Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Muitas organizações têm dúvidas ao implantar o Microsoft 365 de forma segura. As políticas de Acesso Condicional, proteção de aplicativos e conformidade de dispositivos neste artigo baseiam-se nas recomendações da Microsoft e nos três princípios orientadores do Zero Trust:
- Verificar explicitamente
- Adote o princípio do menor privilégio
- Assumir violação
As organizações podem usar essas políticas como estão ou personalizá-las para atender às suas necessidades. Teste suas políticas em um ambiente que não seja de produção para identificar efeitos potenciais e comunicá-los aos usuários antes de implementá-los na produção. Os testes são fundamentais para identificar e comunicar possíveis efeitos aos utilizadores.
Agrupamos estas políticas em três níveis de proteção, com base em qual estágio você está na sua jornada de implementação.
- Ponto de partida: controles básicos que introduzem autenticação multifator, alterações de senha segura e políticas de proteção de aplicativos do Intune para dispositivos móveis.
- Enterprise: Controles aprimorados que introduzem a conformidade do dispositivo.
- Segurança especializada: Políticas que exigem autenticação multifator sempre para conjuntos de dados ou utilizadores específicos.
Este diagrama mostra os níveis de proteção para cada política e os tipos de dispositivos aos quais se aplicam:
Você pode baixar este diagrama como um arquivo PDF ou um arquivo editável do Visio .
Sugestão
Exija autenticação multifator (MFA) para os usuários antes de registrar dispositivos no Intune para confirmar que o dispositivo está com o usuário pretendido. A MFA está ativada por padrão em padrões de segurança completos ou você pode usar políticas de Acesso Condicional para exigir MFA para todos os usuários.
Os dispositivos têm de estar inscritos no Intune antes de poder aplicar políticas de conformidade de dispositivos.
Pré-requisitos
Permissões
As seguintes permissões no Microsoft Entra são necessárias:
- Gerir políticas de Acesso Condicional: O papel de Administrador de Acesso Condicional.
- Gerir políticas de proteção de aplicações e conformidade dos dispositivos: O papel de Administrador do Intune.
- Ver apenas configurações: O papel de Leitor de Segurança.
Para mais informações sobre funções e permissões no Microsoft Entra, consulte Visão geral do controle de acesso baseado em funções no Microsoft Entra ID.
Registo de utilizador
Certifique-se de que os usuários se registrem para MFA antes de serem obrigados a usá-lo. Se suas licenças incluírem o Microsoft Entra ID P2, você poderá usar a política de registro do MFA no Microsoft Entra ID Protection para exigir que os usuários se registrem. Fornecemos modelos de comunicação que você pode baixar e personalizar para promover o registro do usuário.
Grupos
Todos os grupos do Microsoft Entra usados nessas recomendações devem ser Grupos do Microsoft 365, não grupos de segurança. Esse requisito é importante para a implantação de rótulos de sensibilidade para proteger documentos no Microsoft Teams e no SharePoint. Para obter mais informações, consulte Saiba mais sobre grupos e direitos de acesso no Microsoft Entra ID.
Atribuição de políticas
Você pode atribuir políticas de Acesso Condicional a usuários, grupos e funções de administrador. Pode atribuir políticas de proteção de aplicações e conformidade de dispositivos do Intune apenas a grupos. Antes de configurar suas políticas, identifique quem deve ser incluído e excluído. Normalmente, as políticas de nível de proteção de ponto de partida se aplicam a todos na organização.
A tabela seguinte descreve exemplos de atribuições de grupo e exclusões para MFA após os utilizadores completarem o registo de utilizador:
| Política de Acesso Condicional do Microsoft Entra | Incluir | Excluir | |
|---|---|---|---|
| Ponto de partida | Exigir autenticação multifatorial para risco de início de sessão Médio ou Alto | Todos os utilizadores |
|
| Empresa | Exigir autenticação multifator para risco de entrada baixo, médio ou alto | Grupo de pessoal executivo |
|
| Segurança Especializada | Exigir autenticação multifator sempre | Grupo Top Secret Project Buckeye |
|
Sugestão
Aplique cuidadosamente níveis mais elevados de proteção aos utilizadores e grupos. O objetivo da segurança não é adicionar atrito desnecessário à experiência do usuário. Por exemplo, os membros do grupo Top Secret Project Buckeye são obrigados a usar MFA toda vez que entrarem, mesmo que não estejam trabalhando no conteúdo especializado para seu projeto. O atrito excessivo na segurança pode levar à fadiga. Habilite métodos de autenticação resistentes a phishing (por exemplo, chaves de segurança do Windows Hello for Business ou FIDO2) para ajudar a reduzir o atrito causado pelos controles de segurança.
Contas de acesso de emergência
Toda organização precisa de pelo menos uma conta de acesso de emergência que seja monitorada para uso e excluída das políticas. Organizações maiores podem precisar de mais contas. Estas contas são usadas apenas se todas as outras contas de administrador e métodos de autenticação estiverem bloqueados ou indisponíveis. Para obter mais informações, consulte Gerenciar contas de acesso de emergência no Microsoft Entra ID.
Excluir utilizadores
Recomendamos criar um grupo Microsoft Entra para exclusões de acesso condicional. Esse grupo oferece um meio de fornecer acesso a um usuário enquanto você soluciona problemas de acesso. Recursos como revisões de acesso no Microsoft Entra ID Governance ajudam você a gerenciar usuários excluídos das políticas de Acesso Condicional
Advertência
Recomendamos um grupo de exclusão apenas como solução temporária. Monitore continuamente esse grupo em busca de alterações e garanta que ele seja usado apenas para o fim a que se destina.
Use as etapas a seguir para adicionar um grupo de exclusão às políticas existentes.
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.
- Navegue até Proteção>Acesso Condicional>Políticas.
- Selecione uma política existente clicando no nome.
- Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
a) Em Excluir, selecione Usuários e grupos e escolha as seguintes identidades:
- Utilizadores: As suas contas de acesso de emergência.
- Grupos: seu grupo de exclusão de Acesso Condicional. b) Selecione Selecione.
- Faça quaisquer outras modificações.
- Selecione Guardar.
Excluindo aplicações
Recomendamos a criação de uma política de autenticação multifator de linha de base direcionada a todos os usuários e todos os recursos (sem exclusões de aplicativos), como a explicada em Exigir autenticação multifator para todos os usuários. A exclusão de determinados aplicativos pode ter consequências não intencionais de segurança e usabilidade descritas no comportamento de Acesso Condicional quando uma política de todos os recursos tem uma exclusão de aplicativo. Aplicativos, como o Microsoft 365 e o Microsoft Teams, dependem de vários serviços, tornando o comportamento imprevisível quando exclusões são feitas.
Implantação
Recomendamos implementar as políticas de ponto de partida na ordem listada na tabela seguinte. Pode implementar as políticas de MFA para níveis de segurança empresarial e especializados em qualquer altura.
Ponto de partida:
| Política | Mais informações | Licenciamento |
|---|---|---|
| Exigir MFA quando o risco de entrada for Médio ou Alto | Exija MFA somente quando o risco for detetado pelo Microsoft Entra ID Protection. |
|
| Bloquear clientes que não suportam autenticação moderna | Clientes que não utilizam autenticação moderna podem contornar as políticas de Acesso Condicional, por isso é importante bloqueá-los. | Microsoft 365 E3 ou E5 |
| Utilizadores de alto risco devem mudar a senha | Force os utilizadores a alterarem a sua palavra-passe ao iniciar sessão se for detetada uma atividade de alto risco na sua conta. |
|
| Aplicar Políticas de Proteção de Aplicações (APP) para a proteção de dados | Uma APP Intune por plataforma de dispositivo móvel (Windows, iOS/iPadOS e Android). | Microsoft 365 E3 ou E5 |
| Exigir aplicativos aprovados e políticas de proteção de aplicativos | Aplica políticas de proteção de aplicações para dispositivos móveis que utilizem iOS, iPadOS ou Android. | Microsoft 365 E3 ou E5 |
Empresa:
| Política | Mais informações | Licenciamento |
|---|---|---|
| Exigir MFA quando o risco de início de sessão for Baixo, Médio ou Alto | Exija MFA somente quando o risco for detetado pelo Microsoft Entra ID Protection. |
|
| Definir políticas de conformidade de dispositivos | Defina requisitos mínimos de configuração. Uma política para cada plataforma. | Microsoft 365 E3 ou E5 |
| Exigir PCs e dispositivos móveis compatíveis | Impõe os requisitos de configuração para dispositivos que acedem à sua organização | Microsoft 365 E3 ou E5 |
Segurança especializada:
| Política | Mais informações | Licenciamento |
|---|---|---|
| Exigir MFA Sempre | Os usuários são obrigados a fazer MFA sempre que entrarem em serviços na organização. | Microsoft 365 E3 ou E5 |
Políticas de proteção de aplicações
As políticas de proteção de aplicativos especificar os aplicativos permitidos e as ações que eles podem executar com os dados da sua organização. Embora haja muitas políticas para escolher, a lista a seguir descreve nossas linhas de base recomendadas.
Sugestão
Embora forneçamos três modelos, a maioria das organizações deve escolher o Nível 2 (correspondente ao ponto de partida ou nível de segurança empresarial) e o Nível 3 (correspondente à segurança especializada).
Proteção básica de dados de nível 1 de empresa: recomendamos esta configuração como a proteção mínima de dados para dispositivos empresariais.
de proteção de dados empresarial avançada de nível 2: recomendamos esta configuração para dispositivos que acedem a dados confidenciais ou informações confidenciais. Esta configuração aplica-se à maioria dos utilizadores móveis que acedem a dados do trabalho ou da escola. Alguns dos controles podem afetar a experiência do usuário.
de alta proteção de dados empresariais de nível 3: Recomendamos essa configuração nos seguintes cenários:
- Organizações com equipas de segurança maiores ou mais sofisticadas.
- Dispositivos utilizados por utilizadores ou grupos específicos que apresentam um risco exclusivamente elevado. Por exemplo, usuários que lidam com dados altamente confidenciais onde a divulgação não autorizada causaria perdas consideráveis para a organização
As organizações que são provavelmente alvos de atacantes sofisticados e bem financiados devem aspirar a esta configuração.
Crie uma nova política de proteção de aplicativos para cada plataforma de dispositivos dentro do Microsoft Intune (iOS/iPadOS e Android) usando as configurações do framework de proteção de dados, utilizando um dos seguintes métodos:
- Crie manualmente as políticas seguindo os passos em Como criar e implementar políticas de proteção de aplicativos com o Microsoft Intune.
- Importe os modelos JSON de amostra do Intune App Protection Policy Configuration Framework com os scripts PowerShell do Intune.
Políticas de conformidade de dispositivos
As políticas de conformidade de dispositivos do Intune definem os requisitos para que os dispositivos estejam em conformidade. Você precisa criar uma política para cada plataforma de PC, telefone ou tablet. As seguintes secções descrevem as recomendações para as seguintes plataformas:
Criar políticas de conformidade de dispositivos
Siga estas etapas para criar políticas de conformidade de dispositivos:
- Inicie sessão no centro de administração do Microsoft Intune como Administrador do Intune.
- Navegue até Dispositivos>Conformidade>Criar política.
Para obter orientações passo a passo, consulte Criar uma política de conformidade no Microsoft Intune.
Configurações de inscrição e conformidade para iOS/iPadOS
iOS/iPadOS suporta vários cenários de inscrição, dois dos quais são cobertos por esta estrutura:
- Registo de dispositivos pessoais: Dispositivos pessoais (também conhecidos como traga o seu próprio dispositivo ou BYOD) que também são usados para trabalho.
- Registro automatizado de dispositivos para dispositivos corporativos: dispositivos de propriedade da organização que estão associados a um único usuário e são usados exclusivamente para o trabalho.
Sugestão
Conforme descrito anteriormente, o Nível 2 corresponde ao ponto de partida ou ao nível de segurança empresarial, e o Nível 3 corresponde à segurança especializada. Para mais informações, consulte as configurações de identidade e acesso a dispositivos Zero Trust .
Definições de conformidade para dispositivos inscritos pessoalmente
- Segurança básica pessoal (Nível 1): Recomendamos esta configuração como segurança mínima para dispositivos pessoais que acedem a dados do trabalho ou da escola. Você obtém essa configuração impondo políticas de senha, características de bloqueio de dispositivo e desativando determinadas funções do dispositivo (por exemplo, certificados não confiáveis).
- Segurança pessoal reforçada (Nível 2): Recomendamos esta configuração para dispositivos que acedem a dados confidenciais ou informações confidenciais. Essa configuração permite controles de compartilhamento de dados. Esta configuração aplica-se à maioria dos utilizadores móveis que acedem a dados do trabalho ou da escola.
- pessoal de alta segurança (Nível 3): Recomendamos esta configuração para dispositivos usados por usuários ou grupos específicos que estão em risco exclusivamente alto. Por exemplo, usuários que lidam com dados altamente confidenciais onde a divulgação não autorizada causaria perdas consideráveis para a organização. Esta configuração permite políticas de palavra-passe mais fortes, desativa determinadas funções do dispositivo e impõe restrições adicionais de transferência de dados.
Definições de conformidade para cadastramento automático de dispositivos
- Segurança básica supervisionada (Nível 1): Recomendamos esta configuração como segurança mínima para dispositivos empresariais que acedem a dados do trabalho ou da escola. Você obtém essa configuração impondo políticas de senha, características de bloqueio de dispositivo e desativando determinadas funções do dispositivo (por exemplo, certificados não confiáveis).
- Segurança reforçada supervisionada (Nível 2): Recomendamos esta configuração para dispositivos que acedem a dados confidenciais ou informações confidenciais. Esta configuração permite a partilha de dados, controla e bloqueia o acesso a dispositivos USB. Essa configuração é aplicável à maioria dos usuários móveis que acessam dados do trabalho ou da escola em um dispositivo.
- Supervisionado de alta segurança (Nível 3) : Recomendamos esta configuração para dispositivos usados por utilizadores ou grupos específicos que estão em risco elevado. Por exemplo, usuários que lidam com dados altamente confidenciais onde a divulgação não autorizada causaria perdas consideráveis para a organização. Esta configuração permite políticas de palavra-passe mais fortes, desativa determinadas funções do dispositivo, impõe restrições adicionais de transferência de dados e exige que as aplicações sejam instaladas através do programa de compra por volume da Apple.
Configurações de inscrição e conformidade para Android
O Android Enterprise suporta vários cenários de inscrição, dois dos quais são abrangidos por esta estrutura:
- perfil de trabalho do Android Enterprise: Dispositivos de propriedade pessoal (também conhecidos como traz o teu próprio dispositivo ou BYOD) que também se usam para o trabalho. As políticas controladas pelo departamento de TI garantem que os dados de trabalho não possam ser transferidos para o perfil pessoal.
- Dispositivos totalmente geridos pelo Android Enterprise: Dispositivos pertencentes à organização que estão associados a um único utilizador e são usados exclusivamente para trabalho.
A estrutura de configuração de segurança do Android Enterprise está organizada em vários cenários de configuração distintos que fornecem orientação para perfis de trabalho e cenários totalmente gerenciados.
Sugestão
Conforme descrito anteriormente, o Nível 2 corresponde ao ponto de partida ou ao nível de segurança empresarial, e o Nível 3 corresponde à segurança especializada. Para mais informações, consulte as configurações de identidade e acesso a dispositivos Zero Trust .
Configurações de conformidade para dispositivos de perfil de trabalho Android Enterprise
- Não há uma oferta de segurança básica (Nível 1) para dispositivos com perfil de trabalho de propriedade pessoal. As definições disponíveis não justificam uma diferença entre o Nível 1 e o Nível 2.
- Perfil de trabalho segurança reforçada (Nível 2): Recomendamos esta configuração como segurança mínima para dispositivos pessoais que acedem a dados do trabalho ou da escola. Esta configuração introduz requisitos de senha, separa os dados de trabalho e pessoais e valida a declaração de dispositivo Android.
- Perfil de trabalho de alta segurança (Nível 3): Recomendamos esta configuração para dispositivos usados por usuários ou grupos específicos que estão em risco exclusivamente alto. Por exemplo, usuários que lidam com dados altamente confidenciais onde a divulgação não autorizada causaria perdas consideráveis para a organização. Essa configuração introduz a defesa contra ameaças móveis ou o Microsoft Defender for Endpoint, define a versão mínima do Android, permite políticas de senha mais fortes e separa ainda mais os dados pessoais e de trabalho.
Definições de conformidade para dispositivos totalmente geridos pelo Android Enterprise
- Segurança básica totalmente gerenciada (Nível 1): Recomendamos essa configuração como a segurança mínima para um dispositivo corporativo. Esta configuração aplica-se à maioria dos utilizadores móveis que utilizam dados móveis para trabalhar ou estudar. Esta configuração introduz requisitos de palavra-passe, define a versão mínima do Android e permite restrições específicas do dispositivo.
- Segurança melhorada (Nível 2) totalmente gerida: Recomendamos esta configuração para dispositivos que acedem a dados confidenciais ou informações confidenciais. Essa configuração permite políticas de senha mais fortes e desabilita os recursos de usuário/conta.
- de alta segurança (Nível 3) totalmente gerenciados: Recomendamos esta configuração para dispositivos usados por usuários ou grupos específicos que estão em risco exclusivamente alto. Por exemplo, usuários que lidam com dados altamente confidenciais onde a divulgação não autorizada causaria perdas consideráveis para a organização. Esta configuração aumenta a versão mínima do Android, introduz defesa contra ameaças móveis ou Microsoft Defender para Endpoint, e impõe restrições adicionais ao dispositivo.
Definições de conformidade recomendadas para o Windows 10 e versões posteriores
Configura as definições seguintes conforme descrito em Definições de conformidade do dispositivo para Windows 10/11 no Intune. Essas definições estão alinhadas com os princípios descritos nas configurações de identidade e acesso a dispositivos de Confiança Zero.
Funcionamento do dispositivo>Regras de avaliação do Serviço de Atestado de Integridade do Windows:
Propriedade Valor Exigir BitLocker Exigir Exigir que a Inicialização Segura esteja habilitada no dispositivo Exigir Exigir integridade do código Exigir Propriedades do> dispositivoVersão do sistema operacional: insira os valores apropriados para as versões do sistema operacional com base em suas políticas de TI e segurança.
Propriedade Valor Versão mínima do SO Versão máxima do SO SO mínimo necessário para dispositivos móveis SO máximo necessário para dispositivos móveis Compilações válidas do sistema operacional Conformidade do Configuration Manager:
Propriedade Valor Exigir conformidade do dispositivo do Configuration Manager Selecione Obrigatório em ambientes que são cogeridos com o Configuration Manager. Caso contrário, selecione Not configured. Segurança do sistema:
Propriedade Valor Palavra-passe Exigir uma palavra-passe para desbloquear dispositivos móveis Exigir Palavras-passe simples Bloquear Tipo de palavra-passe Padrão do dispositivo Comprimento mínimo da palavra-passe 6 Inatividade máxima em minutos antes de uma senha ser necessária 15 minutos Expiração da palavra-passe (dias) 41 Número de palavras-passe anteriores para evitar a reutilização 5 Exigir senha quando os dispositivos saírem do estado de inatividade (móveis e holográficos) Exigir Encriptação Exigir encriptação do armazenamento de dados no dispositivo Exigir Firewall Barreira de Fogo Exigir Antivírus Antivírus Exigir Antispyware Antispyware Exigir Defensor O antimalware do Microsoft Defender Exigir Versão mínima do antimalware Microsoft Defender Recomendamos um valor que não seja mais do que cinco versões atrás da versão mais recente. Assinatura antimalware do Microsoft Defender atualizada Exigir Protecção em tempo real Exigir Microsoft Defender para Endpoint:
Propriedade Valor Exigir que o dispositivo esteja na pontuação de risco da máquina ou abaixo dela Médio
Políticas de Acesso Condicional
Depois de criar políticas de proteção de aplicações e políticas de conformidade de dispositivos no Intune, pode ativar a imposição com políticas de Acesso Condicional.
Exigir MFA com base no risco de início de sessão
Siga as orientações em: Exigir autenticação multifator para risco de entrada elevado criar uma política que exija autenticação multifator com base no risco de entrada.
Ao configurar a política, use os seguintes níveis de risco:
| Nível de proteção | Níveis de risco |
|---|---|
| Ponto de partida | Médio e Alto |
| Empresa | Baixo, Médio e Alto |
Bloquear clientes que não suportam autenticação multifator
Siga as instruções em: Bloquear autenticação herdada com Acesso Condicional.
Utilizadores de alto risco devem alterar a palavra-passe.
Siga as orientações em: Exigir uma alteração de senha segura para risco elevado de usuário exigir que usuários com credenciais comprometidas alterem sua senha.
Use esta política juntamente com a proteção por senha do Microsoft Entra (), que deteta e bloqueia senhas fracas conhecidas, as suas variantes e termos específicos na sua organização. Ao utilizar a proteção de senha do Microsoft Entra, garante-se que as senhas alteradas sejam mais robustas.
Exigir aplicativos aprovados ou políticas de proteção de aplicativos
Tem de criar uma política de Acesso Condicional para impor políticas de proteção de aplicações que cria no Intune. A aplicação das políticas de proteção de aplicações requer uma política de Acesso Condicional e uma política de proteção de aplicações correspondente.
Para criar uma política de Acesso Condicional que exija apps aprovados ou uma política de proteção de apps, siga os passos indicados em Exigir apps cliente aprovados ou política de proteção de apps. Esta política só permite que contas dentro de aplicações protegidas por políticas de proteção de aplicações acedam aos endpoints do Microsoft 365.
Bloquear a autenticação herdada para outros aplicativos em dispositivos iOS/iPadOS e Android garante que esses dispositivos não possam ignorar as políticas de Acesso Condicional. Ao seguir as orientações deste artigo, já está a bloquear clientes que não suportam autenticação moderna.
Exigir PCs e dispositivos móveis compatíveis
Cuidado
Verifique se o seu próprio dispositivo está em conformidade antes de ativar esta política. Caso contrário, você pode ser bloqueado e precisar usar uma conta de acesso de emergência para recuperar seu acesso.
Permita o acesso a recursos somente depois que o dispositivo for determinado como compatível com suas políticas de conformidade do Intune. Para obter mais informações, consulte Exigir conformidade do dispositivo comsobre Acesso Condicional.
Pode inscrever novos dispositivos no Intune, mesmo que selecione Exigir que dispositivo seja marcado como compatível com para Todos os utilizadores e Todas as aplicações na nuvem na política. Exigir que o dispositivo seja marcado como compatível não bloqueia a inscrição no Intune nem o acesso ao aplicativo Portal da Empresa Web do Microsoft Intune.
Ativação de assinatura
Se a sua organização utilizar a Ativação por Subscrição do Windows para permitir que os utilizadores "façam upgrade" de uma versão do Windows para outra, deverá excluir as APIs do Serviço Universal Store e a Aplicação Web (AppID: 45a330b1-b1ec-4cc1-9161-9f03992aa49f) da conformidade do seu dispositivo.
Sempre exigir autenticação multifator
Exija MFA para todos os usuários seguindo as orientações neste artigo: Exigir autenticação multifator para todos os usuários.
Próximos passos
Saiba mais sobre as recomendações de políticas de acesso para hóspedes