Proteja os endpoints com Zero Trust

Fundo

A empresa moderna tem uma incrível diversidade de endpoints acessando dados. Nem todos os endpoints são gerenciados ou mesmo de propriedade da organização, levando a diferentes configurações de dispositivos e níveis de patch de software. Isso cria uma superfície de ataque maciça e, se não for resolvido, o acesso a dados de trabalho de endpoints não confiáveis pode facilmente se tornar o elo mais fraco em sua estratégia de segurança Zero Trust .

A Zero Trust adere ao princípio "Nunca confie, verifique sempre". Em termos de endpoints, isso significa sempre verificar todos os endpoints. Isso inclui não apenas dispositivos de contratantes, parceiros e convidados, mas também aplicativos e dispositivos usados por funcionários para acessar dados de trabalho, independentemente da propriedade do dispositivo.

Em uma abordagem Zero Trust, as mesmas políticas de segurança são aplicadas independentemente de o dispositivo ser de propriedade corporativa ou pessoal por meio do bring your own device (BYOD); se o dispositivo é totalmente gerenciado pela TI ou se apenas os aplicativos e os dados estão protegidos. As políticas aplicam-se a todos os terminais, seja PC, Mac, smartphone, tablet, wearable ou dispositivo IoT onde quer que estejam ligados, seja a rede empresarial segura, banda larga doméstica ou Internet pública.

Mais importante ainda, a integridade e a confiabilidade dos aplicativos executados nesses pontos de extremidade afetam sua postura de segurança. Você precisa evitar que dados corporativos vazem para aplicativos ou serviços não confiáveis ou desconhecidos, acidentalmente ou com intenção maliciosa.

Existem algumas regras importantes para proteger dispositivos e pontos de extremidade em um modelo Zero Trust:

  • As políticas de segurança Zero Trust são aplicadas centralmente através da nuvem e abrangem a segurança do ponto final, a configuração do dispositivo, a proteção do aplicativo, a conformidade do dispositivo e a postura de risco.

  • A plataforma, bem como os aplicativos que são executados nos dispositivos, são provisionados com segurança, configurados corretamente e mantidos atualizados.

  • Há uma resposta automatizada e rápida para conter o acesso aos dados corporativos dentro dos aplicativos em caso de comprometimento da segurança.

  • O sistema de controle de acesso garante que todos os controles de política estejam em vigor antes que os dados sejam acessados.

Objetivos de implantação do Endpoint Zero Trust

Antes de a maioria das organizações iniciar a jornada do Zero Trust, a segurança do endpoint é configurada da seguinte forma:

  • Os pontos de extremidade ingressam no domínio e são gerenciados com soluções como Objetos de Política de Grupo ou Gerenciador de Configurações. Essas são ótimas opções, mas não aproveitam os CSPs modernos do Windows 10 nem exigem um dispositivo de gateway de gerenciamento de nuvem separado para atender dispositivos baseados em nuvem.

  • Os endpoints devem estar em uma rede corporativa para acessar dados. Isso pode significar que os dispositivos precisam estar fisicamente no local para acessar a rede corporativa ou que exigem acesso VPN, o que aumenta o risco de que um dispositivo comprometido possa acessar recursos corporativos confidenciais.

Ao implementar uma estrutura Zero Trust completa para proteger pontos de extremidade, recomendamos que você se concentre primeiro nestes objetivos iniciais de implantação:

Ícone de lista com uma marca de verificação.

I. Os endpoints são registrados em provedores de identidade em nuvem. Para monitorar a segurança e o risco em vários endpoints usados por qualquer pessoa, você precisa de visibilidade em todos os dispositivos e pontos de acesso que possam estar acessando seus recursos.

II. O acesso só é concedido a terminais e aplicações geridos na nuvem e em conformidade. Defina regras de conformidade para garantir que os dispositivos atendam aos requisitos mínimos de segurança antes que o acesso seja concedido. Além disso, defina regras de correção para dispositivos não compatíveis para que as pessoas saibam como resolver o problema.

III. As políticas de prevenção contra perda de dados (DLP) são aplicadas para dispositivos corporativos e BYOD. Controle o que o usuário pode fazer com os dados depois de ter acesso. Por exemplo, restrinja o salvamento de arquivos em locais não confiáveis (como disco local) ou restrinja o compartilhamento de copiar e colar com um aplicativo de comunicação com o consumidor ou aplicativo de bate-papo para proteger dados.

Depois de concluídos, concentre-se nestes objetivos adicionais da implementação:

Ícone de lista com duas marcas de verificação.

IV. A deteção de ameaças de endpoint é usada para monitorar o risco do dispositivo. Use um único painel de vidro para gerenciar todos os pontos de extremidade de forma consistente e use um SIEM para rotear logs e transações de ponto de extremidade, de modo que você obtenha menos alertas, mas acionáveis.

V. O controle de acesso é limitado ao risco de endpoint para dispositivos corporativos e BYOD. Integre dados do Microsoft Defender for Endpoint, ou de outros fornecedores de Defesa contra Ameaças Móveis (MTD), como uma fonte de informações para políticas de conformidade de dispositivos e regras de Acesso Condicional de dispositivos. O risco do dispositivo influenciará diretamente quais recursos serão acessíveis pelo usuário desse dispositivo.

Guia de implantação do Endpoint Zero Trust

Este guia irá guiá-lo através das etapas necessárias para proteger seus dispositivos seguindo os princípios de uma estrutura de segurança Zero Trust.




Ícone da lista de verificação com uma marca de verificação.

Objetivos iniciais da implementação

I. Os endpoints são registrados em provedores de identidade na nuvem

Para ajudar a limitar a exposição ao risco, você precisa monitorar cada ponto de extremidade para garantir que cada um tenha uma identidade confiável, que as políticas de segurança sejam aplicadas e que o nível de risco para coisas como malware ou exfiltração de dados tenha sido medido, corrigido ou considerado aceitável.

Depois que um dispositivo é registrado, os usuários podem acessar os recursos restritos da sua organização usando seu nome de usuário corporativo e senha para entrar (ou o Windows Hello for Business).

Diagrama das etapas dentro da fase 1 dos objetivos iniciais de implantação.

Registrar dispositivos corporativos com o Microsoft Entra ID

Siga estes passos:

Novos dispositivos Windows 10

  1. Inicie seu novo dispositivo e comece o processo OOBE (out-of-box-experience).

  2. No ecrã Iniciar sessão com a Microsoft, escreva o seu endereço de e-mail escolar ou profissional.

  3. No ecrã Introduza a sua palavra-passe , escreva a sua palavra-passe.

  4. No seu dispositivo móvel, aprove o seu dispositivo para que possa aceder à sua conta.

  5. Conclua o processo OOBE, incluindo a definição das suas definições de privacidade e a configuração do Windows Hello (se necessário).

  6. O seu dispositivo está agora associado à rede da sua organização.

Dispositivos Windows 10 existentes

  1. Abra Configurações e selecione Contas.

  2. Selecione Aceder ao trabalho ou à escola e, em seguida, selecione Ligar.

    Aceda ao trabalho ou à escola em Definições.

  3. No ecrã Configurar uma conta escolar ou profissional, selecione Associar este dispositivo ao Microsoft Entra ID.

    Configure uma conta escolar ou profissional em Definições.

  4. No ecrã Vamos iniciar sessão, escreva o seu endereço de e-mail (por exemplo, ) e, em seguida, alain@contoso.comselecione Seguinte.

  5. No ecrã Introduzir palavra-passe , escreva a sua palavra-passe e, em seguida, selecione Iniciar sessão.

  6. No seu dispositivo móvel, aprove o seu dispositivo para que possa aceder à sua conta.

  7. No ecrã Certificar-se de que esta é a sua organização , reveja as informações para se certificar de que estão corretas e, em seguida, selecione Aderir.

  8. Na tela Você está pronto, clique em Concluído.

Registar dispositivos pessoais Windows com o Microsoft Entra ID

Siga estes passos:

  1. Abra Configurações e selecione Contas.

  2. Selecione Aceder ao trabalho ou à escola e, em seguida, selecione Ligar no ecrã Aceder ao trabalho ou à escola .

    Aceda ao trabalho ou à escola em Definições.

  3. No ecrã Adicionar uma conta escolar ou profissional, introduza o seu endereço de e-mail para a sua conta escolar ou profissional e, em seguida, selecione Seguinte. Por exemplo, alain@contoso.com.

  4. Inicie sessão na sua conta escolar ou profissional e, em seguida, selecione Iniciar sessão.

  5. Conclua o restante do processo de registro, incluindo a aprovação de sua solicitação de verificação de identidade (se você usar a verificação em duas etapas) e a configuração do Windows Hello (se necessário).

Habilitar e configurar o Windows Hello for Business

Para permitir aos utilizadores um método de início de sessão alternativo que substitua uma palavra-passe, como PIN, autenticação biométrica ou leitor de impressões digitais, ative o Windows Hello para Empresas nos dispositivos Windows 10 dos utilizadores.

As seguintes ações do Microsoft Intune e do Microsoft Entra são concluídas no centro de administração do Microsoft Intune:

Comece criando uma política de registro do Windows Hello for Business no Microsoft Intune.

  1. Vá para Registro de > dispositivos > Registrar dispositivos > Registro do > Windows Windows Hello for Business.

    Windows Hello para Empresas no Microsoft Intune.

  2. Selecione uma das seguintes opções para Configurar o Windows Hello for Business:

    1. Desativado. Se não quiser utilizar o Windows Hello para Empresas, selecione esta definição. Se desativado, os usuários não poderão provisionar o Windows Hello for Business, exceto em telefones celulares associados ao Microsoft Entra, onde o provisionamento pode ser necessário.

    2. Ativado. Selecione essa configuração se quiser definir as configurações do Windows Hello for Business. Quando você seleciona Habilitado, as configurações adicionais do Windows Hello ficam visíveis.

    3. Não configurado. Selecione esta definição se não pretender utilizar o Intune para controlar as definições do Windows Hello para Empresas. As configurações existentes do Windows Hello for Business em dispositivos Windows 10 não são alteradas. Todas as outras configurações no painel não estão disponíveis.

Se você selecionou Habilitado, defina as configurações necessárias que são aplicadas a todos os dispositivos Windows 10 inscritos e dispositivos móveis Windows 10.

  1. Use um TPM (Trusted Platform Module). Um chip TPM fornece uma camada adicional de segurança de dados. Escolha um dos seguintes valores:

    1. Necessário. Somente dispositivos com um TPM acessível podem provisionar o Windows Hello for Business.

    2. Preferido. Os dispositivos primeiro tentam usar um TPM. Se essa opção não estiver disponível, eles podem usar criptografia de software.

  2. Defina um comprimento mínimo do PIN e um comprimento máximo do PIN. Isso configura os dispositivos para usar os comprimentos mínimo e máximo de PIN especificados para ajudar a garantir a entrada segura. O comprimento padrão do PIN é de seis caracteres, mas você pode impor um comprimento mínimo de quatro caracteres. O comprimento máximo do PIN é de 127 caracteres.

  3. Defina uma expiração de PIN (dias). É uma boa prática especificar um período de expiração para um PIN, após o qual os usuários devem alterá-lo. A predefinição é de 41 dias.

  4. Lembre-se do histórico do PIN. Restringe a reutilização de PINs usados anteriormente. Por padrão, os últimos 5 PINs não podem ser reutilizados.

  5. Use antifalsificação aprimorada, quando disponível. Isso configura quando os recursos antifalsificação do Windows Hello são usados em dispositivos que oferecem suporte a ele. Por exemplo, detetar uma fotografia de um rosto em vez de um rosto real.

  6. Permitir o início de sessão por telefone. Se essa opção estiver definida como Sim, os usuários poderão usar um passaporte remoto para servir como um dispositivo complementar portátil para autenticação de computadores desktop. O computador desktop deve ser associado ao Microsoft Entra e o dispositivo complementar deve ser configurado com um PIN do Windows Hello for Business.

Depois de definir essas configurações, selecione Salvar.

Depois de definir as configurações que se aplicam a todos os dispositivos Windows 10 registrados e dispositivos móveis Windows 10, configure os perfis do Windows Hello for Business Identity Protection para personalizar as configurações de segurança do Windows Hello for Business para dispositivos de usuário final específicos.

  1. Selecione Perfis de configuração de > dispositivos > Criar perfil > Proteção de identidade do Windows 10 e posterior>.

    Captura de ecrã de Criar um perfil com plataforma definida para Windows 10 e perfil definido como Proteção de identidade.

  2. Configure Windows Hello for Business. Escolha como deseja configurar o Windows Hello for Business.

    Captura de ecrã de Definições de configuração em Proteção de identidade em Perfis de configuração.

