Políticas de segurança comuns para organizações do Microsoft 365
As organizações têm muito com que se preocupar ao implantar o Microsoft 365 para sua organização. As políticas de Acesso Condicional, proteção de aplicativos e conformidade de dispositivos mencionadas neste artigo baseiam-se nas recomendações da Microsoft e nos três princípios orientadores do Zero Trust:
- Verificar explicitamente
- Use o privilégio mínimo
- Assuma a violação
As organizações podem tomar essas políticas como estão ou personalizá-las para atender às suas necessidades. Se possível, teste suas políticas em um ambiente que não seja de produção antes de implementar para os usuários de produção. Os testes são essenciais para identificar e comunicar quaisquer possíveis efeitos aos seus utilizadores.
Agrupamos essas políticas em três níveis de proteção com base em onde você está em sua jornada de implantação:
- Ponto de partida - Controles básicos que introduzem autenticação multifator, alterações de senha segura e políticas de proteção de aplicativos.
- Enterprise - Controles aprimorados que introduzem a conformidade do dispositivo.
- Segurança especializada - Políticas que exigem autenticação multifator sempre para conjuntos de dados ou usuários específicos.
O diagrama a seguir mostra a qual nível de proteção cada política se aplica e se as políticas se aplicam a PCs ou telefones e tablets, ou a ambas as categorias de dispositivos.
Você pode baixar este diagrama como um arquivo PDF .
Gorjeta
Recomenda-se exigir o uso da autenticação multifator (MFA) antes de registrar dispositivos no Intune para garantir que o dispositivo esteja na posse do usuário pretendido. Tem de inscrever dispositivos no Intune antes de poder aplicar políticas de conformidade de dispositivos.
Pré-requisitos
Permissões
- Os administradores que gerenciam políticas de Acesso Condicional devem ser capazes de entrar no portal do Azure como pelo menos um Administrador de Acesso Condicional .
- Os administradores que gerem a proteção de aplicações e as políticas de conformidade de dispositivos têm de poder iniciar sessão no Intune como pelo menos um Administrador do Intune.
- Os utilizadores que apenas precisam de visualizar configurações podem ser atribuídos o papel Leitor de Segurança.
Para obter mais informações sobre funções e permissões, consulte o artigo Funções internas do Microsoft Entra.
Registo de utilizador
Certifique-se de que seus usuários se registrem para autenticação multifator antes de exigir seu uso. Se você tiver licenças que incluam o Microsoft Entra ID P2, poderá usar a política de registro de MFA dentro do Microsoft Entra ID Protection para exigir que os usuários se registrem. Disponibilizamos modelos de comunicação que pode descarregar e personalizar, para promover o registo.
Grupos
Todos os grupos do Microsoft Entra usados como parte dessas recomendações devem ser criados como um grupo do Microsoft 365 e não como um grupo de segurança. Esse requisito é importante para a implantação de rótulos de confidencialidade ao proteger documentos no Microsoft Teams e no SharePoint posteriormente. Para obter mais informações, consulte o artigo Saiba mais sobre grupos e direitos de acesso no Microsoft Entra ID
Atribuição de políticas
As políticas de Acesso Condicional podem ser atribuídas a usuários, grupos e funções de administrador. A proteção de aplicativos do Intune e as políticas de conformidade de dispositivos só podem ser atribuídas a grupos . Antes de configurar suas políticas, identifique quem deve ser incluído e excluído. Normalmente, as políticas de nível de proteção de ponto de partida aplicam-se a todos na organização.
Aqui está um exemplo de atribuição de grupo e exclusões para exigir MFA depois que os usuários concluírem registro de usuário.
