Etapa 2 para fornecer acesso remoto a aplicativos e serviços locais.