Partilhar via

Políticas geridas pela Microsoft

  • Artigo

Conforme mencionado no Relatório de Defesa Digital da Microsoft em outubro de 2023

... As ameaças à paz digital reduziram a confiança na tecnologia e destacaram a necessidade urgente de melhorar as defesas cibernéticas em todos os níveis...

... na Microsoft, nossos mais de 10.000 especialistas em segurança analisam mais de 65 trilhões de sinais por dia... impulsionando alguns dos insights mais influentes em cibersegurança. Juntos, podemos construir resiliência cibernética por meio de ações inovadoras e defesa coletiva.

Como parte deste trabalho, estamos disponibilizando políticas gerenciadas pela Microsoft em locatários do Microsoft Entra em todo o mundo. Essas políticas simplificadas de Acesso Condicional tomam medidas para exigir autenticação multifator, o que um estudo recente descobriu que pode reduzir o risco de comprometimento em mais de 99%.

Captura de ecrã a mostrar um exemplo de uma política gerida pela Microsoft no centro de administração do Microsoft Entra.

Os administradores com pelo menos a função de Administrador de Acesso Condicional atribuída encontram estas políticas no centro de administração do Microsoft Entra em >.

Os administradores têm a capacidade de Editar o Estado (Ativado, Desativado ou Somente Relatório) e as identidades Excluídas (Usuários, Grupos e Funções) na política. As organizações devem excluir suas contas de acesso de emergência ou quebra-vidro dessas políticas da mesma forma que excluiriam em outras políticas de Acesso Condicional. As organizações podem duplicar essas políticas se quiserem fazer mais alterações do que as básicas permitidas nas versões gerenciadas pela Microsoft.

A Microsoft habilitará essas políticas após pelo menos 90 dias após a introdução no seu locatário, se elas forem deixadas no estado Somente relatório. Os administradores podem optar por ativar essas políticas mais cedo ou desativar definindo o estado da política como Desativado. Os clientes são notificados por e-mails e mensagens do Centro de mensagens 28 dias antes de as políticas serem ativadas.

Nota

Em alguns casos, as políticas podem ser ativadas mais rapidamente do que 90 dias. Se isso for aplicável ao seu locatário, ele será anotado em e-mails e postagens do centro de mensagens M365 que você recebe sobre as Políticas Gerenciadas da Microsoft. Também será mencionado nos detalhes da política no Centro de Administração da Microsoft.

Políticas

Essas políticas gerenciadas pela Microsoft permitem que os administradores façam modificações simples, como excluir usuários ou ativá-los ou ativá-los ou desativá-los. As organizações não podem renomear ou excluir nenhuma política gerenciada pela Microsoft. À medida que os administradores se sentem mais confortáveis com a política de Acesso Condicional, eles podem optar por duplicar a política para criar versões personalizadas.

À medida que as ameaças evoluem ao longo do tempo, a Microsoft pode alterar essas políticas no futuro para aproveitar novos recursos, funcionalidades ou melhorar sua função.

Autenticação multifator para administradores que acessam Portais de Administração da Microsoft

Esta política abrange 14 funções de administrador que consideramos altamente privilegiadas, que estão a aceder ao grupo Portais de Administração da Microsoft e exige que executem autenticação multifator.

Esta política destina-se a locatários do Microsoft Entra ID P1 e P2 onde os padrões de segurança não estão habilitados.

Gorjeta

As políticas gerenciadas pela Microsoft que exigem autenticação multifator diferem do anúncio de autenticação multifator obrigatória para entrada no Azure feito em 2024, que começou a ser implementado gradualmente em outubro de 2024. Mais informações sobre essa imposição podem ser encontradas no artigo Planejando a autenticação multifator obrigatória para o Azure e outros portais de administração.

Autenticação multifator para usuários de autenticação multifator por usuário

Esta política abrange MFA de usuários por usuário, uma configuração que a Microsoft não recomenda mais. O Acesso Condicional oferece uma melhor experiência de administração com muitos recursos extras. A consolidação de todas as políticas de MFA no Acesso Condicional pode ajudá-lo a ser mais direcionado na exigência de MFA, reduzindo o atrito do usuário final e mantendo a postura de segurança.

Esta política visa:

  • Organizações com utilizadores licenciados pelo Microsoft Entra ID P1 e P2
  • Organizações onde as definições de segurança não estão habilitadas
  • Organizações com menos de 500 utilizadores com MFA ativada ou aplicada por utilizador

Para aplicar essa política a mais usuários, duplique-a e altere as atribuições.

Gorjeta

Usar o lápis Editar na parte superior para modificar a política de autenticação multifator por usuário gerenciada pela Microsoft pode resultar em um erro de falha na atualização . Para contornar esse problema, selecione Editar na seção Identidades excluídas da política.

Autenticação multifator e reautenticação para entradas arriscadas

Esta política abrange todos os utilizadores e requer MFA e reautenticação quando detetamos entradas de alto risco. Alto risco, neste caso, significa que algo sobre a maneira como o usuário entrou é fora do comum. Esses logins de alto risco podem incluir: viagens altamente anormais, ataques de pulverização de senha ou ataques de repetição de token. Para obter mais informações sobre essas definições de risco, consulte o artigo O que são deteções de risco.

Esta política destina-se a locatários do Microsoft Entra ID P2 onde os padrões de segurança não estão habilitados.

  • Se as licenças P2 forem iguais ou superiores ao total de usuários ativos registrados no MFA, a política abrangerá Todos os usuários.
  • Se os usuários ativos registrados no MFA excederem as licenças P2, criaremos e atribuiremos a política a um grupo de segurança limitado com base nas licenças P2 disponíveis. Você pode modificar a associação ao grupo de segurança da política.

Para evitar que invasores assumam o controle de contas, a Microsoft não permite que usuários arriscados se registrem para MFA.

Políticas de padrões de segurança

As políticas a seguir estão disponíveis para quando você atualizar do uso de padrões de segurança.

Bloquear a autenticação legada

Esta política impede que protocolos de autenticação herdados acessem aplicativos. A autenticação herdada refere-se a uma solicitação de autenticação feita por:

  • Clientes que não usam autenticação moderna (por exemplo, um cliente do Office 2010)
  • Qualquer cliente que use protocolos de email mais antigos, como IMAP, SMTP ou POP3
  • Qualquer tentativa de entrada usando autenticação herdada é bloqueada.

A maioria das tentativas de login comprometedoras observadas vem da autenticação herdada. Como a autenticação herdada não oferece suporte à autenticação multifator, um invasor pode ignorar seus requisitos de MFA usando um protocolo mais antigo.

Exigir autenticação multifator para gerenciamento do Azure

Esta política abrange todos os utilizadores quando estão a tentar aceder a vários serviços do Azure geridos através da API do Azure Resource Manager, incluindo:

  • Portal do Azure
  • Centro de administração do Microsoft Entra
  • Azure PowerShell
  • CLI do Azure

Ao tentar acessar qualquer um desses recursos, o usuário é obrigado a concluir o MFA antes de obter acesso.

Exigir autenticação multifator para administradores

Esta política abrange qualquer utilizador com uma das 14 funções de administrador que consideramos altamente privilegiadas. Devido ao poder que essas contas altamente privilegiadas têm, elas são obrigadas a MFA sempre que entrarem em qualquer aplicativo.

Exigir autenticação multifator para todos os usuários

Esta política abrange todos os usuários em sua organização e exige que eles façam MFA sempre que entrarem. Na maioria dos casos, a sessão persiste no dispositivo e os usuários não precisam concluir a MFA quando interagem com outro aplicativo.

Como vejo os efeitos destas políticas?

Os administradores podem examinar a seção Impacto da política nas entradas para ver um resumo rápido do efeito da política em seu ambiente.

Captura de tela mostrando o impacto de uma política na organização.

Os administradores podem ir mais fundo e examinar os logs de entrada do Microsoft Entra para ver essas políticas em ação em sua organização.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Leitor de Relatórios.
  2. Navegue até Monitoramento de identidade>& logs de entrada de>.
  3. Encontre o início de sessão específico que pretende rever. Adicione ou remova filtros e colunas para filtrar informações desnecessárias.
    1. Para restringir o escopo, adicione filtros como:
      1. ID de correlação quando tem um evento específico para investigar.
      2. Acesso condicional para ver o fracasso e o sucesso da política. Defina o âmbito do filtro para mostrar apenas falhas para limitar os resultados.
      3. Nome de utilizador para ver informações relacionadas com utilizadores específicos.
      4. Data no âmbito do intervalo de tempo em questão.
  4. Quando o evento de início de sessão correspondente ao início de sessão do utilizador for encontrado, selecione o separador Acesso Condicional. O separador Acesso Condicional mostra a política ou políticas específicas que resultaram na interrupção do início de sessão.
    1. Para investigar mais, faça uma busca detalhada na configuração das políticas clicando no Nome da política. Clicar no Nome da política mostra a interface do usuário de configuração da política para a política selecionada para revisão e edição.
    2. Os detalhes do utilizador cliente e do dispositivo que foram utilizados na avaliação da política de Acesso Condicional também estão disponíveis nos separadores Informações Básicas, Localização, Informações do Dispositivo, Detalhes de Autenticação e Detalhes Adicionais do evento de início de sessão.

Perguntas frequentes

O que é Acesso Condicional?

O Acesso Condicional é um recurso do Microsoft Entra que permite que as organizações imponham requisitos de segurança ao acessar recursos. O Acesso Condicional é normalmente utilizado para impor a autenticação multifator, a configuração do dispositivo ou os requisitos da localização da rede.

Estas políticas podem ser consideradas lógicas, se depois declaradas.

Se as atribuições (usuários, recursos e condições) forem verdadeiras, aplique os controles de acesso (concessão e/ou sessão) na política. Se você é um administrador que deseja acessar um dos portais de administração da Microsoft, então você deve executar a autenticação multifator para provar que é realmente você.

E se eu quiser fazer mais alterações?

Os administradores podem optar por fazer mais alterações nessas políticas duplicando-as usando o botão Duplicar no modo de exibição de lista de políticas. Esta nova política pode ser configurada da mesma forma que qualquer outra política de Acesso Condicional a partir de uma posição recomendada pela Microsoft. Tenha cuidado para não baixar inadvertidamente a sua postura de segurança com essas alterações.

Que funções de administrador são abrangidas por estas políticas?

  • Administrador Global
  • Administrador da Aplicação
  • Administrador de Autenticação
  • Administrador de Faturação
  • Administrador de Aplicações na Cloud
  • Administrador de Acesso Condicional
  • Administrador do Exchange
  • Administrador do Helpdesk
  • Administrador de senha
  • Administrador de Autenticação Privilegiada
  • Administrador de Funções com Privilégios
  • Administrador de Segurança
  • Administrador do SharePoint
  • Administrador de Utilizadores

E se eu usar uma solução diferente para autenticação multifator?

Autenticação multifator concluída usando métodos de autenticação externos satisfazem os requisitos de MFA das políticas geridas pela Microsoft.

Quando a autenticação multifator é concluída por meio de um provedor de identidade federada (IdP), ela pode satisfazer os requisitos de MFA do Microsoft Entra ID, dependendo da sua configuração. Para obter mais informações, consulte como cumprir os controlos de autenticação multifator do Microsoft Entra ID com as declarações de MFA de um IdP federado.

E se eu usar a Autenticação Certificate-Based?

Dependendo da configuração do seu arrendatário para a autenticação Certificate-Based (CBA), ela pode funcionar como autenticação de fator único ou multifator.

  • Se sua organização tiver o CBA configurado como fator único, os usuários precisarão usar um segundo método de autenticação para satisfazer a MFA. Para obter mais informações sobre as combinações permitidas de métodos de autenticação para MFA com CBA de fator único, consulte MFA com autenticação baseada em certificado de fator único.
  • Se sua organização tiver o CBA configurado como multifator, os usuários poderão concluir o MFA com seu método de autenticação CBA.

Nota

O CBA é considerado um método compatível com MFA no Microsoft Entra ID, portanto, os usuários no escopo do método de autenticação CBA serão obrigados a usar o MFA para registrar novos métodos de autenticação. Para registar o MFA para utilizadores de CBA de fator único sem outros métodos de autenticação registados, consulte a secção Opções de para obter a capacidade de MFA com certificados de fator único.

E se eu usar controles personalizados?

Os controlos personalizados não satisfazem os requisitos de declaração de autenticação multifatorial. Se sua organização usa controles personalizados, você deve migrar para métodos de autenticação externos, a substituição de controles personalizados. Seu provedor de autenticação externo precisa oferecer suporte a métodos de autenticação externos e fornecer a orientação de configuração necessária para sua integração.

Próximos passos