Compartilhar via

Políticas recomendadas para cargas de trabalho específicas do Microsoft 365

Depois de configurar as políticas de segurança comuns para a Confiança Zero em sua organização do Microsoft 365, você precisará definir políticas e configurações extras para aplicativos e cargas de trabalho específicos com base nos três princípios orientadores da Confiança Zero:

  • Verificação explícita
  • Utilizar menos privilégios
  • Presumir violação

As políticas e configurações extras para aplicativos e cargas de trabalho específicos são descritas neste artigo.

Dica

Se possível, teste suas políticas em um ambiente de não produção antes de distribuí-las aos usuários de produção. O teste é fundamental para identificar e comunicar quaisquer possíveis efeitos aos usuários.

Recomendações do Microsoft Copilot para Confiança Zero

Para obter mais informações, consulte Use a segurança de Confiança Zero para se preparar para companheiros de IA, incluindo o Microsoft Copilots.

Recomendações do Exchange Online para Confiança Zero

Esta seção descreve as configurações recomendadas para Confiança Zero no Exchange Online.

Verifique se o encaminhamento automático de email para destinatários externos está desabilitado

Por padrão, as políticas de spam de saída na Proteção do Exchange Online (EOP) bloqueiam o encaminhamento automático de email para destinatários externos feitos por regras de caixa de entrada ou por encaminhamento de caixa de correio (também conhecido como encaminhamento SMTP). Para obter mais informações, consulte Controlar o reencaminhamento automático de e-mails externos no Microsoft 365.

Em todas as políticas de spam de saída, verifique se o valor da configuração de regras de encaminhamento automático é Automático – controlado pelo sistema (o valor padrão) ou Desativado – o encaminhamento está desabilitado. Ambos os valores bloqueiam o encaminhamento automático de email para destinatários externos pelos usuários afetados. Uma política padrão se aplica a todos os usuários e os administradores podem criar políticas personalizadas que se aplicam a grupos específicos de usuários. Para obter mais informações, consulte Configurar políticas de spam de saída no EOP.

Bloquear clientes do Exchange ActiveSync

O Exchange ActiveSync é um protocolo de cliente que sincroniza dados de email e calendário em dispositivos móveis e desktop. Bloqueie o acesso ao email da empresa por clientes ActiveSync inseguros, conforme descrito nos seguintes procedimentos:

  • Dispositivos móveis: para bloquear o acesso de email dos seguintes tipos de dispositivos móveis, crie a política de Acesso Condicional descrita em Exigir aplicativos aprovados ou políticas de proteção de aplicativo:

    • Clientes ActiveSync que usam autenticação básica.
    • Clientes ActiveSync que dão suporte à autenticação moderna, mas não às políticas de proteção de aplicativo do Intune.
    • Dispositivos que dão suporte a políticas de proteção de aplicativo do Intune, mas não são definidos em uma política de proteção de aplicativo. Para obter mais informações, consulte Exigir uma política de proteção de aplicativo.

    Dica

    Recomendamos o Microsoft Outlook para iOS e Android como o aplicativo para acessar o e-mail da empresa de dispositivos iOS/iPadOS e Android.

  • Computadores e outros dispositivos: para bloquear todos os clientes ActiveSync que usam autenticação básica, crie a política de Acesso Condicional descrita no Block Exchange ActiveSync em todos os dispositivos.

Limitar o acesso a anexos de email no Outlook na Web e no novo Outlook para Windows

Você pode restringir como os usuários em dispositivos não gerenciados podem interagir com anexos de email no Outlook na Web (anteriormente conhecido como Outlook Web App ou OWA) e no novo Outlook para Windows:

  • Impedir que os usuários baixem anexos de email. Eles podem exibir e editar esses arquivos usando o Office Online sem vazar e armazenar os arquivos no dispositivo.
  • Impedir que os usuários vejam anexos.

Você impõe essas restrições usando o Outlook nas políticas de caixa de correio da Web. As organizações do Microsoft 365 com caixas de correio do Exchange Online possuem a política de caixa de correio do Outlook na Web padrão integrada, chamada OwaMailboxPolicy-Default. Por padrão, essa política é aplicada a todos os usuários. Os administradores também podem criar políticas personalizadas que se aplicam a grupos específicos de usuários.

