Configurações de acesso a dispositivos e identidade de Confiança Zero

A força de trabalho atual requer acesso a aplicativos e recursos que existem além dos limites tradicionais da rede corporativa. Arquiteturas de segurança que dependem de firewalls de rede e VPNs (redes virtuais privadas) para isolar e restringir o acesso aos recursos não são mais suficientes.

Para abordar esse novo mundo da computação, a Microsoft recomenda altamente o modelo de segurança de Confiança Zero, que se baseia nestes princípios orientadores:

  • Verificar de modo explícito – sempre autentique e autorize com base em todos os pontos de dados disponíveis. Essa verificação é onde as políticas de acesso de identidade e dispositivo de Confiança Zero são cruciais para a entrada e a validação contínua.
  • Usar o acesso com o mínimo de privilégios – limite o acesso do usuário com JIT/JEA (Just-In-Time e Just-Enough-Access), políticas adaptáveis baseadas em risco e proteção de dados.
  • Pressupor a violação – minimize o raio de alcance e acesso ao segmento. Verifique a criptografia de ponta a ponta e use a análise para obter visibilidade, promover a detecção de ameaças e melhorar as defesas.

Aqui está a arquitetura geral da Confiança Zero:

Diagrama que mostra a arquitetura de Confiança Zero da Microsoft.

As políticas de identidade e acesso a dispositivos de Confiança Zero abordam o princípio-guia Verificar explicitamente para:

  • Identidades: quando uma identidade tenta acessar um recurso, verifique essa identidade usando uma autenticação forte e se o acesso solicitado está em conformidade e é típico.
  • Dispositivos (também chamados de pontos de extremidade): monitore e aplique os requisitos de integridade e conformidade do dispositivo para acesso seguro.
  • Aplicativos: aplicar controles e tecnologias para:
    • Garantir permissões apropriadas no aplicativo.
    • Controlar o acesso com base em análises em tempo real.
    • Monitorar comportamento anormal
    • Controlar ações do usuário.
    • Validar opções de configuração seguras.

Esta série de artigos descreve um conjunto de configurações e políticas de acesso a identidades e dispositivos usando a Microsoft Entra ID, o Acesso Condicional, o Microsoft Intune e outros recursos. Essas configurações e políticas fornecem acesso de Confiança Zero ao Microsoft 365 para aplicativos e serviços de nuvem empresarial, outros serviços SaaS e aplicativos locais que são publicados com o proxy de aplicativo do Microsoft Entra.

Políticas e configurações de acesso de identidade e dispositivo de Confiança Zero são recomendadas em três camadas:

  • Ponto inicial.
  • Enterprise.
  • Segurança especializada para ambientes com dados altamente regulamentados ou confidenciais.

Estas camadas e suas configurações correspondentes fornecem níveis consistentes de proteção de Confiança Zero em seus dados, identidades e dispositivos. Estes recursos e suas recomendações:

Se sua organização tiver requisitos ou complexidades exclusivos, use essas recomendações como ponto de partida. No entanto, a maioria das organizações pode implementar essas recomendações conforme prescrito.

Assista a este vídeo para obter uma visão geral rápida das configurações de acesso de identidade e dispositivo para o Microsoft 365 para empresas.

Observação

A Microsoft também vende licenças em EMS (Enterprise Mobility + Security) para assinaturas do Office 365. Os recursos em EMS E3 e EMS E5 são equivalentes aos do Microsoft 365 E3 e do Microsoft 365 E5. Para obter mais informações, consulte os planos do EMS.

Público-alvo

Essas recomendações são destinadas a arquitetos empresariais e profissionais de TI que estão familiarizados com os serviços de segurança e produtividade de nuvem do Microsoft 365. Esses serviços incluem o Microsoft Entra ID (identidade), o Microsoft Intune (gerenciamento de dispositivos) e a Proteção de Informações do Microsoft Purview (proteção de dados).

