Proteja as identidades da sua organização com o Microsoft Entra ID

Pode parecer assustador tentar proteger seus trabalhadores no mundo de hoje, especialmente quando você tem que responder rapidamente e fornecer acesso a muitos serviços rapidamente. Este artigo ajuda a fornecer uma lista concisa de ações a serem tomadas, ajudando você a identificar e priorizar recursos com base no tipo de licença que você possui.

O Microsoft Entra ID oferece muitos recursos e fornece muitas camadas de segurança para suas identidades, navegar por qual recurso é relevante às vezes pode ser esmagador. Este documento destina-se a ajudar as organizações a implantar serviços rapidamente, com identidades seguras como a principal consideração.

Cada tabela fornece recomendações de segurança para proteger as identidades contra ataques de segurança comuns e, ao mesmo tempo, minimizar o atrito do usuário.

As orientações ajudam:

  • Configure o acesso a software como serviço (SaaS) e aplicativos locais de forma segura e protegida
  • Identidades híbridas e na nuvem
  • Usuários trabalhando remotamente ou no escritório

Pré-requisitos

Este guia pressupõe que suas identidades híbridas ou somente na nuvem já estejam estabelecidas no Microsoft Entra ID. Para obter ajuda com a escolha do tipo de identidade, consulte o artigo Escolha o método de autenticação (AuthN) correto para sua solução de identidade híbrida Microsoft Entra.

A Microsoft recomenda que as organizações tenham duas contas de acesso de emergência somente na nuvem permanentemente atribuídas à função de Administrador Global . Essas contas são altamente privilegiadas e não são atribuídas a indivíduos específicos. As contas são limitadas a cenários de emergência ou de "quebra de vidro" em que as contas normais não podem ser usadas ou todos os outros administradores são bloqueados acidentalmente. Essas contas devem ser criadas seguindo as recomendações da conta de acesso de emergência.

Passo a passo guiado

Para obter um passo a passo guiado de muitas das recomendações neste artigo, consulte o guia Configurar o Microsoft Entra ID quando conectado ao Centro de Administração do Microsoft 365. Para rever as práticas recomendadas sem iniciar sessão e ativar funcionalidades de configuração automatizada, aceda ao portal de configuração do Microsoft 365.

Orientação para clientes do Microsoft Entra ID Free, Office 365 ou Microsoft 365

Há muitas recomendações que os clientes do aplicativo Microsoft Entra ID Free, Office 365 ou Microsoft 365 devem seguir para proteger suas identidades de usuário. A tabela a seguir destina-se a destacar as principais ações para as seguintes assinaturas de licença:

  • Office 365 (Office 365 E1, E3, E5, F1, A1, A3, A5)
  • Microsoft 365 (Business Basic, Apps for Business, Business Standard, Business Premium, A1)
  • Microsoft Entra ID Free (incluído no Azure, Dynamics 365, Intune e Power Platform)
Ação recomendada Detalhe
Ativar padrões de segurança Proteja todas as identidades de usuário e aplicativos habilitando a autenticação multifator e bloqueando a autenticação herdada.
Habilitar a sincronização de hash de senha (se estiver usando identidades híbridas) Forneça redundância para autenticação e melhore a segurança (incluindo Smart Lockout, IP Lockout e a capacidade de descobrir credenciais vazadas).
Habilitar o bloqueio inteligente do AD FS (se aplicável) Protege os seus utilizadores contra o bloqueio da conta extranet devido a atividades maliciosas.
Habilitar o bloqueio inteligente do Microsoft Entra (se estiver usando identidades gerenciadas) O bloqueio inteligente ajuda a bloquear agentes mal-intencionados que estão tentando adivinhar as senhas de seus usuários ou usar métodos de força bruta para entrar.
Desabilitar o consentimento do usuário final para aplicativos O fluxo de trabalho de consentimento do administrador oferece aos administradores uma maneira segura de conceder acesso a aplicativos que exigem aprovação do administrador para que os usuários finais não exponham dados corporativos. A Microsoft recomenda desativar futuras operações de consentimento do usuário para ajudar a reduzir sua área de superfície e mitigar esse risco.
Integre aplicativos SaaS suportados da galeria ao Microsoft Entra ID e habilite o logon único (SSO) O Microsoft Entra ID tem uma galeria que contém milhares de aplicativos pré-integrados. Alguns dos aplicativos que sua organização usa provavelmente estão na galeria acessível diretamente do portal do Azure. Forneça acesso a aplicativos SaaS corporativos de forma remota e segura com experiência de usuário aprimorada (logon único (SSO)).
Automatize o provisionamento e o desprovisionamento de usuários de aplicativos SaaS (se aplicável) Crie automaticamente identidades de usuário e funções nos aplicativos de nuvem (SaaS) aos quais os usuários precisam acessar. Além de criar identidades de usuário, o provisionamento automático inclui a manutenção e remoção de identidades de usuário à medida que o status ou as funções mudam, aumentando a segurança da sua organização.
Habilitar acesso híbrido seguro: proteja aplicativos herdados com controladores e redes de entrega de aplicativos existentes (se aplicável) Publique e proteja seus aplicativos de autenticação locais e herdados na nuvem conectando-os à ID do Microsoft Entra com seu controlador de entrega de aplicativos ou rede existente.
Ativar a redefinição de senha de autoatendimento (aplicável a contas somente na nuvem) Essa capacidade reduz as chamadas de suporte técnico e a perda de produtividade quando um usuário não consegue entrar em seu dispositivo ou aplicativo.
Use funções menos privilegiadas sempre que possível Dê aos seus administradores apenas o acesso de que precisam apenas às áreas às quais precisam de acesso.
Ativar a orientação de senha da Microsoft Pare de exigir que os usuários alterem suas senhas em um cronograma definido, desative os requisitos de complexidade e seus usuários estarão mais aptos a lembrar suas senhas e mantê-las em segurança.

