Políticas geridas pela Microsoft
Conforme mencionado no Relatório de Defesa Digital da Microsoft em outubro de 2023
... As ameaças à paz digital reduziram a confiança na tecnologia e destacaram a necessidade urgente de melhorar as defesas cibernéticas em todos os níveis...
... na Microsoft, nossos mais de 10.000 especialistas em segurança analisam mais de 65 trilhões de sinais por dia... impulsionando alguns dos insights mais influentes em cibersegurança. Juntos, podemos construir resiliência cibernética por meio de ações inovadoras e defesa coletiva.
Como parte deste trabalho, estamos disponibilizando políticas gerenciadas pela Microsoft em locatários do Microsoft Entra em todo o mundo. Essas políticas simplificadas de Acesso Condicional tomam medidas para exigir autenticação multifator, o que um estudo recente descobriu que pode reduzir o risco de comprometimento em mais de 99%.
Como funcionam?
Os administradores com pelo menos a função de Administrador de Acesso Condicional atribuída encontram estas políticas no centro de administração do Microsoft Entra sob Proteção>Acesso Condicional>Políticas.
Você pode editar o estado de uma política e quais identidades a política deve excluir. Recomendamos excluir suas contas de quebra-vidro ou de acesso de emergência de políticas gerenciadas, assim como outras políticas de Acesso Condicional. Considere duplicar essas políticas se precisar fazer mais alterações do que o permitido nas políticas gerenciadas pela Microsoft.
A Microsoft ativa essas políticas no mínimo 90 dias após serem introduzidas no seu inquilino, se elas forem deixadas no estado apenas relatório. Você pode ativar essas políticas mais cedo ou optar por desativá-las ao definir o estado da política como Desativado. Os clientes são notificados por e-mails e mensagens do Centro de mensagens 28 dias antes da ativação das políticas.
Nota
Em alguns casos, as políticas podem ser ativadas mais rapidamente do que 90 dias. Se esta alteração for aplicável ao seu inquilino:
- Nós mencionamos isso em e-mails e postagens do centro de mensagens do Microsoft 365 que você recebe sobre políticas gerenciadas pela Microsoft.
- Mencionamos isso nos detalhes da política no Centro de Administração do Microsoft Entra.
Políticas
Essas políticas geridas pela Microsoft permitem que os administradores façam modificações simples, como excluir utilizadores ou alterná-los do modo apenas de relatório para ativado ou desativado. As organizações não podem renomear ou excluir nenhuma política gerenciada pela Microsoft. À medida que os administradores se sentem mais confortáveis com a política de Acesso Condicional, eles podem optar por duplicar a política para criar versões personalizadas.
À medida que as ameaças evoluem ao longo do tempo, a Microsoft pode alterar essas políticas no futuro para aproveitar novos recursos, funcionalidades ou melhorar sua função.
- Bloquear a autenticação herdada
- Bloquear o fluxo de código do dispositivo
- Autenticação multifator para administradores que acessam portais de administração da Microsoft
- Autenticação multifator para usuários de autenticação multifator por usuário
- Autenticação multifator e reautenticação para entradas arriscadas
Bloquear a autenticação herdada
Esta política bloqueia tentativas de início de sessão utilizando autenticação herdada e protocolos de autenticação herdados. Essas autenticações podem vir de clientes mais antigos, como o Office 2010, ou clientes que usam protocolos como IMAP, SMTP ou POP3.
Com base na análise da Microsoft, mais de 99% dos ataques de pulverização de senha usam esses protocolos de autenticação herdados. Esses ataques parariam com a autenticação básica desativada ou bloqueada.
Bloquear o fluxo de código do dispositivo
Essa política bloqueia o fluxo de código do dispositivo, em que um usuário inicia a autenticação em um dispositivo, conclui em outro e seu token é enviado de volta ao dispositivo original. Esse tipo de autenticação é comum quando os usuários não podem inserir suas credenciais, como smart TVs, dispositivos Microsoft Teams Room, dispositivos IoT ou impressoras.
O fluxo de código do dispositivo é usado com pouca frequência pelos clientes, mas é frequentemente usado por invasores. Habilitar essa política gerenciada pela Microsoft para sua organização ajuda a remover esse vetor de ataque.
Autenticação multifator para administradores que acessam portais de administração da Microsoft
Esta política abrange 14 funções de administrador que consideramos altamente privilegiadas, que estão acessando o Portais de Administração da Microsoft e exige que eles executem a autenticação multifator.
Esta política destina-se a inquilinos do Microsoft Entra ID P1 e P2 onde os padrões de segurança não estão ativados.
Gorjeta
As políticas gerenciadas pela Microsoft que exigem autenticação multifator diferem do anúncio de autenticação multifator obrigatória para entradas do Azure feito em 2024, que começou a ser implementado gradualmente em outubro de 2024. Para obter mais informações, consulte Planejando a autenticação multifator obrigatória para o Azure e outros portais de administração.
Autenticação multifator para utilizadores de autenticação multifator individual
Esta política abrange MFA por usuário, uma configuração que a Microsoft já não recomenda. O Acesso Condicional oferece uma melhor experiência de administração com muitos recursos extras. A consolidação de todas as políticas de autenticação multifatorial no Acesso Condicional pode ajudá-lo a ser mais direcionado na exigência de autenticação multifatorial, reduzindo a fricção para o utilizador final e mantendo o nível de segurança.
Esta política visa:
- Organizações com usuários licenciados do Microsoft Entra ID P1 e P2
- Organizações onde as definições de segurança não estão habilitadas
- Organizações com menos de 500 utilizadores com MFA ativada ou aplicada por utilizador
Para aplicar essa política a mais usuários, duplique-a e altere as atribuições.
Sugestão
Usar o lápis Editar na parte superior da página para modificar a política de autenticação multifator por utilizador gerida pela Microsoft pode resultar num erro de falha ao atualizar. Para contornar esse problema, selecione Editar na seção Identidades excluídas da política.
Autenticação multifator e reautenticação para entradas arriscadas
Esta política abrange todos os utilizadores e requer autenticação multifator e reautenticação quando detetamos entradas de alto risco. Alto risco, neste caso, significa que algo sobre a maneira como o usuário entrou é fora do comum. Esses logins de alto risco podem incluir viagens altamente anormais, ataques de pulverização de senha ou ataques de repetição de token. Para obter mais informações, consulte O que são deteções de risco.
Esta política destina-se a locatários do Microsoft Entra ID P2 onde as predefinições de segurança não estão ativadas. A política abrange usuários de duas maneiras diferentes, dependendo se você tem mais licenças P2 do que usuários ou se você tem mais usuários do que licenças P2. Os usuários convidados não estão incluídos na política.
- Se suas licenças P2 forem iguais ou superiores ao total de usuários ativos registrados no MFA, a política cobrirá Todos os usuários.
- Todos os utilizadores podem incluir contas de serviço ou contas de emergência, portanto, convém excluí-las.
- Se os usuários ativos registrados no MFA excederem suas licenças P2, criamos e atribuímos a política a um grupo de segurança limitado às suas licenças P2 disponíveis.
- A política aplica-se apenas a esse grupo de segurança, pelo que pode definir o âmbito da política modificando o próprio grupo.
- Para preencher o grupo, selecionamos usuários que podem satisfazer MFA, priorizando usuários com uma licença P2 atribuída diretamente.
- Se houver licenças P2 restantes, adicionaremos outros usuários que tenham um login de autenticação forte (MFA) nos últimos 60 dias. Essa regra garante que a política não bloqueará usuários legítimos e que você obterá o valor máximo em suas licenças P2.
Para evitar que invasores assumam o controle de contas, a Microsoft não permite que usuários arriscados se registrem para autenticação multifator.
Políticas de segurança padrão
Estão disponíveis as seguintes políticas para quando atualizar do uso de padrões de segurança.
- Bloquear a autenticação legada
- Exigir autenticação multifator para gerenciamento do Azure
- Exigir autenticação multifator para administradores
- Exigir autenticação multifator para todos os usuários
Bloquear a autenticação herdada
Esta política impede que protocolos de autenticação herdados acessem aplicativos. A autenticação herdada refere-se a uma solicitação de autenticação feita por:
- Clientes que não usam autenticação moderna (por exemplo, um cliente do Office 2010)
- Qualquer cliente que use protocolos de email mais antigos, como IMAP, SMTP ou POP3
- Qualquer tentativa de entrada usando autenticação herdada.
A maioria das tentativas de login comprometedoras observadas vem da autenticação herdada. Como a autenticação herdada não oferece suporte à autenticação multifator, um invasor pode ignorar seus requisitos de autenticação multifator usando um protocolo mais antigo.
Exigir autenticação multifator para gerenciamento do Azure
Esta política abrange todos os utilizadores quando estão a tentar aceder a vários serviços do Azure geridos através da API do Azure Resource Manager, incluindo:
- Portal do Azure
- Centro de administração do Microsoft Entra
- Azure PowerShell
- CLI do Azure
Ao tentar acessar qualquer um desses recursos, o usuário deve concluir a autenticação multifator antes de obter acesso.
Exigir autenticação multifator para administradores
Esta política abrange qualquer utilizador com uma das funções de administrador que consideramos altamente privilegiadas:
- Administrador Global
- Administrador da Aplicação
- Administrador de Autenticação
- Administrador de Faturação
- Administrador de Aplicações na Cloud
- Administrador de Acesso Condicional
- Administrador do Exchange
- Administrador do Helpdesk
- Administrador de senha
- Administrador de Autenticação Privilegiada
- Administrador de Funções Privilegiadas
- Administrador de Segurança
- Administrador do SharePoint
- Administrador de Utilizadores
Devido ao poder que essas contas altamente privilegiadas têm, elas são obrigadas a usar a autenticação multifator sempre que entrarem em qualquer aplicativo.
Exigir autenticação multifator para todos os usuários
Esta política abrange todos os utilizadores na sua organização e exige que utilizem a autenticação multifator sempre que iniciam sessão. Na maioria dos casos, a sessão persiste no dispositivo e os usuários não precisam concluir a autenticação multifator quando interagem com outro aplicativo.
Monitorizar e revisar
A política gerenciada e os logs de entrada são os dois locais onde você pode ver o efeito dessas políticas em sua organização.
Analise a seção impacto da política de nas entradas da política gerenciada para ver um resumo do efeito da política em seu ambiente.
Analise os registos de início de sessão do Microsoft Entra para analisar detalhes específicos de como as políticas afetam a atividade real de início de sessão.
- Entre no centro de administração do Microsoft Entra como pelo menos um Leitor de Relatórios.
- Navegue até Identidade>Monitorização e saúde>Registos de início de sessão.
- Use alguns ou todos os seguintes filtros:
- ID de correlação quando tem um evento específico para investigar.
- Acesso Condicional para ver as falhas e êxitos da política.
- Nome de utilizador para ver informações relacionadas com utilizadores específicos.
- Data dentro do intervalo de tempo em questão.
- Selecione um evento específico de início de sessão, depois selecione Acesso Condicional.
- Para investigar mais, selecione o Nome da Política para detalhar a configuração das políticas.
- Explore as outras guias para ver o usuário cliente e os detalhes do dispositivo que foram usados para a avaliação da política de Acesso Condicional.
Perguntas frequentes
O que é Acesso Condicional?
O Acesso Condicional é um recurso do Microsoft Entra que permite que as organizações imponham requisitos de segurança ao acessar recursos. O Acesso Condicional é normalmente utilizado para impor a autenticação multifator, a configuração do dispositivo ou os requisitos da localização da rede.
Estas políticas podem ser consideradas lógicas, se depois declaradas.
Se as atribuições (usuários, recursos e condições) forem verdadeiras, aplique os controles de acesso (concessão e/ou sessão) na política. Se você é um administrador que deseja acessar um dos portais de administração da Microsoft, então você deve executar a autenticação multifator para provar que é realmente você.
E se eu quiser fazer mais alterações?
Os administradores podem optar por fazer mais alterações nessas políticas duplicando-as usando o botão Duplicar no modo de exibição de lista de políticas. Esta nova política pode ser configurada da mesma forma que qualquer outra política de Acesso Condicional a partir de uma posição recomendada pela Microsoft. Tenha cuidado para não baixar inadvertidamente a sua postura de segurança com essas alterações.
Que funções de administrador são abrangidas por estas políticas?
- Administrador Global
- Administrador da Aplicação
- Administrador de Autenticação
- Administrador de Faturação
- Administrador de Aplicações na Cloud
- Administrador de Acesso Condicional
- Administrador do Exchange
- Administrador do Helpdesk
- Administrador de senha
- Administrador de Autenticação Privilegiada
- Administrador de Funções Privilegiadas
- Administrador de Segurança
- Administrador do SharePoint
- Administrador de Utilizadores
E se eu usar uma solução diferente para autenticação multifator?
Autenticação multifator concluída usando métodos de autenticação externos satisfazem os requisitos de MFA das políticas geridas pela Microsoft.
Quando a autenticação multifator é concluída por meio de um provedor de identidade federada (IdP), ela pode satisfazer os requisitos de MFA do Microsoft Entra ID, dependendo da sua configuração. Para obter mais informações, consulte como cumprir os controlos de autenticação multifator do Microsoft Entra ID com as declarações de MFA de um IdP federado.
E se eu usar a Autenticação Certificate-Based?
Dependendo da sua configuração de autenticação Certificate-Based (CBA), ela pode funcionar como autenticação única ou multifator.
- Se sua organização tiver o CBA configurado como fator único, os usuários deverão usar um segundo método de autenticação para satisfazer a MFA. Para obter mais informações sobre as combinações permitidas de métodos de autenticação para MFA com CBA de fator único, consulte MFA com autenticação baseada em certificado de fator único.
- Se sua organização tiver o CBA configurado como multifator, os usuários poderão concluir o MFA com seu método de autenticação CBA.
E se eu usar controles personalizados?
Os controlos personalizados não satisfazem os requisitos de declaração de autenticação multifatorial. Se sua organização usa controles personalizados, você deve migrar para métodos de autenticação externos, a substituição de controles personalizados. Seu provedor de autenticação externo precisa oferecer suporte a métodos de autenticação externos e fornecer a orientação de configuração necessária para sua integração.