Ambiente do cliente

As políticas recomendadas são aplicáveis a organizações empresariais que operam inteiramente na nuvem da Microsoft e para clientes com infraestrutura de identidade híbrida. Uma estrutura de identidade híbrida é uma floresta do Active Directory local sincronizada com o Microsoft Entra ID.

Muitas de nossas recomendações dependem de serviços que estão disponíveis apenas com as seguintes licenças:

  • Microsoft 365 E5.
  • Microsoft 365 E3 com o complemento de Segurança E5.
  • EMS E5.
  • Licenças P2 do Microsoft Entra ID.

Para organizações que não têm essas licenças, é recomendável que você, pelo menos, implemente os padrões de segurança, que estão incluídos em todos os planos do Microsoft 365.

Advertências

Sua organização pode estar sujeita a normas ou outros requisitos de conformidade, inclusive recomendações específicas que exigem que você aplique políticas que divergem dessas configurações recomendadas. Estas configurações recomendam controles de uso que não costumam estar disponíveis. Recomendamos estes controles porque acreditamos que eles representam um equilíbrio entre a produtividade e a segurança.

Fizemos o possível para considerar uma ampla variedade de requisitos de proteção organizacional, mas não podemos considerar todos os requisitos possíveis ou todos os aspectos exclusivos da sua organização.

Três níveis de proteção

A maioria das organizações têm requisitos específicos sobre segurança e proteção de dados. Esses requisitos variam por segmento do setor e por funções de trabalho dentro das organizações. Por exemplo, seu departamento jurídico e os administradores podem exigir controles adicionais de segurança e proteção de informações em suas correspondências de email, o que não é necessário para outras unidades de negócios.

Cada setor também tem seu próprio conjunto de normas especializadas. Não estamos tentando fornecer uma lista de todas as opções de segurança possíveis ou uma recomendação por segmento do setor ou função de trabalho. Em vez disso, estamos fornecendo recomendações para três níveis de segurança e proteção que podem ser aplicados com base na granularidade de suas necessidades.

  • Ponto de partida: é recomendável que todos os clientes estabeleçam e usem um padrão mínimo para proteger dados, bem como as identidades e dispositivos que acessam seus dados. Siga estas recomendações para fornecer proteção padrão forte como ponto de partida para todas as organizações.
  • Empresarial: alguns clientes têm um subconjunto de dados que devem ser protegidos em níveis mais altos ou todos os dados devem ser protegidos em um nível mais alto. Aplique a proteção aprimorada a todos os dados ou a conjuntos de dados específicos em seu ambiente do Microsoft 365. É recomendável proteger identidades e dispositivos que acessem dados confidenciais com níveis compatíveis de segurança.
  • Segurança especializada: conforme necessário, alguns clientes têm uma pequena quantidade de dados altamente confidenciais, que constituem segredos comerciais ou são regulamentados. A Microsoft fornece recursos para ajudar estes clientes a atender a esses requisitos, incluindo proteção adicional para identidades e dispositivos.

Captura de tela do Cone de segurança mostrando o alcance de clientes.

Estas diretrizes mostram como implementar a proteção de Confiança Zero para identidades e dispositivos, para cada um destes níveis de proteção. Use as diretrizes como um mínimo para sua organização e ajuste as políticas para atender aos requisitos específicos dela.

É importante usar níveis consistentes de proteção em suas identidades, dispositivos e dados. Por exemplo, a proteção para usuários com contas prioritárias, como executivos, líderes, gerentes e outros, deve incluir o mesmo nível de proteção para as identidades, os dispositivos e os dados que eles acessam.

Além disso, consulte a solução Implantar proteção de informações para regulamentações de privacidade de dados, para proteger as informações armazenadas no Microsoft 365.

Vantagens e desvantagens de produtividade e segurança

Implementar qualquer estratégia de segurança requer compensações entre segurança e produtividade. É útil avaliar como cada decisão afeta o equilíbrio de segurança, funcionalidade e facilidade de uso.

A tríade da segurança que equilibra segurança, funcionalidade e facilidade de uso

As recomendações fornecidas baseiam-se nos seguintes princípios:

  • Conheça os usuários e seja flexível aos requisitos funcionais e de segurança.
  • Aplique uma política de segurança just in time e garanta que ela seja significativa.

Serviços e conceitos para identidade de Confiança Zero e proteção de acesso ao dispositivo

O Microsoft 365 para empresas foi projetado para grandes organizações a fim de capacitar todos a serem criativos e trabalharem juntos com segurança.

Esta seção fornece uma visão geral dos serviços e recursos do Microsoft 365 que são importantes para a identidade de Confiança Zero e o acesso ao dispositivo.

Microsoft Entra ID

O Microsoft Entra ID fornece um conjunto completo de recursos de gerenciamento de identidade. É recomendável usar esses recursos para proteger o acesso.

Capacidade ou recurso Descrição Licenciamento
MFA (autenticação multifator) A MFA exige que os usuários forneçam duas formas de verificação, como uma senha de usuário mais uma notificação do aplicativo do Microsoft Authenticator ou uma chamada telefônica. A MFA reduz consideravelmente o risco de que as credenciais roubadas possam ser usadas para acessar seu ambiente. O Microsoft 365 usa o serviço de autenticação multifator do Microsoft Entra para credenciais baseadas em MFA. Microsoft 365 E3 ou E5
Acesso Condicional O Microsoft Entra ID avalia as condições da entrada do usuário e usa as políticas de Acesso Condicional para determinar o acesso permitido. Por exemplo, nestas diretrizes, mostramos como criar uma política de Acesso Condicional para exigir a conformidade do dispositivo para acesso a dados confidenciais. Isto reduz consideravelmente o risco de que um hacker com seu próprio dispositivo e credenciais roubadas possa acessar seus dados confidenciais. Também protege dados confidenciais nos dispositivos, pois os dispositivos devem atender a requisitos específicos de integridade e segurança. Microsoft 365 E3 ou E5
Grupos do Microsoft Entra As políticas de Acesso Condicional, o gerenciamento de dispositivos com o Intune e até mesmo permissões para arquivos e sites em sua organização dependem da atribuição para contas de usuário ou grupos do Microsoft Entra. É recomendável criar grupos do Microsoft Entra que correspondam aos níveis de proteção que você está implementando. Por exemplo, sua equipe executiva provavelmente é alvo de maior valor para hackers. Portanto, faz sentido adicionar as contas de usuário desses funcionários a um grupo do Microsoft Entra e atribuir a esse grupo as políticas de Acesso Condicional e outras políticas que impõem um nível mais alto de proteção para acesso. Microsoft 365 E3 ou E5
Registro de dispositivo Registre um dispositivo no Microsoft Entra ID para criar uma identidade para ele. Esta identidade é usada para autenticar o dispositivo quando um usuário entra e aplica políticas de Acesso Condicional que exigem computadores em conformidade ou conectados ao domínio. Para essa diretriz, usamos o registro de dispositivo para registrar automaticamente computadores do Windows conectados ao domínio. O registro de dispositivo é um pré-requisito para gerenciar dispositivos com o Intune. Microsoft 365 E3 ou E5
Proteção do Microsoft Entra ID Permite que você detecte possíveis vulnerabilidades que afetam as identidades da organização e configure a política de correção automatizada para risco de login e risco do usuário baixo, médio e alto. Essa diretriz depende dessa avaliação de risco para aplicar políticas de Acesso Condicional à autenticação multifator. Essa diretriz também inclui uma política de Acesso Condicional que exige que os usuários alterem sua senha se uma atividade de alto risco for detectada para sua conta. Licenças do Microsoft 365 E5, Microsoft 365 E3 com o complemento de Segurança E5, EMS E5 ou Microsoft Entra ID P2
SSPR (redefinição de senha por autoatendimento) Permita que os usuários redefinam as senhas com segurança e sem intervenção da assistência técnica, fornecendo a verificação de vários métodos de autenticação que o administrador pode controlar. Microsoft 365 E3 ou E5
Proteção por senha do Microsoft Entra Detecte e bloqueie senhas fracas conhecidas e suas variantes e termos fracos adicionais específicos à sua organização. As listas padrão de senhas proibidas globais são aplicadas automaticamente a todos os usuários em um locatário do Microsoft Entra. É possível definir entradas adicionais em uma lista de senhas proibidas personalizadas. Quando os usuários alteram ou redefinem suas senhas, essas listas de senhas banidas são verificadas para impor o uso de senhas fortes. Microsoft 365 E3 ou E5

Aqui estão os componentes da identidade de Confiança Zero e do acesso ao dispositivo, incluindo objetos, configurações e subserviços do Intune e do Microsoft Entra.

Os componentes da identidade de Confiança Zero e do acesso ao dispositivo

Microsoft Intune

O Intune é o serviço de gerenciamento de dispositivo móvel baseado em nuvem da Microsoft. Essa diretriz recomenda o gerenciamento de dispositivos de computadores do Windows com o Intune e recomenda configurações de política de conformidade do dispositivo. O Intune determina se os dispositivos estão em conformidade e envia estes dados para o Microsoft Entra ID para uso ao aplicar políticas de Acesso Condicional.

Proteção de aplicativo do Intune

As políticas de proteção de aplicativo do Intune podem ser usadas para proteger os dados de sua organização em aplicativos móveis, com ou sem o registro dos dispositivos no gerenciamento. O Intune ajuda a proteger as informações, certificando-se de que seus funcionários ainda possam ser produtivos e evitando a perda de dados. Ao implementar as políticas de nível de aplicativo, você pode restringir o acesso aos recursos da empresa e manter os dados sob o controle do seu departamento de TI.

Essa diretriz mostra como criar políticas recomendadas para impor o uso de aplicativos aprovados e determinar como esses aplicativos podem ser usados com seus dados comerciais.

Microsoft 365

Essa diretriz mostra como implementar um conjunto de políticas para proteger o acesso aos serviços de nuvem do Microsoft 365, incluindo Microsoft Teams, Exchange, SharePoint e OneDrive. Além de implementar essas políticas, é recomendável também aumentar o nível de proteção para o locatário usando estes recursos:

Windows 11 ou Windows 10 com o Microsoft 365 Apps para empresas

O Windows 11 ou Windows 10 com o Microsoft 365 Apps para empresas é o ambiente de cliente recomendado para computadores. Recomendamos o Windows 11 ou o Windows 10 porque o Microsoft Entra foi projetado para fornecer a melhor experiência possível para o Microsoft Entra ID local e o Microsoft Entra. O Windows 11 ou Windows 10 também inclui recursos de segurança avançados que podem ser gerenciados por meio do Intune. O Microsoft 365 Apps para empresas inclui as versões mais recentes de aplicativos do Office. Elas usam a autenticação moderna, que é mais segura e um requisito para o Acesso Condicional. Esses aplicativos também incluem ferramentas avançadas de conformidade e segurança.

Aplicar estes recursos nos três níveis de proteção

A tabela a seguir resume nossas recomendações para usar esses recursos nos três níveis de proteção.

Mecanismo de proteção Ponto inicial Empresa Segurança especializada
Impor a MFA No risco de entrada médio ou superior No risco de entrada baixo ou superior Em todas as novas sessões
Impor a alteração de senha Para usuários de alto risco Para usuários de alto risco Para usuários de alto risco
Impor a proteção de aplicativo do Intune Sim Sim Yes
Impor o registro do Intune para dispositivo de propriedade da organização Exigir um computador em conformidade ou conectado ao domínio, mas permitir telefones e tablets BYOD (traga seus próprios dispositivos) Exigir um dispositivo em conformidade ou conectado ao domínio Exigir um dispositivo em conformidade ou conectado ao domínio

Propriedade do dispositivo

A tabela acima reflete a tendência de muitas organizações de oferecer suporte a uma combinação de dispositivos de propriedade da organização e BYODs ou pessoais, para habilitar a produtividade móvel em toda a força de trabalho. As políticas de proteção de aplicativo do Intune garantem que o email seja protegido contra exfiltração do aplicativo móvel do Outlook e de outros aplicativos móveis do Office, tanto em dispositivos de propriedade da organização quanto em BYODs.

É recomendável que os dispositivos de propriedade da organização sejam gerenciados pelo Intune ou conectado ao domínio para aplicar proteções e controle adicionais. Dependendo da confidencialidade dos dados, sua organização pode optar por não permitir BYODs para grupos de usuários específicos ou aplicativos específicos.

Implantação e seus aplicativos

Antes de configurar e distribuir a identidade de Confiança Zero e a configuração de acesso ao dispositivo para seus aplicativos integrados do Microsoft Entra, você deverá:

  • Decidir quais aplicativos são usados em sua organização que você deseja proteger.

  • Analisar esta lista de aplicativos para determinar os conjuntos de políticas que fornecem níveis apropriados de proteção.

    Você não deve criar conjuntos separados de políticas para cada aplicativo porque o gerenciamento delas pode se tornar complicado. A Microsoft recomenda que você agrupe seus aplicativos que têm os mesmos requisitos de proteção para os mesmos usuários.

    Por exemplo, tem um conjunto de políticas que incluem todos os aplicativos do Microsoft 365, para todos os usuários para proteção de ponto de partida. Tenha um segundo conjunto de políticas para todos os aplicativos confidenciais, como aqueles usados por recursos humanos ou departamentos financeiros, e aplique-os a esses grupos.

Após determinar o conjunto de políticas para os aplicativos que você deseja proteger, implemente as políticas para os usuários de forma incremental, resolvendo problemas ao longo do caminho. Por exemplo:

  1. Configure as políticas a serem usada para todos os aplicativos do Microsoft 365.
  2. Adicione apenas o Exchange com suas alterações necessárias, implemente as políticas aos usuários e resolva quaisquer problemas.
  3. Adicione o Teams com suas alterações necessárias, implemente as políticas aos usuários e resolva quaisquer problemas.
  4. Adicione o SharePoint com suas alterações necessárias, implemente as políticas aos usuários e resolva quaisquer problemas.
  5. Continue adicionando o restante de seus aplicativos até que você possa configurar com confiança essas políticas de ponto de partida para incluir todos os aplicativos do Microsoft 365.

Da mesma forma, para seus aplicativos confidenciais, crie o conjunto de políticas e adicione um aplicativo de cada vez. Resolva quaisquer problemas até que todos eles sejam incluídos no conjunto de políticas de aplicativo confidenciais.

A Microsoft recomenda que você não crie conjuntos de políticas que se apliquem a todos os aplicativos, pois isso pode resultar em algumas configurações não intencionais. Por exemplo, políticas que bloqueiam todos os aplicativos podem bloquear seus administradores do centro de administração do Microsoft Entra e as exclusões não podem ser configuradas para pontos de extremidade importantes, como o Microsoft Graph.

Etapas para configurar a identidade de Confiança Zero e o acesso ao dispositivo

As etapas para configurar a identidade de Confiança Zero e o acesso ao dispositivo

  1. Configure os recursos de identidade de pré-requisito e suas configurações.
  2. Configure a identidade comum e acesse as políticas de Acesso Condicional.
  3. Configure as políticas de Acesso Condicional para usuários convidados e externos.
  4. Configure as políticas de Acesso Condicional para aplicativos de nuvem do Microsoft 365, como Microsoft Teams, Exchange e SharePoint, e políticas do Defender para Aplicativos de Nuvem.

Após configurar a identidade de Confiança Zero e o acesso ao dispositivo, consulte o guia de implantação de recursos do Microsoft Entra, para obter uma lista de verificação em fases de recursos adicionais a serem considerados e a Governança do Microsoft Entra ID para proteger, monitorar e auditar o acesso.

Próxima etapa

Trabalho de pré-requisito para implementar políticas de acesso de identidade e dispositivo de Confiança Zero