Orientação para clientes do Microsoft Entra ID P1

A tabela a seguir destina-se a destacar as principais ações para as seguintes assinaturas de licença:

  • Microsoft Entra ID P1
  • Microsoft Enterprise Mobility + Segurança E3
  • Microsoft 365 (E3, A3, F1, F3)
Ação recomendada Detalhe
Habilite a experiência de registro combinada para autenticação multifator Microsoft Entra e SSPR para simplificar a experiência de registro do usuário Permita que seus usuários se registrem a partir de uma experiência comum para autenticação multifator do Microsoft Entra e redefinição de senha de autoatendimento.
Definir configurações de autenticação multifator para sua organização Certifique-se de que as contas estão protegidas contra serem comprometidas com a autenticação multifator.
Ativar a reposição de palavras-passe self-service Essa capacidade reduz as chamadas de suporte técnico e a perda de produtividade quando um usuário não consegue entrar em seu dispositivo ou aplicativo.
Implementar write-back de senha (se estiver usando identidades híbridas) Permita que as alterações de senha na nuvem sejam gravadas novamente em um ambiente local do Ative Directory do Windows Server.
Criar e habilitar políticas de Acesso Condicional Autenticação multifator para administradores para proteger contas às quais são atribuídos direitos administrativos.

Bloqueie protocolos de autenticação herdados devido ao maior risco associado aos protocolos de autenticação herdados.

Autenticação multifator para todos os usuários e aplicativos para criar uma política de autenticação multifator equilibrada para seu ambiente, protegendo seus usuários e aplicativos.