Estas são as etapas para limitar o acesso a anexos de email em dispositivos não gerenciados:

  1. Conectar-se ao Exchange Online PowerShell.

  2. Para ver as políticas disponíveis do Outlook na caixa de correio da Web, execute o seguinte comando:

    Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy

  3. Use a sintaxe a seguir para limitar o acesso a anexos de email no Outlook na Web e o novo Outlook para Windows em dispositivos não gerenciados:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy <ReadOnly | ReadOnlyPlusAttachmentsBlocked>

    Este exemplo permite exibir, mas não baixar anexos na política padrão.

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly

    Este exemplo bloqueia a exibição de anexos na política padrão.

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

  4. Na página Acesso Condicional | Visão geral no centro de administrações do Microsoft Entra em https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Overview, , crie uma política de Acesso Condicional, com estas configurações:

    • Seção Atribuições :
      • Usuários: selecione os usuários e grupos apropriados para incluir e excluir nas guias Incluir e Excluir.
      • Recursos de destino: Selecione a que esta política se aplica>Recursos (anteriormente conhecidos como aplicativos de nuvem)>Incluir guia >Selecionar recursos>Selecionar> localizar e selecionar Office 365 Exchange Online.
    • Seção Controles de acesso: Sessão> selecione Usar restrições impostas pelo aplicativo.
    • Seção Habilitar política: selecione Ativar.

Configurar a criptografia de mensagens

Com a Criptografia de Mensagens do Microsoft Purview, que usa recursos de proteção na Proteção de Informações do Azure, sua organização pode compartilhar facilmente emails protegidos com qualquer pessoa em qualquer dispositivo. Os usuários podem enviar e receber mensagens protegidas com outras organizações que usam o Microsoft 365, Outlook.com, Gmail e outros serviços de email.

Para obter mais informações, consulte Configurar Criptografia de Mensagens.

Recomendações do SharePoint para Confiança Zero

Esta seção descreve as configurações recomendadas para Confiança Zero no SharePoint.

Configurar o controle de acesso do SharePoint para limitar o acesso por dispositivos não gerenciados

Dica

As configurações nesta seção exigem o Microsoft Entra ID P1 ou P2. Para obter mais informações, consulte os planos e preços do Microsoft Entra.

Quando você configura o controle de acesso para dispositivos não gerenciados no SharePoint, uma política de Acesso Condicional correspondente para impor o nível de acesso é criada automaticamente na ID do Microsoft Entra. Essa configuração em toda a organização se aplica a todos os usuários, mas afeta apenas o acesso a sites incluídos especificamente no controle de acesso do SharePoint.

Em particular, você precisa incluir sites no controle de acesso do SharePoint que usam segurança corporativa ou especializada para Confiança Zero, conforme descrito nas seguintes etapas:

  1. Configure Permitir acesso limitado somente à Web ou bloquear o acesso para dispositivos não gerenciados no controle de acesso do SharePoint. Essa configuração se aplica a todos os usuários, mas não afeta seu acesso a sites em que eles já têm permissões de site, a menos que o site esteja incluído no controle de acesso do SharePoint (a próxima etapa).

    Dica

    O acesso no nível do site não pode ser mais permissivo do que a configuração de controle de acesso da organização. Por exemplo, selecione Permitir acesso limitado somente à Web para dispositivos não gerenciados no controle de acesso em toda a organização para que você possa usar AllowLimitedAccess ou BlockAccess em sites específicos. Se você selecionar Bloquear o acesso a dispositivos não gerenciados no controle de acesso em toda a organização, não poderá usar AllowLimitedAccess em sites específicos (só BlockAccess está disponível).

  2. Conecte-se ao PowerShell do SharePoint Online e use o parâmetro ConditionalAccessPolicy no cmdlet Set-SPOSite para incluir o site no controle de acesso do SharePoint para dispositivos não gerenciados:

    • Sites empresariais: use o valor AllowLimitedAccess para impedir que os usuários em dispositivos não gerenciados baixem, imprimam ou sincronizem arquivos.
    • Sites de segurança especializados: use o valor BlockAccess para bloquear o acesso de dispositivos não gerenciados.

