Partilhar via


Passo 3: Proteger as suas contas de utilizador do Microsoft 365

Veja todos os nossos conteúdos para pequenas empresas em Ajuda e aprendizagem para pequenas empresas.

Para aumentar a segurança dos inícios de sessão do utilizador:

  • Utilizar Windows Hello para Empresas
  • Utilizar Microsoft Entra Proteção por Palavra-passe
  • Utilizar a autenticação multifator (MFA)
  • Implementar configurações de acesso a identidades e dispositivos
  • Proteger contra o comprometimento de credenciais com Microsoft Entra ID Protection

Windows Hello para Empresas

Windows Hello para Empresas no Windows 11 Enterprise substitui as palavras-passe por uma autenticação forte de dois fatores ao iniciar sessão num dispositivo Windows. Os dois fatores são um novo tipo de credencial de utilizador que está ligado a um dispositivo e a um biométrico ou PIN.

Para obter mais informações, consulte Descrição Geral do Windows Hello para Empresas.

Proteção por Palavra-passe do Microsoft Entra

Microsoft Entra a Proteção de Palavras-passe deteta e bloqueia palavras-passe fracas conhecidas e respetivas variantes e também pode bloquear termos fracos adicionais específicos da sua organização. As listas de palavras-passe global banidas predefinidas são aplicadas automaticamente a todos os utilizadores num inquilino Microsoft Entra. Pode definir entradas adicionais numa lista personalizada de palavras-passe banidas. Quando os utilizadores alteram ou repõem as respetivas palavras-passe, estas listas de palavras-passe banidas são verificadas para impor a utilização de palavras-passe fortes.

Para obter mais informações, veja Configurar Microsoft Entra proteção por palavra-passe.

MFA

A MFA exige que os inícios de sessão do utilizador estejam sujeitos a uma verificação adicional para além da palavra-passe da conta de utilizador. Mesmo que um utilizador mal intencionado determine uma palavra-passe de conta de utilizador, também tem de conseguir responder a uma verificação adicional, como uma mensagem de texto enviada para um smartphone antes de o acesso ser concedido.

A palavra-passe correta e uma verificação adicional resultam num início de sessão bem-sucedido.

O primeiro passo na utilização da MFA é requerê-lo para todas as contas de administrador, também conhecidas como contas com privilégios. Para além deste primeiro passo, a Microsoft recomenda a MFA para todos os utilizadores.

Existem três formas de exigir que os seus utilizadores utilizem a MFA com base no seu plano do Microsoft 365.

Plano Recomendação
Todos os planos do Microsoft 365 (sem licenças P1 ou P2 Microsoft Entra ID) Ative as predefinições de segurança no Microsoft Entra ID. As predefinições de segurança no Microsoft Entra ID incluem a MFA para utilizadores e administradores.
Microsoft 365 E3 (inclui licenças P1 Microsoft Entra ID) Utilize as políticas de Acesso Condicional comuns para configurar as seguintes políticas:
- Exigir MFA para administradores
- Exigir MFA para todos os utilizadores
- Bloquear autenticação legada
Microsoft 365 E5 (inclui licenças P2 Microsoft Entra ID) Tirando partido do Microsoft Entra ID Protection, comece a implementar o conjunto recomendado da Microsoft de Acesso Condicional e políticas relacionadas ao criar estas duas políticas:
- Exigir MFA quando o risco de início de sessão é médio ou elevado
- Os utilizadores de alto risco têm de alterar a palavra-passe

Pode encontrar mais informações sobre como gerir a MFA em Autenticação multifator para o Microsoft 365.

Predefinições de segurança

As predefinições de segurança são uma nova funcionalidade para o Microsoft 365 e Office 365 subscrições pagas ou de avaliação criadas após 21 de outubro de 2019. Estas subscrições têm predefinições de segurança ativadas, o que requer que todos os seus utilizadores utilizem a MFA com a aplicação Microsoft Authenticator.

Os utilizadores têm 14 dias para se registarem na MFA com a aplicação Microsoft Authenticator a partir dos seus smartphones, que começa a partir da primeira vez que iniciam sessão após a ativação das predefinições de segurança. Após 14 dias, o utilizador não poderá iniciar sessão até que o registo MFA esteja concluído.

As predefinições de segurança garantem que todas as organizações têm um nível básico de segurança para o início de sessão do utilizador que está ativado por predefinição. Pode desativar as predefinições de segurança a favor da MFA com políticas de Acesso Condicional ou contas individuais.

Para obter mais informações, veja a descrição geral das predefinições de segurança.

Políticas de Acesso Condicional

As políticas de Acesso Condicional são um conjunto de regras que especificam as condições em que os inícios de sessão são avaliados e o acesso é concedido. Por exemplo, pode criar uma política de Acesso Condicional que indique:

  • Se o nome da conta de utilizador for membro de um grupo para utilizadores a quem são atribuídas as funções exchange, utilizador, palavra-passe, segurança, SharePoint, administrador do Exchange, administrador do SharePoint ou Administrador global , exija mFA antes de permitir o acesso.

Esta política permite-lhe exigir a MFA com base na associação a grupos, em vez de tentar configurar contas de utilizador individuais para a MFA quando são atribuídas ou não atribuídas a partir destas funções de administrador.

Também pode utilizar políticas de Acesso Condicional para capacidades mais avançadas, tais como exigir que o início de sessão seja feito a partir de um dispositivo em conformidade, como o portátil com Windows 11.

