Trabalho de pré-requisito para implementar políticas de identidade e acesso a dispositivos Zero Trust
Este artigo descreve os pré-requisitos que os administradores devem cumprir para usar as políticas de identidade e acesso de dispositivo Zero Trust recomendadas e para usar o Acesso Condicional. Ele também discute os padrões recomendados para configurar plataformas de cliente para a melhor experiência de logon único (SSO).
Pré-requisitos
Antes de usar as políticas de identidade e acesso de dispositivo Zero Trust recomendadas, sua organização precisa atender aos pré-requisitos. Os requisitos são diferentes para os vários modelos de identidade e autenticação listados:
- Apenas cloud
- Híbrido com autenticação PHS (password hash sync)
- Híbrido com autenticação de passagem (PTA)
- Federados
A tabela a seguir detalha os recursos de pré-requisito e sua configuração que se aplicam a todos os modelos de identidade, exceto onde indicado.
| Configuração | Exceções | Licenciamento |
|---|---|---|
| Configure o PHS. Esse recurso deve ser habilitado para detetar credenciais vazadas e agir sobre elas para Acesso Condicional baseado em risco.Observe que isso é necessário independentemente de sua organização usar autenticação federada. | Apenas cloud | Microsoft 365 E3 ou E5 |
| Habilite o logon único contínuo para entrar automaticamente os usuários quando eles estiverem em seus dispositivos da organização conectados à rede da sua organização. | Somente nuvem e federado | Microsoft 365 E3 ou E5 |
| Configure locais nomeados. O Microsoft Entra ID Protection coleta e analisa todos os dados de sessão disponíveis para gerar uma pontuação de risco. Recomendamos que especifique os intervalos de IP públicos da sua organização para a sua rede na configuração de localizações nomeadas do Microsoft Entra ID. O tráfego proveniente desses intervalos recebe uma pontuação de risco reduzida, e o tráfego de fora do ambiente da organização recebe uma pontuação de risco mais alta. | Microsoft 365 E3 ou E5 | |
| Registre todos os usuários para redefinição de senha de autoatendimento (SSPR) e autenticação multifator (MFA). Recomendamos que você registre usuários para autenticação multifator do Microsoft Entra com antecedência. O Microsoft Entra ID Protection usa a autenticação multifator do Microsoft Entra para executar verificações de segurança adicionais. Além disso, para obter a melhor experiência de entrada, recomendamos que os usuários instalem o aplicativo Microsoft Authenticator e o aplicativo Portal da Empresa Microsoft em seus dispositivos. Estes podem ser instalados a partir da loja de aplicações para cada plataforma. | Microsoft 365 E3 ou E5 | |
| Planeje sua implementação de ingresso híbrido do Microsoft Entra. O Acesso Condicional garantirá que os dispositivos que se conectam a aplicativos sejam associados ao domínio ou estejam em conformidade. Para oferecer suporte a isso em computadores Windows, o dispositivo deve ser registrado com o Microsoft Entra ID. Este artigo descreve como configurar o registro automático de dispositivos. | Apenas cloud | Microsoft 365 E3 ou E5 |
| Prepare sua equipe de suporte. Tenha um plano em vigor para usuários que não podem concluir a MFA. Isso pode ser adicioná-los a um grupo de exclusão de política ou registrar novas informações de AMF para eles. Antes de fazer qualquer uma dessas alterações sensíveis à segurança, você precisa garantir que o usuário real esteja fazendo a solicitação. Exigir que os gerentes dos usuários ajudem com a aprovação é uma etapa eficaz. | Microsoft 365 E3 ou E5 | |
| Configure o write-back de senha para o AD local. O write-back de senha permite que o Microsoft Entra ID exija que os usuários alterem suas senhas locais quando um comprometimento de conta de alto risco for detetado. Você pode habilitar esse recurso usando o Microsoft Entra Connect de duas maneiras: habilitar o Write-back de senha na tela de recursos opcionais da instalação do Microsoft Entra Connect ou habilitá-lo por meio do Windows PowerShell. | Apenas cloud | Microsoft 365 E3 ou E5 |
| Configure a proteção por senha do Microsoft Entra. A Proteção por Senha do Microsoft Entra deteta e bloqueia senhas fracas conhecidas e suas variantes, e também pode bloquear termos fracos adicionais específicos da sua organização. As listas de senhas globais proibidas padrão são aplicadas automaticamente a todos os usuários em um locatário do Microsoft Entra. Você pode definir entradas adicionais em uma lista de senhas proibidas personalizadas. Quando os usuários alteram ou redefinem suas senhas, essas listas de senhas proibidas são verificadas para impor o uso de senhas fortes. | Microsoft 365 E3 ou E5 | |
| Habilite a Proteção de ID do Microsoft Entra. O Microsoft Entra ID Protection permite-lhe detetar potenciais vulnerabilidades que afetam as identidades da sua organização e configurar uma política de correção automatizada para baixo, médio e alto risco de início de sessão e risco do utilizador. | Microsoft 365 E5 ou Microsoft 365 E3 com o complemento de segurança E5 | |
| Habilite a autenticação moderna para o Exchange Online e para o Skype for Business Online. A autenticação moderna é um pré-requisito para usar MFA. A autenticação moderna está habilitada por padrão para clientes do Office 2016 e 2019, SharePoint e OneDrive for Business. | Microsoft 365 E3 ou E5 | |
| Habilite a avaliação de acesso contínuo para o Microsoft Entra ID. A avaliação contínua de acesso encerra proativamente as sessões de usuários ativos e impõe alterações na política de locatário quase em tempo real. | Microsoft 365 E3 ou E5 |
Configurações de cliente recomendadas
Esta seção descreve as configurações padrão do cliente de plataforma que recomendamos para fornecer a melhor experiência de SSO aos seus usuários, bem como os pré-requisitos técnicos para o Acesso Condicional.
Dispositivos Windows
Recomendamos o Windows 11 ou o Windows 10 (versão 2004 ou posterior), pois o Azure foi projetado para fornecer a experiência de SSO mais suave possível para o ID local e o Microsoft Entra. Os dispositivos emitidos pelo trabalho ou pela escola devem ser configurados para ingressar diretamente na ID do Microsoft Entra ou, se a organização usar a associação ao domínio do AD local, esses dispositivos devem ser configurados para se registrar automática e silenciosamente com a ID do Microsoft Entra.
Para dispositivos BYOD Windows, os usuários podem usar Adicionar conta corporativa ou de estudante. Observe que os usuários do navegador Google Chrome em dispositivos Windows 11 ou Windows 10 precisam instalar uma extensão para obter a mesma experiência de login suave que os usuários do Microsoft Edge. Além disso, se a sua organização tiver dispositivos Windows 8 ou 8.1 associados a domínios, pode instalar o Microsoft Workplace Join para computadores que não sejam Windows 10. Baixe o pacote para registrar os dispositivos com o Microsoft Entra ID.
Dispositivos iOS
Recomendamos instalar o aplicativo Microsoft Authenticator nos dispositivos do usuário antes de implantar políticas de Acesso Condicional ou MFA. No mínimo, o aplicativo deve ser instalado quando os usuários são solicitados a registrar seu dispositivo com o Microsoft Entra ID adicionando uma conta corporativa ou de estudante, ou quando instalam o aplicativo do portal da empresa do Intune para registrar seu dispositivo no gerenciamento. Isso depende da política de Acesso Condicional configurada.
Dispositivos Android
Recomendamos que os utilizadores instalem a aplicação Portal da Empresa do Intune e a aplicação Microsoft Authenticator antes de as políticas de Acesso Condicional serem implementadas ou quando necessário durante determinadas tentativas de autenticação. Após a instalação do aplicativo, os usuários podem ser solicitados a se registrar com a ID do Microsoft Entra ou registrar seu dispositivo no Intune. Isso depende da política de Acesso Condicional configurada.
Também recomendamos que os dispositivos de propriedade da organização sejam padronizados em OEMs e versões que suportam Android for Work ou Samsung Knox para permitir que as contas de email sejam gerenciadas e protegidas pela política de MDM do Intune.
Clientes de email recomendados
Os seguintes clientes de email suportam autenticação moderna e Acesso Condicional.
| Plataforma | Cliente | Versão/Notas |
|---|---|---|
| Windows | Outlook | 2019, 2016 |
| iOS | Outlook para iOS | Últimas notícias |
| Android | Outlook para Android | Últimas notícias |
| macOS | Outlook | 2019 e 2016 |
| Linux | Não suportado |
Plataformas de cliente recomendadas ao proteger documentos
Os clientes a seguir são recomendados quando uma política de documentos seguros é aplicada.
| Plataforma | Word/Excel/PowerPoint | OneNote | Aplicação OneDrive | Aplicativo do SharePoint | Cliente de sincronização do OneDrive |
|---|---|---|---|---|---|
| Windows 11 ou Windows 10 | Suportado | Suportado | N/A | N/A | Suportado |
| Windows 8.1 | Suportado | Suportado | N/A | N/A | Suportado |
| Android | Suportado | Suportado | Suportado | Suportado | N/A |
| iOS | Suportado | Suportado | Suportado | Suportado | N/A |
| macOS | Suportado | Suportado | N/A | N/A | Não suportado |
| Linux | Não suportado | Não suportado | Não suportado | Não suportado | Não suportado |
Suporte ao cliente Microsoft 365
Para obter mais informações sobre suporte ao cliente no Microsoft 365, consulte os seguintes artigos:
- Suporte ao aplicativo cliente Microsoft 365 - Acesso condicional
- Suporte ao aplicativo cliente Microsoft 365 - autenticação multifator
Proteção de contas de administrador
Para Microsoft 365 E3 ou E5 ou com licenças separadas do Microsoft Entra ID P1 ou P2, você pode exigir MFA para contas de administrador com uma política de Acesso Condicional criada manualmente. Consulte Acesso condicional: exigir MFA para administradores para obter detalhes.
Para edições do Microsoft 365 ou do Office 365 que não oferecem suporte ao Acesso Condicional, você pode habilitar os padrões de segurança para exigir MFA para todas as contas.
Aqui estão algumas recomendações adicionais:
- Use o Microsoft Entra Privileged Identity Management para reduzir o número de contas administrativas persistentes.
- Use o gerenciamento de acesso privilegiado para proteger sua organização contra violações que podem usar contas de administrador privilegiadas existentes com acesso permanente a dados confidenciais ou acesso a definições de configuração críticas.
- Crie e use contas separadas às quais são atribuídas funções de administrador do Microsoft 365 apenas para administração. Os administradores devem ter sua própria conta de usuário para uso não administrativo regular e usar apenas uma conta administrativa quando necessário para concluir uma tarefa associada à sua função ou função.
- Siga as práticas recomendadas para proteger contas privilegiadas no Microsoft Entra ID.
Próximo passo
Configurar a identidade Zero Trust comum e as políticas de acesso ao dispositivo