Trabalho de pré-requisito para implementar políticas de identidade e acesso a dispositivos Zero Trust
Este artigo descreve os pré-requisitos que os administradores devem cumprir para usar as políticas de identidade e acesso de dispositivo Zero Trust recomendadas e para usar o Acesso Condicional. Ele também discute os padrões recomendados para configurar plataformas de cliente para a melhor experiência de logon único (SSO).
Pré-requisitos
Antes de usar as políticas de identidade e acesso de dispositivo Zero Trust recomendadas, sua organização precisa atender aos pré-requisitos. Os requisitos são diferentes para os vários modelos de identidade e autenticação listados:
- Apenas cloud
- Híbrido com autenticação PHS (password hash sync)
- Híbrido com autenticação de passagem (PTA)
- Federados
A tabela a seguir detalha os recursos de pré-requisito e sua configuração que se aplicam a todos os modelos de identidade, exceto onde indicado.
| Configuração | Exceções | Licenciamento |
|---|---|---|
| Configurar a sincronização de hash de senha (PHS). Esse recurso deve ser habilitado para detetar credenciais vazadas e agir sobre elas para Acesso Condicional baseado em risco. Essa configuração é necessária independentemente de sua organização usar autenticação federada. | Apenas cloud | Microsoft 365 E3 ou E5 |
| Habilite o logon único contínuo para entrar automaticamente os usuários quando eles estiverem em seus dispositivos da organização conectados à rede da sua organização. | Somente nuvem e federado | Microsoft 365 E3 ou E5 |
| Configurar locais de rede. O Microsoft Entra ID Protection coleta e analisa todos os dados de sessão disponíveis para gerar uma pontuação de risco. Recomendamos que especifique os intervalos de IP públicos da sua organização para a sua rede na configuração de localizações nomeadas do Microsoft Entra ID. O tráfego proveniente desses intervalos recebe uma pontuação de risco reduzida, e o tráfego de fora do ambiente da organização recebe uma pontuação de risco mais alta. | Microsoft 365 E3 ou E5 | |
| Registre todos os usuários para redefinição de senha de autoatendimento (SSPR) e autenticação multifator (MFA). Recomendamos que faça este passo com antecedência. O Microsoft Entra ID Protection usa a autenticação multifator do Microsoft Entra para verificação de segurança adicional. Para obter a melhor experiência de entrada, recomendamos usar o do aplicativo Microsoft Authenticator e o aplicativo Portal da Empresa Microsoft em dispositivos. Os utilizadores podem instalar estas aplicações a partir da loja de aplicações para a plataforma dos respetivos dispositivos. | Microsoft 365 E3 ou E5 | |
| Planeje sua implementação de ingresso híbrido do Microsoft Entra. O Acesso Condicional garante que os dispositivos que se conectam a aplicações estejam integrados no domínio ou sejam compatíveis. Para suportar este requisito em computadores Windows, o dispositivo tem de estar registado com o Microsoft Entra ID. Este artigo descreve como configurar o registro automático de dispositivos. | Apenas cloud | Microsoft 365 E3 ou E5 |
| Prepare sua equipe de suporte. Tenha um plano para usuários que não podem fazer MFA. Por exemplo, adicione-os a um grupo de exclusão de política ou registre novas informações de MFA para eles. Se você fizer exceções sensíveis à segurança, verifique se o usuário está realmente fazendo a solicitação. Exigir que os gerentes ajudem com a aprovação para os usuários é uma etapa eficaz. | Microsoft 365 E3 ou E5 | |
| Configure a escrita de volta da palavra-passe para o Active Directory local. O write-back de senha permite que o Microsoft Entra ID exija que os usuários alterem suas senhas locais quando um comprometimento de conta de alto risco for detetado. Você pode habilitar esse recurso usando o Microsoft Entra Connect de duas maneiras: habilitar o Write-back de senha na tela de recursos opcionais da instalação do Microsoft Entra Connect ou habilitá-lo por meio do Windows PowerShell. | Apenas cloud | Microsoft 365 E3 ou E5 |
| Configure a proteção por senha do Microsoft Entra. O Microsoft Entra Password Protection deteta e bloqueia senhas fracas conhecidas e suas variantes, e também pode bloquear outros termos fracos específicos da sua organização. As listas de senhas globais proibidas padrão são aplicadas automaticamente a todos os usuários em uma organização do Microsoft Entra. Você pode definir outras entradas em uma lista de senhas proibidas personalizadas. Quando os usuários alteram ou redefinem suas senhas, essas listas de senhas proibidas são verificadas para impor o uso de senhas fortes. | Microsoft 365 E3 ou E5 | |
| Habilite a Proteção de ID do Microsoft Entra. O Microsoft Entra ID Protection permite-lhe detetar potenciais vulnerabilidades que afetam as identidades da sua organização e configurar uma política de correção automatizada para baixo, médio e alto risco de início de sessão e risco do utilizador. | Microsoft 365 E5 ou Microsoft 365 E3 com o complemento de segurança E5 | |
| Habilite a avaliação de acesso contínuo para o Microsoft Entra ID. A avaliação contínua de acesso encerra proativamente as sessões de usuários ativos e impõe alterações na política da organização quase em tempo real. | Microsoft 365 E3 ou E5 |
Configurações de cliente recomendadas
Esta seção descreve as configurações de cliente de plataforma padrão recomendadas para a melhor experiência de SSO e os pré-requisitos técnicos para Acesso Condicional.
