Identidade Confiança Zero e configurações de acesso a dispositivos
A força de trabalho atual requer acesso a aplicações e recursos que existem para além dos limites tradicionais da rede empresarial. As arquiteturas de segurança que dependem de firewalls de rede e redes privadas virtuais (VPNs) para isolar e restringir o acesso aos recursos já não são suficientes.
Para abordar este novo mundo da computação, a Microsoft recomenda vivamente o modelo de segurança Confiança Zero, que se baseia nestes princípios de orientação:
- Verificar explicitamente: autentique e autorize sempre com base em todos os pontos de dados disponíveis. Esta verificação é onde Confiança Zero políticas de identidade e acesso de dispositivos são cruciais para iniciar sessão e validação contínua.
- Utilize o acesso com menos privilégios: limite o acesso do utilizador com Acesso Just-In-Time e Just-Enough-Access (JIT/JEA), políticas adaptáveis baseadas em risco e proteção de dados.
- Assumir a falha: minimize o raio de explosão e o acesso ao segmento. Verifique a encriptação ponto a ponto e utilize a análise para obter visibilidade, deteção de ameaças e melhorar as defesas.
Eis a arquitetura geral do Confiança Zero:
Confiança Zero políticas de identidade e acesso de dispositivos abordam o princípio Verificar explicitamente como orientação para:
- Identidades: quando uma identidade tenta aceder a um recurso, verifique essa identidade com autenticação forte e certifique-se de que o acesso pedido é conforme e típico.
- Dispositivos (também denominados pontos finais): monitorizar e impor requisitos de estado de funcionamento e conformidade do dispositivo para acesso seguro.
- Aplicações: aplicar controlos e tecnologias a:
- Confirme as permissões adequadas na aplicação.
- Controlar o acesso com base na análise em tempo real.
- Monitorizar comportamentos anormais
- Controlar as ações do utilizador.
- Valide as opções de configuração segura.
Esta série de artigos descreve um conjunto de configurações e políticas de acesso a dispositivos e identidades com Microsoft Entra ID, Acesso Condicional, Microsoft Intune e outras funcionalidades. Estas configurações e políticas fornecem Confiança Zero acesso ao Microsoft 365 para aplicações e serviços cloud empresariais, outros serviços SaaS e aplicações no local publicadas com Microsoft Entra proxy de aplicações.
Confiança Zero definições e políticas de acesso a dispositivos e identidades são recomendadas em três camadas:
- Ponto de partida.
- Empresa.
- Segurança especializada para ambientes com dados altamente regulados ou classificados.
Estas camadas e as respetivas configurações correspondentes fornecem níveis consistentes de proteção Confiança Zero nos seus dados, identidades e dispositivos. Estas capacidades e as respetivas recomendações:
- São suportados em Microsoft 365 E3 e Microsoft 365 E5.
- Estão alinhados com a Classificação de Segurança da Microsoft e a classificação de identidade no Microsoft Entra ID. Seguir as recomendações irá aumentar estas classificações para a sua organização.
- Ajude-o a implementar estes cinco passos para proteger a sua infraestrutura de identidade.
Se a sua organização tiver requisitos ou complexidades exclusivos, utilize estas recomendações como ponto de partida. No entanto, a maioria das organizações pode implementar estas recomendações conforme prescrito.
Veja este vídeo para obter uma descrição geral rápida das configurações de identidade e acesso a dispositivos do Microsoft 365 para grandes empresas.
Nota
A Microsoft também vende licenças Enterprise Mobility + Security (EMS) para subscrições Office 365. As capacidades do EMS E3 e do EMS E5 são equivalentes às do Microsoft 365 E3 e Microsoft 365 E5. Para obter mais informações, veja Planos do EMS.
Público-alvo
Estas recomendações destinam-se a arquitetos empresariais e profissionais de TI que estão familiarizados com os serviços de produtividade e segurança da cloud do Microsoft 365. Estes serviços incluem Microsoft Entra ID (identidade), Microsoft Intune (gestão de dispositivos) e Proteção de Informações do Microsoft Purview (proteção de dados).
Ambiente do cliente
As políticas recomendadas aplicam-se a organizações empresariais que operam inteiramente na cloud da Microsoft e para clientes com infraestrutura de identidade híbrida. Uma estrutura de identidade híbrida é uma floresta Active Directory no local sincronizada com Microsoft Entra ID.
Muitas das nossas recomendações dependem de serviços que estão disponíveis apenas com as seguintes licenças:
- Microsoft 365 E5.
- Microsoft 365 E3 com o suplemento Segurança E5.
- EMS E5.
- Microsoft Entra ID licenças P2.
Para organizações que não têm estas licenças, recomendamos que implemente, pelo menos, as predefinições de segurança, que estão incluídas em todos os planos do Microsoft 365.
Ressalvas
A sua organização pode estar sujeita a requisitos regulamentares ou outros requisitos de conformidade, incluindo recomendações específicas que exigem que aplique políticas que diverjam destas configurações recomendadas. Estas configurações recomendam controlos de utilização que não estiveram historicamente disponíveis. Recomendamos estes controlos porque acreditamos que representam um equilíbrio entre segurança e produtividade.
Fizemos o nosso melhor para considerar uma grande variedade de requisitos de proteção organizacional, mas não conseguimos contabilizar todos os requisitos possíveis ou todos os aspetos exclusivos da sua organização.
Três níveis de proteção
A maioria das organizações tem requisitos específicos em matéria de segurança e proteção de dados. Estes requisitos variam consoante o segmento da indústria e as funções de trabalho dentro das organizações. Por exemplo, o departamento jurídico e os administradores podem exigir controlos adicionais de segurança e proteção de informações em torno da correspondência de e-mail que não são necessárias para outras unidades empresariais.
Cada indústria também tem o seu próprio conjunto de regulamentos especializados. Não estamos a tentar fornecer uma lista de todas as opções de segurança possíveis ou uma recomendação por segmento da indústria ou função de trabalho. Em vez disso, estamos a fornecer recomendações para três níveis de segurança e proteção que podem ser aplicados com base na granularidade das suas necessidades.
- Ponto de partida: recomendamos que todos os clientes estabeleçam e utilizem um padrão mínimo para proteger dados, bem como as identidades e dispositivos que acedem aos seus dados. Pode seguir estas recomendações para fornecer proteção predefinida forte como ponto de partida para todas as organizações.
- Empresa: alguns clientes têm um subconjunto de dados que têm de ser protegidos em níveis mais elevados ou todos os dados têm de ser protegidos a um nível mais elevado. Pode aplicar uma maior proteção a todos ou a conjuntos de dados específicos no seu ambiente do Microsoft 365. Recomendamos que proteja identidades e dispositivos que acedam a dados confidenciais com níveis de segurança comparáveis.
- Segurança especializada: conforme necessário, alguns clientes têm uma pequena quantidade de dados altamente classificados, constituem segredos comerciais ou são regulados. A Microsoft fornece capacidades para ajudar estes clientes a cumprir estes requisitos, incluindo proteção adicional para identidades e dispositivos.
Esta documentação de orientação mostra-lhe como implementar Confiança Zero proteção para identidades e dispositivos para cada um destes níveis de proteção. Utilize esta documentação de orientação como mínimo para a sua organização e ajuste as políticas para cumprir os requisitos específicos da sua organização.
É importante utilizar níveis consistentes de proteção entre as suas identidades, dispositivos e dados. Por exemplo, a proteção para utilizadores com contas prioritárias , como executivos, líderes, gestores e outros, deve incluir o mesmo nível de proteção para as respetivas identidades, os respetivos dispositivos e os dados a que acedem.
Além disso, consulte a solução Implementar proteção de informações para regulamentos de privacidade de dados para proteger informações armazenadas no Microsoft 365.
Compromissos de segurança e produtividade
A implementação de qualquer estratégia de segurança requer compromissos entre segurança e produtividade. É útil avaliar como cada decisão afeta o equilíbrio de segurança, funcionalidade e facilidade de utilização.
As recomendações fornecidas baseiam-se nos seguintes princípios:
- Conheça os seus utilizadores e seja flexível aos requisitos de segurança e funcionais.
- Aplique uma política de segurança just-in-time e certifique-se de que é relevante.
Serviços e conceitos para Confiança Zero identidade e proteção de acesso a dispositivos
O Microsoft 365 para grandes empresas foi concebido para que as grandes organizações capacitem todos para serem criativos e trabalharem em conjunto de forma segura.
Esta secção fornece uma descrição geral dos serviços e capacidades do Microsoft 365 que são importantes para Confiança Zero identidade e acesso ao dispositivo.
Microsoft Entra ID
Microsoft Entra ID fornece um conjunto completo de capacidades de gestão de identidades. Recomendamos que utilize estas capacidades para proteger o acesso.
| Capacidade ou funcionalidade | Descrição | Licenciamento |
|---|---|---|
| Autenticação multifator (MFA) | A MFA requer que os utilizadores forneçam duas formas de verificação, como uma palavra-passe de utilizador e uma notificação da aplicação Microsoft Authenticator ou uma chamada telefónica. A MFA reduz consideravelmente o risco de as credenciais roubadas poderem ser utilizadas para aceder ao seu ambiente. O Microsoft 365 utiliza o serviço de autenticação multifator Microsoft Entra para inícios de sessão baseados em MFA. | Microsoft 365 E3 ou E5 |
| Acesso Condicional | Microsoft Entra ID avalia as condições do início de sessão do utilizador e utiliza políticas de Acesso Condicional para determinar o acesso permitido. Por exemplo, nesta documentação de orientação, mostramos-lhe como criar uma política de Acesso Condicional para exigir a conformidade do dispositivo para acesso a dados confidenciais. Isto reduz consideravelmente o risco de um hacker com o seu próprio dispositivo e credenciais roubadas poder aceder aos seus dados confidenciais. Também protege dados confidenciais nos dispositivos, uma vez que os dispositivos têm de cumprir requisitos específicos de estado de funcionamento e segurança. | Microsoft 365 E3 ou E5 |
| grupos de Microsoft Entra | As políticas de Acesso Condicional, a gestão de dispositivos com Intune e até mesmo as permissões para ficheiros e sites na sua organização dependem da atribuição a contas de utilizador ou Microsoft Entra grupos. Recomendamos que crie Microsoft Entra grupos que correspondam aos níveis de proteção que está a implementar. Por exemplo, os seus funcionários executivos são provavelmente alvos de valor mais elevado para hackers. Por conseguinte, faz sentido adicionar as contas de utilizador destes funcionários a um grupo de Microsoft Entra e atribuir este grupo a políticas de Acesso Condicional e outras políticas que impõem um nível mais elevado de proteção ao acesso. | Microsoft 365 E3 ou E5 |
| Inscrição de dispositivos | Inscreve um dispositivo no Microsoft Entra ID para criar uma identidade para o dispositivo. Esta identidade é utilizada para autenticar o dispositivo quando um utilizador inicia sessão e para aplicar políticas de Acesso Condicional que requerem PCs associados a um domínio ou em conformidade. Para esta documentação de orientação, utilizamos a inscrição de dispositivos para inscrever automaticamente computadores Windows associados a um domínio. A inscrição de dispositivos é um pré-requisito para gerir dispositivos com Intune. | Microsoft 365 E3 ou E5 |
| Microsoft Entra ID Protection | Permite-lhe detetar potenciais vulnerabilidades que afetam as identidades da sua organização e configurar a política de remediação automatizada para risco de início de sessão baixo, médio e elevado e risco de utilizador. Esta documentação de orientação baseia-se nesta avaliação de risco para aplicar políticas de Acesso Condicional para autenticação multifator. Esta documentação de orientação também inclui uma política de Acesso Condicional que exige que os utilizadores alterem a palavra-passe se for detetada atividade de alto risco para a respetiva conta. | Microsoft 365 E5, Microsoft 365 E3 com as licenças E5 Security, EMS E5 ou Microsoft Entra ID P2 |
| Reposição personalizada de palavra-passe (SSPR) | Permita que os seus utilizadores reponham as palavras-passe de forma segura e sem intervenção no suporte técnico, ao fornecer a verificação de vários métodos de autenticação que o administrador pode controlar. | Microsoft 365 E3 ou E5 |
| Microsoft Entra proteção por palavra-passe | Detetar e bloquear palavras-passe fracas conhecidas e respetivas variantes e termos fracos adicionais específicos da sua organização. As listas de palavras-passe global banidas predefinidas são aplicadas automaticamente a todos os utilizadores num inquilino Microsoft Entra. Pode definir entradas adicionais numa lista personalizada de palavras-passe banidas. Quando os utilizadores alteram ou repõem as respetivas palavras-passe, estas listas de palavras-passe banidas são verificadas para impor a utilização de palavras-passe fortes. | Microsoft 365 E3 ou E5 |
Seguem-se os componentes da identidade Confiança Zero e do acesso ao dispositivo, incluindo objetos de Intune e Microsoft Entra, definições e subsserviços.
Microsoft Intune
Intune é o serviço de gestão de dispositivos móveis baseado na cloud da Microsoft. Esta documentação de orientação recomenda a gestão de dispositivos de PCs Windows com Intune e recomenda configurações de políticas de conformidade de dispositivos. Intune determina se os dispositivos estão em conformidade e envia estes dados para Microsoft Entra ID a utilizar ao aplicar políticas de Acesso Condicional.
proteção de aplicações Intune
Intune políticas de proteção de aplicações podem ser utilizadas para proteger os dados da sua organização em aplicações móveis, com ou sem inscrever dispositivos para gestão. Intune ajuda a proteger as informações, certificando-se de que os seus funcionários ainda podem ser produtivos e impedir a perda de dados. Ao implementar políticas ao nível da aplicação, pode restringir o acesso aos recursos da empresa e manter os dados no controlo do seu departamento de TI.
Esta documentação de orientação mostra-lhe como criar políticas recomendadas para impor a utilização de aplicações aprovadas e para determinar como estas aplicações podem ser utilizadas com os seus dados empresariais.
Microsoft 365
Esta documentação de orientação mostra-lhe como implementar um conjunto de políticas para proteger o acesso aos serviços cloud do Microsoft 365, incluindo o Microsoft Teams, Exchange, SharePoint e OneDrive. Além de implementar estas políticas, recomendamos que aumente também o nível de proteção para o seu inquilino com estes recursos:
Windows 11 ou Windows 10 com Microsoft 365 Apps para Grandes Empresas
Windows 11 ou Windows 10 com Microsoft 365 Apps para Grandes Empresas é o ambiente de cliente recomendado para PCs. Recomendamos Windows 11 ou Windows 10 porque Microsoft Entra foi concebido para proporcionar a experiência mais suave possível tanto no local como no Microsoft Entra ID. Windows 11 ou Windows 10 também inclui capacidades de segurança avançadas que podem ser geridas através de Intune. Microsoft 365 Apps para Grandes Empresas inclui as versões mais recentes das aplicações do Office. Estes utilizam a autenticação moderna, que é mais segura e um requisito para o Acesso Condicional. Estas aplicações também incluem ferramentas de segurança e conformidade melhoradas.
Aplicar estas capacidades nos três níveis de proteção
A tabela seguinte resume as nossas recomendações para utilizar estas capacidades nos três níveis de proteção.
| Mecanismo de proteção | Ponto de partida | Enterprise | Segurança especializada |
|---|---|---|---|
| Impor a MFA | Risco de início de sessão médio ou superior | Risco de início de sessão baixo ou superior | Em todas as novas sessões |
| Impor alteração de palavra-passe | Para utilizadores de alto risco | Para utilizadores de alto risco | Para utilizadores de alto risco |
| Impor Intune proteção de aplicações | Sim | Sim | Sim |
| Impor Intune inscrição para dispositivos pertencentes à organização | Exigir um PC compatível ou associado a um domínio, mas permitir telemóveis e tablets BYOD (Bring Your Own Devices) | Exigir um dispositivo compatível ou associado a um domínio | Exigir um dispositivo compatível ou associado a um domínio |
Propriedade do dispositivo
A tabela acima reflete a tendência para muitas organizações suportarem uma combinação de dispositivos pertencentes à organização e pessoal ou BYODs para permitir a produtividade móvel em toda a força de trabalho. Intune políticas de proteção de aplicações garantem que o e-mail está protegido contra o exfiltração da aplicação Outlook para dispositivos móveis e de outras aplicações móveis do Office, tanto em dispositivos pertencentes à organização como em BYODs.
