Elaborar estratégias modernas de autenticação e autorização
Esta unidade aborda algumas estratégias específicas para autenticação moderna:
- Acesso condicional
- Avaliação contínua de acesso
- Integração com a inteligência contra ameaças
- Pontuação de risco
Acesso condicional
Os usuários podem acessar os recursos da organização usando uma grande variedade de dispositivos e aplicativos de praticamente qualquer lugar. Como administrador de TI, você deseja que esses dispositivos atendam aos padrões de segurança e conformidade. Por causa disso, concentrar-se apenas em quem pode acessar um recurso não é mais suficiente.
Para dominar o equilíbrio entre segurança e produtividade, você também precisa considerar como um recurso é acessado em uma decisão sobre o controle de acesso. Com o Acesso Condicional do Microsoft Entra, você pode atender a esse requisito. Com o acesso condicional, você pode tomar decisões de controle de acesso automatizado com base em condições de acesso a aplicativos de nuvem.
Melhor prática: Gerenciar e controlar o acesso aos recursos corporativos.
Detalhes: Configure políticas comuns de Acesso Condicional do Microsoft Entra com base em um grupo, local e confidencialidade do aplicativo para aplicativos SaaS e aplicativos conectados ao Microsoft Entra ID.
Melhor prática: Bloquear protocolos de autenticação herdados.
Detalhe: Todos os dias, invasores exploram os pontos fracos nos protocolos mais antigos, especialmente para ataques de irrigação de senha. Configure o acesso condicional para bloquear protocolos herdados.
Avaliação contínua de acesso
A expiração e a atualização do token são um mecanismo padrão no setor. Quando um aplicativo cliente como o Outlook se conecta a um serviço como o Exchange Online, as solicitações de API são autorizadas usando tokens de acesso OAuth 2.0. Por padrão, tokens de acesso são válidos por uma hora. Quando expiram, o cliente é redirecionado ao Microsoft Entra ID para atualizá-los. Esse período de atualização oferece uma oportunidade para reavaliar as políticas de acesso do usuário. Por exemplo: podemos optar por não atualizar o token devido a uma política de acesso condicional ou porque o usuário foi desabilitado no diretório.
Os clientes mostraram-se preocupados com o atraso quando as condições mudam para um usuário e quando as alterações de política são impostas. O Microsoft Entra ID experimentou a abordagem "objeto contundente" de tempos de vida reduzidos de token, mas descobriu que eles podem prejudicar as experiências do usuário e a confiabilidade sem eliminar riscos.
A resposta oportuna a violações de política ou problemas de segurança realmente exige uma "conversa" entre o emissor do token (Microsoft Entra ID) e a terceira parte confiável (aplicativo habilitado). Essa conversa bidirecional nos dá dois recursos importantes. A terceira parte confiável pode ver quando as propriedades são alteradas, como o local de rede, e informar o emissor do token. Ela também proporciona ao emissor do token uma maneira de dizer à terceira parte confiável para parar de respeitar os tokens de um determinado usuário devido a comprometimento da conta, desabilitação ou outras preocupações. O mecanismo para essa conversa é a avaliação contínua de acesso (CAE). A meta para avaliação de eventos críticos é ter uma resposta quase em tempo real, mas é possível observar uma latência de até 15 minutos devido ao tempo de propagação do evento. No entanto, a imposição da política de localização de IP é instantânea.
A implementação inicial da avaliação contínua de acesso se concentra no Exchange, no Teams e no SharePoint Online.
A avaliação contínua de acesso está disponível em locatários do Azure Governamental (GCC High e DOD) para o Exchange Online.
Principais benefícios
- Término do usuário ou alteração/redefinição de senha: a revogação da sessão do usuário é imposta quase em tempo real.
- Alteração de local de rede: as políticas de local de acesso condicional são impostas quase em tempo real.
- A exportação de tokens para um computador fora de uma rede confiável pode ser impedida com políticas de localização de acesso condicional.
Cenários
Há dois cenários que compõem a avaliação contínua de acesso, a avaliação de evento crítico e a avaliação de política de acesso condicional.
Avaliação de evento crítico
A avaliação contínua de acesso é implementada habilitando serviços, como o Exchange Online, o SharePoint Online e o Teams, para se inscrever em eventos críticos no Microsoft Entra. Esses eventos podem então ser avaliados e impostos quase em tempo real. A avaliação de evento crítico não depende de políticas de Acesso Condicional, portanto, está disponível em qualquer locatário. Os seguintes eventos são avaliados no momento:
- A conta de usuário foi excluída ou desabilitada
- A senha de um usuário é alterada ou redefinida
- Autenticação multifator habilitada para o usuário
- O administrador revoga explicitamente todos os tokens de atualização para um usuário
- Alto risco de usuário detectado pelo Microsoft Entra ID Protection
Esse processo habilita o cenário em que os usuários perdem o acesso a arquivos organizacionais, emails, calendário ou tarefas do SharePoint Online e ao Teams a partir de aplicativos de cliente do Microsoft 365 em minutos após um evento crítico.
Avaliação da política de acesso condicional
O Exchange Online, o SharePoint Online, Teams e MS Graph podem sincronizar as principais políticas de acesso condicional para avaliação dentro do próprio serviço.
Esse processo permite o cenário em que os usuários perdem o acesso a arquivos organizacionais, emails, calendário ou tarefas de aplicativos clientes Microsoft 365 ou SharePoint Online imediatamente após as alterações do local de rede.
| Outlook Web | Outlook Win32 | Outlook iOS | Outlook Android | Outlook Mac | |
|---|---|---|---|---|---|
| SharePoint Online | Com suporte | Compatível | Compatível | Compatível | Com suporte |
| Exchange Online | Com suporte | Compatível | Compatível | Compatível | Com suporte |
| Aplicativos Web do Office | Aplicativos do Office Win32 | Office para iOS | Office para Android | Office para Mac | |
|---|---|---|---|---|---|
| SharePoint Online | Sem suporte * | Com suporte | Compatível | Compatível | Com suporte |
| Exchange Online | Sem suporte | Com suporte | Compatível | Compatível | Com suporte |
| OneDrive Web | OneDrive Win32 | OneDrive iOS | OneDrive Android | OneDrive Mac | |
|---|---|---|---|---|---|
| SharePoint Online | Com suporte | Sem suporte | Com suporte | Compatível | Sem suporte |
| Equipes web | Equipes Win32 | Equipes iOS | Equipes Android | Equipes Mac | |
|---|---|---|---|---|---|
| Equipes Service | Suporte parcial | Suporte parcial | Suporte parcial | Suporte parcial | Suporte parcial |
| SharePoint Online | Suporte parcial | Suporte parcial | Suporte parcial | Suporte parcial | Suporte parcial |
| Exchange Online | Suporte parcial | Suporte parcial | Suporte parcial | Suporte parcial | Suporte parcial |
Proteção de Identidade do Microsoft Entra
O Identity Protection permite que as organizações executem três tarefas importantes:
- Automatizar a detecção e a correção de riscos baseados em identidade.
- Investigar os riscos usando os dados no portal.
- Exportar dados de detecção de risco para outras ferramentas.
O Identity Protection usa as lições que a Microsoft aprendeu em seu trabalho em organizações com o Microsoft Entra ID, no espaço do consumidor com contas Microsoft e em jogos do Xbox para proteger seus usuários. A Microsoft analisa trilhões de sinais por dia para identificar e proteger os clientes contra ameaças.
Os sinais gerados pelo Identidade Protection e fornecidos a ele podem ser alimentados posteriormente em ferramentas como o Acesso Condicional para tomar decisões de acesso ou retroalimentar uma ferramenta de SIEM (gerenciamento de eventos e informações de segurança) para uma investigação mais detalhada.
Detectar risco
O Identity Protection detecta riscos de vários tipos, incluindo:
- Uso de endereço IP anônimo
- Viagem atípica
- Endereço IP vinculado a malware
- Propriedades de entrada desconhecidas
- Credenciais vazadas
- Pulverização de senha
- e muito mais...
Os sinais de risco podem disparar esforços de correção, como exigir: a execução da autenticação multifator, redefinição de senhas usando a redefinição de senha por autoatendimento ou o bloqueio do acesso até que um administrador execute uma ação.
Mais detalhes sobre esses riscos, incluindo como ou quando são calculados podem ser encontrados no artigo, O que é risco.
Investigar risco
Os administradores podem examinar as detecções e executar uma ação manual sobre elas, se necessário. Há três importantes relatórios que os administradores usam para investigações no Identity Protection:
- Usuários de risco
- Entradas de risco
- Detecções de risco
Mais informações podem ser encontradas no artigo, Como investigar o risco.
Níveis de risco
O Identity Protection categoriza os riscos em camadas: baixa, média e alta.
A Microsoft não fornece detalhes específicos sobre como o risco é calculado. Cada nível de risco traz maior confiança de que o usuário ou a entrada está comprometida. Por exemplo, algo como uma instância de propriedades de entrada desconhecidas para um usuário pode não ser tão ameaçador quanto as credenciais vazadas para outro usuário.
Observação
As políticas baseadas em risco também podem ser criadas na Proteção de identidade, mas é recomendável fazer isso com políticas de Acesso Condicional.
Políticas de acesso condicional baseadas em risco
As políticas de controle de acesso podem ser aplicadas para proteger as organizações, quando é detectado que uma entrada ou um usuário está em risco. Essas políticas são chamadas de políticas baseadas em risco.
O Acesso Condicional do Microsoft Entra oferece duas condições de risco: risco de entrada e risco de usuário. As organizações podem criar políticas de Acesso Condicional baseadas em risco, configurando essas duas condições de risco e escolhendo um método de controle de acesso. Durante cada entrada, o Identity Protection envia os níveis de risco detectados para o Acesso Condicional e as políticas baseadas em risco são aplicadas se as condições da política forem atendidas.
O diagrama a seguir mostra um exemplo de imposição de uma política que requer autenticação multifator quando o nível de risco de entrada é médio ou alto.
O exemplo acima também demonstra um benefício principal de uma política baseada em risco: correção automática de risco. Quando um usuário conclui com êxito o controle de acesso necessário, como uma alteração de senha segura, o risco é corrigido. Essa sessão de entrada e a conta de usuário não está em risco e nenhuma ação é necessária por parte do administrador.
Permitir que os usuários apliquem a correção automática usando esse processo reduzi a investigação de risco e a sobrecarga de correção sobre os administradores, protegendo as organizações contra concessões de segurança. Mais informações sobre correção de risco podem ser encontradas no artigo Corrigir riscos e desbloquear usuários.
Política de Acesso Condicional baseada em risco de entrada
Durante cada entrada, o Identity Protection analisa centenas de sinais em tempo real e calcula um nível de risco de entrada que representa a probabilidade de que a determinada solicitação de autenticação não esteja autorizada. Esse nível de risco é enviado para o Acesso Condicional, em que as políticas configuradas da organização são avaliadas. Os administradores podem configurar políticas de Acesso Condicional baseadas em risco de entrada, para impor controles de acesso com base no risco de entrada, incluindo requisitos como:
- Acesso bloqueado
- Permitir o acesso
- Exigir autenticação multifator
Se forem detectados riscos em uma entrada, os usuários poderão executar o controle de acesso necessário, como a autenticação multifator, para corrigir e fechar o evento de entrada suspeita, a fim de evitar ruídos desnecessários para administradores.
Política de Acesso Condicional baseada em risco de usuário
O Identity Protection analisa sinais sobre contas de usuário e calcula uma pontuação de risco com base na probabilidade de o usuário ter sido comprometido. Se um usuário tiver um comportamento de entrada suspeita ou as credenciais dele tiverem sido vazadas, o Identity Protection usa esses sinais para calcular o nível de risco do usuário. Os administradores podem configurar políticas de Acesso Condicional baseadas em risco de usuário, para impor controles de acesso com base no risco de usuário, incluindo requisitos como:
- Acesso bloqueado
- Permitir acesso, mas exigir uma alteração de senha segura.
Uma alteração de senha segura corrige o risco de usuário e fecha o evento de usuário suspeito para evitar ruídos desnecessários para administradores.
Ações protegidas
As ações protegidas no Microsoft Entra ID são permissões às quais foram atribuídas Políticas de Acesso Condicional. Quando um usuário tenta executar uma ação protegida, ele deve primeiro satisfazer as políticas de Acesso Condicional atribuídas às permissões necessárias. Por exemplo, para permitir que os administradores atualizem as políticas de Acesso Condicional, você pode exigir que elas satisfaçam primeiro a política de MFA resistente a phishing .
Por que usar ações protegidas?
Você usa ações protegidas quando deseja adicionar uma camada adicional de proteção. As ações protegidas podem ser aplicadas a permissões que exigem uma forte proteção da política de Acesso Condicional, independentemente da função que está sendo utilizada ou de como o usuário recebeu a permissão. Como a imposição da política ocorre no momento em que o usuário tenta executar a ação protegida e não durante a entrada do usuário ou a ativação da regra, os usuários são solicitados somente quando necessário.
Quais políticas são normalmente utilizadas com ações protegidas?
É recomendável usar a autenticação multifator em todas as contas, especialmente contas com funções privilegiadas. Ações protegidas podem ser usadas para exigir segurança adicional. Aqui estão algumas políticas comuns de Acesso Condicional mais fortes.
- Pontos fortes de autenticação MFA, como MFA Sem Senha ou MFA Resistente a Phishing,
- Estações de trabalho de acesso privilegiado, usando os filtros do dispositivo da política de Acesso Condicional.
- Tempos limite de sessão mais curtos, usando os controles da sessão de frequência de entrada do Acesso Condicional.
Quais permissões podem ser usadas com as ações protegidas?
As políticas de Acesso Condicional podem ser aplicadas a um conjunto limitado de permissões. Você pode usar as ações protegidas nas seguintes áreas:
- Gerenciamento das Políticas de Acesso Condicional
- Configurações de acesso entre locatários
- Regras personalizadas que definem os locais de rede
- Gerenciamento de ações protegidas