Resumo do Microsoft 365 para segurança empresarial para a Contoso Corporation
Para obter aprovação para implementar o Microsoft 365 para grandes empresas, o departamento de segurança de TI da Contoso realizou uma análise de segurança completa. Identificaram os seguintes requisitos de segurança para a cloud:
- Utilize os métodos de autenticação mais fortes para o acesso dos funcionários aos recursos da cloud.
- Certifique-se de que os PCs e os dispositivos móveis ligam e acedem às aplicações de formas seguras.
- Proteja PCs e e-mails contra software maligno.
- As permissões em recursos digitais baseados na cloud definem quem pode aceder ao quê e o que podem fazer e foram concebidas para acesso com menos privilégios
- Os recursos digitais confidenciais e altamente regulados são etiquetados, encriptados e armazenados em localizações seguras.
- Os recursos digitais altamente regulados estão protegidos com encriptação e permissões adicionais.
- A equipa de segurança de TI pode monitorizar a atual postura de segurança a partir de dashboards centrais e receber notificações de eventos de segurança para resposta e mitigação rápidas.
O caminho da Contoso para a preparação de segurança do Microsoft 365
A Contoso seguiu estes passos para preparar a segurança para a implementação do Microsoft 365 para grandes empresas:
Limitar contas de administrador para a cloud
A Contoso fez uma revisão extensiva das contas de administrador do Active Directory Domain Services (AD DS) existentes e configurou uma série de contas e grupos de administradores da cloud dedicados.
Classificar dados em três níveis de segurança
A Contoso fez uma análise cuidadosa e determinou os três níveis, que foram utilizados para identificar as funcionalidades do Microsoft 365 para empresas para proteger os dados mais valiosos.
Determinar políticas de acesso, retenção e proteção de informações para níveis de dados
Com base nos níveis de dados, a Contoso determinou requisitos detalhados para qualificar futuras cargas de trabalho de TI que são movidas para a cloud.
Para seguir as melhores práticas de segurança e os requisitos de implementação do Microsoft 365 para grandes empresas, os administradores de segurança da Contoso e o respetivo departamento de TI implementaram muitas funcionalidades e capacidades de segurança, conforme descrito nas secções seguintes.
Gestão de identidades e acessos
Contas de administrador global dedicadas com MFA e PIM
Em vez de atribuir a função de administrador global a contas de utilizador diárias, a Contoso criou três contas de administrador global dedicadas com palavras-passe fortes. As contas estão protegidas por Microsoft Entra autenticação multifator (MFA) e Microsoft Entra Privileged Identity Management (PIM). O PIM só está disponível com Microsoft 365 E5.
Iniciar sessão com um administrador Microsoft Entra DC ou conta de administrador global só é feito para tarefas administrativas específicas. As palavras-passe só são conhecidas pela equipa designada e só podem ser utilizadas num período de tempo configurado no Microsoft Entra PIM.
Os administradores de segurança da Contoso atribuíram funções de administrador menores a contas adequadas à função de trabalho desse trabalhador de TI.
Para obter mais informações, consulte Sobre as funções de administrador do Microsoft 365.
MFA para todas as contas de utilizador
A MFA adiciona uma camada adicional de proteção ao processo de início de sessão. Requer que os utilizadores reconheçam uma chamada telefónica, mensagem de texto ou notificação de aplicação no seu smartphone depois de introduzirem corretamente a palavra-passe. Com a MFA, Microsoft Entra contas de utilizador estão protegidas contra o início de sessão não autorizado, mesmo que uma palavra-passe de conta esteja comprometida.
- Para se proteger contra o comprometimento da subscrição do Microsoft 365, a Contoso requer a MFA em todos os Microsoft Entra administrador dc ou contas de administrador global.
- Para proteger contra ataques de phishing, em que um atacante compromete as credenciais de uma pessoa fidedigna na organização e envia e-mails maliciosos, a MFA ativada pela Contoso em todas as contas de utilizador, incluindo gestores e executivos.
Acesso mais seguro a dispositivos e aplicações com políticas de Acesso Condicional
A Contoso está a utilizar políticas de Acesso Condicional para identidade, dispositivos, Exchange Online e SharePoint. As políticas de Acesso Condicional de Identidade incluem a necessidade de alterações de palavra-passe para utilizadores de alto risco e o bloqueio da utilização de aplicações que não suportam a autenticação moderna. As políticas de dispositivos incluem a definição de aplicações aprovadas e a necessidade de PCs e dispositivos móveis em conformidade. Exchange Online políticas de Acesso Condicional incluem bloquear clientes ActiveSync e configurar Office 365 encriptação de mensagens. As políticas de Acesso Condicional do SharePoint incluem proteção adicional para sites confidenciais e altamente regulados.