O Acesso Condicional requer licenças Microsoft Entra ID P1, que estão incluídas no Microsoft 365 E3 e no E5.

Para obter mais informações, veja a descrição geral do Acesso Condicional.

Utilizar estes métodos em conjunto

Tenha em atenção o seguinte:

  • Não pode ativar as predefinições de segurança se tiver políticas de Acesso Condicional ativadas.
  • Não pode ativar políticas de Acesso Condicional se tiver as predefinições de segurança ativadas.

Se as predefinições de segurança estiverem ativadas, é pedido a todos os novos utilizadores o registo MFA e a utilização da aplicação Microsoft Authenticator.

Esta tabela mostra os resultados da ativação da MFA com predefinições de segurança e políticas de Acesso Condicional.

Método Ativado Desativado Método de autenticação adicional
Predefinições de segurança Não é possível utilizar políticas de Acesso Condicional Pode utilizar políticas de Acesso Condicional Aplicação Microsoft Authenticator
Políticas de Acesso Condicional Se alguma estiver ativada, não pode ativar as predefinições de segurança Se todos estiverem desativados, pode ativar as predefinições de segurança O utilizador especifica durante o registo MFA

Identidade Confiança Zero e configurações de acesso a dispositivos

Confiança Zero definições e políticas de acesso a dispositivos e identidades são funcionalidades de pré-requisito recomendadas e respetivas definições combinadas com o Acesso Condicional, Intune e políticas de Microsoft Entra ID Protection que determinam se um determinado pedido de acesso deve ser concedido e em que condições. Esta determinação baseia-se na conta de utilizador do início de sessão, no dispositivo que está a ser utilizado, na aplicação que o utilizador está a utilizar para aceder, na localização a partir da qual o pedido de acesso é feito e numa avaliação do risco do pedido. Esta capacidade ajuda a garantir que apenas os utilizadores e dispositivos aprovados podem aceder aos seus recursos críticos.

Nota

Microsoft Entra ID Protection requer licenças P2 Microsoft Entra ID, que estão incluídas no Microsoft 365 E5.

As políticas de acesso de identidades e dispositivos estão definidas para serem utilizadas em três camadas:

  • A proteção de linha de base é um nível mínimo de segurança para as suas identidades e dispositivos que acedem às suas aplicações e dados.
  • A proteção confidencial fornece segurança adicional para dados específicos. As identidades e os dispositivos estão sujeitos a níveis mais elevados de requisitos de segurança e estado de funcionamento do dispositivo.
  • A proteção de ambientes com dados altamente regulados ou classificados destina-se, normalmente, a pequenas quantidades de dados altamente classificados, que contêm segredos comerciais ou estão sujeitos a regulamentos de dados. As identidades e os dispositivos estão sujeitos a níveis muito mais elevados de requisitos de segurança e estado de funcionamento dos dispositivos.

Estas camadas e as respetivas configurações correspondentes fornecem níveis consistentes de proteção em todos os seus dados, identidades e dispositivos.

A Microsoft recomenda vivamente a configuração e implementação de políticas de identidade e acesso de dispositivos Confiança Zero na sua organização, incluindo definições específicas para o Microsoft Teams, Exchange Online e SharePoint. Para obter mais informações, veja Confiança Zero configurações de identidade e acesso a dispositivos.

Microsoft Entra ID Protection

Nesta secção, irá aprender a configurar políticas que protegem contra o comprometimento de credenciais, em que um atacante determina o nome de conta e a palavra-passe de um utilizador para obter acesso aos serviços cloud e aos dados de uma organização. Microsoft Entra ID Protection fornece várias formas de ajudar a impedir que um atacante comprometa as credenciais de uma conta de utilizador.

Com Microsoft Entra ID Protection, pode:

Capacidade Descrição
Determinar e resolver potenciais vulnerabilidades nas identidades da sua organização Microsoft Entra ID utiliza machine learning para detetar anomalias e atividades suspeitas, tais como inícios de sessão e atividades de pós-início de sessão. Com estes dados, Microsoft Entra ID Protection gera relatórios e alertas que o ajudam a avaliar os problemas e a tomar medidas.
Detetar ações suspeitas relacionadas com as identidades da sua organização e responder automaticamente às mesmas Pode configurar políticas baseadas em risco que respondam automaticamente a problemas detetados quando um nível de risco especificado é atingido. Estas políticas, além de outros controlos de Acesso Condicional fornecidos por Microsoft Entra ID e Microsoft Intune, podem bloquear automaticamente o acesso ou realizar ações corretivas, incluindo reposições de palavras-passe e a necessidade de Microsoft Entra autenticação multifator para inícios de sessão subsequentes.
Investigar incidentes suspeitos e resolvê-los com ações administrativas Pode investigar eventos de risco com informações sobre o incidente de segurança. Os fluxos de trabalho básicos estão disponíveis para controlar investigações e iniciar ações de remediação, como reposições de palavras-passe.

Veja mais informações sobre Microsoft Entra ID Protection.

Veja os passos para ativar Microsoft Entra ID Protection.

Administração recursos técnicos para MFA e inícios de sessão seguros

Passo seguinte

Implementar o seu modelo de identidade

Continue com o Passo 4 para implementar a infraestrutura de identidade com base no modelo de identidade escolhido: