Implementar a sua infraestrutura de identidade para o Microsoft 365

Veja todos os nossos conteúdos para pequenas empresas em Ajuda e aprendizagem para pequenas empresas.

No Microsoft 365 para grandes empresas, uma infraestrutura de identidade bem planeada e executada abre caminho para uma segurança mais forte, incluindo restringir o acesso às cargas de trabalho de produtividade e aos respetivos dados apenas a utilizadores e dispositivos autenticados. A segurança das identidades é um elemento-chave de uma implementação Confiança Zero, na qual todas as tentativas de acesso a recursos no local e na cloud são autenticadas e autorizadas.

Para obter informações sobre as funcionalidades de identidade de cada Microsoft 365 para grandes empresas, a função de Microsoft Entra ID, componentes no local e baseados na cloud e as configurações de autenticação mais comuns, consulte o cartaz Infraestrutura de Identidade.

O cartaz Infraestrutura de Identidade.

Reveja este cartaz de duas páginas para acelerar rapidamente os conceitos e configurações de identidade do Microsoft 365 para grandes empresas.

Pode transferir este cartaz e imprimi-lo no formato de letra, legal ou tablóide (11 x 17).

Esta solução é o primeiro passo para criar a pilha de implementação do Microsoft 365 Confiança Zero.

A pilha de implementação do Microsoft 365 Confiança Zero

Para obter mais informações, veja o plano de implementação do Microsoft 365 Confiança Zero.

O que está nesta solução

Esta solução orienta-o através da implementação de uma infraestrutura de identidade para o seu inquilino do Microsoft 365 para fornecer acesso aos seus funcionários e proteção contra ataques baseados em identidades.

Implementar a sua infraestrutura de identidade para o Microsoft 365

Os passos nesta solução são:

  1. Determine o modelo de identidade.
  2. Proteja as suas contas com privilégios do Microsoft 365.
  3. Proteja as suas contas de utilizador do Microsoft 365.
  4. Implemente o modelo de identidade.

Esta solução suporta os principais princípios do Confiança Zero:

  • Verificar explicitamente: Autentique e autorize sempre com base em todos os pontos de dados disponíveis.
  • Utilize o acesso com privilégios mínimos: Limite o acesso do utilizador com Acesso Just-In-Time e Just-Enough-Access (JIT/JEA), políticas adaptáveis baseadas em riscos e proteção de dados.
  • Assumir a violação: Minimizar o raio de explosão e o acesso de segmento. Verifique a encriptação ponto a ponto e utilize a análise para obter visibilidade, deteção de ameaças e melhorar as defesas.

Ao contrário do acesso convencional à intranet, que confia em tudo o que está por trás da firewall de uma organização, Confiança Zero trata cada início de sessão e acesso como se fosse proveniente de uma rede não controlada, seja por trás da firewall da organização ou na Internet. Confiança Zero requer proteção para a rede, infraestrutura, identidades, pontos finais, aplicações e dados.

Funcionalidades e capacidades do Microsoft 365

Microsoft Entra ID fornece um conjunto completo de capacidades de gestão de identidades e segurança para o seu inquilino do Microsoft 365.

Capacidade ou funcionalidade Descrição Licenciamento
Autenticação multifator (MFA) A MFA requer que os utilizadores forneçam duas formas de verificação, como uma palavra-passe de utilizador e uma notificação da aplicação Microsoft Authenticator ou uma chamada telefónica. A MFA reduz consideravelmente o risco de as credenciais roubadas poderem ser utilizadas para aceder ao seu ambiente. O Microsoft 365 utiliza o serviço de autenticação multifator Microsoft Entra para inícios de sessão baseados em MFA. Microsoft 365 E3 ou E5
Acesso Condicional Microsoft Entra ID avalia as condições do início de sessão do utilizador e utiliza políticas de Acesso Condicional para determinar o acesso permitido. Por exemplo, nesta documentação de orientação, mostramos-lhe como criar uma política de Acesso Condicional para exigir a conformidade do dispositivo para acesso a dados confidenciais. Isto reduz consideravelmente o risco de um hacker com o seu próprio dispositivo e credenciais roubadas poder aceder aos seus dados confidenciais. Também protege dados confidenciais nos dispositivos, uma vez que os dispositivos têm de cumprir requisitos específicos de estado de funcionamento e segurança. Microsoft 365 E3 ou E5
grupos de Microsoft Entra As políticas de Acesso Condicional, a gestão de dispositivos com Intune e até mesmo as permissões para ficheiros e sites na sua organização dependem da atribuição a contas de utilizador ou Microsoft Entra grupos. Recomendamos que crie Microsoft Entra grupos que correspondam aos níveis de proteção que está a implementar. Por exemplo, os membros da sua equipa executiva são provavelmente alvos de maior valor para hackers. Por conseguinte, faz sentido adicionar as contas de utilizador destes funcionários a um grupo de Microsoft Entra e atribuir este grupo a políticas de Acesso Condicional e outras políticas que impõem um nível mais elevado de proteção ao acesso. Microsoft 365 E3 ou E5
Microsoft Entra ID Protection Permite-lhe detetar potenciais vulnerabilidades que afetam as identidades da sua organização e configurar a política de remediação automatizada para risco de início de sessão baixo, médio e elevado e risco de utilizador. Esta documentação de orientação baseia-se nesta avaliação de risco para aplicar políticas de Acesso Condicional para autenticação multifator. Esta documentação de orientação também inclui uma política de Acesso Condicional que exige que os utilizadores alterem a palavra-passe se for detetada atividade de alto risco para a respetiva conta. Microsoft 365 E5, Microsoft 365 E3 com as licenças E5 Security, EMS E5 ou Microsoft Entra ID P2
Reposição personalizada de palavra-passe (SSPR) Permita que os seus utilizadores reponham as palavras-passe de forma segura e sem intervenção no suporte técnico, ao fornecer a verificação de vários métodos de autenticação que o administrador pode controlar. Microsoft 365 E3 ou E5
Microsoft Entra proteção por palavra-passe Detetar e bloquear palavras-passe fracas conhecidas e respetivas variantes e termos fracos adicionais específicos da sua organização. As listas de palavras-passe global banidas predefinidas são aplicadas automaticamente a todos os utilizadores num inquilino Microsoft Entra. Pode definir entradas adicionais numa lista personalizada de palavras-passe banidas. Quando os utilizadores alteram ou repõem as respetivas palavras-passe, estas listas de palavras-passe banidas são verificadas para impor a utilização de palavras-passe fortes. Microsoft 365 E3 ou E5

Passos seguintes

Utilize estes passos para implementar um modelo de identidade e uma infraestrutura de autenticação para o seu inquilino do Microsoft 365:

  1. Determine o modelo de identidade da cloud.
  2. Proteja as suas contas com privilégios do Microsoft 365.
  3. Proteja as suas contas de utilizador do Microsoft 365.
  4. Implemente o modelo de identidade da cloud: apenas na cloud ou híbrido.

Determinar o modelo de identidade a utilizar para o seu inquilino do Microsoft 365

Recursos de identidade da cloud da Microsoft adicionais

Gerir

Para gerir a implementação da sua identidade na cloud da Microsoft, veja:

Como é que a Microsoft identifica o Microsoft 365

Saiba como os especialistas em TI na Microsoft gerem identidades e têm acesso seguro.

Nota

Este recurso de Apresentação de TI só está disponível em inglês.

Como a Contoso fez a identidade para o Microsoft 365

Para obter um exemplo de como uma organização multinacional fictícia mas representativa implementou uma infraestrutura de identidade híbrida para serviços cloud do Microsoft 365, veja Identidade da Contoso Corporation.