Introdução à implantação de autenticação sem senha resistente a phishing no Microsoft Entra ID
As senhas são o principal vetor de ataque para adversários modernos e uma fonte de atrito para usuários e administradores. Como parte de uma estratégia geral de segurança Zero Trust, a Microsoft recomenda mudar para a ausência de senha resistente a phishing em sua solução de autenticação. Este guia ajuda você a selecionar, preparar e implantar as credenciais sem senha resistentes a phishing certas para sua organização. Use este guia para planejar e executar seu projeto sem senha resistente a phishing.
Recursos como a autenticação multifator (MFA) são uma ótima maneira de proteger sua organização. Mas os usuários muitas vezes ficam frustrados com a camada de segurança extra em cima de sua necessidade de lembrar senhas. Os métodos de autenticação sem senha resistentes a phishing são mais convenientes. Por exemplo, uma análise das contas de consumidor da Microsoft mostra que o início de sessão com uma palavra-passe pode demorar até 9 segundos, em média, mas as chaves de acesso demoram apenas cerca de 3 segundos na maioria dos casos. A velocidade e a facilidade de entrada por chave de acesso são ainda maiores quando comparadas com a senha tradicional e o login MFA. Os usuários de chave de acesso não precisam se lembrar de sua senha ou esperar por mensagens SMS.
Nota
Estes dados baseiam-se na análise dos inícios de sessão na conta de consumidor da Microsoft.
Os métodos sem senha resistentes a phishing também têm segurança extra. Eles contam automaticamente como MFA usando algo que o usuário tem (um dispositivo físico ou chave de segurança) e algo que o usuário sabe ou é, como uma biométrica ou PIN. E, ao contrário do MFA tradicional, os métodos sem senha resistentes a phishing desviam os ataques de phishing contra seus usuários usando credenciais apoiadas por hardware que não podem ser facilmente comprometidas.
O Microsoft Entra ID oferece as seguintes opções de autenticação sem senha resistentes a phishing:
- Chaves de acesso (FIDO2)
- Windows Hello para empresas
- Credencial da plataforma para macOS (visualização)
- Chaves de acesso do aplicativo Microsoft Authenticator (visualização)
- Chaves de segurança FIDO2
- Outras chaves de acesso e fornecedores, como o Porta-chaves iCloud - no roteiro
- Autenticação baseada em certificados/cartões inteligentes
Pré-requisitos
Antes de iniciar seu projeto de implantação sem senha resistente a phishing do Microsoft Entra, preencha estes pré-requisitos:
- Rever os requisitos de licença
- Revise as funções necessárias para executar ações privilegiadas
- Identificar as equipes de partes interessadas que precisam colaborar
Requisitos de licença
O registro e o login sem senha com o Microsoft Entra não exigem uma licença, mas recomendamos pelo menos uma licença do Microsoft Entra ID P1 para o conjunto completo de recursos associados a uma implantação sem senha. Por exemplo, uma licença do Microsoft Entra ID P1 ajuda você a impor o login sem senha por meio do Acesso Condicional e acompanhar a implantação com um relatório de atividade do método de autenticação. Consulte as diretrizes de requisitos de licenciamento para recursos mencionados neste guia para obter os requisitos de licenciamento específicos.
Integre aplicativos com o Microsoft Entra ID
O Microsoft Entra ID é um serviço de Gerenciamento de Identidade e Acesso (IAM) baseado em nuvem que se integra a muitos tipos de aplicativos, incluindo aplicativos de Software como Serviço (SaaS), aplicativos de linha de negócios (LOB), aplicativos locais e muito mais. Você precisa integrar seus aplicativos com o Microsoft Entra ID para obter o máximo benefício de seu investimento em autenticação sem senha e resistente a phishing. À medida que integra mais aplicações com o Microsoft Entra ID, pode proteger mais do seu ambiente com políticas de Acesso Condicional que impõem a utilização de métodos de autenticação resistentes a phishing. Para saber mais sobre como integrar aplicativos com o Microsoft Entra ID, consulte Cinco etapas para integrar seus aplicativos com o Microsoft Entra ID.
Ao desenvolver seus próprios aplicativos, siga as orientações do desenvolvedor para oferecer suporte à autenticação sem senha e resistente a phishing. Para obter mais informações, consulte Suporte à autenticação sem senha com chaves FIDO2 em aplicativos que você desenvolve.
Funções necessárias
A tabela a seguir lista os requisitos de função menos privilegiados para implantação sem senha resistente a phishing. Recomendamos que você habilite a autenticação sem senha resistente a phishing para todas as contas privilegiadas.
| Função do Microsoft Entra | Description |
|---|---|
| Administrador de Utilizadores | Para implementar a experiência de registo combinada |
| Administrador de autenticação | Para implementar e gerenciar métodos de autenticação |
| Administrador de políticas de autenticação | Para implementar e gerenciar a política de métodos de autenticação |
| User | Para configurar o aplicativo Authenticator no dispositivo; para inscrever o dispositivo de chave de segurança para entrada na Web ou no Windows 10/11 |
Equipas de partes interessadas do cliente
Para garantir o sucesso, certifique-se de que você se envolve com as partes interessadas certas e que elas entendem suas funções antes de começar seu planejamento e implementação. A tabela a seguir lista as equipes de partes interessadas comumente recomendadas.
| Equipa de stakeholders | Description |
|---|---|
| Gerenciamento de identidade e acesso (IAM) | Gerencia as operações diárias do sistema IAM |
| Arquitetura de Segurança da Informação | Planeia e desenha as práticas de segurança da informação da organização |
| Operações de Segurança da Informação | Executa e monitora práticas de segurança da informação para a arquitetura de segurança da informação |
| Garantia de Segurança e Auditoria | Ajuda a garantir que os processos de TI sejam seguros e compatíveis. Eles realizam auditorias regulares, avaliam riscos e recomendam medidas de segurança para mitigar as vulnerabilidades identificadas e melhorar a postura geral de segurança. |
| Help Desk e Suporte | Auxilia os usuários finais que encontram problemas durante implantações de novas tecnologias e políticas ou quando ocorrem problemas |
| Comunicações com o utilizador final | Alterações de mensagens para usuários finais em preparação para ajudar a impulsionar implementações de tecnologia voltadas para o usuário |
Próximos passos
Implantar uma implantação de autenticação sem senha resistente a phishing no Microsoft Entra ID