Exija autenticação multifator para o Gerenciamento do Azure para proteger seus recursos privilegiados exigindo autenticação multifator para qualquer usuário que acesse os recursos do Azure.
Habilitar a sincronização de hash de senha (se estiver usando identidades híbridas) Forneça redundância para autenticação e melhore a segurança (incluindo Bloqueio Inteligente, Bloqueio de IP e a capacidade de descobrir credenciais vazadas.)
Habilitar o bloqueio inteligente do AD FS (se aplicável) Protege os seus utilizadores contra o bloqueio da conta extranet devido a atividades maliciosas.
Habilitar o bloqueio inteligente do Microsoft Entra (se estiver usando identidades gerenciadas) O bloqueio inteligente ajuda a bloquear agentes mal-intencionados que estão tentando adivinhar as senhas de seus usuários ou usar métodos de força bruta para entrar.
Desabilitar o consentimento do usuário final para aplicativos O fluxo de trabalho de consentimento do administrador oferece aos administradores uma maneira segura de conceder acesso a aplicativos que exigem aprovação do administrador para que os usuários finais não exponham dados corporativos. A Microsoft recomenda desativar futuras operações de consentimento do usuário para ajudar a reduzir sua área de superfície e mitigar esse risco.
Habilite o acesso remoto a aplicativos herdados locais com o Proxy de Aplicativo Habilite o proxy de aplicativo Microsoft Entra e integre-o a aplicativos herdados para que os usuários acessem com segurança aplicativos locais entrando com sua conta Microsoft Entra.
Habilitar acesso híbrido seguro: proteja aplicativos herdados com controladores e redes de entrega de aplicativos existentes (se aplicável). Publique e proteja seus aplicativos de autenticação locais e herdados na nuvem conectando-os à ID do Microsoft Entra com seu controlador de entrega de aplicativos ou rede existente.
Integre aplicativos SaaS suportados da galeria ao Microsoft Entra ID e habilite o logon único O Microsoft Entra ID tem uma galeria que contém milhares de aplicativos pré-integrados. Alguns dos aplicativos que sua organização usa provavelmente estão na galeria acessível diretamente do portal do Azure. Forneça acesso a aplicativos SaaS corporativos de forma remota e segura com experiência do usuário (SSO) aprimorada.
Automatize o provisionamento e o desprovisionamento de usuários de aplicativos SaaS (se aplicável) Crie automaticamente identidades de usuário e funções nos aplicativos de nuvem (SaaS) aos quais os usuários precisam acessar. Além de criar identidades de usuário, o provisionamento automático inclui a manutenção e remoção de identidades de usuário à medida que o status ou as funções mudam, aumentando a segurança da sua organização.
Habilitar acesso condicional – baseado em dispositivo Melhore a segurança e as experiências do usuário com o Acesso Condicional baseado em dispositivo. Esta etapa garante que os usuários só possam acessar a partir de dispositivos que atendam aos seus padrões de segurança e conformidade. Esses dispositivos também são conhecidos como dispositivos gerenciados. Os dispositivos gerenciados podem ser compatíveis com o Intune ou dispositivos híbridos ingressados no Microsoft Entra.
Ativar proteção por senha Proteja os usuários de usar senhas fracas e fáceis de adivinhar.
Use funções menos privilegiadas sempre que possível Dê aos seus administradores apenas o acesso de que precisam apenas às áreas às quais precisam de acesso.
Ativar a orientação de senha da Microsoft Pare de exigir que os usuários alterem suas senhas em um cronograma definido, desative os requisitos de complexidade e seus usuários estarão mais aptos a lembrar suas senhas e mantê-las em segurança.
Criar uma lista de senhas proibidas personalizada específica da organização Impeça que os utilizadores criem palavras-passe que incluam palavras ou frases comuns da sua organização ou área.
Implante métodos de autenticação sem senha para seus usuários Forneça aos seus utilizadores métodos de autenticação convenientes sem palavra-passe.
Criar um plano para acesso de usuário convidado Colabore com utilizadores convidados permitindo-lhes iniciar sessão nas suas aplicações e serviços com as suas próprias identidades profissionais, escolares ou sociais.

Orientação para clientes Microsoft Entra ID P2

A tabela a seguir destina-se a destacar as principais ações para as seguintes assinaturas de licença:

  • Microsoft Entra ID P2
  • Microsoft Enterprise Mobility + Segurança E5
  • Microsoft 365 (E5, A5)
Ação recomendada Detalhe
Habilite a experiência de registro combinada para autenticação multifator Microsoft Entra e SSPR para simplificar a experiência de registro do usuário Permita que seus usuários se registrem a partir de uma experiência comum para autenticação multifator do Microsoft Entra e redefinição de senha de autoatendimento.
Definir configurações de autenticação multifator para sua organização Certifique-se de que as contas estão protegidas contra serem comprometidas com a autenticação multifator.
Ativar a reposição de palavras-passe self-service Essa capacidade reduz as chamadas de suporte técnico e a perda de produtividade quando um usuário não consegue entrar em seu dispositivo ou aplicativo.
Implementar write-back de senha (se estiver usando identidades híbridas) Permita que as alterações de senha na nuvem sejam gravadas novamente em um ambiente local do Ative Directory do Windows Server.
Habilitar as políticas de Proteção de ID do Microsoft Entra para impor o registro de autenticação multifator Gerencie a implantação da autenticação multifator do Microsoft Entra.
Habilitar políticas de Acesso Condicional baseadas em risco e de entrada A política de entrada recomendada é direcionar entradas de risco médio e exigir autenticação multifator. Para políticas de usuário, você deve segmentar usuários de alto risco que exigem a ação de alteração de senha.
Criar e habilitar políticas de Acesso Condicional Autenticação multifator para administradores para proteger contas às quais são atribuídos direitos administrativos.

Bloqueie protocolos de autenticação herdados devido ao maior risco associado aos protocolos de autenticação herdados.

Exija autenticação multifator para o Gerenciamento do Azure para proteger seus recursos privilegiados exigindo autenticação multifator para qualquer usuário que acesse os recursos do Azure.
Habilitar a sincronização de hash de senha (se estiver usando identidades híbridas) Forneça redundância para autenticação e melhore a segurança (incluindo Bloqueio Inteligente, Bloqueio de IP e a capacidade de descobrir credenciais vazadas.)
Habilitar o bloqueio inteligente do AD FS (se aplicável) Protege os seus utilizadores contra o bloqueio da conta extranet devido a atividades maliciosas.
Habilitar o bloqueio inteligente do Microsoft Entra (se estiver usando identidades gerenciadas) O bloqueio inteligente ajuda a bloquear agentes mal-intencionados que estão tentando adivinhar as senhas de seus usuários ou usar métodos de força bruta para entrar.
Desabilitar o consentimento do usuário final para aplicativos O fluxo de trabalho de consentimento do administrador oferece aos administradores uma maneira segura de conceder acesso a aplicativos que exigem aprovação do administrador para que os usuários finais não exponham dados corporativos. A Microsoft recomenda desativar futuras operações de consentimento do usuário para ajudar a reduzir sua área de superfície e mitigar esse risco.
Habilite o acesso remoto a aplicativos herdados locais com o Proxy de Aplicativo Habilite o proxy de aplicativo Microsoft Entra e integre-o a aplicativos herdados para que os usuários acessem com segurança aplicativos locais entrando com sua conta Microsoft Entra.
Habilitar acesso híbrido seguro: proteja aplicativos herdados com controladores e redes de entrega de aplicativos existentes (se aplicável). Publique e proteja seus aplicativos de autenticação locais e herdados na nuvem conectando-os à ID do Microsoft Entra com seu controlador de entrega de aplicativos ou rede existente.
Integre aplicativos SaaS suportados da galeria ao Microsoft Entra ID e habilite o logon único O Microsoft Entra ID tem uma galeria que contém milhares de aplicativos pré-integrados. Alguns dos aplicativos que sua organização usa provavelmente estão na galeria acessível diretamente do portal do Azure. Forneça acesso a aplicativos SaaS corporativos de forma remota e segura com experiência do usuário (SSO) aprimorada.
Automatize o provisionamento e o desprovisionamento de usuários de aplicativos SaaS (se aplicável) Crie automaticamente identidades de usuário e funções nos aplicativos de nuvem (SaaS) aos quais os usuários precisam acessar. Além de criar identidades de usuário, o provisionamento automático inclui a manutenção e remoção de identidades de usuário à medida que o status ou as funções mudam, aumentando a segurança da sua organização.
Habilitar acesso condicional – baseado em dispositivo Melhore a segurança e as experiências do usuário com o Acesso Condicional baseado em dispositivo. Esta etapa garante que os usuários só possam acessar a partir de dispositivos que atendam aos seus padrões de segurança e conformidade. Esses dispositivos também são conhecidos como dispositivos gerenciados. Os dispositivos gerenciados podem ser compatíveis com o Intune ou dispositivos híbridos ingressados no Microsoft Entra.
Ativar proteção por senha Proteja os usuários de usar senhas fracas e fáceis de adivinhar.
Use funções menos privilegiadas sempre que possível Dê aos seus administradores apenas o acesso de que precisam apenas às áreas às quais precisam de acesso.
Ativar a orientação de senha da Microsoft Pare de exigir que os usuários alterem suas senhas em um cronograma definido, desative os requisitos de complexidade e seus usuários estarão mais aptos a lembrar suas senhas e mantê-las em segurança.
Criar uma lista de senhas proibidas personalizada específica da organização Impeça que os utilizadores criem palavras-passe que incluam palavras ou frases comuns da sua organização ou área.
Implante métodos de autenticação sem senha para seus usuários Forneça aos seus usuários métodos convenientes de autenticação sem senha
Criar um plano para acesso de usuário convidado Colabore com utilizadores convidados permitindo-lhes iniciar sessão nas suas aplicações e serviços com as suas próprias identidades profissionais, escolares ou sociais.
Habilitar o PIM, gerenciamento privilegiado de identidades (PIM) Permite gerenciar, controlar e monitorar o acesso a recursos importantes em sua organização, garantindo que os administradores tenham acesso somente quando necessário e com aprovação.
Conclua uma revisão de acesso para funções de diretório do Microsoft Entra no PIM Trabalhe com suas equipes de segurança e liderança para criar uma política de revisão de acesso para revisar o acesso administrativo com base nas políticas da sua organização.

Confiança Zero

Esse recurso ajuda as organizações a alinhar suas identidades com os três princípios orientadores de uma arquitetura Zero Trust:

  • Verificar explicitamente
  • Use o privilégio mínimo
  • Assuma a violação

Para saber mais sobre o Zero Trust e outras formas de alinhar a sua organização aos princípios orientadores, consulte o Centro de Orientação Zero Trust.

Próximos passos

  • Para obter orientações detalhadas de implantação para recursos individuais do Microsoft Entra ID, revise os planos de implantação do projeto Microsoft Entra ID.
  • As organizações podem usar a pontuação segura de identidade para acompanhar seu progresso em relação a outras recomendações da Microsoft.