Atender aos requisitos de autenticação multifator do memorando 22-09

Saiba mais sobre como usar o Microsoft Entra ID como o sistema centralizado de gerenciamento de identidades ao implementar os princípios do Zero Trust. Ver, Memorando M 22-09 do Gabinete de Gestão e Orçamento dos EUA para os Chefes dos Departamentos e Agências Executivos.

Os requisitos do memorando são que os funcionários usem identidades gerenciadas pela empresa para acessar aplicativos e que a autenticação multifator proteja os funcionários de ataques on-line sofisticados, como phishing. Este método de ataque tenta obter e comprometer credenciais, com links para sites inautênticos.

A autenticação multifator impede o acesso não autorizado a contas e dados. Os requisitos do memorando citam a autenticação multifator com métodos resistentes a phishing: processos de autenticação projetados para detetar e impedir a divulgação de segredos e saídas de autenticação para um site ou aplicativo disfarçado de sistema legítimo. Portanto, estabeleça quais métodos de autenticação multifator se qualificam como resistentes a phishing.

Métodos resistentes a phishing

Algumas agências federais implantaram credenciais modernas, como chaves de segurança FIDO2 ou Windows Hello for Business. Muitos estão avaliando a autenticação do Microsoft Entra com certificados.

Saiba mais:

• Chaves de segurança FIDO2
• Windows Hello para empresas
• Visão geral da autenticação baseada em certificado do Microsoft Entra

Algumas agências estão modernizando suas credenciais de autenticação. Há várias opções para atender aos requisitos de autenticação multifator resistentes a phishing com o Microsoft Entra ID. A Microsoft recomenda a adoção de um método de autenticação multifator resistente a phishing que corresponda aos recursos da agência. Considere o que é possível agora para a autenticação multifator de resistência a phishing para melhorar a postura geral de segurança cibernética. Implemente credenciais modernas. No entanto, se o caminho mais rápido não for uma abordagem moderna, dê o passo para começar a jornada em direção às abordagens modernas.

Abordagens modernas

• As chaves de segurança FIDO2 são, de acordo com a Cybersecurity & Infrastructure Security Agency (CISA), o padrão ouro de autenticação multifator
  • Consulte Opções de autenticação sem senha para Microsoft Entra ID, chaves de segurança FIDO2
  • Ir para cisa.gov para obter mais do que uma palavra-passe
• Autenticação de certificado do Microsoft Entra sem dependência de um provedor de identidade federada.
  • Esta solução inclui implementações de cartões inteligentes: Cartão de Acesso Comum (CAC), Verificação de Identidade Pessoal (PIV) e credenciais PIV derivadas para dispositivos móveis ou chaves de segurança
  • Consulte Visão geral da autenticação baseada em certificado do Microsoft Entra
• O Windows Hello for Business tem autenticação multifator resistente a phishing
  • Consulte Visão geral da implantação do Windows Hello for Business
  • Consulte Windows Hello for Business

Proteção contra phishing externo

As políticas de Autenticador e Acesso Condicional da Microsoft impõem dispositivos gerenciados: dispositivos associados híbridos do Microsoft Entra ou dispositivos marcados como compatíveis. Instale o Microsoft Authenticator em dispositivos que acedem a aplicações protegidas pelo Microsoft Entra ID.

Saiba mais: Métodos de autenticação no Microsoft Entra ID - aplicativo Microsoft Authenticator

Importante

Para atender ao requisito de resistência a phishing: gerencie apenas os dispositivos que acessam o aplicativo protegido. Os usuários autorizados a usar o Microsoft Authenticator estão no escopo da política de Acesso Condicional que exige dispositivos gerenciados para acesso. Uma política de Acesso Condicional bloqueia o acesso ao Aplicativo de Nuvem de Registro do Microsoft Intune. Os usuários autorizados a usar o Microsoft Authenticator estão no escopo desta política de Acesso Condicional. Use o(s) mesmo(s) grupo(s) para permitir a autenticação do Microsoft Authenticator em políticas de Acesso Condicional para garantir que os usuários habilitados para o método de autenticação estejam no escopo de ambas as políticas. Esta política de Acesso Condicional impede o vetor mais significativo de ameaças de phishing de agentes externos mal-intencionados. Ele também impede que atores mal-intencionados façam phishing do Microsoft Authenticator para registrar uma credencial ou ingressar em um dispositivo e inscrevê-lo no Intune para marcá-lo como compatível.

