Compartilhar via

Políticas gerenciadas pela Microsoft

  • Artigo

Conforme mencionado no Relatório de Defesa Digital da Microsoft em outubro de 2023

... ameaças à paz digital reduziram a confiança na tecnologia e destacaram a necessidade urgente de melhores defesas cibernéticas em todos os níveis...

... na Microsoft, nossos mais de 10.000 especialistas em segurança analisam mais de 65 trilhões de sinais por dia... gerando alguns dos insights mais influentes sobre segurança cibernética. Juntos, podemos criar resiliência cibernética através de ações inovadoras e defesa coletiva.

Como parte deste trabalho, estamos disponibilizando políticas gerenciadas pela Microsoft em locatários do Microsoft Entra em todo o mundo. Essas políticas simplificadas de Acesso Condicional exigem a autenticação multifator. De acordo com um estudo recente, esse método de autenticação pode reduzir o risco de comprometimento em mais de 99%.

Captura de tela mostrando um exemplo de uma política gerenciada pela Microsoft no centro de administração do Microsoft Entra.

Os administradores com pelo menos a função Administrador de Acesso Condicional atribuída encontram essas políticas no centro de administração do Microsoft Entra em Proteção>Acesso Condicional>Políticas.

Os administradores têm a capacidade de Editar o Status (Ativado, Desativado ou Somente Relatório) e as Identidades excluídas (Usuários, Grupos e Funções) na política. As organizações devem excluir suas contas de acesso de emergência dessas políticas da mesma forma que em outras políticas de Acesso Condicional. As organizações podem duplicar essas políticas se quiserem fazer mais alterações do que as básicas permitidas nas versões gerenciadas pela Microsoft.

A Microsoft habilitará essas políticas após no máximo 90 dias após serem introduzidas em seu locatário se elas forem deixadas no estado Somente relatório. Os administradores podem optar por Ativar essas políticas mais cedo ou recusar definindo o estado da política como Desativado. Os clientes são notificados por email e postagens na Central de mensagens 28 dias antes das políticas serem habilitadas.

Observação

Em alguns casos, as políticas podem ser habilitadas em menos de 90 dias. Se isso for aplicável ao seu locatário, isso será observado nos emails e postagens do centro de mensagens do M365 que você receber sobre as Políticas Gerenciadas da Microsoft. Ele também será mencionado nos detalhes da política no Centro de Administração da Microsoft.

Políticas

Essas políticas gerenciadas pela Microsoft permitem que os administradores façam modificações simples, como excluir usuários ou ativar ou desativar o modo somente relatório. As organizações não podem renomear ou excluir uma política gerenciada pela Microsoft. À medida que os Administradores ficam mais confortáveis com a política de Acesso Condicional, eles podem optar por duplicar a política para fazer versões personalizadas.

À medida que as ameaças evoluem ao longo do tempo, a Microsoft pode alterar essas políticas no futuro para aproveitar novos recursos, funcionalidades ou para melhorar sua função.

Autenticação multifator para administradores que acessam Portais de Administração da Microsoft

Essa política abrange 14 funções de administrador que consideramos altamente privilegiadas, que estão acessando o grupo Microsoft Admin Portals, e exige que elas executem a autenticação multifator.

Essa política tem como destino locatários do Microsoft Entra ID P1 e P2 nos quais os padrões de segurança não estão habilitados.

Dica

As políticas gerenciadas pela Microsoft que exigem autenticação multifator são diferentes do anúncio de autenticação multifator obrigatória para entrada no Azure feito em 2024, que iniciou a implementação gradual em outubro de 2024. Mais informações sobre essa imposição estão disponíveis no artigo:Planejando a autenticação multifator obrigatória no Azure e outros portais de administração.

Autenticação multifator para usuários de autenticação multifator por usuário

Essa política abrange usuários por usuário da MFA, uma configuração que a Microsoft não recomenda mais. O Acesso Condicional oferece uma melhor experiência de administração com muitos recursos adicionais. A consolidação de todas as políticas de MFA no Acesso Condicional pode ajudar você a focar mais em exigir a MFA, reduzindo o atrito com o usuário final e mantendo a postura de segurança.

Essa política é direcionada a:

  • Usuários licenciados com Microsoft Entra ID P1 e P2.
  • Locais onde os padrões de segurança não estão habilitados.
  • Locais com menos de 500 usuários com MFA habilitado ou aplicado por usuário.

Para aplicar essa política a mais usuários, duplique-a e altere as atribuições.

Dica

O uso do lápis Editar na parte superior para modificar a política de autenticação multifator por usuário gerenciada pela Microsoft pode resultar no erro de falha ao atualizar. Para conseguir ignorar esse problema, selecione Editar na seção Identidades Excluídas da política.

Autenticação multifator e reautenticação para entradas suspeitas

Essa política abrange todos os usuários e requer MFA e reautenticação quando detectamos entradas de alto risco. Nesse caso, o alto risco significa que algo sobre a maneira como o usuário entrou está fora do comum. Essas entradas de alto risco podem incluir: viagens altamente anormais, ataques de pulverização de senha ou ataques de reprodução de token. Para obter mais informações sobre essas definições de risco, consulte o artigo O que são detecções de risco.

Essa política tem como destino os locatários do Microsoft Entra ID P2 nos quais os padrões de segurança não estão habilitados.

  • Se o número de licenças P2 for igual ou superior ao total de usuários ativos registrados na MFA, a política abrangerá Todos os Usuários.
  • Se o número de usuários ativos registrados na MFA exceder o de licenças P2, criaremos e atribuiremos a política a um grupo de segurança limitado com base nas licenças P2 disponíveis. Você pode modificar a associação do grupo de segurança da política.

Para evitar que invasores assumam o controle de contas, a Microsoft não permite que usuários arriscados se registrem no MFA.

Políticas de padrões de segurança

As políticas a seguir estão disponíveis para quando você atualiza o uso de padrões de segurança.

Bloquear a autenticação herdada

Essa política impede que os protocolos de autenticação herdados acessem os aplicativos. A autenticação herdada refere-se a uma solicitação de autenticação feita por:

  • Clientes que não usam autenticação moderna (por exemplo, um cliente do Office 2010)
  • Qualquer cliente que use protocolos de email mais antigos, como IMAP, SMTP ou POP3
  • Qualquer tentativa de entrada usando a autenticação herdada é bloqueada.

A maioria das tentativas de entrada comprometedoras observadas vem da autenticação herdada. Como a autenticação herdada não dá suporte à autenticação multifator, um invasor pode ignorar seus requisitos de MFA usando um protocolo mais antigo.

Exigir autenticação multifator para gerenciamento do Azure

Essa política abrange todos os usuários quando eles tentam acessar vários serviços do Azure gerenciados pela API do Azure Resource Manager, incluindo:

  • Portal do Azure
  • Centro de administração Microsoft Entra
  • Azure PowerShell
  • CLI do Azure

Ao tentar acessar qualquer um desses recursos, o usuário é solicitado a concluir a MFA antes de obter acesso.

Exigir autenticação multifator para administradores

Essa política abrange qualquer usuário com uma das 14 funções de administrador que consideramos altamente privilegiadas. Devido ao poder que essas contas altamente privilegiadas têm, é necessário que elas usem a MFA sempre que fizerem login em qualquer aplicativo.

Exigir autenticação multifator para todos os usuários

Essa política abrange todos os usuários da sua organização e exige que eles usem a MFA sempre que fizerem login. Na maioria dos casos, a sessão persiste no dispositivo e os usuários não precisam concluir a MFA quando interagem com outro aplicativo.

Como posso ver os efeitos dessas políticas?

Os administradores podem examinar o impacto da política na seção de entradas para ver um resumo rápido do efeito da política em seu ambiente.

Captura de tela mostrando o impacto de uma política na organização.

Os administradores podem examinar os logs de entrada do Microsoft Entra para ver essas políticas em ação em sua organização.

  1. Entre no Centro de administração do Microsoft Entra como, pelo menos, Leitor de Relatórios.
  2. Navegue até Identidade>Monitoramento e integridade>Logs de entrada.
  3. Localize a entrada específica que você deseja examinar. Adicione ou remova filtros e colunas para filtrar informações desnecessárias.
    1. Para restringir o escopo, adicione filtros como:
      1. ID de correlação quando houver um evento específico para investigar.
      2. Acesso Condicional para ver a falha e o êxito da política. Crie um escopo para o filtro para mostrar apenas as falhas e limitar os resultados.
      3. Nome de usuário para ver informações relacionadas a usuários específicos.
      4. Data do escopo, para o período em questão.
  4. Depois que o evento de entrada que corresponde à entrada do usuário for encontrado, selecione a guia Acesso Condicional. A guia Acesso Condicional mostra a política ou políticas específicas que resultaram na interrupção da entrada.
    1. Para uma investigação ainda mais profunda, faça uma busca detalhada na configuração das políticas clicando no Nome da Política. Ao clicar no Nome da Política, será exibida a interface do usuário de configuração da política selecionada para revisão e edição.
    2. O usuário cliente e os detalhes do dispositivo que foram usados para a avaliação da política de Acesso Condicional também estão disponíveis nas guias Informações Básicas, Localização, Informações do Dispositivo, Detalhes de Autenticação e Detalhes Adicionais do evento de entrada.

O que é Acesso Condicional?

O Acesso Condicional é um recurso do Microsoft Entra que permite que as organizações imponham requisitos de segurança ao acessar recursos. O Acesso Condicional é normalmente usado para impor a autenticação multifator, a configuração do dispositivo ou os requisitos de local de rede.

Essas políticas podem ser consideradas lógicas se forem instruções then.

Se as atribuições (usuários, recursos e condições) forem verdadeiras, então aplique os controles de acesso (concessão e/ou sessão) na política. Se você é um administrador, que deseja acessar um dos portais de administração da Microsoft, então você deve executar a autenticação multifator para provar que é realmente você.

E se eu quiser fazer mais alterações?

Os administradores podem optar por fazer outras alterações nessas políticas duplicando-as, usando o botão Duplicar no modo de exibição de lista de políticas. Essa nova política pode ser configurada da mesma forma que qualquer outra política de Acesso Condicional a partir de uma posição recomendada pela Microsoft.

Quais funções de administrador são cobertas por essas políticas?

  • Administrador Global
  • Administrador de aplicativos
  • Administrador de Autenticação
  • Administrador de cobrança
  • Administrador de Aplicativos de Nuvem
  • Administrador de acesso condicional
  • Administrador do Exchange
  • Administrador de assistência técnica
  • Administrador de senha
  • Administrador de Autenticação Privilegiada
  • Administrador de função com privilégios
  • Administrador de Segurança
  • Administrador do SharePoint
  • Administrador de usuários

E se eu usar uma solução diferente para autenticação multifator?

A autenticação multifator concluída por meio da federação ou dos métodos de autenticação externa anunciados recentemente atende aos requisitos da política gerenciada.

Próximas etapas