Políticas de segurança comuns para organizações do Microsoft 365
As organizações têm muito com que se preocupar ao implantar o Microsoft 365 para sua organização. As políticas de Acesso Condicional, proteção de aplicativos e conformidade de dispositivos mencionadas neste artigo baseiam-se nas recomendações da Microsoft e nos três princípios orientadores do Zero Trust:
- Verificar explicitamente
- Use o privilégio mínimo
- Assuma a violação
As organizações podem tomar essas políticas como estão ou personalizá-las para atender às suas necessidades. Se possível, teste suas políticas em um ambiente que não seja de produção antes de implementá-las para os usuários de produção. Os testes são essenciais para identificar e comunicar quaisquer possíveis efeitos aos seus utilizadores.
Agrupamos essas políticas em três níveis de proteção com base em onde você está em sua jornada de implantação:
- Ponto de partida - Controles básicos que introduzem autenticação multifator, alterações de senha segura e políticas de proteção de aplicativos.
- Enterprise - Controles aprimorados que introduzem a conformidade do dispositivo.
- Segurança especializada - Políticas que exigem autenticação multifator sempre para conjuntos de dados ou usuários específicos.
O diagrama a seguir mostra os níveis de proteção aos quais cada política se aplica e a quais tipos de dispositivos as políticas se aplicam:
Você pode baixar este diagrama como um arquivo PDF .
Gorjeta
Recomendamos exigir autenticação multifator (MFA) para os usuários antes de registrar dispositivos no Intune para garantir que o dispositivo esteja na posse do usuário pretendido. A MFA está ativada por padrão devido a padrões de segurança, ou você pode usar políticas de Acesso Condicional para exigir MFA para todos os usuários.
Os dispositivos têm de estar inscritos no Intune antes de poder aplicar políticas de conformidade de dispositivos.
Pré-requisitos
Permissões
As seguintes permissões no Microsoft Entra são necessárias:
- Gerir políticas de Acesso Condicional: O papel de Administrador de Acesso Condicional.
- Gerir a proteção de aplicações e as políticas de conformidade de dispositivos: A função Administrador do Intune.
- Exibir configurações somente: A função Leitor de Segurança.
Para obter mais informações sobre funções e permissões no Microsoft Entra, consulte o artigo Funções internas do Microsoft Entra.
Registo de utilizador
Certifique-se de que os utilizadores se registem para a autenticação multifatorial antes de ela ser obrigatória. Se suas licenças incluírem o Microsoft Entra ID P2, você poderá usar a política de registro do MFA no Microsoft Entra ID Protection para exigir que os usuários se registrem. Fornecemos modelos de comunicação que você pode baixar e personalizar para promover o registro do usuário.
Grupos
Todos os grupos do Microsoft Entra que você usa como parte dessas recomendações devem ser Grupos do Microsoft 365, não grupos de segurança. Esse requisito é importante para a implantação de rótulos de sensibilidade para proteger documentos no Microsoft Teams e no SharePoint. Para obter mais informações, consulte Saiba mais sobre grupos e direitos de acesso no Microsoft Entra ID.
Atribuição de políticas
Você pode atribuir políticas de Acesso Condicional a usuários, grupos e funções de administrador. Pode atribuir a proteção de aplicações do Intune e políticas de conformidade de dispositivos a grupos de apenas. Antes de configurar suas políticas, identifique quem deve ser incluído e excluído. Normalmente, as políticas de nível de proteção de ponto de partida se aplicam a todos na organização.
A tabela a seguir descreve exemplos de atribuições de grupo e exclusões para MFA depois que os usuários concluírem de registro de usuário:
| Política de Acesso Condicional do Microsoft Entra | Incluir | Excluir | |
|---|---|---|---|
| Ponto de partida | Exigir autenticação multifator para risco de entrada médio ou alto | Todos os utilizadores |
|
| Enterprise | Exigir autenticação multifator para risco de entrada baixo, médio ou alto | Grupo de pessoal executivo |
|
| Segurança especializada | Exigir autenticação multifator sempre | Grupo Top Secret Project Buckeye |
|
Gorjeta
Tenha cuidado ao aplicar níveis mais elevados de proteção a utilizadores e grupos. O objetivo da segurança não é adicionar atrito desnecessário à experiência do usuário. Por exemplo, os membros do grupo Top Secret Project Buckeye são obrigados a usar MFA toda vez que entrarem, mesmo que não estejam trabalhando no conteúdo especializado para seu projeto. O atrito excessivo com a segurança pode levar à fadiga. Habilite métodos de autenticação resistentes a phishing (por exemplo, chaves de segurança do Windows Hello for Business ou FIDO2) para ajudar a reduzir o atrito causado pelos controles de segurança.
Contas de acesso de emergência
Todas as organizações devem ter pelo menos uma conta de acesso de emergência que seja monitorada para uso e excluída das políticas (e possivelmente mais, dependendo do tamanho da organização). Essas contas só são usadas no caso de todas as outras contas de administrador e métodos de autenticação ficarem bloqueados ou indisponíveis. Para obter mais informações, consulte Gerenciar contas de acesso de emergência no Microsoft Entra ID.
Exclusões
Uma prática recomendada é criar um grupo do Microsoft Entra para exclusões de Acesso Condicional. Esse grupo oferece um meio de fornecer acesso a um usuário enquanto você soluciona problemas de acesso.
Aviso
Recomendamos um grupo de exclusão apenas como solução temporária. Certifique-se de monitorar continuamente esse grupo em busca de alterações e verifique se o grupo está sendo usado apenas para a finalidade pretendida.
Siga as etapas a seguir para adicionar um grupo de exclusão a quaisquer políticas existentes. Conforme descrito anteriormente, necessita das permissões de Administrador de Acesso Condicional .
No centro de administração do Microsoft Entra em https://entra.microsoft.com, vá para Protection>Conditional Access>Policies. Ou, para ir diretamente para a página Acesso Condicional | Políticas, use https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policies/fromNav/Identity.
Na página Acesso Condicional | Políticas, selecione uma política existente clicando no valor do nome.
Na página de detalhes da política que é aberta, selecione o link em Usuários na seção Atribuições.
No controlo que se abre, selecione o separador Excluir e, em seguida, selecione Utilizadores e grupos.
No menu Selecionar utilizadores e grupos excluídos que se abre, localize e selecione as seguintes identidades:
- Usuários: As contas de acesso de emergência.
- Grupos: O grupo de exclusão de Acesso Condicional
Quando terminar no submenu Selecionar usuários e grupos excluídos, selecione Selecionar
Implementação
Recomendamos a implementação das políticas de ponto de partida na ordem listada na tabela a seguir. Você pode implementar as políticas de MFA para empresarial e segurança especializada níveis de proteção a qualquer momento.
Ponto de partida
| Política | Mais informações | Licenciamento |
|---|---|---|
| Exigir MFA quando o risco de entrada for médio ou alto | Exija MFA somente quando o risco for detetado pelo Microsoft Entra ID Protection. | Microsoft 365 E5 ou Microsoft 365 E3 com o complemento de segurança E5 |
| Bloquear clientes que não suportam autenticação moderna | Os clientes que não usam autenticação moderna podem ignorar as políticas de Acesso Condicional, por isso é importante bloqueá-los. | Microsoft 365 E3 ou E5 |
| Usuários de alto risco devem alterar a senha | Força os usuários a alterar sua senha ao entrar se atividades de alto risco forem detetadas em suas contas. | Microsoft 365 E5 ou Microsoft 365 E3 com o complemento de segurança E5 |
| Aplicar políticas de proteção de aplicativos para proteção de dados | Uma política de proteção de aplicações do Intune por plataforma (Windows, iOS/iPadOS e Android). | Microsoft 365 E3 ou E5 |
| Exigir aplicativos aprovados e políticas de proteção de aplicativos | Aplica políticas de proteção de aplicativos para telefones e tablets que usam iOS, iPadOS ou Android. | Microsoft 365 E3 ou E5 |
Grandes Empresas
| Política | Mais informações | Licenciamento |
|---|---|---|
| Exigir MFA quando o risco de entrada for baixo, médio ou alto | Exija MFA somente quando o risco for detetado pelo Microsoft Entra ID Protection. | Microsoft 365 E5 ou Microsoft 365 E3 com o complemento de segurança E5 |
| Definir políticas de conformidade de dispositivos | Defina requisitos mínimos de configuração. Uma política para cada plataforma. | Microsoft 365 E3 ou E5 |
| Requer PCs e dispositivos móveis compatíveis | Impõe os requisitos de configuração para dispositivos que acessam sua organização | Microsoft 365 E3 ou E5 |
Segurança especializada
| Política | Mais informações | Licenciamento |
|---|---|---|
| Exigir sempre MFA | Os usuários são obrigados a fazer MFA sempre que entrarem em serviços na organização. | Microsoft 365 E3 ou E5 |
Políticas de proteção de aplicativos
As políticas de proteção de aplicativos especificar os aplicativos permitidos e as ações que eles podem executar com os dados da sua organização. Embora haja muitas políticas para escolher, a lista a seguir descreve nossas linhas de base recomendadas.
Gorjeta
Embora forneçamos três modelos, a maioria das organizações deve escolher o nível 2 (corresponde a ponto de partida ou nível de segurança empresarial ) e o nível 3 (corresponde a segurança especializada ).
Proteção básica de dados de nível 1 de empresa: recomendamos esta configuração como a proteção mínima de dados para dispositivos empresariais.
de proteção de dados empresarial avançada de nível 2: recomendamos esta configuração para dispositivos que acedem a dados confidenciais ou informações confidenciais. Esta configuração aplica-se à maioria dos utilizadores móveis que acedem a dados do trabalho ou da escola. Alguns dos controles podem afetar a experiência do usuário.
de alta proteção de dados empresariais de nível 3: Recomendamos essa configuração nos seguintes cenários:
- Organizações com equipas de segurança maiores ou mais sofisticadas.
- Dispositivos utilizados por utilizadores ou grupos específicos que apresentam um risco exclusivamente elevado. Por exemplo, usuários que lidam com dados altamente confidenciais onde a divulgação não autorizada causaria perdas consideráveis para a organização
As organizações que são provavelmente alvos de atacantes sofisticados e bem financiados devem aspirar a esta configuração.
Criar políticas de proteção de aplicativos
Crie uma nova política de proteção de aplicativo para cada plataforma de dispositivo no Microsoft Intune (iOS/iPadOS e Android) usando as configurações da estrutura de proteção de dados seguindo as seguintes etapas:
- Crie manualmente as políticas seguindo as etapas em Como criar e implantar políticas de proteção de aplicativos com o Microsoft Intune.
- Importe os modelos JSON da Estrutura de Configuração da Política de Proteção de Aplicativos do Intune de exemplo com os scripts do PowerShell do Intune.
Políticas de conformidade de dispositivos
As políticas de conformidade de dispositivos do Intune definem os requisitos para que os dispositivos estejam em conformidade. Você precisa criar uma política para cada plataforma de PC, telefone ou tablet. Este artigo aborda recomendações para as seguintes plataformas:
Criar políticas de conformidade de dispositivos
Para criar políticas de conformidade de dispositivos, execute as seguintes etapas:
- No centro de administração do Microsoft Intune em https://endpoint.microsoft.com, vá para a guia Gerenciar dispositivos>Conformidade>Políticas. Ou, para ir diretamente para a guia Políticas da página Dispositivos | Conformidade, use https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/compliance.
- Na guia Políticas da página Dispositivos | Conformidade, selecione Criar política.
Para obter orientações passo a passo, consulte Criar uma política de conformidade no Microsoft Intune.
Configurações de inscrição e conformidade para iOS/iPadOS
iOS/iPadOS suporta vários cenários de inscrição, dois dos quais são cobertos por esta estrutura:
- Inscrição de dispositivos para dispositivos de propriedade pessoal: Dispositivos de propriedade pessoal (também conhecidos como traga seu próprio dispositivo ou BYOD) que também são usados para o trabalho.
- Registro automatizado de dispositivos para dispositivos corporativos: dispositivos de propriedade da organização que estão associados a um único usuário e são usados exclusivamente para o trabalho.
Gorjeta
Conforme descrito anteriormente, o nível 2 mapeia para ponto de partida ou segurança de nível empresarial e o nível 3 mapeia para segurança especializada. Para mais informações, consulte as configurações de identidade e acesso a dispositivos Zero Trust .
Configurações de conformidade para dispositivos registrados pessoalmente
- Segurança básica pessoal (Nível 1): Recomendamos esta configuração como segurança mínima para dispositivos pessoais que acedem a dados do trabalho ou da escola. Você obtém essa configuração impondo políticas de senha, características de bloqueio de dispositivo e desativando determinadas funções do dispositivo (por exemplo, certificados não confiáveis).
- Segurança pessoal reforçada (Nível 2): Recomendamos esta configuração para dispositivos que acedem a dados confidenciais ou informações confidenciais. Essa configuração permite controles de compartilhamento de dados. Esta configuração aplica-se à maioria dos utilizadores móveis que acedem a dados do trabalho ou da escola.
- pessoal de alta segurança (Nível 3): Recomendamos esta configuração para dispositivos usados por usuários ou grupos específicos que estão em risco exclusivamente alto. Por exemplo, usuários que lidam com dados altamente confidenciais onde a divulgação não autorizada causaria perdas consideráveis para a organização. Esta configuração permite políticas de palavra-passe mais fortes, desativa determinadas funções do dispositivo e impõe restrições adicionais de transferência de dados.
Configurações de conformidade para registro automatizado de dispositivos
- Segurança básica supervisionada (Nível 1): Recomendamos esta configuração como segurança mínima para dispositivos empresariais que acedem a dados do trabalho ou da escola. Você obtém essa configuração impondo políticas de senha, características de bloqueio de dispositivo e desativando determinadas funções do dispositivo (por exemplo, certificados não confiáveis).
- Segurança reforçada supervisionada (Nível 2): Recomendamos esta configuração para dispositivos que acedem a dados confidenciais ou informações confidenciais. Esta configuração permite a partilha de dados, controla e bloqueia o acesso a dispositivos USB. Essa configuração é aplicável à maioria dos usuários móveis que acessam dados do trabalho ou da escola em um dispositivo.
- Supervisionado de alta segurança (Nível 3) : Recomendamos esta configuração para dispositivos usados por utilizadores ou grupos específicos que estão em risco elevado. Por exemplo, usuários que lidam com dados altamente confidenciais onde a divulgação não autorizada causaria perdas consideráveis para a organização. Esta configuração permite políticas de palavra-passe mais fortes, desativa determinadas funções do dispositivo, impõe restrições adicionais de transferência de dados e exige que as aplicações sejam instaladas através do programa de compra por volume da Apple.
Configurações de inscrição e conformidade para Android
O Android Enterprise suporta vários cenários de inscrição, dois dos quais são abrangidos por esta estrutura:
- perfil de trabalho do Android Enterprise: Dispositivos de propriedade pessoal (também conhecidos como traz o teu próprio dispositivo ou BYOD) que também se usam para o trabalho. As políticas controladas pelo departamento de TI garantem que os dados de trabalho não possam ser transferidos para o perfil pessoal.
- dispositivos totalmente gerenciados Android Enterprise: dispositivos de propriedade da organização que estão associados a um único usuário e são usados exclusivamente para o trabalho.
A estrutura de configuração de segurança do Android Enterprise está organizada em vários cenários de configuração distintos que fornecem orientação para perfis de trabalho e cenários totalmente gerenciados.
Gorjeta
Conforme descrito anteriormente, o nível 2 corresponde a ponto de partida ou nível de segurança empresarial, e o nível 3 corresponde a segurança especializada. Para obter mais informações, consulte configurações de Zero Trust para identidade e acesso a dispositivos.
Configurações de conformidade para dispositivos de perfil de trabalho Android Enterprise
- Não há nenhuma oferta de segurança básica (nível 1) para dispositivos de perfil de trabalho de propriedade pessoal. As configurações disponíveis não justificam uma diferença entre o nível 1 e o nível 2.
- Perfil de trabalho segurança reforçada (Nível 2): Recomendamos esta configuração como segurança mínima para dispositivos pessoais que acedem a dados do trabalho ou da escola. Esta configuração introduz requisitos de palavra-passe, separa dados profissionais e pessoais e valida o certificado do dispositivo Android.
- Perfil de trabalho de alta segurança (Nível 3): Recomendamos esta configuração para dispositivos usados por usuários ou grupos específicos que estão em risco exclusivamente alto. Por exemplo, usuários que lidam com dados altamente confidenciais onde a divulgação não autorizada causaria perdas consideráveis para a organização. Essa configuração introduz a defesa contra ameaças móveis ou o Microsoft Defender for Endpoint, define a versão mínima do Android, permite políticas de senha mais fortes e separa ainda mais os dados pessoais e de trabalho.
Configurações de conformidade para dispositivos Android Enterprise totalmente gerenciados
- Segurança básica totalmente gerenciada (Nível 1): Recomendamos essa configuração como a segurança mínima para um dispositivo corporativo. Esta configuração aplica-se à maioria dos utilizadores móveis que utilizam dados móveis para trabalhar ou estudar. Esta configuração introduz requisitos de palavra-passe, define a versão mínima do Android e permite restrições específicas do dispositivo.
- Segurança melhorada (Nível 2) totalmente gerida: Recomendamos esta configuração para dispositivos que acedem a dados confidenciais ou informações confidenciais. Essa configuração permite políticas de senha mais fortes e desabilita os recursos de usuário/conta.
- de alta segurança (Nível 3) totalmente gerenciados: Recomendamos esta configuração para dispositivos usados por usuários ou grupos específicos que estão em risco exclusivamente alto. Por exemplo, usuários que lidam com dados altamente confidenciais onde a divulgação não autorizada causaria perdas consideráveis para a organização. Essa configuração aumenta a versão mínima do Android, introduz a defesa contra ameaças móveis ou o Microsoft Defender for Endpoint e impõe restrições extras ao dispositivo.
Configurações de conformidade recomendadas para o Windows 10 e versões posteriores
Você deve definir as seguintes configurações como descrito em "configurações de conformidade de dispositivo para Windows 10/11 no Intune". Essas configurações se alinham com os princípios descritos nas configurações de identidade e acesso ao dispositivo do Zero Trust.
Estado de funcionamento do dispositivo > regras de avaliação do Serviço de Atestado de Estado de Funcionamento do Windows:
Property valor Exigir BitLocker Requerer Exigir que a Inicialização Segura esteja habilitada no dispositivo Requerer Exigir integridade do código Requerer Propriedades do dispositivo > Versão do sistema operacional: especifique valores apropriados para versões do sistema operacional com base em suas políticas de TI e segurança.
Property valor Versão mínima do SO Versão máxima do SO SO mínimo necessário para dispositivos móveis SO máximo necessário para dispositivos móveis Compilações válidas do sistema operacional Conformidade do Configuration Manager:
Property valor Exigir conformidade do dispositivo do Configuration Manager Selecione Obrigatório em ambientes que são cogeridos com o Configuration Manager. Caso contrário, selecione Não configurado. Segurança do sistema:
Property valor Palavra-passe Palavra-passe obrigatória para desbloquear os dispositivos móveis Requerer Palavras-passe simples Bloquear Tipo de palavra-passe Padrão do dispositivo Comprimento mínimo da palavra-passe 6 Inatividade máxima em minutos antes de uma senha ser necessária 15 minutos Expiração da palavra-passe (dias) 41 Número de palavras-passe anteriores para evitar a reutilização 5 Exigir senha quando o dispositivo retornar do estado ocioso (móvel e holográfico) Requerer Encriptação Exigir criptografia de armazenamento de dados no dispositivo Requerer Firewall Firewall Requerer Antivirus Antivírus Requerer Antispyware Antispyware Requerer Defensor Antimalware do Microsoft Defender Requerer Versão mínima do antimalware Microsoft Defender Recomendamos um valor que não seja mais do que cinco versões atrás da versão mais recente. Assinatura antimalware do Microsoft Defender atualizada Requerer Proteção em tempo real Requerer Microsoft Defender for Endpoint:
Property valor Exigir que o dispositivo esteja na pontuação de risco da máquina ou abaixo dela Médio
Políticas de Acesso Condicional
Depois de criar políticas de proteção de aplicações e políticas de conformidade de dispositivos no Intune, pode ativar a imposição com políticas de Acesso Condicional.
Exigir MFA com base no risco de início de sessão
Siga as orientações em: Exigir autenticação multifator para risco de entrada elevado criar uma política que exija autenticação multifator com base no risco de entrada.
Ao configurar a política, use os seguintes níveis de risco:
| Nível de proteção | Níveis de risco |
|---|---|
| Ponto de partida | Médio e alto |
| Grandes Empresas | Baixo, médio e alto |
Bloquear clientes que não suportam autenticação multifator
Siga as instruções em: Bloquear autenticação herdada com Acesso Condicional.
Usuários de alto risco devem alterar a senha
Siga as orientações em: Exigir uma alteração de senha segura para risco elevado de usuário exigir que usuários com credenciais comprometidas alterem sua senha.
Use esta política juntamente com a proteção por senha do Microsoft Entra (), que deteta e bloqueia senhas fracas conhecidas, as suas variantes e termos específicos na sua organização. Usar a proteção por senha do Microsoft Entra garante que as senhas alteradas sejam mais fortes.
Exigir aplicativos aprovados ou políticas de proteção de aplicativos
Tem de criar uma política de Acesso Condicional para impor políticas de proteção de aplicações que cria no Intune. A aplicação de políticas de proteção de aplicativos requer uma política de Acesso Condicional e uma política de proteção de aplicativo correspondente.
Para criar uma política de Acesso Condicional que exija apps aprovados ou uma política de proteção de apps, siga os passos indicados em Exigir apps cliente aprovados ou política de proteção de apps. Esta política só permite que contas dentro de aplicações protegidas por políticas de proteção de aplicações acedam aos endpoints do Microsoft 365.
Bloquear a autenticação herdada para outros aplicativos em dispositivos iOS/iPadOS e Android garante que esses dispositivos não possam ignorar as políticas de Acesso Condicional. Ao seguir as orientações neste artigo, você já está bloqueando clientes que não oferecem suporte à autenticação moderna.
Requer PCs e dispositivos móveis compatíveis
Atenção
Verifique se o seu próprio dispositivo está em conformidade antes de ativar esta política. Caso contrário, você pode ser bloqueado e precisar usar uma conta de acesso de emergência para recuperar seu acesso.
Permita o acesso a recursos somente depois que o dispositivo for determinado como compatível com suas políticas de conformidade do Intune. Para obter mais informações, consulte Exigir conformidade do dispositivo comsobre Acesso Condicional.
Pode inscrever novos dispositivos no Intune, mesmo que selecione Exigir que dispositivo seja marcado como compatível com para Todos os utilizadores e Todas as aplicações na nuvem na política. Exigir que o dispositivo seja marcado como compatível não bloqueia a inscrição no Intune nem o acesso ao aplicativo Portal da Empresa Web do Microsoft Intune.
Ativação da subscrição
Se sua organização usa de ativação de assinatura do Windows para permitir que os usuários "acelerem" de uma versão do Windows para outra, exclua as APIs do Serviço de Repositório Universal e o Aplicativo Web (AppID: 45a330b1-b1ec-4cc1-9161-9f03992aa49f) da conformidade do dispositivo.
Exigir sempre MFA
Exija MFA para todos os usuários seguindo as orientações neste artigo: Exigir autenticação multifator para todos os usuários.
Próximos passos
Saiba mais sobre as recomendações de políticas de acesso para hóspedes