Trabalho de pré-requisito para implementar políticas de identidade e acesso a dispositivos Zero Trust

Este artigo descreve os pré-requisitos que os administradores devem cumprir para usar as políticas de identidade e acesso de dispositivo Zero Trust recomendadas e para usar o Acesso Condicional. Ele também discute os padrões recomendados para configurar plataformas de cliente para a melhor experiência de logon único (SSO).

Pré-requisitos

Antes de usar as políticas de identidade e acesso de dispositivo Zero Trust recomendadas, sua organização precisa atender aos pré-requisitos. Os requisitos são diferentes para os vários modelos de identidade e autenticação listados:

  • Apenas cloud
  • Híbrido com autenticação PHS (password hash sync)
  • Híbrido com autenticação de passagem (PTA)
  • Federados

A tabela a seguir detalha os recursos de pré-requisito e sua configuração que se aplicam a todos os modelos de identidade, exceto onde indicado.

Configuração Exceções Licenciamento
Configure o PHS. Esse recurso deve ser habilitado para detetar credenciais vazadas e agir sobre elas para Acesso Condicional baseado em risco.Observe que isso é necessário independentemente de sua organização usar autenticação federada. Apenas cloud Microsoft 365 E3 ou E5
Habilite o logon único contínuo para entrar automaticamente os usuários quando eles estiverem em seus dispositivos da organização conectados à rede da sua organização. Somente nuvem e federado Microsoft 365 E3 ou E5
Configure locais nomeados. O Microsoft Entra ID Protection coleta e analisa todos os dados de sessão disponíveis para gerar uma pontuação de risco. Recomendamos que especifique os intervalos de IP públicos da sua organização para a sua rede na configuração de localizações nomeadas do Microsoft Entra ID. O tráfego proveniente desses intervalos recebe uma pontuação de risco reduzida, e o tráfego de fora do ambiente da organização recebe uma pontuação de risco mais alta. Microsoft 365 E3 ou E5
Registre todos os usuários para redefinição de senha de autoatendimento (SSPR) e autenticação multifator (MFA). Recomendamos que você registre usuários para autenticação multifator do Microsoft Entra com antecedência. O Microsoft Entra ID Protection usa a autenticação multifator do Microsoft Entra para executar verificações de segurança adicionais. Além disso, para obter a melhor experiência de entrada, recomendamos que os usuários instalem o aplicativo Microsoft Authenticator e o aplicativo Portal da Empresa Microsoft em seus dispositivos. Estes podem ser instalados a partir da loja de aplicações para cada plataforma. Microsoft 365 E3 ou E5
Planeje sua implementação de ingresso híbrido do Microsoft Entra. O Acesso Condicional garantirá que os dispositivos que se conectam a aplicativos sejam associados ao domínio ou estejam em conformidade. Para oferecer suporte a isso em computadores Windows, o dispositivo deve ser registrado com o Microsoft Entra ID. Este artigo descreve como configurar o registro automático de dispositivos. Apenas cloud Microsoft 365 E3 ou E5
Prepare sua equipe de suporte. Tenha um plano em vigor para usuários que não podem concluir a MFA. Isso pode ser adicioná-los a um grupo de exclusão de política ou registrar novas informações de AMF para eles. Antes de fazer qualquer uma dessas alterações sensíveis à segurança, você precisa garantir que o usuário real esteja fazendo a solicitação. Exigir que os gerentes dos usuários ajudem com a aprovação é uma etapa eficaz. Microsoft 365 E3 ou E5
Configure o write-back de senha para o AD local. O write-back de senha permite que o Microsoft Entra ID exija que os usuários alterem suas senhas locais quando um comprometimento de conta de alto risco for detetado. Você pode habilitar esse recurso usando o Microsoft Entra Connect de duas maneiras: habilitar o Write-back de senha na tela de recursos opcionais da instalação do Microsoft Entra Connect ou habilitá-lo por meio do Windows PowerShell. Apenas cloud Microsoft 365 E3 ou E5
Configure a proteção por senha do Microsoft Entra. A Proteção por Senha do Microsoft Entra deteta e bloqueia senhas fracas conhecidas e suas variantes, e também pode bloquear termos fracos adicionais específicos da sua organização. As listas de senhas globais proibidas padrão são aplicadas automaticamente a todos os usuários em um locatário do Microsoft Entra. Você pode definir entradas adicionais em uma lista de senhas proibidas personalizadas. Quando os usuários alteram ou redefinem suas senhas, essas listas de senhas proibidas são verificadas para impor o uso de senhas fortes. Microsoft 365 E3 ou E5
Habilite a Proteção de ID do Microsoft Entra. O Microsoft Entra ID Protection permite-lhe detetar potenciais vulnerabilidades que afetam as identidades da sua organização e configurar uma política de correção automatizada para baixo, médio e alto risco de início de sessão e risco do utilizador. Microsoft 365 E5 ou Microsoft 365 E3 com o complemento de segurança E5
Habilite a autenticação moderna para o Exchange Online e para o Skype for Business Online. A autenticação moderna é um pré-requisito para usar MFA. A autenticação moderna está habilitada por padrão para clientes do Office 2016 e 2019, SharePoint e OneDrive for Business. Microsoft 365 E3 ou E5
Habilite a avaliação de acesso contínuo para o Microsoft Entra ID. A avaliação contínua de acesso encerra proativamente as sessões de usuários ativos e impõe alterações na política de locatário quase em tempo real. Microsoft 365 E3 ou E5

Esta seção descreve as configurações padrão do cliente de plataforma que recomendamos para fornecer a melhor experiência de SSO aos seus usuários, bem como os pré-requisitos técnicos para o Acesso Condicional.

Dispositivos Windows

Recomendamos o Windows 11 ou o Windows 10 (versão 2004 ou posterior), pois o Azure foi projetado para fornecer a experiência de SSO mais suave possível para o ID local e o Microsoft Entra. Os dispositivos emitidos pelo trabalho ou pela escola devem ser configurados para ingressar diretamente na ID do Microsoft Entra ou, se a organização usar a associação ao domínio do AD local, esses dispositivos devem ser configurados para se registrar automática e silenciosamente com a ID do Microsoft Entra.

Para dispositivos BYOD Windows, os usuários podem usar Adicionar conta corporativa ou de estudante. Observe que os usuários do navegador Google Chrome em dispositivos Windows 11 ou Windows 10 precisam instalar uma extensão para obter a mesma experiência de login suave que os usuários do Microsoft Edge. Além disso, se a sua organização tiver dispositivos Windows 8 ou 8.1 associados a domínios, pode instalar o Microsoft Workplace Join para computadores que não sejam Windows 10. Baixe o pacote para registrar os dispositivos com o Microsoft Entra ID.

Dispositivos iOS

Recomendamos instalar o aplicativo Microsoft Authenticator nos dispositivos do usuário antes de implantar políticas de Acesso Condicional ou MFA. No mínimo, o aplicativo deve ser instalado quando os usuários são solicitados a registrar seu dispositivo com o Microsoft Entra ID adicionando uma conta corporativa ou de estudante, ou quando instalam o aplicativo do portal da empresa do Intune para registrar seu dispositivo no gerenciamento. Isso depende da política de Acesso Condicional configurada.

Dispositivos Android

Recomendamos que os utilizadores instalem a aplicação Portal da Empresa do Intune e a aplicação Microsoft Authenticator antes de as políticas de Acesso Condicional serem implementadas ou quando necessário durante determinadas tentativas de autenticação. Após a instalação do aplicativo, os usuários podem ser solicitados a se registrar com a ID do Microsoft Entra ou registrar seu dispositivo no Intune. Isso depende da política de Acesso Condicional configurada.

Também recomendamos que os dispositivos de propriedade da organização sejam padronizados em OEMs e versões que suportam Android for Work ou Samsung Knox para permitir que as contas de email sejam gerenciadas e protegidas pela política de MDM do Intune.

Os seguintes clientes de email suportam autenticação moderna e Acesso Condicional.

Plataforma Cliente Versão/Notas
Windows Outlook 2019, 2016

Atualizações necessárias

iOS Outlook para iOS Últimas notícias
Android Outlook para Android Últimas notícias
macOS Outlook 2019 e 2016
Linux Não suportado

Os clientes a seguir são recomendados quando uma política de documentos seguros é aplicada.

Plataforma Word/Excel/PowerPoint OneNote Aplicação OneDrive Aplicativo do SharePoint Cliente de sincronização do OneDrive
Windows 11 ou Windows 10 Suportado Suportado N/A N/A Suportado
Windows 8.1 Suportado Suportado N/A N/A Suportado
Android Suportado Suportado Suportado Suportado N/A
iOS Suportado Suportado Suportado Suportado N/A
macOS Suportado Suportado N/A N/A Não suportado
Linux Não suportado Não suportado Não suportado Não suportado Não suportado

Suporte ao cliente Microsoft 365

Para obter mais informações sobre suporte ao cliente no Microsoft 365, consulte os seguintes artigos:

Proteção de contas de administrador

Para Microsoft 365 E3 ou E5 ou com licenças separadas do Microsoft Entra ID P1 ou P2, você pode exigir MFA para contas de administrador com uma política de Acesso Condicional criada manualmente. Consulte Acesso condicional: exigir MFA para administradores para obter detalhes.

Para edições do Microsoft 365 ou do Office 365 que não oferecem suporte ao Acesso Condicional, você pode habilitar os padrões de segurança para exigir MFA para todas as contas.

Aqui estão algumas recomendações adicionais:

  • Use o Microsoft Entra Privileged Identity Management para reduzir o número de contas administrativas persistentes.
  • Use o gerenciamento de acesso privilegiado para proteger sua organização contra violações que podem usar contas de administrador privilegiadas existentes com acesso permanente a dados confidenciais ou acesso a definições de configuração críticas.
  • Crie e use contas separadas às quais são atribuídas funções de administrador do Microsoft 365 apenas para administração. Os administradores devem ter sua própria conta de usuário para uso não administrativo regular e usar apenas uma conta administrativa quando necessário para concluir uma tarefa associada à sua função ou função.
  • Siga as práticas recomendadas para proteger contas privilegiadas no Microsoft Entra ID.

Próximo passo

Etapa 2: Configurar a identidade Zero Trust comum e as políticas de Acesso Condicional de acesso.

Configurar a identidade Zero Trust comum e as políticas de acesso ao dispositivo