Saiba mais:

• Planeje sua implementação de ingresso híbrido do Microsoft Entra ou
• Como: Planejar sua implementação de ingresso do Microsoft Entra
• Consulte também, Política de Acesso Condicional Comum: Exigir um dispositivo compatível, dispositivo associado híbrido do Microsoft Entra ou autenticação multifator para todos os usuários

Nota

O Microsoft Authenticator não é resistente a phishing. Configure a política de Acesso Condicional para exigir que os dispositivos gerenciados obtenham proteção contra ameaças externas de phishing.

Legado

Provedores de identidade federada (IdPs), como os Serviços de Federação do Ative Directory (AD FS), configurados com métodos resistentes a phishing. Embora as agências alcancem resistência ao phishing com o IdP federado, isso aumenta o custo, a complexidade e o risco. A Microsoft incentiva os benefícios de segurança do Microsoft Entra ID e IdP, removendo o risco associado de um IdP federado

Saiba mais:

• Protegendo o Microsoft 365 contra ataques locais
• Implantando os Serviços de Federação do AD no Azure
• Configurando o AD FS para autenticação de certificado de usuário

Considerações sobre métodos resistentes a phishing

Os recursos atuais do dispositivo, as personas do usuário e outros requisitos podem ditar métodos multifatores. Por exemplo, as chaves de segurança FIDO2 com suporte USB-C requerem dispositivos com portas USB-C. Considere as seguintes informações ao avaliar a autenticação multifator resistente a phishing:

• Tipos de dispositivos e capacidades que pode suportar: quiosques, computadores portáteis, telemóveis, leitores biométricos, USB, Bluetooth e dispositivos de comunicação de campo próximo
• Personas de usuários organizacionais: trabalhadores da linha de frente, trabalhadores remotos com e sem hardware da empresa, administradores com estações de trabalho de acesso privilegiado e usuários convidados de empresa para empresa
• Logística: distribuir, configurar e registrar métodos de autenticação multifator, como chaves de segurança FIDO2, cartões inteligentes, equipamentos fornecidos pelo governo ou dispositivos Windows com chips TPM
• Validação do Federal Information Processing Standards (FIPS) 140 em um nível de garantia do autenticador: algumas chaves de segurança FIDO são FIPS 140 validadas em níveis para AAL3 definidos pelo NIST SP 800-63B
  • Consulte Níveis de garantia do autenticador
  • Consulte Garantia do autenticador NIST nível 3 usando o Microsoft Entra ID
  • Ir para nist.gov para a Publicação Especial NIST 800-63B, Diretrizes de Identidade Digital

Considerações de implementação para autenticação multifator resistente a phishing

Consulte as seções a seguir para obter suporte à implementação de métodos resistentes a phishing para entrada em aplicativos e dispositivos virtuais.

Cenários de entrada de aplicativos de vários clientes

A tabela a seguir detalha a disponibilidade de cenários de autenticação multifator resistentes a phishing, com base no tipo de dispositivo usado para entrar nos aplicativos:

Dispositivo	AD FS como um IdP federado com autenticação de certificado	Autenticação de certificado Microsoft Entra	Chaves de segurança FIDO2	Windows Hello para empresas	Microsoft Authenticator com políticas de Acesso Condicional que impõem a associação híbrida do Microsoft Entra ou dispositivos compatíveis
Dispositivo Windows
Dispositivo móvel iOS			Não aplicável	Não aplicável
Dispositivo móvel Android			Não aplicável	Não aplicável
Dispositivo macOS			Borda/Cromado	Não aplicável