    Para obter instruções, consulte Bloquear ou limitar o acesso a um site específico do SharePoint ou oneDrive

Tradicionalmente, os proprietários de sites gerenciam as permissões dos sites do SharePoint com base na necessidade de acesso ao site. Configurar o controle de acesso do SharePoint para dispositivos não gerenciados no nível da organização e do site garante uma proteção consistente para esses sites com base no nível de proteção de Confiança Zero.

Considere os seguintes sites de exemplo na organização Contoso. O controle de acesso do SharePoint para dispositivos não gerenciados é configurado no nível permitir acesso limitado, somente na Web para a organização:

  • O site da equipe de análise configurado com a proteção corporativa: o site está configurado com AllowLimitedAccess para dispositivos não gerenciados no controle de acesso do SharePoint. Os usuários com permissões de site têm acesso somente pelo navegador ao site em dispositivos não gerenciados. Eles podem acessar o site usando outros aplicativos em dispositivos gerenciados.
  • O site de segredos comerciais é configurado com proteção de segurança especializada.: o site é configurado com Block para dispositivos não gerenciados no controle de acesso do SharePoint. Os usuários com permissões de site são impedidos de acessar o site em dispositivos não gerenciados. Eles podem acessar o site somente em dispositivos gerenciados.

Recomendações do Microsoft Teams para Confiança Zero

Esta seção descreve as configurações recomendadas para Confiança Zero no Microsoft Teams.

Arquitetura dos serviços dependentes do Teams

O diagrama no Microsoft Teams e serviços de produtividade relacionados no Microsoft 365 para arquitetos de TI ilustra os serviços usados pelo Microsoft Teams.

Acesso externo e de convidados para o Microsoft Teams

O Microsoft Teams define os seguintes tipos de acesso para usuários fora da organização:

  • Acesso de convidado: usa uma conta do Microsoft Entra B2B para cada usuário que pode ser adicionado como membro de uma equipe. O acesso de convidado permite acesso aos recursos do Teams e interação com usuários internos em conversas em grupo, chats e reuniões.

    Para obter mais informações sobre o acesso de convidados e como implementá-lo, consulte Acesso de convidado no Microsoft Teams.

  • Acesso externo: usuários de fora da organização que não têm contas do Microsoft Entra B2B. O acesso externo pode incluir convites e participação em chamadas, chats e reuniões, mas não inclui associação de equipe ou acesso aos recursos da equipe. O acesso externo é uma maneira de os usuários do Teams em um domínio externo localizarem, ligarem, conversarem e configurarem reuniões no Teams com usuários em sua organização.

    Os administradores do Teams podem usar políticas personalizadas para configurar o acesso externo para a organização, grupos de usuários ou usuários individuais. Para obter mais informações, consulte Administradores de TI – Gerenciar reuniões externas e conversar com pessoas e organizações usando identidades da Microsoft.

Os usuários de acesso externo têm menos acesso e funcionalidade do que os usuários de acesso de convidado. Por exemplo, os usuários de acesso externo podem conversar com usuários internos usando o Teams, mas não podem acessar canais de equipe, arquivos ou outros recursos.

As políticas de Acesso Condicional se aplicam somente aos usuários de acesso de convidado no Teams porque há contas correspondentes do Microsoft Entra B2B. O acesso externo não usa contas do Microsoft Entra B2B e, portanto, não pode usar políticas de Acesso Condicional.

Para obter políticas recomendadas para permitir o acesso com uma conta do Microsoft Entra B2B, consulte Políticas para permitir acesso à conta B2B externa e de convidado.

Recomendações de aplicativo SaaS para Confiança Zero

O Microsoft Defender para Aplicativos de Nuvem baseia-se em políticas de Acesso Condicional do Microsoft Entra para habilitar o monitoramento e o controle em tempo real de ações granulares com aplicativos SaaS (software como serviço), como bloqueio de downloads, uploads, cópia/colagem e impressão. Esse recurso adiciona segurança a sessões que têm risco inerente, como quando recursos corporativos são acessados de dispositivos não gerenciados ou por convidados.

Para obter mais informações, consulte Integrar aplicativos SaaS para Confiança Zero com o Microsoft 365.