Anterior

Seguinte

Proteja seus dados de Copilot para Microsoft 365 com ferramentas de segurança do Microsoft 365

Concluído

Muitas organizações têm preocupações de que seus usuários compartilhem demais informações internas ou pessoais. Para resolver essas preocupações, a Microsoft fornece ferramentas de segurança poderosas em seus ecossistemas do Microsoft 365 e do Azure. Essas ferramentas ajudam as organizações a restringir permissões e implementar "acesso suficiente". As políticas e configurações que os administradores definem nessas ferramentas são usadas não apenas pelo Microsoft 365 e pelo Azure para impedir o compartilhamento excessivo de dados, mas também por Copilot para Microsoft 365. Os administradores devem verificar as práticas de segurança de sua organização em relação a permissões, rotulagem de confidencialidade e acesso a dados para ajudar a evitar o compartilhamento potencial de dados corporativos proprietários e confidenciais.

A Microsoft recomenda a abordagem de "acesso suficiente" para resolver essa situação. Nessa abordagem, cada usuário pode acessar apenas as informações específicas necessárias para seu trabalho. Essa abordagem envolve o controle rígido de permissões para que os usuários não possam acessar documentos, sites ou dados que eles não devem ver.

Para evitar o excesso de compartilhamento, as organizações devem considerar a implementação das seguintes práticas recomendadas:

• Realize uma revisão de acesso para sites, documentos, emails e outros conteúdos. Identifique todos os ativos superexpostos. Tenha sites de inventário de proprietários de dados do SharePoint, bibliotecas de documentos, caixas de correio de email e outros ativos de dados. Identifique áreas em que as permissões de usuário são mais amplas do que o necessário. Por exemplo, um site do SharePoint "Benefícios de RH" visível para todos os funcionários em vez de apenas para a equipe de RH.
• Reforce permissões em ativos sobrepostos para que somente usuários autorizados tenham acesso. Usando o exemplo no item anterior, restrinja o acesso ao site "Benefícios de RH" somente para membros do departamento de RH. Da mesma forma, limite documentos de roteiro de produtos confidenciais apenas a gerentes de produto relevantes. Configure o compartilhamento externo e a expiração de acesso em emails e documentos para limitar a exposição.
• Validar que restringir o acesso não impede a capacidade dos usuários de fazer seus trabalhos. Pesquise e entreviste usuários de ativos restritos para confirmar que eles ainda têm acesso a todas as informações necessárias para sua função. Por exemplo, verifique se as Vendas ainda podem acessar informações de contato do cliente e especificações de projeto, mesmo se a empresa restringiu os dados de RH.
• Teste a funcionalidade de pesquisa para confirmar que os usuários só possam acessar informações relevantes para suas funções. Execute pesquisas na amostragem de documentos, sites, emails como diferentes funções internas. Confirme se a equipe financeira não pode acessar dados de RH. Valide se as equipes entre departamentos retêm o acesso aos recursos de projeto compartilhados. As permissões de ajuste são um processo iterativo.

Ferramentas da Microsoft para proteger dados

Microsoft 365, o Copilot para Microsoft 365 serviços conectados e todos usam as políticas e configurações que os administradores definem para reforçar as permissões e implementar "acesso suficiente". Eles fazem isso por meio de plug-ins e Microsoft Graph conectores para evitar o compartilhamento excessivo de dados. A lista a seguir fornece um breve resumo de algumas das ferramentas que os administradores podem usar para definir essas políticas e configurações:

• Proteção de Informações do Microsoft Purview. Classifique e, opcionalmente, criptografe documentos e emails com base na confidencialidade. Você pode criar políticas para restringir o acesso somente a usuários autorizados. Por exemplo, você pode:
  • Classifique documentos ou emails que contenham salários de funcionários como "Altamente confidenciais" e restrinja o acesso apenas à equipe de RH.
  • Classifique os dados do cliente como "Confidenciais" e permita que somente os representantes de vendas atribuídos a esse cliente os acessem.
  • Classifique relatórios financeiros como "Somente interno" e criptografe-os automaticamente para evitar o compartilhamento externo.
  • Classifique as comunicações executivas como "Somente interno" e restrinja o acesso aos membros da equipe de liderança.
• Rótulos de confidencialidade do Microsoft Purview. Classifique e rotule sites, documentos e emails do SharePoint com rótulos de confidencialidade como "Confidencial" ou "Somente uso interno". Você pode criar políticas para limitar o acesso a ativos com marcas de confidencialidade específicas. Por exemplo, você pode:
  • Rotule as revisões de desempenho dos funcionários com uma marca de confidencialidade "Confidencial de RH" e limite o acesso somente aos gerentes de RH.
  • Rotule os dados do cliente com um rótulo "Confidencial do Cliente" e configure políticas para bloquear downloads, impressões ou compartilhamentos de itens com essa marca.
  • Rotule os dados do cliente com "Confidencial" e configure para criptografar automaticamente arquivos que têm esse rótulo aplicado.
  • Rotular planilhas de contabilidade "Finanças confidenciais" e limitar o acesso a apenas membros da equipe de finanças.
• Políticas de acesso condicional do Microsoft Entra. Conceda ou restrinja o acesso a informações e serviços do Microsoft 365, incluindo o SharePoint, com base em condições como localização do usuário, dispositivo ou rede. Essas políticas são úteis para limitar o acesso quando o sistema detecta riscos ou as credenciais do usuário ficam comprometidas. Por exemplo, você pode:
  • Exigir autenticação multifator para acessar sites do SharePoint que contêm dados financeiros ao se conectar remotamente.
  • Bloqueie o compartilhamento externo de sites que contêm apresentações internas, a menos que os usuários estejam se conectando por meio de dispositivos gerenciados na rede corporativa.
  • Exigir dispositivos gerenciados para acessar sites que contêm código-fonte proprietário.
  • Bloqueie o acesso a sites que contêm comunicados de imprensa antes da data do anúncio público.
  • Bloqueie o acesso ou exija autenticação de step-up com outro fator nos casos em que o sistema detecta viagem impossível, o que geralmente é um indicador de roubo de credenciais.
• Microsoft Entra Privileged Identity Management (PIM). Forneça acesso de administrador just-in-time, imponha o princípio do mínimo privilégio e limite privilégios permanentes, concedendo apenas a um usuário as permissões de que precisa quando necessário. Por exemplo, você pode:
  • Conceda funções privilegiadas como administrador do SharePoint ou administrador global apenas para horas comerciais aprovadas para minimizar o acesso permanente.
  • Exigir autenticação e justificativa multifator para ativar o acesso privilegiado a dados ou aplicativos.
  • Limitar o acesso privilegiado, como o administrador de cobrança, a cinco horas por semana no máximo.
  • Exigir aprovação para ativar o acesso à função de Administrador Global do Microsoft 365.
• Revisões de acesso ao site do SharePoint. Exigir e automatizar revisões de acesso de proprietários de sites, membros e solicitações de acesso para revogar permissões que os usuários não precisam ou não precisam mais. As revisões de acesso garantem que os usuários mantenham apenas o acesso necessário para sua função. Por exemplo, você pode:
  • Revogue automaticamente as permissões para sistemas de RH ou financeiros após 90 dias, a menos que sejam revisadas e aprovadas.
  • Exigir justificativa comercial a cada trimestre para que as contas de usuário externas validem a necessidade contínua de acesso.
  • Exija revisões trimestrais do acesso do usuário e remova o acesso para funcionários demitidos.
  • Impor limites de tempo de política ao acesso externo do usuário para sites de colaboração.
• Conectores e plug-ins do Microsoft Graph. Limitar o acesso a dados externos conectados usando conectores ou plug-ins do Microsoft Graph. Por exemplo, você pode:
  • Defina o escopo de acesso que usuários e grupos precisam para acessar provedores de dados conectados.
  • Exigir autenticação de serviço baseada em conta de usuário para serviços conectados e dados usados com os plug-ins do Copilot para Microsoft 365.
  • Limite os recursos de pesquisa estendidos ao conteúdo externo indexado por meio de conectores do Graph apenas para usuários que devem ter acesso.

O uso de combinações dessas ferramentas para restringir o acesso e implementar privilégios mínimos permite que as organizações limitem a exposição de dados confidenciais e impeçam o compartilhamento excessivo para manter informações confidenciais seguras. Essas ferramentas são mecanismos poderosos para habilitar "acesso suficiente". Ao garantir que cada funcionário tenha acesso suficiente para fazer seu trabalho sem privilégios excessivos, você também pode manter o Copilot para Microsoft 365 focado apenas nos dados apropriados necessários para recomendações úteis.

Leitura adicional. Para obter mais informações sobre como proteger seus dados e dispositivos de usuário, confira as seguintes ofertas de treinamento:

• Explorar as métricas de segurança no Microsoft Defender XDR.
• Implementar a proteção de ponto de extremidade usando o Microsoft Defender para Ponto de Extremidade.
• Gerenciar a conformidade no Microsoft 365.

Implementar o modelo de segurança Confiança Zero

Se há uma coisa que os recentes eventos mostraram, é que a segurança não está ficando mais fácil. As recentes atividades de violação de alto perfil ressaltaram a crescente sofisticação dos agentes de ameaças atuais. Eles também destacam a complexidade do gerenciamento de riscos de negócios em um mundo cada vez mais conectado. É uma luta para organizações de todos os tamanhos e para o setor público e privado. A Microsoft aborda essas preocupações com seu modelo de segurança Confiança Zero,—que aborda todos os tipos de ameaças dentro e fora dele.

Confiança Zero é uma estratégia de segurança para todos os serviços da Microsoft, incluindo Microsoft 365, Azure e Copilot para Microsoft 365. Em vez de supor que tudo por trás do firewall corporativo seja seguro, o modelo de Confiança Zero pressupõe que cada solicitação é uma possível violação. Dessa forma, cada solicitação deve ser verificada como se fosse proveniente de uma rede aberta. Independentemente de onde a solicitação se origina ou qual recurso acessa, a Confiança Zero nos ensina a "nunca confiar, sempre verificar". Cada solicitação de acesso é totalmente autenticada, autorizada e criptografada antes de conceder acesso. O modelo Confiança Zero aplica princípios de microsegmentação e acesso menos privilegiados para minimizar a movimentação lateral. A análise e a inteligência avançada são usadas para detectar e responder a anomalias em tempo real.

Os princípios subjacentes que fornecem a base do modelo de Confiança Zero incluem:

• Verificar explicitamente. Sempre autenticar e autorizar com base em todos os pontos de dados disponíveis. Por exemplo, identidade do usuário, local, integridade do dispositivo, serviço ou carga de trabalho, classificação de dados e anomalias.
• Usar o acesso de privilégio mínimo. Limite o acesso do usuário com acesso Just-In-Time (JIT) e Just-Enough (JEA), políticas adaptáveis baseadas em risco e proteção de dados para ajudar a proteger dados e produtividade.
• Presumir a violação. Minimize o raio de alcance da violação e evite o movimento lateral, segmentando o acesso por rede, usuário, dispositivos e aplicativo. Verifique se todas as sessões estão criptografadas de ponta a ponta. Use a análise para obter visibilidade, promover a detecção de ameaças e melhorar as defesas.

Leitura adicional. Uma análise detalhada do modelo Confiança Zero está além do escopo desse treinamento. No entanto, para saber mais sobre o modelo de segurança Confiança Zero da Microsoft e como implementá-lo em sua organização, consulte Explorar o modelo de segurança Confiança Zero.

Verificação de conhecimentos

Escolha a melhor resposta para as perguntas abaixo. Em seguida, selecione "Verifique suas respostas".

Verifique seu conhecimento

1.

Clara Barbosa é a administradora do Microsoft 365 de mensagens da Contoso. Clara está se preparando para o lançamento do Copilot para Microsoft 365 da Contoso. Como tal, Clara está revisando as políticas e configurações existentes da empresa para impedir o compartilhamento excessivo de dados em Copilot para Microsoft 365. Clara quer fornecer acesso de administrador just-in-time e impor o princípio do mínimo privilégio, concedendo apenas aos usuários as permissões de que precisam quando necessário. Qual ferramenta de segurança Clara deve examinar que fornece esses recursos de segurança?

Proteção de Informações do Microsoft Purview

Microsoft Entra Privileged Identity Management

Políticas de acesso condicional do Microsoft Entra

Verificar suas respostas

É necessário responder a todas as perguntas antes de verificar o trabalho.

Continuar