Saiba mais: Suporte do navegador para autenticação sem senha FIDO2

Cenários de início de sessão de dispositivos virtuais que requerem integração

Para impor a autenticação multifator resistente a phishing, a integração pode ser necessária. Imponha a autenticação multifator para usuários que acessam aplicativos e dispositivos. Para os cinco tipos de autenticação multifator resistentes a phishing, use os mesmos recursos para acessar os seguintes tipos de dispositivo:

Sistema alvo	Ações de integração
Máquina virtual (VM) Linux do Azure	Habilite a VM Linux para entrada no Microsoft Entra
VM Windows do Azure	Habilite a VM do Windows para entrada no Microsoft Entra
Azure Virtual Desktop	Habilitar a Área de Trabalho Virtual do Azure para entrada no Microsoft Entra
VMs hospedadas no local ou em outras nuvens	Habilite o Azure Arc na VM e, em seguida, habilite o logon do Microsoft Entra. Atualmente em pré-visualização privada para Linux. O suporte para VMs do Windows hospedadas nesses ambientes está em nosso roteiro.
Solução de área de trabalho virtual que não é da Microsoft	Integrar a solução de área de trabalho virtual como um aplicativo no Microsoft Entra ID

Impondo a autenticação multifator resistente a phishing

Use o Acesso Condicional para impor a autenticação multifator para usuários em seu locatário. Com a adição de políticas de acesso entre locatários, você pode impô-las a usuários externos.

Saiba mais: Visão geral: Acesso entre locatários com ID externa do Microsoft Entra

Aplicação da legislação em todas as agências

Use a colaboração B2B do Microsoft Entra para atender aos requisitos que facilitam a integração:

• Limitar o que outros locatários da Microsoft seus usuários acessam
• Permita o acesso a usuários que você não precisa gerenciar em seu locatário, mas imponha a autenticação multifator e outros requisitos de acesso

Saiba mais: Visão geral da colaboração B2B

Imponha a autenticação multifator para parceiros e usuários externos que acessam recursos organizacionais. Esta ação é comum em cenários de colaboração entre agências. Use as políticas de acesso entre locatários do Microsoft Entra para configurar a autenticação multifator para usuários externos que acessam aplicativos e recursos.

Configure configurações de confiança em políticas de acesso entre locatários para confiar no método de autenticação multifator usado pelo locatário do usuário convidado. Evite que os usuários registrem um método de autenticação multifator com seu locatário. Habilite essas políticas por organização. Você pode determinar os métodos de autenticação multifator no locatário doméstico do usuário e decidir se eles atendem aos requisitos de resistência a phishing.

Políticas de palavra-passe

O memorando exige que as organizações alterem políticas de senha ineficazes, como senhas complexas e rotativas. A imposição inclui a remoção do requisito de caracteres e números especiais, com políticas de rotação de senha baseadas no tempo. Em vez disso, considere as seguintes opções:

• Proteção por senha para impor uma lista comum de senhas fracas que a Microsoft mantém
  • Além disso, inclua senhas personalizadas banidas
  • Veja, Elimine senhas incorretas usando a Proteção por Senha do Microsoft Entra
• Redefinição de senha de autoatendimento para permitir que os usuários redefinissem senhas, por exemplo, após a recuperação da conta
  • Tutorial: Permitir que os utilizadores desbloqueiem a conta ou reponham as palavras-passe com a reposição personalizada de palavra-passe do Microsoft Entra
• Proteção de ID do Microsoft Entra para alertas sobre credenciais comprometidas
• O que é o risco?

Embora o memorando não seja específico sobre políticas a serem usadas com senhas, considere o padrão do NIST 800-63B.

Ver, NIST Special Publication 800-63B, Digital Identity Guidelines.

Próximos passos

• Atenda aos requisitos de identidade do memorando 22-09 com o Microsoft Entra ID
• Sistema de gerenciamento de identidade em toda a empresa
• Cumprir os requisitos de autorização do memorando 22-09
• Outras áreas da Zero Trust abordadas no memorando 22-09
• Protegendo a identidade com Zero Trust