Política de Acesso Condicional do Microsoft Entra | Incluir | Excluir | |
---|---|---|---|
Ponto de partida | Exigir autenticação multifator para risco de entrada médio ou alto | Todos os utilizadores |
|
Enterprise | Exigir autenticação multifator para risco de entrada baixo, médio ou alto | Grupo de pessoal executivo |
|
Segurança especializada | Exigir autenticação multifator sempre | Grupo Top Secret Project Buckeye |
|
Tenha cuidado ao aplicar níveis mais elevados de proteção a grupos e utilizadores. O objetivo da segurança não é adicionar atrito desnecessário à experiência do usuário. Por exemplo, os membros do grupo Top Secret Project Buckeye devem usar o MFA sempre que entrarem, mesmo que não estejam trabalhando no conteúdo de segurança especializado para seu projeto. O atrito excessivo com a segurança pode levar à fadiga.
Você deve considerar habilitar métodos de autenticação resistentes a phising,, como chaves de segurança do Windows Hello for Business ou FIDO2 para reduzir algum atrito criado por determinados controles de segurança.
Contas de acesso de emergência
Todas as organizações devem ter pelo menos uma conta de acesso de emergência monitorada para uso e excluída das políticas. Essas contas só são usadas no caso de todas as outras contas de administrador e métodos de autenticação ficarem bloqueados ou indisponíveis. Mais informações podem ser encontradas no artigo Gerenciar contas de acesso de emergência no Microsoft Entra ID.
Exclusões
Uma prática recomendada é criar um grupo do Microsoft Entra para exclusões de Acesso Condicional. Esse grupo oferece um meio de fornecer acesso a um usuário enquanto você soluciona problemas de acesso.
Aviso
Este grupo é recomendado para utilização apenas como solução temporária. Monitore e audite continuamente esse grupo em busca de alterações e certifique-se de que o grupo de exclusão está sendo usado apenas como pretendido.
Para adicionar este grupo de exclusão a quaisquer políticas existentes:
- Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.
- Navegue até Acesso condicional de proteção>.
- Selecione uma política existente.
- Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
- Em Excluir, selecione Usuários e grupos e escolha as contas de acesso de emergência ou de vidro de quebra da sua organização e o grupo de exclusão de Acesso Condicional.
Implementação
Recomendamos a implementação das políticas de ponto de partida na ordem listada nesta tabela. No entanto, as políticas de MFA para níveis de proteção de segurança empresariais e especializados podem ser implementadas a qualquer momento.
Ponto de partida
Política | Mais informações | Licenciamento |
---|---|---|
Exigir MFA quando o risco de entrada for médio ou alto | Use dados de risco do Microsoft Entra ID Protection para exigir MFA somente quando o risco for detetado | Microsoft 365 E5 ou Microsoft 365 E3 com o complemento de segurança E5 |
Bloquear clientes que não suportam autenticação moderna | Os clientes que não usam autenticação moderna podem ignorar as políticas de Acesso Condicional, por isso é importante bloqueá-los. | Microsoft 365 E3 ou E5 |
Usuários de alto risco devem alterar a senha | Força os usuários a alterar sua senha ao entrar se atividades de alto risco forem detetadas em suas contas. | Microsoft 365 E5 ou Microsoft 365 E3 com o complemento de segurança E5 |
Aplicar políticas de proteção de aplicativos para proteção de dados | Uma política de proteção de aplicações do Intune por plataforma (Windows, iOS/iPadOS, Android). | Microsoft 365 E3 ou E5 |
Exigir aplicativos aprovados e políticas de proteção de aplicativos | Aplica políticas de proteção de aplicativos móveis para telefones e tablets que usam iOS, iPadOS ou Android. | Microsoft 365 E3 ou E5 |
Grandes Empresas
Política | Mais informações | Licenciamento |
---|---|---|
Exigir MFA quando o risco de entrada for baixo, médio ou alto | Use dados de risco do Microsoft Entra ID Protection para exigir MFA somente quando o risco for detetado | Microsoft 365 E5 ou Microsoft 365 E3 com o complemento de segurança E5 |
Definir políticas de conformidade de dispositivos | Defina requisitos mínimos de configuração. Uma política para cada plataforma. | Microsoft 365 E3 ou E5 |
Requer PCs e dispositivos móveis compatíveis | Impõe os requisitos de configuração para dispositivos que acessam sua organização | Microsoft 365 E3 ou E5 |
Segurança especializada
Política | Mais informações | Licenciamento |
---|---|---|
Exigir sempre MFA | Os usuários devem executar MFA sempre que entrarem nos serviços da sua organização | Microsoft 365 E3 ou E5 |
Políticas de proteção de aplicativos
As políticas de proteção de aplicativos definem quais aplicativos são permitidos e as ações que eles podem tomar com os dados da sua organização. Há muitas opções disponíveis e pode ser confuso para alguns. As linhas de base a seguir são as configurações recomendadas pela Microsoft que podem ser adaptadas às suas necessidades. Nós fornecemos três modelos a seguir, mas acho que a maioria das organizações escolhe os níveis 2 e 3.
