Tutorial: Usar deteções de risco para entradas de usuário para disparar a autenticação multifator do Microsoft Entra ou alterações de senha

Para proteger seus usuários, você pode configurar políticas de Acesso Condicional do Microsoft Entra baseadas em risco que respondem automaticamente a comportamentos de risco. Essas políticas podem bloquear automaticamente uma tentativa de entrada ou exigir uma ação extra, como exigir uma alteração de senha segura ou solicitar a autenticação multifator do Microsoft Entra. Essas políticas funcionam com as políticas de Acesso Condicional existentes do Microsoft Entra como uma camada extra de proteção para sua organização. Os usuários podem nunca acionar um comportamento de risco em uma dessas políticas, mas sua organização estará protegida se uma tentativa de comprometer sua segurança for feita.

Importante

Este tutorial mostra a um administrador como habilitar a autenticação multifator (MFA) baseada em risco.

Se a sua equipa de TI não tiver ativado a capacidade de utilizar a autenticação multifator Microsoft Entra ou se tiver problemas durante o início de sessão, contacte o seu serviço de assistência para obter assistência adicional.

Neste tutorial, irá aprender a:

  • Compreender as políticas disponíveis
  • Habilitar o registro de autenticação multifator do Microsoft Entra
  • Permitir alterações de palavra-passe baseadas em risco
  • Habilite a autenticação multifator baseada em risco
  • Testar políticas baseadas em risco para tentativas de entrada do usuário

Pré-requisitos

Para concluir este tutorial, você precisa dos seguintes recursos e privilégios:

Visão geral do Microsoft Entra ID Protection

Todos os dias, a Microsoft recolhe e analisa biliões de sinais anónimos como parte das tentativas de início de sessão dos utilizadores. Estes sinais ajudam a criar padrões de bom comportamento de início de sessão do utilizador e a identificar potenciais tentativas de início de sessão arriscadas. A Proteção de ID do Microsoft Entra pode rever as tentativas de início de sessão do utilizador e tomar medidas adicionais se existir um comportamento suspeito:

Algumas das seguintes ações podem acionar a deteção de risco do Microsoft Entra ID Protection:

  • Usuários com credenciais vazadas.
  • Entradas a partir de endereços IP anónimos.
  • Impossível viajar para locais atípicos.
  • Inicia sessão a partir de dispositivos infetados.
  • Entradas a partir de endereços IP com atividade suspeita.
  • Inicia sessão a partir de locais desconhecidos.

Este artigo orienta você na habilitação de três políticas para proteger os usuários e automatizar a resposta a atividades suspeitas.

  • Política de registo de autenticação multifator
    • Certifica-se de que os usuários estão registrados para autenticação multifator do Microsoft Entra. Se uma política de risco de entrada solicitar MFA, o usuário já deverá estar registrado para autenticação multifator do Microsoft Entra.
  • Política de risco do utilizador
    • Identifica e automatiza a resposta a contas de usuário que podem ter credenciais comprometidas. Pode solicitar que o usuário crie uma nova senha.
  • Iniciar sessão na política de risco
    • Identifica e automatiza a resposta a tentativas de início de sessão suspeitas. Pode solicitar que o usuário forneça formas extras de verificação usando a autenticação multifator do Microsoft Entra.

Ao habilitar uma política baseada em risco, você também pode escolher o limite para o nível de risco - baixo, médio ou alto. Essa flexibilidade permite que você decida o quão agressivo você deseja ser na imposição de quaisquer controles para eventos de entrada suspeitos. A Microsoft recomenda as seguintes configurações de política.

Para obter mais informações sobre a Proteção de ID do Microsoft Entra, consulte O que é a Proteção de ID do Microsoft Entra?

Habilitar a política de registro de autenticação multifator

O Microsoft Entra ID Protection inclui uma política padrão que pode ajudar a registrar os usuários para autenticação multifator do Microsoft Entra. Se você usar outras políticas para proteger eventos de entrada, precisará que os usuários já tenham se registrado para MFA. Quando você habilita essa política, ela não exige que os usuários executem MFA em cada evento de entrada. A política apenas verifica o estado de registo de um utilizador e pede-lhe para se pré-registar, se necessário.

É recomendável habilitar essa política de registro para usuários que usam autenticação multifator. Para habilitar essa política, conclua as seguintes etapas:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.
  2. Navegue até Política de registro de autenticação multifator do Protection>Identity Protection.>
  3. Por padrão, a política se aplica a Todos os usuários. Se desejar, selecione Atribuições e, em seguida, escolha os usuários ou grupos nos quais aplicar a política.
  4. Em Controles, selecione Acesso. Verifique se a opção Exigir registro de autenticação multifator do Microsoft Entra está marcada e escolha Selecionar.
  5. Defina Impor política como Ativado e selecione Salvar.

Captura de tela de como exigir que os usuários se registrem para MFA.

Habilitar a política de risco do usuário para alteração de senha

A Microsoft trabalha com investigadores, entidades responsáveis pela aplicação da lei, várias equipas de segurança da Microsoft e outras origens fidedignas para localizar os pares de nome de utilizador e palavra-passe. Quando um desses pares corresponde a uma conta em seu ambiente, uma alteração de senha baseada em risco pode ser solicitada. Esta política e ação exigem que o utilizador atualize a respetiva palavra-passe antes de poder iniciar sessão para se certificar de que as credenciais anteriormente expostas já não funcionam.

Para habilitar essa política, conclua as seguintes etapas:

  1. Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.
  2. Navegue até Acesso condicional de proteção>.
  3. Selecione Nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione Todos os usuários.
    2. Em Excluir, selecione Usuários e grupos e escolha as contas de acesso de emergência ou de quebra-vidro da sua organização.
    3. Selecionar Concluído.
  6. Em Aplicações ou ações>na nuvem Incluir, selecione Todos os recursos (anteriormente "Todas as aplicações na nuvem").
  7. Em Condições>Risco do usuário, defina Configurar como Sim.
    1. Em Configurar níveis de risco do usuário necessários para que a política seja imposta, selecione Alto. Estas orientações baseiam-se nas recomendações da Microsoft e podem ser diferentes para cada organização
    2. Selecionar Concluído.
  8. Em Conceder controles>de acesso, selecione Conceder acesso.
    1. Selecione Exigir força de autenticação e, em seguida, selecione a força de autenticação multifator integrada na lista.
    2. Selecione Exigir alteração de senha.
    3. Selecione Selecionar.
  9. Em sessão.
    1. Selecione Frequência de início de sessão.
    2. Certifique-se de que cada vez está selecionado.
    3. Selecione Selecionar.
  10. Confirme suas configurações e defina Habilitar política como Somente relatório.
  11. Selecione Criar para criar para habilitar sua política.

Depois que os administradores confirmarem as configurações usando o modo somente relatório, eles poderão mover a alternância Habilitar política de Somente relatório para Ativado.

Cenários sem senha

Para organizações que adotam métodos de autenticação sem senha, faça as seguintes alterações:

Atualize sua política de risco de usuário sem senha

  1. Em Utilizadores:
    1. Inclua, selecione Usuários e grupos e segmente seus usuários sem senha.
  2. Em Controles>de acesso Bloquear o acesso de usuários sem senha.

Gorjeta

Talvez seja necessário ter duas políticas por um período de tempo ao implantar métodos sem senha.

  • Um que permite a auto-remediação para aqueles que não usam métodos sem senha.
  • Outro que bloqueia usuários sem senha em alto risco.

Corrija e desbloqueie o risco do usuário sem senha

  1. Exigir investigação do administrador e remediação de qualquer risco.
  2. Desbloqueie o usuário.

Habilitar a política de risco de entrada para MFA

A maioria dos usuários tem um comportamento normal que pode ser rastreado. Quando eles não se enquadram nessa norma, pode ser arriscado permitir que eles entrem com sucesso. Em vez disso, você pode querer bloquear esse usuário ou pedir-lhe para executar uma autenticação multifator. Se o usuário concluir com êxito o desafio de MFA, você poderá considerá-lo uma tentativa de entrada válida e conceder acesso ao aplicativo ou serviço.

Para habilitar essa política, conclua as seguintes etapas:

  1. Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.
  2. Navegue até Acesso condicional de proteção>.
  3. Selecione Nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione Todos os usuários.
    2. Em Excluir, selecione Usuários e grupos e escolha as contas de acesso de emergência ou de quebra-vidro da sua organização.
    3. Selecionar Concluído.
  6. Em Aplicações ou ações>na nuvem Incluir, selecione Todos os recursos (anteriormente "Todas as aplicações na nuvem").
  7. Em Condições>Risco de início de sessão, defina Configurar como Sim.
    1. Em Selecione o nível de risco de início de sessão ao qual esta política se aplicará, selecione Alto e Médio. Estas orientações baseiam-se nas recomendações da Microsoft e podem ser diferentes para cada organização
    2. Selecionar Concluído.
  8. Em Conceder controles>de acesso, selecione Conceder acesso.
    1. Selecione Exigir força de autenticação e, em seguida, selecione a força de autenticação multifator integrada na lista.
    2. Selecione Selecionar.
  9. Em sessão.
    1. Selecione Frequência de início de sessão.
    2. Certifique-se de que cada vez está selecionado.
    3. Selecione Selecionar.
  10. Confirme suas configurações e defina Habilitar política como Somente relatório.
  11. Selecione Criar para criar para habilitar sua política.

Depois que os administradores confirmarem as configurações usando o modo somente relatório, eles poderão mover a alternância Habilitar política de Somente relatório para Ativado.

Cenários sem senha

Para organizações que adotam métodos de autenticação sem senha, faça as seguintes alterações:

Atualize a sua política de risco de início de sessão sem palavra-passe

  1. Em Utilizadores:
    1. Inclua, selecione Usuários e grupos e segmente seus usuários sem senha.
  2. Em Selecione o nível de risco de início de sessão ao qual esta política se aplicará, selecione Elevado.
  3. Em Controles>de acesso Bloquear o acesso de usuários sem senha.

Gorjeta

Talvez seja necessário ter duas políticas por um período de tempo ao implantar métodos sem senha.

  • Um que permite a auto-remediação para aqueles que não usam métodos sem senha.
  • Outro que bloqueia usuários sem senha em alto risco.

Corrija e desbloqueie o risco de início de sessão sem palavra-passe

  1. Exigir investigação do administrador e remediação de qualquer risco.
  2. Desbloqueie o usuário.

Testar eventos de sinais de risco

A maioria dos eventos de entrada do usuário não aciona as políticas baseadas em risco configuradas nas etapas anteriores. Um usuário pode nunca ver uma solicitação de MFA ou redefinir sua senha. Se suas credenciais permanecerem seguras e seu comportamento consistente, seus eventos de entrada serão bem-sucedidos.

Para testar as políticas de Proteção de ID do Microsoft Entra criadas nas etapas anteriores, você precisa de uma maneira de simular comportamentos de risco ou ataques potenciais. As etapas para fazer esses testes variam com base na política de Proteção de ID do Microsoft Entra que você deseja validar. Para obter mais informações sobre cenários e etapas, consulte Simular deteções de risco no Microsoft Entra ID Protection.

Clean up resources (Limpar recursos)

Se você concluir o teste e não quiser mais ter as políticas baseadas em risco habilitadas, retorne a cada política que deseja desabilitar e defina Habilitar política como Desativado ou exclua-as.

Próximos passos

Neste tutorial, você habilitou políticas de usuário baseadas em risco para a Proteção de ID do Microsoft Entra. Aprendeu a:

  • Compreender as políticas disponíveis para o Microsoft Entra ID Protection
  • Habilitar o registro de autenticação multifator do Microsoft Entra
  • Permitir alterações de palavra-passe baseadas em risco
  • Habilite a autenticação multifator baseada em risco
  • Testar políticas baseadas em risco para tentativas de entrada do usuário