Compartilhar via

Resumo do Microsoft 365 para segurança empresarial para a Contoso Corporation

  • Artigo

Para obter aprovação para implementar o Microsoft 365 para grandes empresas, o departamento de segurança de TI da Contoso realizou uma análise de segurança completa. Identificaram os seguintes requisitos de segurança para a cloud:

  • Utilize os métodos de autenticação mais fortes para o acesso dos funcionários aos recursos da cloud.
  • Certifique-se de que os PCs e os dispositivos móveis ligam e acedem às aplicações de formas seguras.
  • Proteja PCs e e-mails contra software maligno.
  • As permissões em recursos digitais baseados na cloud definem quem pode aceder ao quê e o que podem fazer e foram concebidas para acesso com menos privilégios
  • Os recursos digitais confidenciais e altamente regulados são etiquetados, encriptados e armazenados em localizações seguras.
  • Os recursos digitais altamente regulados estão protegidos com encriptação e permissões adicionais.
  • A equipa de segurança de TI pode monitorizar a atual postura de segurança a partir de dashboards centrais e receber notificações de eventos de segurança para resposta e mitigação rápidas.

O caminho da Contoso para a preparação de segurança do Microsoft 365

A Contoso seguiu estes passos para preparar a segurança para a implementação do Microsoft 365 para grandes empresas:

  1. Limitar contas de administrador para a cloud

    A Contoso fez uma revisão extensiva das contas de administrador do Active Directory Domain Services (AD DS) existentes e configurou uma série de contas e grupos de administradores da cloud dedicados.

  2. Classificar dados em três níveis de segurança

    A Contoso fez uma análise cuidadosa e determinou os três níveis, que foram utilizados para identificar as funcionalidades do Microsoft 365 para empresas para proteger os dados mais valiosos.

  3. Determinar políticas de acesso, retenção e proteção de informações para níveis de dados

    Com base nos níveis de dados, a Contoso determinou requisitos detalhados para qualificar futuras cargas de trabalho de TI que são movidas para a cloud.

Para seguir as melhores práticas de segurança e os requisitos de implementação do Microsoft 365 para grandes empresas, os administradores de segurança da Contoso e o respetivo departamento de TI implementaram muitas funcionalidades e capacidades de segurança, conforme descrito nas secções seguintes.

Gerenciamento de identidades e acesso

  • Contas de administrador global dedicadas com MFA e PIM

    Em vez de atribuir a função de administrador global a contas de utilizador diárias, a Contoso criou três contas de administrador global dedicadas com palavras-passe fortes. As contas estão protegidas por Microsoft Entra autenticação multifator (MFA) e Microsoft Entra Privileged Identity Management (PIM). O PIM está disponível apenas com o Microsoft 365 E5.

    Iniciar sessão com um administrador Microsoft Entra DC ou conta de administrador global só é feito para tarefas administrativas específicas. As palavras-passe só são conhecidas pela equipa designada e só podem ser utilizadas num período de tempo configurado no Microsoft Entra PIM.

    Os administradores de segurança da Contoso atribuíram funções de administrador menores a contas adequadas à função de trabalho desse trabalhador de TI.

    Para obter mais informações, consulte Sobre as funções de administrador do Microsoft 365.

  • Autenticação Multifator para todas as contas de usuário

    A MFA adiciona uma camada adicional de proteção ao processo de início de sessão. Requer que os utilizadores reconheçam uma chamada telefónica, mensagem de texto ou notificação de aplicação no seu smartphone depois de introduzirem corretamente a palavra-passe. Com a MFA, Microsoft Entra contas de utilizador estão protegidas contra o início de sessão não autorizado, mesmo que uma palavra-passe de conta esteja comprometida.

    • Para se proteger contra o comprometimento da subscrição do Microsoft 365, a Contoso requer a MFA em todos os Microsoft Entra administrador dc ou contas de administrador global.
    • Para se proteger contra ataques de phishing, no qual um invasor compromete as credenciais de uma pessoa confiável na organização e envia emails mal-intencionados, a Contoso habilitou a MFA em todas as contas de usuário, incluindo diretoria e gerência.

  • Acesso mais seguro a dispositivos e aplicativos com Políticas de Acesso Condicional

    A Contoso está usando Políticas de Acesso Condicional para identidade, dispositivos, Exchange Online e SharePoint Online. As políticas de acesso condicional à identidade incluem exigir alterações de senha dos usuários de alto risco e impedir que os clientes usem aplicativos que não suportam autenticação moderna. As políticas de dispositivos incluem a definição de aplicativos aprovados e a exigência de computadores e dispositivos móveis compatíveis. As políticas de Acesso Condicional do Exchange Online incluem impedir clientes do ActiveSync e configurar a criptografia de mensagem do Office 365. As políticas de Acesso Condicional do SharePoint Online incluem proteção adicional para sites confidenciais e altamente controlados.

  • Windows Hello para Empresas

    A Contoso implementou Windows Hello para Empresas para, eventualmente, eliminar a necessidade de palavras-passe através de uma autenticação forte de dois fatores em PCs e dispositivos móveis com Windows 11 Enterprise.

  • Windows Defender Credential Guard

    Para bloquear ataques direcionados e software maligno em execução no sistema operativo com privilégios administrativos, a Contoso ativou o Windows Defender Credential Guard através da política de grupo do AD DS.

Proteção contra ameaças

  • Proteção contra software maligno com o Antivírus Microsoft Defender

    A Contoso está a utilizar Microsoft Defender Antivírus para proteção contra software maligno e gestão antimalware para PCs e dispositivos com Windows 11 Enterprise.

  • Proteger o fluxo de e-mail e o registo de auditoria da caixa de correio com Microsoft Defender para Office 365

    A Contoso está a utilizar Proteção do Exchange Online e Defender para Office 365 para proteger contra software maligno desconhecido, vírus e URLs maliciosos transmitidos através de e-mails.

    A Contoso também ativou o registo de auditoria da caixa de correio para identificar quem inicia sessão nas caixas de correio dos utilizadores, envia mensagens e efetua outras atividades realizadas pelo proprietário da caixa de correio, um utilizador delegado ou um administrador.

  • Monitoramento e prevenção contra ataques com investigação e resposta a ameaças do Office 365

    A Contoso utiliza Office 365 investigação e resposta a ameaças para proteger os utilizadores, facilitando a identificação e resolução de ataques e a prevenção de ataques futuros.

  • Proteção contra ataques sofisticados com Advanced Threat Analytics

    A Contoso usa Advanced Threat Analytics (ATA) para se proteger contra ataques direcionados avançados. A ATA analisa, aprende e identifica automaticamente comportamento normal e anormal de entidades (usuário, dispositivos e recursos).

Proteção de informações

  • Proteja ativos digitais sensíveis e altamente regulamentados com rótulos de Proteção de Informações do Azure

    A Contoso determinou três níveis de proteção de dados e implantou Rótulos de confidencialidade do Microsoft 365 que os usuários aplicam a ativos digitais. Para os seus segredos comerciais e outra propriedade intelectual, a Contoso utiliza sub-etiquetas de confidencialidade para dados altamente regulados. Este processo encripta conteúdo e restringe o acesso a contas e grupos de utilizadores específicos.

  • Evite vazamentos de dados na intranet com a Prevenção contra perda de dados

    A Contoso configurou políticas de Prevenção Contra Perda de Dados do Microsoft Purview para Exchange Online, SharePoint e OneDrive for Business para impedir que os utilizadores partilhem dados confidenciais acidentalmente ou intencionalmente.

  • Impedir o vazamento de dados do dispositivo com a Proteção de Informações do Windows

    A Contoso está a utilizar o Windows Proteção de Informações (WIP) para proteger contra fugas de dados através de aplicações e serviços baseados na Internet e de aplicações empresariais e dados em dispositivos pertencentes à empresa e dispositivos pessoais que os funcionários trazem para o trabalho.

  • Monitorização da cloud com Microsoft Defender para Aplicativos de Nuvem

    A Contoso está a utilizar Microsoft Defender para Aplicativos de Nuvem para mapear o respetivo ambiente na cloud, monitorizar a utilização e detetar eventos e incidentes de segurança. Microsoft Defender para Aplicativos de Nuvem só está disponível com Microsoft 365 E5.

  • Gerenciamento de dispositivos com o Microsoft Intune

    A Contoso usa o Microsoft Intune para se inscrever, gerenciar e configurar o acesso a dispositivos móveis e os aplicativos que são executados neles. As políticas de Acesso Condicional com Base no Dispositivo também exigem aplicativos aprovados, dispositivos móveis e computadores compatíveis.

Gerenciamento de segurança

  • Dashboard de segurança central para TI com Microsoft Defender para a Cloud

    A Contoso utiliza o Microsoft Defender para a Cloud para apresentar uma vista unificada de segurança e proteção contra ameaças, para gerir políticas de segurança nas suas cargas de trabalho e para responder a ciberataques.

  • Painel central de segurança para os usuários com a Central de Segurança do Windows Defender

    A Contoso implementou a aplicação Segurança do Windows nos respetivos PCs e dispositivos em execução Windows 11 Enterprise para que os utilizadores possam ver rapidamente a sua postura de segurança e tomar medidas.