O nível 2 mapeia para o que consideramos ponto de partida ou segurança de nível empresarial , o nível 3 mapeia para segurança especializada .
Proteção básica de dados empresariais de nível 1 – A Microsoft recomenda esta configuração como a configuração mínima de proteção de dados para um dispositivo empresarial.
Proteção de dados aprimorada corporativa de nível 2 – A Microsoft recomenda essa configuração para dispositivos em que os usuários acessam informações confidenciais ou confidenciais. Esta configuração é aplicável à maioria dos utilizadores móveis que acedem a dados do trabalho ou da escola. Alguns dos controles podem afetar a experiência do usuário.
Nível 3 de alta proteção de dados empresariais – A Microsoft recomenda essa configuração para dispositivos executados por uma organização com uma equipe de segurança maior ou mais sofisticada, ou para usuários ou grupos específicos que estão em risco exclusivamente alto (usuários que lidam com dados altamente confidenciais onde a divulgação não autorizada causa perda material considerável para a organização). As organizações que provavelmente são alvo de adversários sofisticados e bem financiados devem aspirar a esta configuração.
Criar políticas de proteção de aplicativos
Crie uma nova política de proteção de aplicativos para cada plataforma (iOS e Android) no Microsoft Intune usando as configurações da estrutura de proteção de dados da seguinte forma:
- Crie manualmente as políticas seguindo as etapas em Como criar e implantar políticas de proteção de aplicativos com o Microsoft Intune.
- Importe os modelos JSON da Estrutura de Configuração da Política de Proteção de Aplicativos do Intune de exemplo com os scripts do PowerShell do Intune.
Políticas de conformidade de dispositivos
As políticas de conformidade de dispositivos do Intune definem os requisitos que os dispositivos devem atender para serem determinados como compatíveis.
Tem de criar uma política para cada plataforma de PC, telemóvel ou tablet. Este artigo aborda recomendações para as seguintes plataformas:
Criar políticas de conformidade de dispositivos
Para criar políticas de conformidade de dispositivos, inicie sessão no centro de administração do Microsoft Intune e navegue até Políticas de políticas de > Selecione Criar política.
Para obter orientação passo a passo sobre como criar políticas de conformidade no Intune, consulte Criar uma política de conformidade no Microsoft Intune.
Configurações de inscrição e conformidade para iOS/iPadOS
iOS/iPadOS suporta vários cenários de inscrição, dois dos quais são abordados como parte desta estrutura:
- Registro de dispositivos para dispositivos pessoais – esses dispositivos são de propriedade pessoal e usados para uso pessoal e profissional.
- Registro automatizado de dispositivos para dispositivos corporativos – esses dispositivos são de propriedade corporativa, associados a um único usuário e usados exclusivamente para trabalho e não uso pessoal.
Usando os princípios descritos em Zero Trust identidade e configurações de acesso ao dispositivo:
- O ponto de partida e os níveis de proteção empresarial são mapeados de perto com as configurações de segurança aprimorada de nível 2.
- O nível de proteção de segurança especializado está próximo das configurações de alta segurança de nível 3.
Configurações de conformidade para dispositivos registrados pessoalmente
- Segurança básica pessoal (Nível 1) – A Microsoft recomenda esta configuração como a configuração de segurança mínima para dispositivos pessoais onde os utilizadores acedem a dados do trabalho ou da escola. Essa configuração é feita impondo políticas de senha, características de bloqueio de dispositivo e desativando determinadas funções do dispositivo, como certificados não confiáveis.
- Segurança pessoal reforçada (Nível 2) – A Microsoft recomenda esta configuração para dispositivos em que os utilizadores acedem a informações confidenciais ou confidenciais. Essa configuração executa controles de compartilhamento de dados. Essa configuração é aplicável à maioria dos usuários móveis que acessam dados do trabalho ou da escola em um dispositivo.
- Alta segurança pessoal (Nível 3) – A Microsoft recomenda esta configuração para dispositivos usados por usuários ou grupos específicos que são exclusivamente de alto risco (usuários que lidam com dados altamente confidenciais onde a divulgação não autorizada causa perda material considerável para a organização). Esta configuração implementa políticas de palavra-passe mais fortes, desativa determinadas funções do dispositivo e impõe restrições adicionais de transferência de dados.
Configurações de conformidade para registro automatizado de dispositivos
- Segurança básica supervisionada (Nível 1) – A Microsoft recomenda esta configuração como a configuração de segurança mínima para dispositivos supervisionados onde os utilizadores acedem a dados do trabalho ou da escola. Essa configuração é feita impondo políticas de senha, características de bloqueio de dispositivo e desativando determinadas funções do dispositivo, como certificados não confiáveis.
- Segurança reforçada supervisionada (Nível 2) – A Microsoft recomenda esta configuração para dispositivos em que os utilizadores acedem a informações confidenciais. Esta configuração executa controlos de partilha de dados e bloqueia o acesso a dispositivos USB. Essa configuração é aplicável à maioria dos usuários móveis que acessam dados do trabalho ou da escola em um dispositivo.
- Alta segurança supervisionada (Nível 3) – A Microsoft recomenda esta configuração para dispositivos usados por usuários ou grupos específicos que são exclusivamente de alto risco (usuários que lidam com dados altamente confidenciais onde a divulgação não autorizada causa perdas materiais consideráveis para a organização). Esta configuração implementa políticas de palavra-passe mais fortes, desativa determinadas funções do dispositivo, impõe restrições adicionais de transferência de dados e exige que as aplicações sejam instaladas através do programa de compra por volume da Apple.
Configurações de inscrição e conformidade para Android
O Android Enterprise suporta vários cenários de inscrição, dois dos quais são abordados como parte desta estrutura:
- Perfil de trabalho do Android Enterprise – este modelo de inscrição é normalmente usado para dispositivos pessoais, onde a TI deseja fornecer um limite de separação claro entre trabalho e dados pessoais. As políticas controladas pela TI garantem que os dados de trabalho não possam ser transferidos para o perfil pessoal.
- Dispositivos totalmente geridos Android Enterprise – estes dispositivos são propriedade da empresa, associados a um único utilizador e utilizados exclusivamente para trabalho e não para uso pessoal.
A estrutura de configuração de segurança do Android Enterprise está organizada em vários cenários de configuração distintos, fornecendo orientação para perfis de trabalho e cenários totalmente gerenciados.
Usando os princípios descritos em Zero Trust identidade e configurações de acesso ao dispositivo:
- O ponto de partida e os níveis de proteção empresarial são mapeados de perto com as configurações de segurança aprimorada de nível 2.
- O nível de proteção de segurança especializado está próximo das configurações de alta segurança de nível 3.
Configurações de conformidade para dispositivos de perfil de trabalho Android Enterprise
- Devido às configurações disponíveis para dispositivos de perfil de trabalho de propriedade pessoal, não há nenhuma oferta de segurança básica (nível 1). As configurações disponíveis não justificam uma diferença entre o nível 1 e o nível 2.
