Trabalho de pré-requisitos para implementar políticas de identidade Confiança Zero e acesso de dispositivos
Este artigo descreve os pré-requisitos que os administradores têm de cumprir para utilizar políticas de identidade e acesso de dispositivo recomendadas Confiança Zero e para utilizar o Acesso Condicional. Também aborda as predefinições recomendadas para configurar plataformas cliente para a melhor experiência de início de sessão único (SSO).
Pré-requisitos
Antes de utilizar as políticas de identidade Confiança Zero e acesso de dispositivos recomendadas, a sua organização tem de cumprir os pré-requisitos. Os requisitos são diferentes para os vários modelos de identidade e autenticação listados:
- Apenas na nuvem
- Híbrido com autenticação de sincronização de hash de palavras-passe (PHS)
- Híbrido com autenticação pass-through (PTA)
- Federado
A tabela seguinte detalha as funcionalidades de pré-requisitos e a respetiva configuração que se aplicam a todos os modelos de identidade, exceto quando indicado.
| Configuração | Exceções | Licenciamento |
|---|---|---|
| Configurar PHS. Esta funcionalidade tem de estar ativada para detetar fugas de credenciais e para agir sobre as mesmas para o Acesso Condicional baseado no risco. Nota: Isto é necessário independentemente de a sua organização utilizar a autenticação federada. | Apenas na nuvem | Microsoft 365 E3 ou E5 |
| Ative o início de sessão único totalmente integrado para iniciar sessão automaticamente aos utilizadores quando estiverem nos dispositivos da organização ligados à rede da sua organização. | Apenas na cloud e federado | Microsoft 365 E3 ou E5 |
| Configurar localizações com nome. Microsoft Entra ID Protection recolhe e analisa todos os dados de sessão disponíveis para gerar uma classificação de risco. Recomendamos que especifique os intervalos de IP públicos da sua organização para a sua rede no Microsoft Entra ID configuração de localizações nomeadas. O tráfego proveniente destes intervalos recebe uma classificação de risco reduzida e o tráfego de fora do ambiente da organização recebe uma classificação de risco mais elevada. | Microsoft 365 E3 ou E5 | |
| Registe todos os utilizadores para reposição personalizada de palavra-passe (SSPR) e autenticação multifator (MFA). Recomendamos que registe utilizadores para Microsoft Entra autenticação multifator antecipadamente. Microsoft Entra ID Protection utiliza Microsoft Entra autenticação multifator para efetuar uma verificação de segurança adicional. Além disso, para obter a melhor experiência de início de sessão, recomendamos que os utilizadores instalem a aplicação Microsoft Authenticator e a aplicação Microsoft Portal da Empresa nos respetivos dispositivos. Estes podem ser instalados a partir da loja de aplicações para cada plataforma. | Microsoft 365 E3 ou E5 | |
| Planeie a implementação da associação híbrida Microsoft Entra. O Acesso Condicional garantirá que os dispositivos que se ligam a aplicações estão associados a um domínio ou em conformidade. Para suportar esta funcionalidade em computadores Windows, o dispositivo tem de estar registado com Microsoft Entra ID. Este artigo aborda como configurar o registo automático de dispositivos. | Apenas na nuvem | Microsoft 365 E3 ou E5 |
| Prepare a sua equipa de suporte. Ter um plano implementado para os utilizadores que não conseguem concluir a MFA. Isto pode estar a adicioná-los a um grupo de exclusão de políticas ou a registar novas informações de MFA para os mesmos. Antes de efetuar qualquer uma destas alterações sensíveis à segurança, tem de se certificar de que o utilizador real está a fazer o pedido. Exigir que os gestores dos utilizadores ajudem com a aprovação é um passo eficaz. | Microsoft 365 E3 ou E5 | |
| Configurar a repetição de escrita de palavras-passe para o AD no local. A repetição de escrita de palavras-passe permite que Microsoft Entra ID exijam que os utilizadores alterem as respetivas palavras-passe no local quando é detetado um compromisso de conta de alto risco. Pode ativar esta funcionalidade através do Microsoft Entra Ligar de uma de duas formas: ativar a Repetição de Escrita de Palavras-passe no ecrã de funcionalidades opcionais da configuração do Microsoft Entra Ligar ou ativá-la através de Windows PowerShell. | Apenas na nuvem | Microsoft 365 E3 ou E5 |
| Configurar Microsoft Entra proteção por palavra-passe. Microsoft Entra a Proteção de Palavras-passe deteta e bloqueia palavras-passe fracas conhecidas e respetivas variantes e também pode bloquear termos fracos adicionais específicos da sua organização. As listas de palavras-passe global banidas predefinidas são aplicadas automaticamente a todos os utilizadores num inquilino Microsoft Entra. Pode definir entradas adicionais numa lista personalizada de palavras-passe banidas. Quando os utilizadores alteram ou repõem as respetivas palavras-passe, estas listas de palavras-passe banidas são verificadas para impor a utilização de palavras-passe fortes. | Microsoft 365 E3 ou E5 | |
| Ative Microsoft Entra ID Protection. Microsoft Entra ID Protection permite-lhe detetar potenciais vulnerabilidades que afetam as identidades da sua organização e configurar uma política de remediação automatizada para risco de início de sessão baixo, médio e elevado e risco de utilizador. | Microsoft 365 E5 ou Microsoft 365 E3 com o suplemento Segurança E5 | |
| Ativar a autenticação moderna para Exchange Online e para Skype para Empresas Online. A autenticação moderna é um pré-requisito para utilizar a MFA. A autenticação moderna está ativada por predefinição para clientes do Office 2016 e 2019, SharePoint e OneDrive para Empresas. | Microsoft 365 E3 ou E5 | |
| Ative a avaliação de acesso contínuo para Microsoft Entra ID. A avaliação de acesso contínuo termina proativamente sessões de utilizador ativas e impõe alterações de política de inquilino quase em tempo real. | Microsoft 365 E3 ou E5 |
Configurações recomendadas do cliente
Esta secção descreve as configurações de cliente de plataforma predefinidas que recomendamos para fornecer a melhor experiência de SSO aos seus utilizadores, bem como os pré-requisitos técnicos para o Acesso Condicional.
Dispositivos Windows
Recomendamos Windows 11 ou Windows 10 (versão 2004 ou posterior), uma vez que o Azure foi concebido para proporcionar a experiência de SSO mais suave possível tanto no local como no Microsoft Entra ID. Os dispositivos escolares ou profissionais devem ser configurados para associar Microsoft Entra ID diretamente ou, se a organização utilizar a associação a um domínio do AD no local, esses dispositivos devem ser configurados para se registarem automaticamente e silenciosamente com Microsoft Entra ID.
Para dispositivos BYOD windows, os utilizadores podem utilizar Adicionar conta escolar ou profissional. Tenha em atenção que os utilizadores do browser Google Chrome no Windows 11 ou Windows 10 dispositivos precisam de instalar uma extensão para obterem a mesma experiência de início de sessão suave que os utilizadores do Microsoft Edge. Além disso, se a sua organização tiver dispositivos Windows 8 ou 8.1 associados a um domínio, pode instalar a Associação à Área de Trabalho da Microsoft para computadores não Windows 10. Transfira o pacote para registar os dispositivos com Microsoft Entra ID.
Dispositivos iOS
Recomendamos que instale a aplicação Microsoft Authenticator em dispositivos de utilizador antes de implementar políticas de Acesso Condicional ou MFA. No mínimo, a aplicação deve ser instalada quando é pedido aos utilizadores que registem o respetivo dispositivo com Microsoft Entra ID ao adicionar uma conta escolar ou profissional ou quando instalarem a aplicação portal da empresa Intune para inscrever o respetivo dispositivo na gestão. Isto depende da política de Acesso Condicional configurada.
Dispositivos Android
Recomendamos que os utilizadores instalem a aplicação Portal da Empresa do Intune e a aplicação Microsoft Authenticator antes de as políticas de Acesso Condicional serem implementadas ou quando necessário durante determinadas tentativas de autenticação. Após a instalação da aplicação, poderá ser pedido aos utilizadores que se registem no Microsoft Entra ID ou inscrevam o dispositivo no Intune. Isto depende da política de Acesso Condicional configurada.
Também recomendamos que os dispositivos pertencentes à organização sejam padronizados em OEMs e versões que suportem Android for Work ou Samsung Knox para permitir contas de correio, serem geridos e protegidos por Intune política mdm.
Clientes de e-mail recomendados
Os seguintes clientes de e-mail suportam a autenticação moderna e o Acesso Condicional.
| Plataforma | Cliente | Versão/Notas |
|---|---|---|
| Windows | Outlook | 2019, 2016 |
| iOS | Outlook para iOS | Mais recente |
| Android | Outlook para Android | Mais recente |
| macOS | Outlook | 2019 e 2016 |
| Linux | Not supported |
Plataformas cliente recomendadas ao proteger documentos
Os seguintes clientes são recomendados quando uma política de documentos seguros é aplicada.
| Plataforma | Word/Excel/PowerPoint | OneNote | Aplicação OneDrive | Aplicação SharePoint | Cliente de sincronização do OneDrive |
|---|---|---|---|---|---|
| Windows 11 ou Windows 10 | Suportado | Suportado | N/D | N/D | Suportado |
| Windows 8.1 | Suportado | Suportado | N/D | N/D | Suportado |
| Android | Suportado | Suportado | Suportado | Suportado | N/D |
| iOS | Suportado | Suportado | Suportado | Suportado | N/D |
| macOS | Suportado | Suportado | N/D | N/D | Not supported |
| Linux | Not supported | Not supported | Not supported | Not supported | Not supported |
Suporte de cliente do Microsoft 365
Para obter mais informações sobre o suporte ao cliente no Microsoft 365, consulte os seguintes artigos:
- Suporte da Aplicação Cliente do Microsoft 365 – Acesso Condicional
- Suporte da Aplicação Cliente do Microsoft 365 – autenticação multifator
Proteger contas de administrador
Para Microsoft 365 E3 ou E5 ou com licenças Microsoft Entra ID P1 ou P2 separadas, pode exigir a MFA para contas de administrador com uma política de Acesso Condicional criada manualmente. Veja Acesso Condicional: Exigir MFA para os administradores para obter os detalhes.
Para edições do Microsoft 365 ou Office 365 que não suportam o Acesso Condicional, pode ativar as predefinições de segurança para exigir a MFA para todas as contas.
Seguem-se algumas recomendações adicionais:
- Utilize Microsoft Entra Privileged Identity Management para reduzir o número de contas administrativas persistentes.
- Utilize a gestão de acesso privilegiado para proteger a sua organização contra falhas que possam utilizar contas de administrador com privilégios existentes com acesso permanente a dados confidenciais ou acesso a definições de configuração críticas.
- Create e utilizar contas separadas às quais são atribuídas funções de administrador do Microsoft 365apenas para administração. Os administradores devem ter a sua própria conta de utilizador para utilização regular não administrativa e utilizar apenas uma conta administrativa quando necessário para concluir uma tarefa associada à função ou função de trabalho.
- Siga as melhores práticas para proteger contas com privilégios no Microsoft Entra ID.
Passo seguinte
Configurar as políticas comuns de identidade Confiança Zero e acesso de dispositivos
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários