Proteja as identidades da organização com o Microsoft Entra ID

Pode parecer assustador tentar proteger seus funcionários no mundo atual, especialmente quando precisa responder rapidamente e fornecer acesso a vários serviços rapidamente. Este artigo ajuda a fornecer uma lista concisa de ações a serem executadas, ajudando você a identificar e priorizar recursos com base no tipo de licença que você possui.

O Microsoft Entra ID oferece vários recursos e camadas de segurança para suas identidades. Navegar para saber qual recurso é relevante pode, às vezes, ser complicado. Este documento destina-se a ajudar as organizações a implantar serviços rapidamente, com identidades seguras como a principal consideração.

Cada tabela fornece uma recomendação de segurança, para proteger as identidades contra ataques de segurança comuns, minimizando o atrito do usuário.

As diretrizes ajudam:

  • Configurar o acesso a saaS (software como serviço) e aplicativos locais de maneira segura e protegida
  • Identidades híbridas e de nuvem
  • Usuários trabalhando remotamente ou no escritório

Pré-requisitos

Este guia pressupõe que suas identidades híbridas ou somente na nuvem já estejam estabelecidas no Microsoft Entra ID. Para obter ajuda ao escolher seu tipo de identidade, consulte o artigo, Escolha o método de autenticação correta (AuthN) para sua solução de identidade híbrida do Microsoft Entra.

A Microsoft recomenda que as organizações tenham duas contas de acesso de emergência somente na nuvem atribuídas permanentemente à função Administrador Global. Essas contas são altamente privilegiadas e não são atribuídas a indivíduos específicos. As contas são limitadas a cenários de emergência ou de "acesso de emergência" em que as contas normais não podem ser usadas ou em que todos os outros administradores estão acidentalmente bloqueados. Essas contas devem ser criadas de acordo com as recomendações para as contas de acesso de emergência.

Passo a passo guiado

Para obter um passo a passo guiado de muitas das recomendações deste artigo, confira o guia Configurar o Microsoft Entra ID quando estiver conectado ao Centro de Administração do Microsoft 365. Para examinar as práticas recomendadas sem entrar e ativar recursos de instalação automatizada, acesse o portal de Instalação do Microsoft 365.

Diretrizes para clientes do Microsoft Entra ID Gratuito, Office 365 ou Microsoft 365

Há várias recomendações que os clientes do Microsoft Entra ID Gratuito, do Office 365 ou do aplicativo Microsoft 365 devem seguir para proteger suas identidades de usuário. A tabela a seguir destina-se a destacar as principais ações para as seguintes assinaturas de licença:

  • Office 365 (Office 365 E1, E3, E5, F1, A1, A3, A5)
  • Microsoft 365 (Business Basic, Apps para Pequenos e Médios negócios, Business Standard, Business Premium, A1)
  • Microsoft Entra ID Gratuito (incluído no Azure, Dynamics 365, Intune e Power Platform)
Ação recomendada Detalhe
Habilitar Padrões de Segurança Proteja todas as identidades de usuário e aplicativos habilitando a autenticação multifator e bloqueando a autenticação herdada.
Habilitar Sincronização de Hash de Senha (se estiver usando identidades híbridas) Fornecer redundância para autenticação e melhorar a segurança (incluindo bloqueio inteligente, bloqueio de IP e capacidade de descobrir credenciais vazadas).
Habilitar bloqueio inteligente do AD FS (se aplicável) Protege seus usuários de experimentarem o bloqueio de conta de extranet de atividades mal-intencionadas.
Habilitar o bloqueio inteligente do Microsoft Entra (se estiver usando identidades gerenciadas) O bloqueio inteligente ajuda a bloquear atores mal-intencionados que estão tentando adivinhar as senhas dos usuários ou usar métodos de força bruta para entrada.
Desabilitar consentimento do usuário final para aplicativos O fluxo de trabalho de consentimento do administrador fornece para os administradores uma maneira segura de conceder acesso a aplicativos que solicitam aprovação de administrador para que os usuários finais não exponham dados corporativos. A Microsoft recomenda desabilitar todas as operações futuras de consentimento do usuário para ajudar a reduzir a área de superfície e atenuar esse risco.
Integrar aplicativos SaaS compatíveis da galeria ao Microsoft Entra ID e habilitar o SSO (logon único) O Microsoft Entra ID tem uma galeria com milhares de aplicativos pré-integrados. Alguns dos aplicativos que a sua organização usa provavelmente estão na galeria, que pode ser acessada pelo portal do Azure. Forneça acesso a aplicativos SaaS corporativos remotamente e com segurança com melhor experiência do usuário (SSO (logon único)).
Automatizar o provisionamento e desprovisionamento de usuários de aplicativos SaaS (se aplicável) Criar automaticamente identidades e funções de usuário nos aplicativos de nuvem (SaaS) que os usuários precisam acessar. Além de criar identidades de usuário, o provisionamento automático inclui a manutenção e a remoção de identidades de usuário à medida que o status ou as funções mudam, aumentando a segurança da organização.
Habilitar acesso híbrido seguro: proteger aplicativos herdados com redes e controladores de entrega de aplicativos existentes (se aplicável) Publique e proteja seus aplicativos de autenticação herdados no local e na nuvem, conectando-os ao Microsoft Entra ID com seu controlador de entrega de aplicativos ou rede existente.
Habilitar redefinição de senha self-service (aplicável somente a contas em nuvem) Essa capacidade reduz as chamadas de suporte técnico e a perda de produtividade quando um usuário não consegue entrar no dispositivo ou em um aplicativo.
Usar funções com privilégios mínimos sempre que possível Dê aos administradores acesso apenas às áreas de que precisam.
Habilitar diretrizes de senha da Microsoft Pare de exigir que os usuários alterem as respectivas senhas em um intervalo definido, desabilite os requisitos de complexidade e os usuários estarão mais propensos a lembrar de suas senhas e mantê-las em segurança.

Diretrizes para clientes do Microsoft Entra ID P1

A tabela a seguir destina-se a destacar as principais ações para as seguintes assinaturas de licença:

  • Microsoft Entra ID P1
  • Microsoft Enterprise Mobility + Security E3
  • Microsoft 365 (E3, A3, F1, F3)
Ação recomendada Detalhe
Habilite a experiência de registro combinada para autenticação multifator do Microsoft Entra e SSPR para simplificar a experiência de registro do usuário Permita que seus usuários se registrem a partir de uma experiência comum para a autenticação multifator do Microsoft Entra e para a redefinição de senha self-service.
Definir configurações de autenticação multifator para sua organização Verifique se as contas estão protegidas de serem comprometidas com a autenticação multifator.
Habilitar a redefinição de senha por autoatendimento Essa capacidade reduz as chamadas de suporte técnico e a perda de produtividade quando um usuário não consegue entrar no dispositivo ou em um aplicativo.
Implementar Write-back de Senha (se estiver usando identidades híbridas) Permita que as alterações de senha na nuvem sejam gravadas em um ambiente local do Windows Server Active Directory.
Criar e habilitar políticas de Acesso Condicional Autenticação multifator para administradores para proteger contas que recebem direitos administrativos.

Bloquear protocolos de autenticação herdados devido ao maior risco associado aos protocolos de autenticação herdados.

Autenticação multifator para todos os usuários e aplicativos para criar uma política de autenticação multifator equilibrada para seu ambiente, protegendo seus usuários e aplicativos.

Exigir autenticação multifator para o Gerenciamento do Azure para proteger seus recursos privilegiados, exigindo autenticação multifator para qualquer usuário que acesse os recursos do Azure.
Habilitar Sincronização de Hash de Senha (se estiver usando identidades híbridas) Fornecer redundância para autenticação e melhorar a segurança (incluindo bloqueio inteligente, bloqueio de IP e capacidade de descobrir credenciais vazadas).
Habilitar bloqueio inteligente do AD FS (se aplicável) Protege seus usuários de experimentarem o bloqueio de conta de extranet de atividades mal-intencionadas.
Habilitar o bloqueio inteligente do Microsoft Entra (se estiver usando identidades gerenciadas) O bloqueio inteligente ajuda a bloquear atores mal-intencionados que estão tentando adivinhar as senhas dos usuários ou usar métodos de força bruta para entrada.
Desabilitar consentimento do usuário final para aplicativos O fluxo de trabalho de consentimento do administrador fornece para os administradores uma maneira segura de conceder acesso a aplicativos que solicitam aprovação de administrador para que os usuários finais não exponham dados corporativos. A Microsoft recomenda desabilitar todas as operações futuras de consentimento do usuário para ajudar a reduzir a área de superfície e atenuar esse risco.
Habilitar acesso remoto a aplicativos herdados locais com Proxy de Aplicativo Habilite o proxy de aplicativo do Microsoft Entra e integre-o com aplicativos herdados para que os usuários acessem com segurança os aplicativos locais entrando com a conta do Microsoft Entra.
Habilitar acesso híbrido seguro: proteger aplicativos herdados com redes e controladores de entrega de aplicativos existentes (se aplicável). Publique e proteja seus aplicativos de autenticação herdados no local e na nuvem, conectando-os ao Microsoft Entra ID com seu controlador de entrega de aplicativos ou rede existente.
Integrar aplicativos SaaS compatíveis da galeria ao Microsoft Entra ID e habilitar o logon único O Microsoft Entra ID tem uma galeria com milhares de aplicativos pré-integrados. Alguns dos aplicativos que a sua organização usa provavelmente estão na galeria, que pode ser acessada pelo portal do Azure. Fornecer acesso remoto a aplicativos SaaS corporativos de forma segura com experiência de usuário aprimorada (logon único).
Automatizar o provisionamento e desprovisionamento de usuários de aplicativos SaaS (se aplicável) Criar automaticamente identidades e funções de usuário nos aplicativos de nuvem (SaaS) que os usuários precisam acessar. Além de criar identidades de usuário, o provisionamento automático inclui a manutenção e a remoção de identidades de usuário à medida que o status ou as funções mudam, aumentando a segurança da organização.
Habilitar o acesso condicional – baseado em dispositivo Melhore as experiências de segurança e de usuário com Acesso Condicional baseado em dispositivo. Esta etapa garante que os usuários só possam acessar por dispositivos que atendam aos padrões de segurança e conformidade. Esses dispositivos também são conhecidos como dispositivos gerenciados. Os dispositivos gerenciados podem estar em conformidade com o Intune ou dispositivos ingressados de forma híbrida no Microsoft Entra.
Habilitar proteção por senha Proteja os usuários do uso de senhas fracas e fáceis de adivinhar.
Usar funções com privilégios mínimos sempre que possível Dê aos administradores acesso apenas às áreas de que precisam.
Habilitar diretrizes de senha da Microsoft Pare de exigir que os usuários alterem as respectivas senhas em um intervalo definido, desabilite os requisitos de complexidade e os usuários estarão mais propensos a lembrar de suas senhas e mantê-las em segurança.
Criar uma lista personalizada de senhas específicas banidas da organização Impeça os usuários de criarem senhas que contenham palavras ou frases comuns da organização ou da área.
Implantar métodos de autenticação sem senha para seus usuários Forneça aos seus usuários métodos de autenticação convenientes sem senha.
Criar um plano para acesso do usuário convidado Colabore com usuários convidados permitindo que eles se conectem a seus aplicativos e serviços com as próprias contas corporativas, de estudante ou identidades sociais.

Diretrizes para clientes do Microsoft Entra ID P2

A tabela a seguir destina-se a destacar as principais ações para as seguintes assinaturas de licença:

  • Microsoft Entra ID P2
  • Microsoft Enterprise Mobility + Security E5
  • Microsoft 365 (E5, A5)
Ação recomendada Detalhe
Habilite a experiência de registro combinada para autenticação multifator do Microsoft Entra e SSPR para simplificar a experiência de registro do usuário Permita que seus usuários se registrem a partir de uma experiência comum para a autenticação multifator do Microsoft Entra e para a redefinição de senha self-service.
Definir configurações de autenticação multifator para sua organização Verifique se as contas estão protegidas de serem comprometidas com a autenticação multifator.
Habilitar a redefinição de senha por autoatendimento Essa capacidade reduz as chamadas de suporte técnico e a perda de produtividade quando um usuário não consegue entrar no dispositivo ou em um aplicativo.
Implementar Write-back de Senha (se estiver usando identidades híbridas) Permita que as alterações de senha na nuvem sejam gravadas em um ambiente local do Windows Server Active Directory.
Habilitar políticas da Microsoft Entra ID Protection para impor o registro de autenticação multifator Gerencie a distribuição da autenticação multifator do Microsoft Entra.
Habilitar políticas de Acesso condicional baseadas em risco do início de sessão e do usuário A política de início de sessão recomendada é direcionar os inícios de sessão de risco médio e exigir autenticação multifator. Para as políticas de Usuário, as direcione aos usuários de alto risco que exigem a ação de alteração de senha.
Criar e habilitar políticas de Acesso Condicional Autenticação multifator para administradores para proteger contas que recebem direitos administrativos.

Bloquear protocolos de autenticação herdados devido ao maior risco associado aos protocolos de autenticação herdados.

Exigir autenticação multifator para o Gerenciamento do Azure para proteger seus recursos privilegiados, exigindo autenticação multifator para qualquer usuário que acesse os recursos do Azure.
Habilitar Sincronização de Hash de Senha (se estiver usando identidades híbridas) Fornecer redundância para autenticação e melhorar a segurança (incluindo bloqueio inteligente, bloqueio de IP e capacidade de descobrir credenciais vazadas).
Habilitar bloqueio inteligente do AD FS (se aplicável) Protege seus usuários de experimentarem o bloqueio de conta de extranet de atividades mal-intencionadas.
Habilitar o bloqueio inteligente do Microsoft Entra (se estiver usando identidades gerenciadas) O bloqueio inteligente ajuda a bloquear atores mal-intencionados que estão tentando adivinhar as senhas dos usuários ou usar métodos de força bruta para entrada.
Desabilitar consentimento do usuário final para aplicativos O fluxo de trabalho de consentimento do administrador fornece para os administradores uma maneira segura de conceder acesso a aplicativos que solicitam aprovação de administrador para que os usuários finais não exponham dados corporativos. A Microsoft recomenda desabilitar todas as operações futuras de consentimento do usuário para ajudar a reduzir a área de superfície e atenuar esse risco.
Habilitar acesso remoto a aplicativos herdados locais com Proxy de Aplicativo Habilite o proxy de aplicativo do Microsoft Entra e integre-o com aplicativos herdados para que os usuários acessem com segurança os aplicativos locais entrando com a conta do Microsoft Entra.
Habilitar acesso híbrido seguro: proteger aplicativos herdados com redes e controladores de entrega de aplicativos existentes (se aplicável). Publique e proteja seus aplicativos de autenticação herdados no local e na nuvem, conectando-os ao Microsoft Entra ID com seu controlador de entrega de aplicativos ou rede existente.
Integrar aplicativos SaaS compatíveis da galeria ao Microsoft Entra ID e habilitar o logon único O Microsoft Entra ID tem uma galeria com milhares de aplicativos pré-integrados. Alguns dos aplicativos que a sua organização usa provavelmente estão na galeria, que pode ser acessada pelo portal do Azure. Fornecer acesso remoto a aplicativos SaaS corporativos de forma segura com experiência de usuário aprimorada (logon único).
Automatizar o provisionamento e desprovisionamento de usuários de aplicativos SaaS (se aplicável) Criar automaticamente identidades e funções de usuário nos aplicativos de nuvem (SaaS) que os usuários precisam acessar. Além de criar identidades de usuário, o provisionamento automático inclui a manutenção e a remoção de identidades de usuário à medida que o status ou as funções mudam, aumentando a segurança da organização.
Habilitar o acesso condicional – baseado em dispositivo Melhore as experiências de segurança e de usuário com Acesso Condicional baseado em dispositivo. Esta etapa garante que os usuários só possam acessar por dispositivos que atendam aos padrões de segurança e conformidade. Esses dispositivos também são conhecidos como dispositivos gerenciados. Os dispositivos gerenciados podem estar em conformidade com o Intune ou dispositivos ingressados de forma híbrida no Microsoft Entra.
Habilitar proteção por senha Proteja os usuários do uso de senhas fracas e fáceis de adivinhar.
Usar funções com privilégios mínimos sempre que possível Dê aos administradores acesso apenas às áreas de que precisam.
Habilitar diretrizes de senha da Microsoft Pare de exigir que os usuários alterem as respectivas senhas em um intervalo definido, desabilite os requisitos de complexidade e os usuários estarão mais propensos a lembrar de suas senhas e mantê-las em segurança.
Criar uma lista personalizada de senhas específicas banidas da organização Impeça os usuários de criarem senhas que contenham palavras ou frases comuns da organização ou da área.
Implantar métodos de autenticação sem senha para seus usuários Forneça aos seus usuários métodos de autenticação convenientes sem senha
Criar um plano para acesso do usuário convidado Colabore com usuários convidados permitindo que eles se conectem a seus aplicativos e serviços com as próprias contas corporativas, de estudante ou identidades sociais.
Habilitar o PIM (Privileged Identity Management) Permite que você gerencie, controle e monitore o acesso a recursos importantes em sua organização, garantindo que os administradores tenham acesso apenas quando necessário e com aprovação.
Concluir uma revisão de acesso para funções de diretório do Microsoft Entra no PIM Trabalhe com as equipes de segurança e liderança para criar uma política de revisão de acesso a fim de examinar o acesso administrativo com base nas políticas da sua organização.

Confiança zero

Esse recurso ajuda as organizações a alinhar suas identidades com os três princípios orientadores de uma arquitetura de Confiança Zero:

  • Verificação explícita
  • Use o mínimo de privilégios
  • Pressupor a violação

Para saber mais sobre a Confiança Zero e outras maneiras de alinhar sua organização aos princípios orientadores, confira o Centro de Diretrizes da Confiança Zero.

Próximas etapas