    1. Comprimento mínimo do PIN.

    2. Letras minúsculas no PIN.

    3. Letras maiúsculas no PIN.

    4. Caracteres especiais no PIN.

    5. Validade do PIN (dias).

    6. Lembre-se do histórico do PIN.

    7. Habilite a recuperação de PIN. Permite que o usuário use o serviço de recuperação de PIN do Windows Hello for Business.

    8. Use um TPM (Trusted Platform Module). Um chip TPM fornece uma camada adicional de segurança de dados.

    9. Permitir autenticação biométrica. Permite a autenticação biométrica, como reconhecimento facial ou impressão digital, como alternativa a um PIN para Windows Hello for Business. Os usuários ainda devem configurar um PIN caso a autenticação biométrica falhe.

    10. Use antifalsificação aprimorada, quando disponível. Configura quando os recursos antifalsificação do Windows Hello são usados em dispositivos que o suportam (por exemplo, detetar uma fotografia de um rosto em vez de um rosto real).

    11. Utilize chaves de segurança para iniciar sessão. Esta definição está disponível para dispositivos que executam o Windows 10 versão 1903 ou posterior. Use-o para gerenciar o suporte ao uso de chaves de segurança do Windows Hello para entrar.

Finalmente, você pode criar políticas adicionais de restrição de dispositivos para bloquear ainda mais os dispositivos corporativos.

Gorjeta

Saiba mais sobre como implementar uma estratégia Zero de identidade de ponta a ponta.

II. O acesso só é concedido a terminais e aplicações geridos na nuvem e em conformidade

Depois de ter identidades para todos os pontos de extremidade que acessam recursos corporativos e antes que o acesso seja concedido, você deseja garantir que eles atendam aos requisitos mínimos de segurança definidos pela sua organização.

Depois de estabelecer políticas de conformidade para bloquear o acesso de recursos corporativos a endpoints confiáveis e aplicativos móveis e de desktop, todos os usuários podem acessar dados organizacionais em dispositivos móveis e uma versão mínima ou máxima do sistema operacional é instalada em todos os dispositivos. Os dispositivos não são desbloqueados ou enraizados.

Além disso, defina regras de correção para dispositivos não compatíveis, como bloquear um dispositivo não compatível ou oferecer ao usuário um período de carência para obter conformidade.

Diagrama das etapas dentro da fase 2 dos objetivos iniciais de implantação.

Criar uma política de conformidade com o Microsoft Intune (todas as plataformas)

Siga estas etapas para criar uma política de conformidade:

  1. Selecione Políticas de conformidade > de dispositivos > Criar > política.

  2. Selecione uma plataforma para esta política (Windows 10 usado, por exemplo, abaixo).

  3. Selecione a configuração desejada de integridade do dispositivo.

    Captura de ecrã do Estado de Funcionamento do Dispositivo nas definições da política de conformidade do Windows 10.

  4. Configure as Propriedades do Dispositivo mínimas ou máximas.

    Captura de ecrã das Propriedades do Dispositivo nas definições da política de conformidade do Windows 10.

  5. Configure a conformidade do Configuration Manager. Isso requer que todas as avaliações de conformidade no Configuration Manager sejam compatíveis e só é aplicável a dispositivos Windows 10 cogerenciados. Todos os dispositivos somente do Intune retornarão N/D.

  6. Defina as configurações de segurança do sistema.

    Captura de ecrã da Segurança do Sistema nas definições da política de conformidade do Windows 10.

  7. Configure Microsoft Defender Antimalware.

    Captura de ecrã do Microsoft Defender for Cloud nas definições da política de conformidade do Windows 10.

  8. Configure a pontuação de risco de máquina necessária do Microsoft Defender for Endpoint.

    Captura de ecrã do Defender for Endpoint nas definições da política de conformidade do Windows 10.

  9. Na guia Ações para não conformidade, especifique uma sequência de ações a serem aplicadas automaticamente a dispositivos que não atendem a essa política de conformidade.

    Captura de tela de Ações por não conformidade nas configurações da política de conformidade.

Automatize o email de notificação e adicione ações de correção adicionais para dispositivos não compatíveis no Intune (todas as plataformas)

Quando seus endpoints ou aplicativos se tornam não compatíveis, os usuários são guiados por meio da autocorreção. Os alertas são gerados automaticamente com alarmes adicionais e ações automatizadas definidas para determinados limites. Você pode definir ações de correção de não conformidade .

Efetue estes passos:

  1. Selecione Dispositivos > Políticas de conformidade > Notificações > Criar notificação.

  2. Crie um modelo de mensagem de notificação.

    Captura de ecrã de Criar notificação nas definições da política de conformidade.

  3. Selecione Políticas de Conformidade de Dispositivos > >, selecione uma das suas políticas e, em seguida, selecione Propriedades.

  4. Selecione Ações para não conformidade > Adicionar.

  5. Adicione ações por não conformidade:

    Captura de tela de Ações por não conformidade nas configurações da política de conformidade.

    1. Configure um e-mail automatizado para usuários com dispositivos não compatíveis.

    2. Configure uma ação para bloquear remotamente dispositivos não compatíveis.

    3. Configure uma ação para desativar automaticamente um dispositivo não compatível após um número definido de dias.

III. As políticas de prevenção contra perda de dados (DLP) são aplicadas para dispositivos corporativos e BYOD

Depois que o acesso aos dados é concedido, você deseja controlar o que o usuário pode fazer com os dados. Por exemplo, se um usuário acessar um documento com uma identidade corporativa, você deseja impedir que esse documento seja salvo em um local de armazenamento do consumidor desprotegido ou que seja compartilhado com um aplicativo de comunicação ou bate-papo do consumidor.

Diagrama das etapas dentro da fase 3 dos objetivos iniciais de implantação.

Primeiro, aplique as configurações de segurança recomendadas pela Microsoft a dispositivos Windows 10 para proteger dados corporativos (Requer Windows 10 1809 e posterior):

Utilize as linhas de base de segurança do Intune para o ajudar a proteger os seus utilizadores e dispositivos. As linhas de base de segurança são grupos pré-configurados de configurações do Windows que ajudam a aplicar um grupo conhecido de configurações e valores padrão recomendados pelas equipes de segurança relevantes.

Siga estes passos:

  1. Selecione Linhas de base do Endpoint security > Security para exibir a lista de linhas de base disponíveis.

  2. Selecione a linha de base que pretende utilizar e, em seguida, selecione Criar perfil.

  3. Na guia Definições de configuração, exiba os grupos de Configurações disponíveis na linha de base selecionada. Você pode expandir um grupo para exibir as configurações nesse grupo e os valores padrão para essas configurações na linha de base. Para encontrar configurações específicas:

    1. Selecione um grupo para expandir e rever as definições disponíveis.

    2. Use a barra de pesquisa e especifique palavras-chave que filtram a exibição para exibir apenas os grupos que contêm seus critérios de pesquisa.

    3. Reconfigure as configurações padrão para atender às suas necessidades de negócios.

      Captura de ecrã das definições de Gestão de Aplicações em Criar Perfil.

  4. No separador Atribuições, selecione os grupos a incluir e, em seguida, atribua a linha de base a um ou mais grupos. Para ajustar a atribuição, use Selecionar grupos a serem excluídos.

Garantir que as atualizações sejam implantadas automaticamente nos pontos de extremidade

Configurar dispositivos Windows 10

Configure o Windows Updates for Business para simplificar a experiência de gerenciamento de atualizações para os usuários e garantir que os dispositivos sejam atualizados automaticamente para atender ao nível de conformidade necessário.

Siga estes passos:

  1. Gerencie as atualizações de software do Windows 10 no Intune criando anéis de atualização e habilitando uma coleção de configurações que configuram quando as atualizações do Windows 10 serão instaladas.

    1. Selecione Dispositivos criados pelo Windows > Windows 10 Update Rings>.>

    2. Em Atualizar definições de toque, defina as definições para as necessidades da sua empresa.

      Captura de ecrã das definições de Atualização e de Experiência do Utilizador.

    3. Em Atribuições, escolha + Selecionar grupos a serem incluídos e atribua o anel de atualização a um ou mais grupos. Para ajustar a atribuição, use + Selecionar grupos a serem excluídos.

  2. Gerencie as atualizações de recursos do Windows 10 no Intune para trazer dispositivos para a versão do Windows especificada (ou seja, 1803 ou 1809) e congele o conjunto de recursos nesses dispositivos até optar por atualizá-los para uma versão posterior do Windows.

    1. Selecione Dispositivos > Windows > Windows 10 Atualizações > de recursos Criar.

    2. Em Noções básicas, especifique um nome, uma descrição (opcional) e, para que a Atualização de recursos seja implantada, selecione a versão do Windows com o conjunto de recursos desejado e selecione Avançar.

    3. Em Atribuições, escolha e selecione grupos a serem incluídos e, em seguida, atribua a implantação da atualização de recursos a um ou mais grupos.

Configurar dispositivos iOS

Para dispositivos registrados na empresa, configure as atualizações do iOS para simplificar a experiência de gerenciamento de atualizações para os usuários e garantir que os dispositivos sejam atualizados automaticamente para atender ao nível de conformidade exigido. Configure a política de atualização do iOS.

Siga estes passos:

  1. Selecione Políticas de atualização de dispositivos > para iOS/iPadOS > Criar perfil.

  2. Na guia Noções básicas, especifique um nome para essa política, especifique uma descrição (opcional) e selecione Avançar.

  3. Na guia Atualizar configurações de política, configure o seguinte:

    1. Selecione a versão a ser instalada. Pode escolher entre:

      1. Última atualização: implementa a atualização lançada mais recentemente para iOS/iPadOS.

      2. Qualquer versão anterior que esteja disponível na caixa suspensa. Se você selecionar uma versão anterior, também deverá implantar uma política de configuração de dispositivo para atrasar a visibilidade das atualizações de software.

    2. Tipo de agenda: Configure o agendamento para esta política:

      1. Atualize no próximo check-in. A atualização é instalada no dispositivo na próxima vez que ele fizer check-in com o Intune. Esta é a opção mais simples e não tem configurações adicionais.

      2. Atualize durante o horário agendado. Você configura uma ou mais janelas de tempo durante as quais a atualização será instalada no momento do check-in.

      3. Atualização fora do horário agendado. Você configura uma ou mais janelas de tempo durante as quais as atualizações não serão instaladas no check-in.

    3. Programação semanal: Se você escolher um tipo de agenda diferente de atualizar no próximo check-in, configure as seguintes opções:

      Captura de ecrã de Atualizar definições de política em Criar perfil.

  4. Escolha um fuso horário.

  5. Defina uma janela de tempo. Defina um ou mais blocos de tempo que restrinjam quando as atualizações são instaladas. As opções incluem dia de início, hora de início, dia de término e hora de término. Usando um dia de início e um dia de fim, os blocos noturnos são suportados. Se você não configurar horários para iniciar ou terminar, a configuração não resultará em nenhuma restrição e as atualizações poderão ser instaladas a qualquer momento.

Verifique se os dispositivos estão criptografados

Configurar o Bitlocker para criptografar dispositivos Windows 10

  1. Selecione Perfis de configuração de > dispositivos > Criar perfil.

  2. Defina as seguintes opções:

    1. Plataforma: Windows 10 e posterior

    2. Tipo de perfil: Proteção de ponto final

      Captura de ecrã de Criar um perfil em Perfis de Configuração de Dispositivos para Windows 10.

  3. Selecione Configurações > de criptografia do Windows.

    Captura de ecrã do Endpoint protection em Criar perfil.

  4. Defina as configurações do BitLocker para atender às suas necessidades comerciais e selecione OK.

Configurar a criptografia FileVault em dispositivos macOS

  1. Selecione Perfis de configuração de > dispositivos > Criar perfil.

  2. Defina as seguintes opções:

    1. Plataforma: macOS.

    2. Tipo de perfil: Proteção de ponto final.

      Captura de ecrã de Criar um perfil em Perfis de Configuração de Dispositivos para Mac OS.

  3. Selecione Configurações > FileVault.

    Captura de ecrã do Cofre de Ficheiros em Proteção de pontos finais em Criar perfil.

  4. Para FileVault, selecione Ativar.

  5. Para o tipo de chave de recuperação, apenas a chave pessoal é suportada.

  6. Configure as configurações restantes do FileVault para atender às suas necessidades comerciais e selecione OK.

Crie políticas de proteção de aplicativos para proteger dados corporativos no nível do aplicativo

Para garantir que seus dados permaneçam seguros ou contidos em um aplicativo gerenciado, crie políticas de proteção de aplicativos (APP). Uma política pode ser uma regra que é aplicada quando o usuário tenta acessar ou mover dados "corporativos", ou um conjunto de ações que são proibidas ou monitoradas quando o usuário está dentro do aplicativo.

A estrutura de proteção de dados da APP está organizada em três níveis de configuração distintos, com cada nível construído fora do nível anterior:

  • A proteção básica de dados corporativos (Nível 1) garante que os aplicativos sejam protegidos com um PIN e criptografados e execute operações de limpeza seletiva. Para dispositivos Android, este nível valida o atestado de dispositivo Android. Esta é uma configuração de nível básico que fornece controle de proteção de dados semelhante em diretivas de caixa de correio do Exchange Online e introduz a TI e a população de usuários no APP.

  • A proteção de dados aprimorada para empresas (Nível 2) introduz mecanismos de prevenção de vazamento de dados APP e requisitos mínimos de sistema operacional. Trata-se da configuração que é aplicável à maioria dos utilizadores móveis que acedem a dados profissionais ou escolares.

  • A alta proteção de dados da empresa (Nível 3) introduz mecanismos avançados de proteção de dados, configuração aprimorada de PIN e APP Mobile Threat Defense. Essa configuração é desejável para usuários que estão acessando dados de alto risco.

Siga estes passos:

  1. No portal do Intune, escolha Políticas de proteção de aplicativos>de aplicativos. Esta seleção abre os detalhes das políticas de proteção de aplicações, onde cria novas políticas e edita as políticas existentes.

  2. Selecione Criar política e selecione iOS/iPadOS ou Android. O painel Criar política é exibido.

  3. Escolha as aplicações às quais pretende aplicar a Política de Proteção de Aplicações.

  4. Defina as configurações de proteção de dados:

    1. Proteção de dados iOS/iPadOS. Para obter informações, consulte Configurações da política de proteção de aplicativos iOS/iPadOS - Proteção de dados.

    2. Proteção de dados Android. Para obter informações, consulte Configurações da política de proteção de aplicativos Android - Proteção de dados.

  5. Defina as configurações de requisitos de acesso:

    1. Requisitos de acesso iOS/iPadOS. Para obter informações, consulte Configurações da política de proteção de aplicativos iOS/iPadOS - Requisitos de acesso.

    2. Requisitos de acesso ao Android. Para obter informações, consulte Configurações da política de proteção de aplicativos Android - Requisitos de acesso.

  6. Defina as configurações de inicialização condicional:

    1. Inicialização condicional do iOS/iPadOS. Para obter informações, consulte Configurações da política de proteção de aplicativos iOS/iPadOS - Inicialização condicional.

    2. Inicialização condicional do Android. Para obter informações, consulte Configurações da política de proteção de aplicativos Android - Inicialização condicional.

  7. Clique em Avançar para exibir a página Atribuições .

  8. Quando terminar, clique em Criar para criar a política de proteção de aplicativos no Intune.




Ícone da lista de verificação com duas marcas de verificação.

Objetivos adicionais da implementação

IV. A deteção de ameaças de endpoint é usada para monitorar o risco do dispositivo

Depois de atingir os três primeiros objetivos, a próxima etapa é configurar a segurança do endpoint para que a proteção avançada seja provisionada, ativada e monitorada. Um único painel de vidro é usado para gerenciar consistentemente todos os pontos finais juntos.

Encaminhar logs e transações de ponto de extremidade para um SIEM ou Power BI

Usando o Data warehouse do Intune, envie dados de gerenciamento de dispositivos e aplicativos para ferramentas de relatórios ou SIEM para filtragem inteligente de alertas para reduzir o ruído.

Siga estes passos:

  1. Selecione Relatórios > Intune Data warehouse > Data warehouse.

  2. Copie o URL do feed personalizado. Por exemplo: https://fef.tenant.manage.microsoft.com/ReportingService/DataWarehouseFEService?api-version=v1.0

  3. Abra o Power BI Desktop ou sua solução SIEM.

A partir da sua solução SIEM

Escolha a opção para importar ou obter dados de um feed Odata.

Do PowerBI

  1. No menu, selecione File Get Data > OData feed>.

  2. Cole o URL do feed personalizado que você copiou da etapa anterior na caixa URL na janela do feed OData.

  3. Selecione Básico.

  4. Selecione OK.

  5. Selecione Conta da organização e, em seguida, inicie sessão com as suas credenciais do Intune.

    Captura de tela da configuração do feed OData na Conta organizacional.

  6. Selecione Ligar. O Navigator abrirá e mostrará a lista de tabelas no Intune Data Warehouse.

  7. Selecione os dispositivos e as tabelas ownerTypes. Selecione Carregar. O Power BI carrega dados no modelo.

  8. Crie uma relação. Você pode importar várias tabelas para analisar não apenas os dados em uma única tabela, mas dados relacionados entre tabelas. O Power BI tem um recurso chamado deteção automática que tenta localizar e criar relacionamentos para você. As tabelas no Data Warehouse foram criadas para funcionar com o recurso de deteção automática no Power BI. No entanto, mesmo que o Power BI não encontre automaticamente as relações, você ainda poderá gerenciar as relações.

  9. Selecione Gerenciar relacionamentos.

  10. Selecione Detetar automaticamente se o Power BI ainda não detetou as relações.

  11. Aprenda maneiras avançadas de configurar visualizações do PowerBI.

V. O controle de acesso é limitado ao risco de endpoint para dispositivos corporativos e BYOD

Os dispositivos corporativos são registrados em um serviço de registro na nuvem, como DEP, Android Enterprise ou Windows AutoPilot

Criar e manter imagens personalizadas do sistema operacional é um processo demorado e pode incluir gastar tempo aplicando imagens personalizadas do sistema operacional a novos dispositivos para prepará-los para uso.

  • Com os serviços de inscrição na nuvem do Microsoft Intune, pode fornecer novos dispositivos aos seus utilizadores sem a necessidade de criar, manter e aplicar imagens personalizadas do sistema operativo aos dispositivos.

  • O Windows Autopilot é uma coleção de tecnologias usadas para configurar e pré-configurar novos dispositivos, preparando-os para uso produtivo. Pode utilizar o Windows Autopilot para repor, redefinir e recuperar dispositivos.

  • Configure o Windows Autopilot para automatizar a associação do Microsoft Entra e inscrever novos dispositivos corporativos no Intune.

  • Configure o Apple DEP para inscrever automaticamente dispositivos iOS e iPadOS.

Produtos abrangidos por este guia

Microsoft Azure

Microsoft Entra ID

O Microsoft 365

Microsoft Intune (inclui o Microsoft Intune e o Configuration Manager)

Microsoft Defender para Ponto de Extremidade

BitLocker

Zero Trust e as suas redes OT

O Microsoft Defender for IoT é uma solução de segurança unificada criada especificamente para identificar dispositivos, vulnerabilidades e ameaças em redes de IoT e tecnologia operacional (OT). Use o Defender for IoT para aplicar segurança em todo o seu ambiente IoT/OT, incluindo dispositivos existentes que podem não ter agentes de segurança integrados.

As redes OT geralmente diferem da infraestrutura de TI tradicional e precisam de uma abordagem especializada para confiança zero. Os sistemas OT usam tecnologia exclusiva com protocolos proprietários, e podem ter plataformas antigas com conectividade e potência limitadas, ou requisitos de segurança específicos e exposições exclusivas a ataques físicos.

O Defender for IoT suporta princípios de confiança zero ao abordar desafios específicos de OT, como:

  • Ajudamo-lo a controlar ligações remotas nos seus sistemas OT
  • Rever e ajudá-lo a reduzir as interconexões entre sistemas dependentes
  • Encontrar pontos únicos de falha na sua rede

Implante sensores de rede do Defender for IoT para detetar dispositivos e tráfego e observe vulnerabilidades específicas de OT. Segmente seus sensores em sites e zonas em toda a sua rede para monitorar o tráfego entre zonas e siga as etapas de mitigação baseadas em risco do Defender for IoT para reduzir o risco em seu ambiente de OT. Em seguida, o Defender for IoT monitoriza continuamente os seus dispositivos em busca de comportamentos anómalos ou não autorizados.

Diagrama do Defender for IoT implantado em uma rede OT.

Integre-se com serviços da Microsoft, como o Microsoft Sentinel e outros serviços de parceiros, incluindo sistemas SIEM e de emissão de tíquetes, para compartilhar dados do Defender for IoT em toda a sua organização.

Para obter mais informações, consulte:

Conclusão

Uma abordagem Zero Trust pode fortalecer significativamente a postura de segurança de seus dispositivos e endpoints. Para obter mais informações ou ajuda com a implementação, entre em contato com sua equipe de Customer Success ou continue a ler os outros capítulos deste guia que abrange todos os pilares do Zero Trust.



Série de guias de implementação da Zero Trust

Ícone para a introdução

Ícone para a identidade

Ícone para os pontos finais

Ícone para as aplicações

Ícone para os dados

Ícone para a infraestrutura

Ícone para as redes

Ícone para visibilidade, automatização, orquestração