Dispositivos Windows
Recomendamos o Windows 11 ou o Windows 10 (versão 2004 ou posterior), pois o Azure foi projetado para fornecer a experiência de SSO mais suave possível para o ID local e o Microsoft Entra. Os dispositivos emitidos pela organização devem ser configurados usando uma das seguintes opções:
- Junte-se diretamente ao Microsoft Entra ID.
- Configure dispositivos locais que ingressaram no domínio do Ative Directory para se registrem automática e silenciosamente com o Microsoft Entra ID
Para dispositivos Windows pessoais (traga seu próprio dispositivo ou BYOD), os usuários podem usar Adicionar conta corporativa ou de estudante. Os usuários do Google Chrome em dispositivos Windows 11 ou Windows 10 precisam instalar uma extensão para obter a mesma experiência de login suave que os usuários do Microsoft Edge. Além disso, se a sua organização tiver dispositivos Windows 8 ou 8.1 que estão ligados ao domínio, pode instalar o Microsoft Workplace Join para computadores que não são Windows 10. Baixe o pacote para registrar os dispositivos com o Microsoft Entra ID.
Dispositivos iOS
Recomendamos instalar o aplicativo Microsoft Authenticator nos dispositivos do usuário antes de implantar políticas de Acesso Condicional ou MFA. Se não conseguir, instale o aplicativo nos seguintes cenários:
- Quando os usuários são solicitados a registrar seu dispositivo com o Microsoft Entra ID adicionando uma conta corporativa ou de estudante.
- Quando os utilizadores instalam a aplicação portal da empresa Intune para inscrever o seu dispositivo na gestão.
A solicitação depende da política de Acesso Condicional configurada.
Dispositivos Android
Recomendamos que os usuários instalem o do aplicativo Portal da Empresa do Intune e aplicativo Microsoft Authenticator antes que as políticas de Acesso Condicional sejam implantadas ou durante tentativas de autenticação específicas. Após a instalação do aplicativo, os usuários podem ser solicitados a se registrar com a ID do Microsoft Entra ou registrar seu dispositivo no Intune, dependendo da política de Acesso Condicional configurada.
Também recomendamos que os dispositivos pertencentes à organização suportem o Android for Work ou o Samsung Knox para permitir a gestão e proteção das contas de e-mail através das políticas de gestão de dispositivos móveis (MDM) do Intune.
Clientes de email recomendados
Os clientes de email na tabela a seguir oferecem suporte à autenticação moderna e ao Acesso Condicional:
| Plataforma | Cliente | Versão/Notas |
|---|---|---|
| Windows | Outlook | 2016 ou posterior Atualizações necessárias |
| iOS | Outlook para iOS | Últimas notícias |
| Android | Outlook para Android | Últimas notícias |
| macOS | Outlook | 2016 ou posterior |
| Linux | Não suportado |
Plataformas de cliente recomendadas ao proteger documentos
Recomendamos os clientes de e-mail na tabela a seguir quando uma política de documentos seguros é aplicada:
| Plataforma | Word/Excel/PowerPoint | OneNote | Aplicação OneDrive | Aplicativo do SharePoint | Cliente de sincronização do OneDrive |
|---|---|---|---|---|---|
| Windows 11 ou Windows 10 | Suportado | Suportado | N/A | N/A | Suportado |
| Windows 8.1 | Suportado | Suportado | N/A | N/A | Suportado |
| Android | Suportado | Suportado | Suportado | Suportado | N/A |
| iOS | Suportado | Suportado | Suportado | Suportado | N/A |
| macOS | Suportado | Suportado | N/A | N/A | Não suportado |
| Linux | Não suportado | Não suportado | Não suportado | Não suportado | Não suportado |
Suporte ao cliente Microsoft 365
Para obter mais informações sobre suporte ao cliente no Microsoft 365, consulte Implantar sua infraestrutura de identidade para o Microsoft 365.
Proteção de contas de administrador
Para Microsoft 365 E3 ou E5 ou com licenças separadas do Microsoft Entra ID P1 ou P2, você pode exigir MFA resistente a phishing para contas de administrador com uma política de Acesso Condicional criada manualmente. Para obter mais informações, consulte Acesso condicional: exigir MFA resistente a phishing para administradores.
Para edições do Microsoft 365 ou do Office 365 que não oferecem suporte ao Acesso Condicional, você pode habilitar padrões de segurança exigir MFA para todas as contas.
Aqui estão algumas outras recomendações:
- Use o Microsoft Entra Privileged Identity Management para reduzir o número de contas administrativas persistentes.
- Use de gerenciamento de acesso privilegiado para proteger sua organização contra violações que possam usar contas de administrador privilegiadas existentes com acesso permanente a dados confidenciais ou acesso a definições de configuração críticas.
- Crie e use contas separadas às quais são atribuídas funçõesde administrador do Microsoft 365 apenas para administração. Os administradores devem ter sua própria conta de usuário para uso regular. Eles devem usar uma conta administrativa somente quando necessário para completar uma tarefa associada à sua função.
- Siga as práticas recomendadas para proteger contas privilegiadas no Microsoft Entra ID.
Próximo passo
Configurar a identidade Zero Trust comum e as políticas de acesso ao dispositivo