Windows Hello para Empresas
A Contoso implementou Windows Hello para Empresas para, eventualmente, eliminar a necessidade de palavras-passe através de uma autenticação forte de dois fatores em PCs e dispositivos móveis com Windows 11 Enterprise.
Windows Defender Credential Guard
Para bloquear ataques direcionados e software maligno em execução no sistema operativo com privilégios administrativos, a Contoso ativou o Windows Defender Credential Guard através da política de grupo do AD DS.
Proteção contra ameaças
Proteção contra software maligno com o Antivírus Microsoft Defender
A Contoso está a utilizar Microsoft Defender Antivírus para proteção contra software maligno e gestão antimalware para PCs e dispositivos com Windows 11 Enterprise.
Proteger o fluxo de e-mail e o registo de auditoria da caixa de correio com Microsoft Defender para Office 365
A Contoso está a utilizar Proteção do Exchange Online e Defender para Office 365 para proteger contra software maligno desconhecido, vírus e URLs maliciosos transmitidos através de e-mails.
A Contoso também ativou o registo de auditoria da caixa de correio para identificar quem inicia sessão nas caixas de correio dos utilizadores, envia mensagens e efetua outras atividades realizadas pelo proprietário da caixa de correio, um utilizador delegado ou um administrador.
Monitorização e prevenção de ataques com Office 365 investigação e resposta a ameaças
A Contoso utiliza Office 365 investigação e resposta a ameaças para proteger os utilizadores, facilitando a identificação e resolução de ataques e a prevenção de ataques futuros.
Proteção contra ataques sofisticados com o Advanced Threat Analytics
A Contoso está a utilizar o Advanced Threat Analytics (ATA) para se proteger de ataques direcionados avançados. O ATA analisa, aprende e identifica automaticamente o comportamento normal e anormal da entidade (utilizador, dispositivos e recursos).
Proteção de informações
Proteger recursos digitais confidenciais e altamente regulados com etiquetas de Information Protection do Azure
A Contoso determinou três níveis de proteção de dados e implementou etiquetas de confidencialidade do Microsoft 365 que os utilizadores aplicam aos recursos digitais. Para os seus segredos comerciais e outra propriedade intelectual, a Contoso utiliza sub-etiquetas de confidencialidade para dados altamente regulados. Este processo encripta conteúdo e restringe o acesso a contas e grupos de utilizadores específicos.
Impedir fugas de dados da intranet com a Prevenção de Perda de Dados
A Contoso configurou políticas de Prevenção de Perda de Dados do Microsoft Purview para Exchange Online, SharePoint e OneDrive para Empresas para impedir que os utilizadores partilhem dados confidenciais acidentalmente ou intencionalmente.
Impedir que os dados do dispositivo vazem Information Protection do Windows
A Contoso está a utilizar o Windows Information Protection (WIP) para proteger contra fugas de dados através de aplicações e serviços baseados na Internet e de aplicações empresariais e dados em dispositivos pertencentes à empresa e dispositivos pessoais que os funcionários trazem para o trabalho.
Monitorização da cloud com Microsoft Defender for Cloud Apps
A Contoso está a utilizar Microsoft Defender for Cloud Apps para mapear o respetivo ambiente na cloud, monitorizar a utilização e detetar eventos e incidentes de segurança. Microsoft Defender for Cloud Apps só está disponível com Microsoft 365 E5.
Gestão de dispositivos com o Microsoft Intune
A Contoso utiliza Microsoft Intune para inscrever, gerir e configurar o acesso a dispositivos móveis e às aplicações que são executadas nos mesmos. As políticas de Acesso Condicional baseadas no dispositivo também requerem aplicações aprovadas e PCs e dispositivos móveis em conformidade.
Gestão de segurança
Dashboard de segurança central para TI com Microsoft Defender para a Cloud
A Contoso utiliza o Microsoft Defender para a Cloud para apresentar uma vista unificada de segurança e proteção contra ameaças, para gerir políticas de segurança nas suas cargas de trabalho e para responder a ciberataques.
Dashboard de segurança central para utilizadores com o Centro de Segurança do Windows Defender
A Contoso implementou a aplicação Segurança do Windows nos respetivos PCs e dispositivos em execução Windows 11 Enterprise para que os utilizadores possam ver rapidamente a sua postura de segurança e tomar medidas.