- Segurança reforçada do perfil de trabalho (Nível 2) – A Microsoft recomenda esta configuração como a configuração de segurança mínima para dispositivos pessoais onde os utilizadores acedem a dados do trabalho ou da escola. Esta configuração introduz requisitos de palavra-passe, separa dados profissionais e pessoais e valida o certificado do dispositivo Android.
- Perfil de trabalho de alta segurança (Nível 3) – A Microsoft recomenda essa configuração para dispositivos usados por usuários ou grupos específicos que são exclusivamente de alto risco (usuários que lidam com dados altamente confidenciais onde a divulgação não autorizada causa perdas materiais consideráveis para a organização). Essa configuração introduz a defesa contra ameaças móveis ou o Microsoft Defender for Endpoint, define a versão mínima do Android, adota políticas de senha mais fortes e restringe ainda mais a separação pessoal e de trabalho.
Configurações de conformidade para dispositivos Android Enterprise totalmente gerenciados
- Segurança básica totalmente gerenciada (Nível 1) – A Microsoft recomenda essa configuração como a configuração de segurança mínima para um dispositivo corporativo. Esta configuração é aplicável à maioria dos utilizadores móveis que acedem a dados do trabalho ou da escola. Esta configuração introduz requisitos de palavra-passe, define a versão mínima do Android e decreta determinadas restrições de dispositivo.
- Segurança melhorada totalmente gerida (Nível 2) – A Microsoft recomenda esta configuração para dispositivos em que os utilizadores acedem a informações confidenciais. Essa configuração implementa políticas de senha mais fortes e desabilita os recursos de usuário/conta.
- Alta segurança totalmente gerenciada (Nível 3) - A Microsoft recomenda essa configuração para dispositivos usados por usuários ou grupos específicos que são exclusivamente de alto risco. Esses usuários podem lidar com dados altamente confidenciais onde a divulgação não autorizada pode causar perdas materiais consideráveis para a organização. Essa configuração aumenta a versão mínima do Android, introduz a defesa contra ameaças móveis ou o Microsoft Defender for Endpoint e impõe restrições extras ao dispositivo.
Configurações de conformidade recomendadas para o Windows 10 e versões posteriores
As seguintes configurações são definidas na Etapa 2: Configurações de conformidade, do processo de criação da política de conformidade para Windows 10 e dispositivos mais recentes. Essas configurações se alinham com os princípios descritos nas configurações de identidade e acesso ao dispositivo do Zero Trust.
Para conhecer as regras de avaliação do Serviço > de Atestado de Integridade do Windows para integridade, consulte esta tabela.
Property | valor |
---|---|
Exigir BitLocker | Requerer |
Exigir que a Inicialização Segura esteja habilitada no dispositivo | Requerer |
Exigir integridade do código | Requerer |
Para Propriedades do dispositivo, especifique os valores apropriados para as versões do sistema operacional com base em suas políticas de TI e segurança.
Para Conformidade com o Configuration Manager, se você estiver em um ambiente cogerenciado com o Configuration Manager, selecione Exigir caso contrário, selecione Não configurado.
Para Segurança do sistema, consulte esta tabela.
Property | valor |
---|---|
Palavra-passe obrigatória para desbloquear os dispositivos móveis | Requerer |
Palavras-passe simples | Bloquear |
Tipo de palavra-passe | Padrão do dispositivo |
Comprimento mínimo da palavra-passe | 6 |
Máximo de minutos de inatividade antes de uma senha ser necessária | 15 minutos |
Expiração da palavra-passe (dias) | 41 |
Número de palavras-passe anteriores para evitar a reutilização | 5 |
Exigir senha quando o dispositivo retornar do estado ocioso (móvel e holográfico) | Requerer |
Exigir criptografia de armazenamento de dados no dispositivo | Requerer |
Firewall | Requerer |
Antivírus | Requerer |
Antispyware | Requerer |
Microsoft Defender Antimalware | Requerer |
Versão mínima do Microsoft Defender Antimalware | A Microsoft recomenda versões não mais do que cinco atrás da versão mais recente. |
Assinatura do Microsoft Defender Antimalware atualizada | Requerer |
Proteção em tempo real | Requerer |
Para o Microsoft Defender for Endpoint
Property | valor |
---|---|
Exigir que o dispositivo esteja na pontuação de risco da máquina ou abaixo dela | Médio |
Políticas de Acesso Condicional
Depois que as políticas de proteção de aplicativos e conformidade de dispositivo forem criadas no Intune, você poderá habilitar a imposição com políticas de Acesso Condicional.
Exigir MFA com base no risco de início de sessão
Siga as orientações no artigo Exigir autenticação multifator para risco de entrada elevado criar uma política para exigir autenticação multifator com base no risco de entrada.
Ao configurar sua política, use os seguintes níveis de risco.
Nível de proteção | Valores de nível de risco necessários | Ação |
---|---|---|
Ponto de partida | Alto, médio | Verifique ambos. |
Grandes Empresas | Alto, médio, baixo | Confira os três. |
Bloquear clientes que não suportam autenticação multifator
Siga as orientações no artigo Bloquear autenticação herdada com acesso condicional para bloquear a autenticação herdada.
Usuários de alto risco devem alterar a senha
Siga as orientações no artigo Exigir uma alteração de senha segura para risco elevado de usuário exigir que usuários com credenciais comprometidas alterem sua senha.
Use esta política junto com a proteção por senha do Microsoft Entra, que deteta e bloqueia senhas fracas conhecidas e suas variantes, além de termos específicos para sua organização. Usar a proteção por senha do Microsoft Entra garante que as senhas alteradas sejam mais fortes.
Exigir aplicativos aprovados ou políticas de proteção de aplicativos
Tem de criar uma política de Acesso Condicional para impor as políticas de proteção de aplicações criadas no Intune. A aplicação de políticas de proteção de aplicativos requer uma política de Acesso Condicional e uma política de proteção de aplicativo correspondente.
Para criar uma política de Acesso Condicional que exija apps aprovados ou uma política de proteção de apps, siga os passos indicados em Exigir apps cliente aprovados ou política de proteção de apps. Esta política só permite que contas em aplicações móveis protegidas por políticas de proteção de aplicações acedam a terminais do Microsoft 365.
Bloquear a autenticação herdada para outros aplicativos cliente em dispositivos iOS e Android garante que esses clientes não possam ignorar as políticas de Acesso Condicional. Se você estiver seguindo as orientações deste artigo, já configurou Bloquear clientes que não oferecem suporte à autenticação moderna.
Requer PCs e dispositivos móveis compatíveis
Siga as orientações no artigo Exigir conformidade do dispositivo com o Acesso Condicional exigir que os dispositivos que acedem a recursos sejam marcados como compatíveis com as políticas de conformidade do Intune da sua organização.
Atenção
Certifique-se de que o seu dispositivo está em conformidade antes de ativar esta política. Caso contrário, você pode ser bloqueado e precisar de um titular de conta de acesso de emergência para recuperar o acesso.
Nota
Pode inscrever os seus novos dispositivos no Intune mesmo que selecione Exigir que o dispositivo seja marcado como compatível para Todos os utilizadores e Todas as aplicações na nuvem na sua política. Exigir que o dispositivo seja marcado como controle compatível não bloqueia o registro do Intune e o acesso ao aplicativo Portal da Empresa da Web do Microsoft Intune.
Ativação da subscrição
As organizações que usam o recurso de Ativação de Assinatura para permitir que os usuários "atualizem" de uma versão do Windows para outra, devem excluir as APIs do Serviço de Repositório Universal e o Aplicativo Web, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f da sua política de conformidade do dispositivo.
Exigir sempre MFA
Siga as orientações no artigo Exigir autenticação multifator para todos os utilizadores de modo a exigir que os utilizadores realizem a autenticação multifator.
Próximos passos
Saiba mais sobre recomendações de políticas para usuários convidados e externos