Recomendamos que os dispositivos pertencentes à organização sejam geridos por Intune ou associados a um domínio para aplicar proteções e controlo adicionais. Dependendo da confidencialidade dos dados, a sua organização pode optar por não permitir BYODs para populações de utilizadores específicas ou aplicações específicas.
Implementação e as suas aplicações
Antes de configurar e implementar Confiança Zero identidade e configuração de acesso do dispositivo para as suas aplicações integradas Microsoft Entra, tem de:
Decida quais as aplicações utilizadas na sua organização que pretende proteger.
Analise esta lista de aplicações para determinar os conjuntos de políticas que fornecem níveis de proteção adequados.
Não deve criar conjuntos separados de políticas cada uma para a aplicação, uma vez que a gestão das mesmas pode tornar-se complicada. A Microsoft recomenda que agrupe as suas aplicações que têm os mesmos requisitos de proteção para os mesmos utilizadores.
Por exemplo, tenha um conjunto de políticas que incluem todas as aplicações do Microsoft 365 para todos os utilizadores para proteção de ponto de partida. Tenha um segundo conjunto de políticas para todas as aplicações confidenciais, como as utilizadas por recursos humanos ou departamentos financeiros, e aplique-as a esses grupos.
Depois de determinar o conjunto de políticas para as aplicações que pretende proteger, implemente as políticas para os utilizadores de forma incremental, resolvendo os problemas ao longo do caminho. Por exemplo:
- Configure as políticas que pretende utilizar para todas as aplicações do Microsoft 365.
- Adicione apenas o Exchange com as alterações necessárias, implemente as políticas para os utilizadores e resolva quaisquer problemas.
- Adicione o Teams com as alterações necessárias, implemente as políticas aos utilizadores e resolva quaisquer problemas.
- Adicione o SharePoint com as alterações necessárias, implemente as políticas aos utilizadores e resolva quaisquer problemas.
- Continue a adicionar as restantes aplicações até poder configurar com confiança estas políticas de ponto de partida para incluir todas as aplicações do Microsoft 365.
Da mesma forma, para as suas aplicações confidenciais, crie o conjunto de políticas e adicione uma aplicação de cada vez. Resolva quaisquer problemas até que estejam todos incluídos no conjunto de políticas de aplicações confidenciais.
A Microsoft recomenda que não crie conjuntos de políticas que se apliquem a todas as aplicações, uma vez que pode resultar em algumas configurações não intencionais. Por exemplo, as políticas que bloqueiam todas as aplicações podem bloquear os administradores do centro de administração Microsoft Entra e as exclusões não podem ser configuradas para pontos finais importantes, como o Microsoft Graph.
Passos para configurar Confiança Zero identidade e acesso ao dispositivo
- Configure as funcionalidades de identidade dos pré-requisitos e as respetivas definições.
- Configure as políticas de acesso e identidade comuns de Acesso Condicional.
- Configurar políticas de Acesso Condicional para utilizadores convidados e externos.
- Configure políticas de Acesso Condicional para aplicações na cloud do Microsoft 365 ( como o Microsoft Teams, Exchange e SharePoint) e políticas de Microsoft Defender for Cloud Apps.
Depois de configurar Confiança Zero identidade e acesso ao dispositivo, veja o guia de implementação de funcionalidades Microsoft Entra para obter uma lista de verificação faseada de funcionalidades adicionais a considerar e Microsoft Entra ID Governance para proteger, monitorizar e auditar o acesso.
Passo seguinte
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários