Pular para o conteúdo

Segurança do Microsoft 365 e do Entra ID

Os locatários do Microsoft 365 e o sistema de autenticação subjacente Entra ID (Azure AD) têm muitas opções de configuração diferentes para permitir que sua empresa implemente diferentes níveis de segurança. Muitas dessas opções não estão ativadas por padrão. Embora este documento não cubra todas as opções de segurança disponíveis, ou discuta outras tecnologias, como gerenciamento de dispositivos e prevenção de perda de dados (DLP), ele fornece orientação aos nossos clientes sobre configurações recomendadas que ajudarão a melhorar a proteção de identidade e reduzir a chance de comprometimento de e-mail corporativo (BEC).

A orientação está em duas seções, configurações recomendadas e configurações opcionais. Pedimos a todos os clientes que implementem as configurações recomendadas. Também sugerimos que você considere e investigue as configurações opcionais e aplique-as como for adequado ao seu ambiente.

Qualquer alteração ao seu ambiente que você esteja considerando deve ser revisada e testada em sua organização após consultar a documentação apropriada da Microsoft. Recomendamos que você faça as alterações em lotes, usando contas de teste, usuários-piloto e pequenos departamentos antes de aplicar em toda a organização. Certifique-se de que tem uma conta de acesso de emergência disponível, conforme documentado abaixo, para evitar ser bloqueado.

Orientação da licença

Alguns dos itens de configuração abaixo estão disponíveis em todos os locatários do M365, independentemente das licenças que estão sendo usadas. No entanto, a maioria exigirá que pelo menos as licenças "Entra ID P1" estejam disponíveis no seu locatário, e algumas exigirão as licenças "Entra ID P2". A "Entra ID P1" está incluída nos pacotes M365 Business Premium E3/A3, e as licenças "Entra ID P2" estão disponíveis nos pacotes M365 E5/A5.

Se não estiver usando licenças que incluam, pelo menos, a licença "Entra ID P1", recomendamos usar os "Padrões de Segurança" da Microsoft. Esse é um conjunto básico de políticas de segurança que são controladas pela Microsoft. Consulte os Padrões de segurança no Microsoft Entra ID.

Ao integrar alertas da Microsoft ao serviço Sophos MDR, "Entra ID P1" é a licença mínima que você deve usar, no entanto, recomendamos usar a "Entra ID P2", devido ao aumento da quantidade de alertas gerados pela Microsoft. Veja estes artigos para obter exemplos desses alertas:

Recomendamos que pergunte ao seu especialista em licenciamento da Microsoft para obter informações adicionais sobre licenciamento.

Itens de configuração recomendados

  • Aplicar o princípio do privilégio mínimo


    Use contas de administrador separadas e funções RBAC para limitar os privilégios de administrador. Conceda apenas as funções necessárias para o trabalho. A Microsoft recomenda um máximo de cinco contas de admin globais. Não reutilize credenciais de administrador entre domínios ou serviços.

    Impacto: Os usuários só devem ter acesso a áreas permitidas para a sua função de trabalho. Os administradores devem usar contas separadas.

    Localização: Entra ID > Funções e administradores

    Consultas:

- **Substituir os "Padrões de segurança" por políticas de acesso condicional** --- Quando usar licenças "Entra ID P1" e posteriores, você poderá criar políticas de acesso condicional personalizadas para melhorar a sua segurança. Para criar essas políticas, você precisará desabilitar os "Padrões de Segurança" e criar políticas de Acesso Condicional a partir de modelos da Microsoft para fazer coisas como aplicar MFA. Certifique-se de excluir contas ou grupos de "Acesso de Emergência" ao criar essas políticas. **Localização**: - Entra ID > Visão geral > Propriedades - Entra ID > Proteção e segurança > Acesso condicional **Consultas**: - Modelos de Acesso Condicional: - [Bloquear a Autenticação Herdada: Bloquear a autenticação herdada com Acesso Condicional - Microsoft Entra ID](https://docs.microsoft.com/pt-br/azure/active-directory/conditional-access/howto-conditional-access-policy-block-legacy) - [Exigir MFA para Administradores: Exigir MFA para administradores com Acesso Condicional - Microsoft Entra ID](https://docs.microsoft.com/pt-br/azure/active-directory/conditional-access/howto-conditional-access-policy-admin-mfa) - [Exigir MFA para Gerenciamento do Azure: Exigir MFA para gerenciamento do Azure com Acesso Condicional - Microsoft Entra ID](https://docs.microsoft.com/pt-br/azure/active-directory/conditional-access/howto-conditional-access-policy-azure-management) - [Exigir MFA para todos os usuários: Exigir MFA para todos os usuários com Acesso Condicional - Microsoft Entra ID](https://docs.microsoft.com/pt-br/azure/active-directory/conditional-access/howto-conditional-access-policy-all-users-mfa) - Orientação de políticas de acesso condicional: - [Planejar uma implantação de acesso condicional do Microsoft Entra - Microsoft Entra ID](https://docs.microsoft.com/pt-br/azure/active-directory/conditional-access/plan-conditional-access#follow-best-practices) - [Ajuda de conta de estudante ou trabalho - Suporte Microsoft](https://docs.microsoft.com/azure/active-directory/user-help/) - [Como executar uma campanha de registro para configurar o Microsoft Authenticator - Microsoft Entra ID](https://docs.microsoft.com/pt-br/azure/active-directory/authentication/how-to-mfa-registration-campaign)
  • Exigir MFA para registrar ou ingressar dispositivo


    Isso garante que os usuários que tentam ingressar novos dispositivos Windows no Entra ID devem executar a autenticação multifator.

    Localização: Entra ID > Proteção e segurança > Acesso condicional

    • Nome: Exigir MFA para registrar ou ingressar dispositivos.
    • Usuários: Todos os usuários: certificar-se de excluir contas ou grupos de "Acesso de Emergência".
    • Aplicativos ou ações na nuvem: Ações do usuário > Registrar ou ingressar dispositivos.
    • Condições: Nenhum.
    • Controles de acesso > Conceder: Exigir autenticação multifator.
  • Permitir apenas a assinatura de países autorizados


    Recomendamos reduzir o risco de comprometimento da conta, limitando o número de países a partir dos quais os usuários podem entrar em seu ambiente. Se você não tiver funcionários que viajam para o exterior, impeça que todos os usuários da sua organização acessem seu ambiente fora do seu país de origem. Se você tiver usuários que viajam, essas políticas podem ser implementadas por grupo. Por exemplo, você pode permitir o acesso de todos os países, ou um subconjunto de países para um grupo específico de usuários que viajam, ou dividir usuários em regiões geográficas, limitando seu acesso por região.

    Para isso, use as Políticas de Acesso Condicional. Crie uma lista de Locais nomeados, por exemplo, "Países permitidos", e adicione países aos quais você deseja ter acesso. Em seguida, crie uma Política de Acesso Condicional para bloquear o acesso de Todos os usuários, de todos os Aplicativos da nuvem, excluindo "Países permitidos" e quaisquer "Usuários ou grupos de emergência".

    Alerta

    Teste essa política cuidadosamente antes de aplicá-la a todos os usuários.

    Localização: Entra ID > Proteção e segurança > Acesso condicional

  • Bloquear usuários de alto risco


    O Nível de risco de usuário do M365 é um recurso que ajuda a determinar o risco de uma conta de usuário no Entra ID. Ele faz parte do Entra ID Identity Protection e é realizado analisando vários sinais da conta de usuário, como endereços IP, estado do dispositivo, atividade suspeita e credenciais comprometidas conhecidas.

    O nível de risco do usuário é dividido em três categorias:

    • Risco baixo: As contas de usuário de baixo risco são consideradas legítimas.
    • Risco médio: As contas de usuário de risco médio podem ser legítimas, mas também são mais propensas a serem comprometidas ou atacadas por um agente de ameaça.
    • Risco alto: As contas de usuário de alto risco são consideradas comprometidas.

    Recomendamos o bloqueio de contas de usuário consideradas de alto risco e a solicitação da alteração da senha de segurança de um usuário considerado de risco médio.

    Localização: Entra ID > Proteção e segurança > Acesso condicional

    Consulta:

- **Bloquear o logon de alto risco** --- O Nível de risco de logon do M365 é um recurso que ajuda a determinar o risco de uma tentativa de logon individual no Entra ID. Ele faz parte do Entra ID Identity Protection e analisa vários sinais como parte do processo de logon para determinar o nível de risco. O Nível de risco de logon é dividido em três categorias: - **Risco baixo**: As tentativas de logon de baixo risco são consideradas legítimas. - **Risco médio**: As tentativas de logon de risco médio podem ser legítimas, mas também são mais propensas a serem comprometidas ou atacadas por um agente de ameaça. - **Risco alto**: As tentativas de logon de alto risco são consideradas comprometidas. Recomendamos bloquear as tentativas de logon que são consideradas de alto risco e exigir a MFA em logons de risco médio. **Localização**: Entra ID > Proteção e segurança > Acesso condicional **Consulta**: - [Políticas de acesso baseadas em risco do Microsoft Entra ID Protection - Microsoft Entra ID Protection](https://learn.microsoft.com/pt-br/azure/active-directory/identity-protection/concept-identity-protection-policies#sign-in-risk-based-conditional-access-policy)

Itens de configuração opcionais

  • Contas de acesso de emergência


    A Microsoft recomenda as contas de administrador de acesso de emergência que são excluídas das políticas de acesso condicional. Essas contas devem ter a função de "administrador global" e ser protegidas com senhas extremamente longas e complexas, e as senhas armazenadas em um cofre seguro de senhas e usadas apenas para emergências.

    Consulta:

- **Configurar a política de expiração de senha** --- Certifique-se de que a expiração da senha esteja alinhada com os requisitos de conformidade e política corporativa. !!! note "Nota" A Microsoft recomenda que as senhas sejam definidas para "nunca expirar" se a MFA for aplicada em toda a organização. **Localização**: Centro de administração do Microsoft 365 > Configurações > Segurança e Privacidade
  • Gerenciar o consentimento e as permissões do aplicativo


    Por padrão, todos os usuários podem conceder permissões para aplicativos e suplementos de terceiros. Isso pode ser arriscado, pois os agentes de ameaças podem criar aplicativos maliciosos e enviar e-mails de phishing para os usuários, solicitando que seus usuários forneçam acesso não intencional às caixas de correio e arquivos. Recomendamos limitar isso a editores confiáveis ou bloquear o recurso, exigindo o consentimento do administrador.

    Localização: Entra ID > Aplicativos > Aplicativos empresariais > Consentimento e permissões

    Consulta:

- **Exigir MFA para convidados** --- Recomendamos que você exija a MFA para convidados que tenham acesso a recursos em seu ambiente para diminuir a chance de seus dados serem acessados por uma conta de terceiros comprometida. Isso pode ser implementado usando um Modelo de Política de Acesso Condicional. **Localização**: Entra ID > Proteção e segurança > Acesso condicional