Políticas geridas pela Microsoft

Conforme mencionado no Relatório de Defesa Digital da Microsoft em outubro de 2023

... As ameaças à paz digital reduziram a confiança na tecnologia e destacaram a necessidade urgente de melhorar as defesas cibernéticas em todos os níveis...

... na Microsoft, nossos mais de 10.000 especialistas em segurança analisam mais de 65 trilhões de sinais por dia... impulsionando alguns dos insights mais influentes em cibersegurança. Juntos, podemos construir resiliência cibernética por meio de ações inovadoras e defesa coletiva.

Como parte deste trabalho, estamos disponibilizando políticas gerenciadas pela Microsoft em locatários do Microsoft Entra em todo o mundo. Essas políticas simplificadas de Acesso Condicional tomam medidas para exigir autenticação multifator, o que um estudo recente descobriu que pode reduzir o risco de comprometimento em 99,22%.

No lançamento, a Microsoft está implantando as três políticas a seguir, nas quais nossos dados nos dizem que aumentariam a postura de segurança de uma organização:

• Autenticação multifator para administradores que acessam Portais de Administração da Microsoft
• Autenticação multifator para usuários de autenticação multifator por usuário
• Autenticação multifator e reautenticação para entradas arriscadas

Os administradores com pelo menos a função de Administrador de Acesso Condicional atribuída encontram estas políticas no centro de administração do Microsoft Entra em Políticas de Acesso>Condicional de Proteção>.

Os administradores têm a capacidade de Editar o Estado (Ativado, Desativado ou Somente Relatório) e as identidades Excluídas (Usuários, Grupos e Funções) na política. As organizações devem excluir suas contas de acesso de emergência ou quebra-vidro dessas políticas da mesma forma que excluiriam em outras políticas de Acesso Condicional.

Gorjeta

Usar o lápis Editar na parte superior para modificar a política de autenticação multifator por usuário gerenciada pela Microsoft pode resultar em um erro de falha na atualização . Para contornar esse problema, selecione Editar na seção Identidades excluídas da política.

A Microsoft habilitará essas políticas após pelo menos 90 dias após a introdução no seu locatário, se elas forem deixadas no estado Somente relatório. Os administradores podem optar por ativar essas políticas mais cedo, se desejarem.

Políticas

Essas políticas gerenciadas pela Microsoft permitem que os administradores façam modificações simples, como excluir usuários ou ativá-los ou desativá-los do modo somente relatório para ativado ou desativado, no entanto, eles não poderão renomear ou excluir as políticas gerenciadas pela Microsoft. À medida que os administradores se sentem mais confortáveis com a política de Acesso Condicional, eles podem optar por clonar a política e criar versões personalizadas.

À medida que as ameaças evoluem ao longo do tempo, a Microsoft pode alterar essas políticas no futuro para aproveitar os novos recursos e funcionalidades para melhorar sua função.

Autenticação multifator para administradores que acessam Portais de Administração da Microsoft

Esta política abrange 14 funções de administrador que consideramos altamente privilegiadas, que estão a aceder ao grupo Portais de Administração da Microsoft e exige que executem autenticação multifator.

Esta política destina-se a locatários do Microsoft Entra ID P1 e P2 onde os padrões de segurança não estão habilitados.

Autenticação multifator para usuários de autenticação multifator por usuário

Esta política abrange MFA de usuários por usuário, uma configuração que a Microsoft não recomenda mais. O Acesso Condicional oferece uma melhor experiência de administração com muitos recursos adicionais. A consolidação de todas as políticas de MFA no Acesso Condicional pode ajudá-lo a ser mais direcionado na exigência de MFA, reduzindo o atrito do usuário final e mantendo a postura de segurança.

Esta política destina-se a utilizadores licenciados com o Microsoft Entra ID P1 e P2, onde a política de predefinições de segurança não está ativada e existem menos de 500 utilizadores habilitados/impostos por MFA por utilizador.

Autenticação multifator e reautenticação para entradas arriscadas

Esta política abrange todos os utilizadores e requer MFA e reautenticação quando detetamos entradas de alto risco. Alto risco, neste caso, significa que algo sobre a maneira como o usuário entrou é fora do comum. Esses logins de alto risco podem incluir: viagens altamente anormais, ataques de pulverização de senha ou ataques de repetição de token. Para obter mais informações sobre essas definições de risco, consulte o artigo O que são deteções de risco.

Esta política destina-se a inquilinos do Microsoft Entra ID P2 onde os predefinidos de segurança não estão ativados e existem licenças suficientes para cada utilizador. O Microsoft Entra ID não permite que usuários arriscados se registrem para MFA, portanto, para evitar bloqueá-los fora do sistema, esta política só está disponível para organizações onde todos os usuários já estão registrados para MFA.

Como posso ver os efeitos?

Os administradores podem examinar a seção Impacto da política nas entradas para ver um resumo rápido do efeito da política em seu ambiente.

Os administradores podem ir mais fundo e examinar os logs de entrada do Microsoft Entra para ver essas políticas em ação em sua organização.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Leitor de Relatórios.
2. Navegue até Monitoramento de identidade>& logs de entrada de integridade>.
3. Encontre o início de sessão específico que pretende rever. Adicione ou remova filtros e colunas para filtrar informações desnecessárias.
   1. Adicione filtros para restringir o escopo:
      1. ID de correlação quando tem um evento específico para investigar.
      2. Acesso condicional para ver o fracasso e o sucesso da política. Defina o âmbito do filtro para mostrar apenas falhas para limitar os resultados.
      3. Nome de utilizador para ver informações relacionadas com utilizadores específicos.
      4. Data no âmbito do intervalo de tempo em questão.
4. Quando o evento de início de sessão correspondente ao início de sessão do utilizador for encontrado, selecione o separador Acesso Condicional. O separador Acesso Condicional mostra a política ou políticas específicas que resultaram na interrupção do início de sessão.
   1. Para investigar mais, faça uma busca detalhada na configuração das políticas clicando no Nome da política. Clicar no Nome da política mostra a interface do usuário de configuração da política para a política selecionada para revisão e edição.
   2. Os detalhes do utilizador cliente e do dispositivo que foram utilizados na avaliação da política de Acesso Condicional também estão disponíveis nos separadores Informações Básicas, Localização, Informações do Dispositivo, Detalhes de Autenticação e Detalhes Adicionais do evento de início de sessão.

O que é o Acesso Condicional?

O Acesso Condicional é um recurso do Microsoft Entra que permite que as organizações imponham requisitos de segurança ao acessar recursos. Geralmente, ele é usado para impor a autenticação multifator, a configuração do dispositivo ou os requisitos de local de rede.

Estas políticas podem ser consideradas lógicas, se depois declaradas.

Se as atribuições (usuários, recursos e condições) forem verdadeiras, aplique os controles de acesso (concessão e/ou sessão) na política. Se você é um administrador que deseja acessar um dos portais de administração da Microsoft, então você deve executar a autenticação multifator para provar que é realmente você.

E se eu quiser fazer mais alterações?

Os administradores podem optar por fazer mais alterações nessas políticas duplicando-as usando o botão Duplicar no modo de exibição de lista de políticas. Esta nova política pode ser configurada da mesma forma que qualquer outra política de Acesso Condicional a partir de uma posição recomendada pela Microsoft.

Próximos passos

• Implantar outras políticas comumente usadas a partir de modelos
• Configurar e usar o modo somente relatório de Acesso Condicional