Introdução à implantação de uma autenticação sem senha resistente a phishing no Microsoft Entra ID
As senhas são o principal vetor de ataque para adversários modernos e uma fonte de atrito para usuários e administradores. Como parte de uma estratégia geral de segurança Zero Trust, a Microsoft recomenda mudar para credenciais sem senha resistente a phishing em sua solução de autenticação. Este guia ajuda você a selecionar, preparar e implantar as credenciais sem senha resistentes a phishing corretas para sua organização. Use este guia para planejar e executar seu projeto sem senha resistente a phishing.
Recursos como a MFA (autenticação multifator) são uma excelente maneira de proteger sua organização. Apesar disso, os usuários ficam frustrados com a camada de segurança adicional, além de terem que memorizar senhas. Métodos de autenticação sem senha resistentes a phishing são mais convenientes. Por exemplo, uma análise das contas de consumidor da Microsoft mostra que a entrada com uma senha pode levar até 9 segundos em média, mas as chaves de acesso, na maioria dos casos, levam apenas cerca de 3 segundos. A velocidade e a facilidade de login com chave de acesso são ainda maiores quando comparadas com a senha tradicional e o login MFA. Os usuários da chave de acesso não precisam se lembrar de sua senha ou esperar por mensagens SMS.
Observação
Esses dados são baseados na análise de entradas de contas de consumidores da Microsoft.
Os métodos sem senha resistentes a phishing também têm segurança extra incorporada. Eles contam automaticamente como MFA usando algo que o usuário tem (um dispositivo físico ou chave de segurança) e algo que o usuário conhece ou é, como uma biometria ou PIN. E, ao contrário da MFA tradicional, os métodos sem senha resistentes a phishing desviam ataques de phishing contra seus usuários usando credenciais com suporte de hardware que não podem ser facilmente comprometidas.
O Microsoft Entra ID oferece as seguintes opções de autenticação sem senha resistentes a phishing:
- Chaves de acesso (FIDO2)
- Windows Hello for Business
- Credencial da Plataforma para macOS (versão prévia)
- Chaves de acesso do aplicativo Microsoft Authenticator (versão prévia)
- Chaves de segurança do FIDO2
- Outras chaves de acesso e provedores, como as Chaves do iCloud - no roteiro
- Autenticação baseada em certificado/cartões inteligentes
Pré-requisitos
Antes de iniciar o projeto de implantação sem senha resistente a phishing do Microsoft Entra, conclua estes pré-requisitos:
- Requisitos de licença do OEM
- Revise as funções necessárias para executar ações privilegiadas
- Identifique as equipes das partes interessadas que precisam colaborar
Requisitos de licença
O registro e a entrada sem senha com o Microsoft Entra não exigem uma licença, mas recomendamos pelo menos uma licença P1 do Microsoft Entra ID para o conjunto completo de recursos associados a uma implantação sem senha. Por exemplo, uma licença P1 do Microsoft Entra ID ajuda você a impor a entrada sem senha por meio do Acesso Condicional e acompanhar a implantação com um relatório de atividades do método de autenticação. Consulte as diretrizes de requisitos de licenciamento para recursos referenciados neste guia para obter requisitos de licenciamento específicos.
Integrar todos os aplicativos com o Microsoft Entra ID
O Microsoft Entra ID é um serviço de gerenciamento de identidade e acesso (IAM) baseado em nuvem que se integra a vários tipos de aplicativos, incluindo aplicativos SaaS (software como serviço), aplicativos de LOB (linha de negócios), aplicativos locais e muito mais. Você precisa integrar os aplicativos ao Microsoft Entra ID para obter o máximo benefício do seu investimento em autenticação sem senha e resistente a phishing. À medida que você integra mais aplicativos com o Microsoft Entra ID, você pode proteger mais o seu ambiente com políticas de Acesso Condicional que impõem o uso de métodos de autenticação resistentes a phishing. Para saber mais sobre como integrar aplicativos com o Microsoft Entra ID, consulte Cinco etapas para integrar seus aplicativos ao Microsoft Entra ID.
Ao desenvolver seus próprios aplicativos, siga as diretrizes do desenvolvedor para dar suporte à autenticação sem senha e resistente a phishing. Para obter mais informações, consulte Suporte à autenticação sem senha com chaves FIDO2 nos aplicativos que você desenvolve.
Funções necessárias
A tabela a seguir lista os requisitos de função com privilégios mínimos para implantação sem senha resistente a phishing. Recomendamos que você habilite a autenticação sem senha resistente a phishing para todas as contas privilegiadas.
| Função do Microsoft Entra | Descrição |
|---|---|
| Administrador de usuários | Para implementar a experiência de registro combinada |
| Administrador de autenticação | Para implementar e gerenciar métodos de autenticação |
| Administrador de política de autenticação | Para implementar e gerenciar a política de métodos de autenticação |
| Usuário | Para configurar o aplicativo Authenticator no dispositivo; para registrar o dispositivo da chave de segurança para entrada na Web ou no Windows 10/11 |
Equipes de stakeholders do cliente
Para garantir o sucesso, envolva-se com as partes interessadas certas e garanta que elas entendam suas funções antes de iniciar o planejamento e a implementação. A tabela a seguir lista as equipes de stakeholders comumente recomendadas.
| Equipe de stakeholders | Descrição |
|---|---|
| IAM (Gerenciamento de Identidades e Acesso) | Gerencia operações diárias do sistema IAM |
| Arquitetura de Segurança da informação | Planeja e projeta as práticas de segurança da informação da organização |
| Operações de Segurança da Informação | Executa e monitora as práticas de segurança da informação para a Arquitetura de Segurança da Informação |
| Garantia de segurança e auditoria | Ajuda a garantir que os processos de TI estejam seguros e em conformidade. Eles realizam auditorias regulares, avaliam riscos e recomendam medidas de segurança para atenuar as vulnerabilidades identificadas e aprimorar a postura geral de segurança. |
| Suporte técnico e Suporte | Auxilia os usuários finais que encontram problemas durante a implantação de novas tecnologias e políticas ou quando ocorrem problemas |
| Comunicações com usuários finais | As mensagens mudam para os usuários finais a fim de promover as implementações de tecnologia voltadas para o usuário |
Próximas etapas
Implantar uma autenticação sem senha resistente a phishing no Microsoft Entra ID