Segurança do Microsoft 365 e do Entra ID
Os locatários do Microsoft 365 e o sistema de autenticação subjacente Entra ID (Azure AD) têm muitas opções de configuração diferentes para permitir que sua empresa implemente diferentes níveis de segurança. Muitas dessas opções não estão ativadas por padrão. Embora este documento não cubra todas as opções de segurança disponíveis, ou discuta outras tecnologias, como gerenciamento de dispositivos e prevenção de perda de dados (DLP), ele fornece orientação aos nossos clientes sobre configurações recomendadas que ajudarão a melhorar a proteção de identidade e reduzir a chance de comprometimento de e-mail corporativo (BEC).
A orientação está em duas seções, configurações recomendadas e configurações opcionais. Pedimos a todos os clientes que implementem as configurações recomendadas. Também sugerimos que você considere e investigue as configurações opcionais e aplique-as como for adequado ao seu ambiente.
Qualquer alteração ao seu ambiente que você esteja considerando deve ser revisada e testada em sua organização após consultar a documentação apropriada da Microsoft. Recomendamos que você faça as alterações em lotes, usando contas de teste, usuários-piloto e pequenos departamentos antes de aplicar em toda a organização. Certifique-se de que tem uma conta de acesso de emergência disponível, conforme documentado abaixo, para evitar ser bloqueado.
Orientação da licença
Alguns dos itens de configuração abaixo estão disponíveis em todos os locatários do M365, independentemente das licenças que estão sendo usadas. No entanto, a maioria exigirá que pelo menos as licenças "Entra ID P1" estejam disponíveis no seu locatário, e algumas exigirão as licenças "Entra ID P2". A "Entra ID P1" está incluída nos pacotes M365 Business Premium E3/A3, e as licenças "Entra ID P2" estão disponíveis nos pacotes M365 E5/A5.
Se não estiver usando licenças que incluam, pelo menos, a licença "Entra ID P1", recomendamos usar os "Padrões de Segurança" da Microsoft. Esse é um conjunto básico de políticas de segurança que são controladas pela Microsoft. Consulte os Padrões de segurança no Microsoft Entra ID.
Ao integrar alertas da Microsoft ao serviço Sophos MDR, "Entra ID P1" é a licença mínima que você deve usar, no entanto, recomendamos usar a "Entra ID P2", devido ao aumento da quantidade de alertas gerados pela Microsoft. Veja estes artigos para obter exemplos desses alertas:
- Políticas de alerta do Microsoft 365
- Quais são os riscos do Microsoft Entra ID Protection - Microsoft Entra ID Protection
Recomendamos que pergunte ao seu especialista em licenciamento da Microsoft para obter informações adicionais sobre licenciamento.
Itens de configuração recomendados
-
Aplicar o princípio do privilégio mínimo
Use contas de administrador separadas e funções RBAC para limitar os privilégios de administrador. Conceda apenas as funções necessárias para o trabalho. A Microsoft recomenda um máximo de cinco contas de admin globais. Não reutilize credenciais de administrador entre domínios ou serviços.
Impacto: Os usuários só devem ter acesso a áreas permitidas para a sua função de trabalho. Os administradores devem usar contas separadas.
Localização: Entra ID > Funções e administradores
Consultas:
-
Configurar métodos de autenticação
Essa configuração define os métodos de autenticação disponíveis para que os usuários acessem o ambiente. Recomendamos configurar pelo menos o Microsoft Authenticator, a senha de uso único por e-mail, e uma senha de acesso temporário desativando a opção de entrada pelo telefone.
Localização: Entra ID > Proteção e segurança > Métodos de autenticação > Políticas
Consultas:
- Como a correspondência de números funciona em notificações por push na autenticação multifator para o Authenticator - Microsoft Entra ID
- Controlar o registro de informações de segurança com o Acesso Condicional - Microsoft Entra ID
- Entrada sem senha com o Microsoft Authenticator - Microsoft Entra ID
-
Exigir MFA para registrar ou ingressar dispositivo
Isso garante que os usuários que tentam ingressar novos dispositivos Windows no Entra ID devem executar a autenticação multifator.
Localização: Entra ID > Proteção e segurança > Acesso condicional
- Nome: Exigir MFA para registrar ou ingressar dispositivos.
- Usuários: Todos os usuários: certificar-se de excluir contas ou grupos de "Acesso de Emergência".
- Aplicativos ou ações na nuvem: Ações do usuário > Registrar ou ingressar dispositivos.
- Condições: Nenhum.
- Controles de acesso > Conceder: Exigir autenticação multifator.
-
Permitir apenas a assinatura de países autorizados
Recomendamos reduzir o risco de comprometimento da conta, limitando o número de países a partir dos quais os usuários podem entrar em seu ambiente. Se você não tiver funcionários que viajam para o exterior, impeça que todos os usuários da sua organização acessem seu ambiente fora do seu país de origem. Se você tiver usuários que viajam, essas políticas podem ser implementadas por grupo. Por exemplo, você pode permitir o acesso de todos os países, ou um subconjunto de países para um grupo específico de usuários que viajam, ou dividir usuários em regiões geográficas, limitando seu acesso por região.
Para isso, use as Políticas de Acesso Condicional. Crie uma lista de Locais nomeados, por exemplo, "Países permitidos", e adicione países aos quais você deseja ter acesso. Em seguida, crie uma Política de Acesso Condicional para bloquear o acesso de Todos os usuários, de todos os Aplicativos da nuvem, excluindo "Países permitidos" e quaisquer "Usuários ou grupos de emergência".
Alerta
Teste essa política cuidadosamente antes de aplicá-la a todos os usuários.
Localização: Entra ID > Proteção e segurança > Acesso condicional
-
Bloquear usuários de alto risco
O Nível de risco de usuário do M365 é um recurso que ajuda a determinar o risco de uma conta de usuário no Entra ID. Ele faz parte do Entra ID Identity Protection e é realizado analisando vários sinais da conta de usuário, como endereços IP, estado do dispositivo, atividade suspeita e credenciais comprometidas conhecidas.
O nível de risco do usuário é dividido em três categorias:
- Risco baixo: As contas de usuário de baixo risco são consideradas legítimas.
- Risco médio: As contas de usuário de risco médio podem ser legítimas, mas também são mais propensas a serem comprometidas ou atacadas por um agente de ameaça.
- Risco alto: As contas de usuário de alto risco são consideradas comprometidas.
Recomendamos o bloqueio de contas de usuário consideradas de alto risco e a solicitação da alteração da senha de segurança de um usuário considerado de risco médio.
Localização: Entra ID > Proteção e segurança > Acesso condicional
Consulta:
Itens de configuração opcionais
-
Contas de acesso de emergência
A Microsoft recomenda as contas de administrador de acesso de emergência que são excluídas das políticas de acesso condicional. Essas contas devem ter a função de "administrador global" e ser protegidas com senhas extremamente longas e complexas, e as senhas armazenadas em um cofre seguro de senhas e usadas apenas para emergências.
Consulta:
-
Gerenciar o consentimento e as permissões do aplicativo
Por padrão, todos os usuários podem conceder permissões para aplicativos e suplementos de terceiros. Isso pode ser arriscado, pois os agentes de ameaças podem criar aplicativos maliciosos e enviar e-mails de phishing para os usuários, solicitando que seus usuários forneçam acesso não intencional às caixas de correio e arquivos. Recomendamos limitar isso a editores confiáveis ou bloquear o recurso, exigindo o consentimento do administrador.
Localização: Entra ID > Aplicativos > Aplicativos empresariais > Consentimento e permissões
Consulta: