Políticas de segurança comuns para organizações do Microsoft 365

As organizações têm muito com que se preocupar ao implantar o Microsoft 365 para sua organização. As políticas de Acesso Condicional, proteção de aplicativo e conformidade do dispositivo referenciadas neste artigo são baseadas nas recomendações da Microsoft e nos três princípios orientadores de Confiança Zero:

  • Verificação explícita
  • Use o mínimo de privilégios
  • Pressupor a violação

As organizações podem usar essas políticas como estão ou personalizá-las para atender às suas necessidades. Se possível, teste suas políticas em um ambiente de não produção antes de distribuir para os usuários de produção. O teste é crítico para identificar e comunicar quaisquer possíveis efeitos aos usuários.

Agrupamos essas políticas em três níveis de proteção com base em onde você está em seu percurso de implantação:

  • Ponto de partida – Controles básicos que introduzem a autenticação multifator, alterações de senha seguras e políticas de proteção de aplicativo.
  • Empresarial – Controles avançados que introduzem a conformidade do dispositivo.
  • Segurança especializada – Políticas que exigem autenticação multifator todas as vezes para conjuntos de dados ou usuários específicos.

O diagrama a seguir mostra a qual nível de proteção cada política se aplica e se as políticas se aplicam a computadores ou telefones e tablets, ou a ambas as categorias de dispositivos.

Um diagrama mostrando políticas comuns de identidade e dispositivo que dão suporte a princípios de Confiança Zero.

Você pode baixar esse diagrama como um arquivo PDF.

Dica

É recomendável exigir o uso da MFA (autenticação multifator) antes de registrar dispositivos no Intune para garantir que o dispositivo esteja na posse do usuário pretendido. Você deve registrar dispositivos no Intune antes de impor políticas de conformidade do dispositivo.

Pré-requisitos

Permissões

  • Os usuários que gerenciarão políticas de Acesso Condicional devem ser capazes de entrar no portal do Azure como, pelo menos, Administrador de acesso condicional.
  • Os usuários que gerenciarão a proteção do aplicativo e as políticas de conformidade do dispositivo devem ser capazes de entrar no Intune como, pelo menos, Administrador do Intune.
  • Os usuários que só precisam exibir as configurações podem receber as funções de Leitor da segurança ou Leitor global.

Para obter mais informações sobre funções e permissões, consulte o artigo Funções internas do Microsoft Entra.

Registro de usuário

Verifique se os usuários se registram para autenticação multifator antes de exigir seu uso. Se você tiver licenças que incluem o Microsoft Entra ID P2, poderá usar a Política de registro com autenticação multifator na Proteção do Microsoft Entra ID para exigir que os usuários se registrem. Fornecemos modelos de comunicação, que você poderá baixar e personalizar, para promover o registro.

Grupos

Todos os grupos do Microsoft Entra usados como parte dessas recomendações devem ser criados como um grupo do Microsoft 365não como um grupo de segurança. Esse requisito é importante para a implantação de rótulos de confidencialidade ao proteger documentos no Microsoft Teams e no SharePoint posteriormente. Para obter mais informações, consulte o artigo Saiba mais sobre grupos e direitos de acesso no Microsoft Entra ID

Como atribuir políticas

As políticas de Acesso Condicional podem ser atribuídas a usuários, grupos e funções de administrador. As políticas de conformidade de dispositivo e proteção de aplicativo do Intune podem ser atribuídas somente a grupos. Antes de configurar suas políticas, você deve identificar quem deve ser incluído e excluído. Normalmente, as políticas de nível de proteção de ponto de partida se aplicam a todos na organização.

Aqui está um exemplo de atribuição de grupo e exclusões para exigir MFA depois que seus usuários tiverem concluído o registro de usuário.

  Política de Acesso Condicional do Microsoft Entra Incluir Excluir
Ponto inicial Exigir autenticação multifator para risco de entrada médio ou alto Todos os usuários
  • Contas de acesso de emergência
  • Grupo de exclusão de Acesso Condicional
Empresa Exigir autenticação multifator para risco de entrada baixo, médio ou alto Grupo de funcionários executivos
  • Contas de acesso de emergência
  • Grupo de exclusão de Acesso Condicional
Segurança especializada Sempre exigir autenticação multifator Grupo ultrassecreto do Projeto Buckeye
  • Contas de acesso de emergência
  • Grupo de exclusão de Acesso Condicional

Tenha cuidado ao aplicar níveis mais altos de proteção a grupos e usuários. A meta da segurança não é adicionar atrito desnecessário à experiência do usuário. Por exemplo, os membros do Grupo ultrassecreto do Projeto Buckeye serão obrigados a usar a MFA toda vez que entrarem, mesmo que não estejam trabalhando no conteúdo de segurança especializado para seu projeto. O atrito excessivo de segurança pode levar à fadiga.

Você pode considerar habilitar métodos de autenticação sem senha, como chaves de segurança do Windows Hello para Empresas ou FIDO2 para reduzir alguns atritos criados por determinados controles de segurança.

Contas de acesso de emergência

Todas as organizações devem ter pelo menos uma conta de acesso de emergência monitorada para uso e excluída das políticas. Essas contas são usadas apenas no caso de todas as outras contas de administrador e métodos de autenticação ficarem bloqueados ou indisponíveis. Mais informações podem ser encontradas no artigo Gerenciar contas de acesso de emergência no Microsoft Entra ID.

Exclusões

Uma prática recomendada é criar um grupo do Microsoft Entra para exclusões de Acesso Condicional. Esse grupo oferece um meio de fornecer acesso a um usuário enquanto você soluciona problemas de acesso.

Aviso

Esse grupo é recomendado apenas para uso como uma solução temporária. Monitore e audite continuamente esse grupo em busca de alterações e certifique-se de que o grupo de exclusão esteja sendo usado apenas como pretendido.

Para adicionar esse grupo de exclusão a quaisquer políticas existentes:

  1. Entre no centro de administração do Microsoft Entra como pelo menos Administrador de acesso condicional.
  2. Navegue até Proteção>Acesso Condicional.
  3. Selecione uma política existente.
  4. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Excluir, selecione Usuários e grupos e escolha as contas de acesso de emergência da sua organização e o grupo de exclusão de Acesso Condicional.

Implantação

É recomendável implementar as políticas de ponto de partida na ordem listada nesta tabela. No entanto, as políticas de MFA para níveis de proteção Empresarial e Segurança especializada podem ser implementadas a qualquer momento.

Ponto inicial

Policy Mais informações Licenciamento
Exigir MFA quando o risco de iniciar sessão é médio ou alto Usar dados de risco da Proteção do Microsoft Entra ID para exigir MFA somente quando o risco for detectado Microsoft 365 E5 ou Microsoft 365 E3 com o complemento E5 Security
Bloquear clientes que não dão suporte à autenticação moderna Os clientes que não usam a autenticação moderna podem ignorar as políticas de Acesso Condicional, portanto, é importante bloqueá-los. Microsoft 365 E3 ou E5
Os usuários de alto risco devem alterar a senha Força os usuários a alterar a senha ao entrar se a atividade de alto risco for detectada na conta. Microsoft 365 E5 ou Microsoft 365 E3 com o complemento E5 Security
Aplicar políticas de proteção de aplicativo para proteção de dados Uma política de proteção de aplicativo do Intune por plataforma (Windows, iOS/iPadOS, Android). Microsoft 365 E3 ou E5
Exigir aplicativos aprovados e políticas de proteção de aplicativo Impõe políticas de proteção de aplicativo móvel para telefones e tablets usando iOS, iPadOS ou Android. Microsoft 365 E3 ou E5

Empresa

Policy Mais informações Licenciamento
Exigir a MFA quando o risco de entrada for baixo, médio ou alto Usar dados de risco da Proteção do Microsoft Entra ID para exigir MFA somente quando o risco for detectado Microsoft 365 E5 ou Microsoft 365 E3 com o complemento E5 Security
Definir políticas de conformidade de dispositivos Defina requisitos mínimos de configuração. Uma política para cada plataforma. Microsoft 365 E3 ou E5
Exigir computadores compatíveis e dispositivos móveis Impõe os requisitos de configuração para dispositivos que acessam sua organização Microsoft 365 E3 ou E5

Segurança especializada

Policy Mais informações Licenciamento
Exigir a MFA sempre Os usuários devem executar a MFA sempre que entrarem nos serviços de suas organizações Microsoft 365 E3 ou E5

Políticas de proteção de aplicativo

Políticas de proteção de aplicativo definem quais aplicativos são permitidos e as ações que eles podem executar com os dados da sua organização. Há muitas opções disponíveis e isso pode ser confuso para algumas pessoas. As linhas de base a seguir são as configurações recomendadas da Microsoft que podem ser adaptadas às suas necessidades. Fornecemos três modelos a seguir, mas achamos que a maioria das organizações escolherá os níveis 2 e 3.

O nível 2 mapeia o que consideramos o nível de segurança ponto de partida ou empresarial e o nível 3 mapeia a segurança especializada.

  • Proteção de dados básica empresarial de nível 1 – a Microsoft recomenda essa configuração como a configuração mínima de proteção de dados para um dispositivo empresarial.

  • Proteção de dados aprimorada empresarial de nível 2 – a Microsoft recomenda essa configuração para dispositivos em que os usuários acessam informações confidenciais. Essa configuração é aplicável à maioria dos usuários móveis que acessam dados corporativos ou de estudante. Alguns dos controles podem afetar a experiência do usuário.

  • Proteção de dados alta empresarial de nível 3 – a Microsoft recomenda essa configuração para dispositivos executados por uma organização com uma equipe de segurança maior ou mais sofisticada, ou para usuários ou grupos específicos que correm um risco excepcionalmente alto (usuários que lidam com dados altamente confidenciais em que a divulgação não autorizada causa perdas materiais consideráveis para a organização). Uma organização que provavelmente será alvo de adversários bem financiados e sofisticados deve aspirar a essa configuração.

Criar políticas de proteção do aplicativo

Crie uma nova política de proteção de aplicativo para cada plataforma (iOS e Android) no Microsoft Intune usando as configurações da estrutura de proteção de dados:

Políticas de conformidade do dispositivo

As políticas de conformidade do dispositivo do Intune definem os requisitos que os dispositivos devem atender para serem determinados como em conformidade.

Você deve criar uma política para cada computador, telefone ou plataforma tablet. Este artigo abordará as recomendações para as seguintes plataformas:

Criar políticas de conformidade do dispositivo

Para criar políticas de conformidade do dispositivo, entre no centro de administração do Microsoft Intunee navegue até Dispositivos>Políticas de conformidade>Políticas. Selecione Criar Política.

Para obter orientações passo a passo sobre como criar políticas de conformidade no Intune, consulte Criar uma política de conformidade no Microsoft Intune.

Configurações de registro e conformidade para iOS/iPadOS

O iOS/iPadOS dá suporte a vários cenários de registro, dois dos quais são abordados como parte desta estrutura:

Usando os princípios descritos nas configurações de identidade de Confiança Zero e acesso a dispositivo:

  • Os níveis de proteção ponto de partida e empresarial são mapeados de perto com as configurações de segurança aprimoradas de nível 2.
  • O nível de proteção de segurança especializada é mapeado de perto para as configurações de alta segurança do nível 3.
Configurações de conformidade para dispositivos registrados pessoalmente
  • Segurança básica pessoal (Nível 1) – a Microsoft recomenda essa configuração como a configuração de segurança mínima para dispositivos pessoais em que os usuários acessam dados corporativos ou de estudante. Essa configuração é feita impondo políticas de senha, características de bloqueio de dispositivo e desabilitando determinadas funções do dispositivo, como certificados não confiáveis.
  • Segurança pessoal aprimorada (Nível 2) – a Microsoft recomenda essa configuração para dispositivos em que os usuários acessem informações confidenciais. Essa configuração determina controles de compartilhamento de dados. Essa configuração é aplicável à maioria dos usuários móveis que acessam dados corporativos ou de estudante em um dispositivo.
  • Segurança pessoal alta (Nível 3) – a Microsoft recomenda essa configuração para dispositivos usados por usuários ou grupos específicos que correm um risco excepcionalmente alto (usuários que lidam com dados altamente confidenciais em que a divulgação não autorizada causa perdas materiais consideráveis para a organização). Essa configuração determina políticas de senha mais fortes, desabilita determinadas funções de dispositivo e impõe restrições extras de transferência de dados.
Configurações de conformidade para registro automatizado de dispositivo
  • Segurança básica supervisionada (Nível 1) – a Microsoft recomenda essa configuração como a configuração de segurança mínima para dispositivos supervisionados em que os usuários acessem dados corporativos ou de estudante. Essa configuração é feita impondo políticas de senha, características de bloqueio de dispositivo e desabilitando determinadas funções do dispositivo, como certificados não confiáveis.
  • Segurança aprimorada supervisionada (Nível 2) – a Microsoft recomenda essa configuração para dispositivos em que os usuários acessam informações confidenciais. Essa configuração determina controles de compartilhamento de dados e bloqueia o acesso a dispositivos USB. Essa configuração é aplicável à maioria dos usuários móveis que acessam dados corporativos ou de estudante em um dispositivo.
  • Segurança supervisionada alta (Nível 3) – a Microsoft recomenda essa configuração para dispositivos usados por usuários ou grupos específicos que correm um risco excepcionalmente alto (usuários que lidam com dados altamente confidenciais em que a divulgação não autorizada causa perdas materiais consideráveis para a organização). Essa configuração determina políticas de senha mais fortes, desabilita determinadas funções de dispositivo, impõe restrições extras de transferência de dados e exige que os aplicativos sejam instalados por meio do programa de compra por volume da Apple.

Configurações de registro e conformidade para Android

O Android Enterprise dá suporte a vários cenários de registro, dois dos quais são abordados como parte desta estrutura:

  • Perfil de trabalho do Android Enterprise – esse modelo de registro normalmente é usado para dispositivos de propriedade pessoal, em que a TI deseja fornecer um limite de separação claro entre dados pessoais e de trabalho. As políticas controladas pela TI garantem que os dados de trabalho não possam ser transferidos para o perfil pessoal.
  • Dispositivos Android Enterprise totalmente gerenciados – esses dispositivos são de propriedade corporativa, associados a um único usuário e para uso exclusivamente corporativo e não pessoal.

A estrutura de configuração de segurança do Android Enterprise é organizada em vários cenários de configuração distintos, fornecendo diretrizes para o perfil de trabalho e cenários totalmente gerenciados.

Usando os princípios descritos nas configurações de identidade de Confiança Zero e acesso a dispositivo:

  • Os níveis de proteção ponto de partida e empresarial são mapeados de perto com as configurações de segurança aprimoradas de nível 2.
  • O nível de proteção de segurança especializada é mapeado de perto para as configurações de alta segurança do nível 3.
Configurações de conformidade para dispositivos de perfil de trabalho do Android Enterprise
  • Devido às configurações disponíveis para dispositivos de perfil de trabalho de propriedade pessoal, não há nenhuma oferta básica de segurança (nível 1). As configurações disponíveis não justificam uma diferença entre o nível 1 e o nível 2.
  • Segurança aprimorada do perfil de trabalho (Nível 2)– a Microsoft recomenda essa configuração como a configuração de segurança mínima para dispositivos pessoais em que os usuários acessam dados corporativos ou de estudante. Essa configuração apresenta requisitos de senha, separa dados pessoais e de trabalho e valida o atestado de dispositivo Android.
  • Segurança alta do perfil de trabalho (Nível 3) – a Microsoft recomenda essa configuração para dispositivos usados por usuários ou grupos específicos que correm um risco excepcionalmente alto (usuários que lidam com dados altamente confidenciais em que a divulgação não autorizada causa perdas materiais consideráveis para a organização). Essa configuração apresenta a defesa contra ameaças móveis ou o Microsoft Defender para Ponto de Extremidade, define a versão mínima do Android, promulga políticas de senha mais fortes e restringe ainda mais a separação entre o trabalho e o pessoal.
Configurações de conformidade para dispositivos Android Enterprise totalmente gerenciados
  • Segurança básica totalmente gerenciada (Nível 1) – a Microsoft recomenda essa configuração como a configuração de segurança mínima para um dispositivo corporativo. Essa configuração é aplicável à maioria dos usuários móveis que acessam dados corporativos ou de estudante. Essa configuração introduz requisitos de senha, define a versão mínima do Android e impõe determinadas restrições de dispositivo.
  • Segurança aprimorada totalmente gerenciada (Nível 2) – a Microsoft recomenda essa configuração para dispositivos em que os usuários acessam informações confidenciais. Essa configuração determina políticas de senha mais fortes e desabilita os recursos de usuário/conta.
  • Segurança alta totalmente gerenciada (Nível 3) – a Microsoft recomenda essa configuração para dispositivos usados por usuários ou grupos específicos que correm um risco excepcionalmente alto. Esses usuários podem lidar com dados altamente confidenciais em que a divulgação não autorizada causa perdas materiais consideráveis para a organização. Essa configuração aumenta a versão mínima do Android, introduz a defesa contra ameaças móveis ou o Microsoft Defender para Ponto de Extremidade e impõe restrições adicionais de dispositivo.

As configurações a seguir são configuradas na Etapa 2: configurações de conformidade, do processo de criação da política de conformidade para o Windows 10 e dispositivos mais recentes. Essas configurações se alinham com os princípios descritos nas configurações de identidade de Confiança Zero e acesso ao dispositivo.

Para Integridade do dispositivo >Regras de avaliação do Serviço de Atestado de Integridade do Windows, consulte esta tabela.

Propriedade Valor
Exigir BitLocker Requer
Exigir que a Inicialização Segura seja habilitada no dispositivo Requer
Exigir integridade do código Requer

Para Propriedades do dispositivo, especifique os valores apropriados para versões do sistema operacional com base em suas políticas de TI e segurança.

Para Conformidade do Configuration Manager, se você estiver em um ambiente cogerenciado com o Configuration Manager, selecione Exigir caso contrário, selecione Não configurado.

Para Segurança do sistema, consulte esta tabela.

Propriedade Valor
Exigir uma senha para desbloquear dispositivos móveis Requer
Senhas simples Bloquear
Tipo de senha Padrão do dispositivo
Comprimento mínimo da senha 6
Máximo de minutos de inatividade antes que uma senha seja necessária 15 minutos
Expiração da senha (dias) 41
Número de senhas anteriores para impedir a reutilização 5
Exigir senha quando o dispositivo retornar do estado ocioso (Móvel e Holográfico) Requer
Exigir criptografia do armazenamento de dados no dispositivo Requer
Firewall Requer
Antivírus Requer
Antispyware Requer
Microsoft Defender Antimalware Requer
Versão mínima do Microsoft Defender Antimalware A Microsoft recomenda versões com no máximo cinco anos de atraso em relação à versão mais recente.
Assinatura do Microsoft Defender Antimalware atualizada Requer
Proteção em tempo real Requer

Para Microsoft Defender para Ponto de Extremidade

Propriedade Valor
Exigir que o dispositivo esteja dentro ou abaixo da pontuação de risco do computador Médio

Políticas de acesso condicional

Depois que a proteção do aplicativo e as políticas de conformidade do dispositivo forem criadas no Intune, você poderá habilitar a imposição com políticas de Acesso Condicional.

Exigir MFA com base no risco de entrada

Siga as diretrizes no artigo Política de Acesso Condicional comum: autenticação multifator baseada em risco de entrada para criar uma política que exija autenticação multifator com base no risco de entrada.

Ao configurar sua política, use os seguintes níveis de risco.

Nível de proteção Valores de nível de risco necessários Ação
Ponto inicial Alto, médio Verifique ambos.
Empresa Alto, médio, baixo Verifique os três.

Bloquear clientes que não dão suporte à autenticação multifator

Siga as diretrizes no artigo Política de Acesso Condicional comum: bloquear autenticação herdada para bloquear a autenticação herdada.

Os usuários de alto risco devem alterar a senha

Siga as diretrizes no artigo Política de Acesso Condicional comum: alteração de senha baseada em risco do usuário para exigir que os usuários com credenciais comprometidas alterem a senha.

Use essa política juntamente com a Proteção de senha do Microsoft Entra, que detecta e bloqueia senhas fracas conhecidas e suas variantes, além de termos específicos à sua organização. O uso da proteção de senha do Microsoft Entra garante que as senhas alteradas sejam mais fortes.

Exigir aplicativos aprovados e políticas de proteção de aplicativo

Você deve criar uma política de Acesso Condicional para impor as políticas de proteção de aplicativo criadas no Intune. A imposição de políticas de proteção de aplicativo requer uma política de Acesso Condicional e uma política de proteção de aplicativo correspondente.

Para criar uma política de Acesso Condicional que exija aplicativos aprovados e proteção de aplicativo, siga as etapas em Exigir aplicativos cliente aprovados ou política de proteção de aplicativo com dispositivos móveis. Essa política só permite que contas em aplicativos móveis protegidos por políticas de proteção de aplicativo acessem pontos de extremidade do Microsoft 365.

Bloquear a autenticação herdada para outros aplicativos cliente em dispositivos iOS e Android garante que esses clientes não possam ignorar as políticas de Acesso Condicional. Se você estiver seguindo as diretrizes neste artigo, já configurou Bloquear clientes que não dão suporte à autenticação moderna.

Exigir computadores e dispositivos móveis em conformidade

As etapas a seguir ajudarão a criar uma política de Acesso condicional para exigir que os dispositivos que acessam os recursos sejam marcados como em conformidade com as políticas de conformidade do Intune da sua organização.

Cuidado

Verifique se o seu dispositivo está em conformidade antes de habilitar essa política. Caso contrário, você poderá ser bloqueado e não poderá alterar essa política até que sua conta de usuário tenha sido adicionada ao grupo de exclusão de Acesso Condicional.

  1. Entre no portal do Azure.
  2. Navegue até Microsoft Entra ID>Segurança>Acesso condicional.
  3. Selecione Nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione Todos os usuários.
    2. Em Excluir, selecione Usuários e grupos e escolha o acesso de emergência ou as contas de interrupção da sua organização.
  6. Em Aplicativos ou ações de nuvem>Incluir, selecione Todos os aplicativos de nuvem.
    1. Caso precise excluir aplicativos específicos de sua política, você poderá selecioná-los na guia Excluir em Selecionar aplicativos de nuvem excluídos e escolha Selecionar.
  7. Em Controles de acesso>Conceder.
    1. Selecione Exigir que o dispositivo seja marcado como em conformidade.
    2. Selecione Selecionar.
  8. Confirme suas configurações e defina Habilitar política como Ativado.
  9. Selecione Criar para criar e habilitar sua política.

Observação

Você pode registrar seus novos dispositivos no Intune mesmo se selecionar Exigir que o dispositivo seja marcado como em conformidade para Todos os usuários e Todos os aplicativos de nuvem em sua política. Exigir que o dispositivo seja marcado como controle em conformidade não bloqueia o registro do Intune e o acesso ao aplicativo do Portal da Empresa Web do Microsoft Intune.

Ativação de assinatura

As organizações que usam o recurso de Ativação de Assinatura para permitir que os usuários "avancem" de uma versão do Windows para outra, talvez queiram excluir as APIs do Universal Store Service e o Aplicativo Web, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f da política de conformidade do dispositivo.

Exigir a MFA sempre

Siga as diretrizes no artigo Política de Acesso Condicional comum: exigir MFA para todos os usuários para exigir que os usuários de nível de segurança especializada sempre executem a autenticação multifator.

Aviso

Ao configurar sua política, selecione o grupo que requer segurança especializada e use essa em vez de selecionar Todos os usuários.

Próximas etapas

Etapa 3: políticas para usuários convidados e externos.

Saiba mais sobre as recomendações de política para usuários convidados e externos