Configurar o Microsoft Entra para aumentar a segurança (versão prévia)

No Microsoft Entra, agrupamos nossas recomendações de segurança em vários temas com base na SFI (Secure Future Initiative). Essa estrutura permite que as organizações dividam logicamente projetos em partes consumíveis relacionadas.

Tip

Algumas organizações podem aceitar essas recomendações exatamente como escritas, enquanto outras podem optar por fazer modificações com base em suas próprias necessidades comerciais. Em nossa versão inicial dessas diretrizes, nos concentramos nos locatários tradicionais da força de trabalho. Esses locatários da força de trabalho são para seus funcionários, aplicativos empresariais internos e outros recursos organizacionais.

Recomendamos que todos os controles a seguir sejam implementados quando as licenças estiverem disponíveis. Esses padrões e práticas ajudam a fornecer uma base para outros recursos criados com base nessa solução. Mais controles serão adicionados a este documento ao longo do tempo.

Avaliação automatizada

Verificar manualmente essas diretrizes em relação à configuração de um locatário pode ser demorado e propenso a erros. A Avaliação de Confiança Zero transforma esse processo com automação para testar esses itens de configuração de segurança e muito mais. Saiba mais em Qual é a Avaliação de Confiança Zero?

Proteger identidades e segredos

Reduza o risco relacionado à credencial implementando padrões de identidade modernos.

Verificação	Licença mínima necessária
Os aplicativos não têm segredos do cliente configurados	Nenhum (incluído na ID do Microsoft Entra)
As entidades de serviço não têm certificados ou credenciais associados a eles	Nenhum (incluído na ID do Microsoft Entra)
Os aplicativos não têm certificados com expiração superior a 180 dias	Nenhum (incluído na ID do Microsoft Entra)
Os Certificados de Aplicativo precisam ser girados regularmente	Nenhum (incluído na ID do Microsoft Entra)
Impor padrões para segredos e certificados do aplicativo	Nenhum (incluído na ID do Microsoft Entra)
Os aplicativos de serviços da Microsoft não têm credenciais configuradas	Nenhum (incluído na ID do Microsoft Entra)
As configurações de consentimento do usuário são restritas	Nenhum (incluído na ID do Microsoft Entra)
O fluxo de trabalho de consentimento do administrador está habilitado	Nenhum (incluído na ID do Microsoft Entra)
Alta taxa de administrador global para usuário privilegiado	Nenhum (incluído na ID do Microsoft Entra)
Contas com privilégios são identidades nativas de nuvem	Nenhum (incluído na ID do Microsoft Entra)
Todas as atribuições de função com privilégios são ativadas no tempo e não permanentemente ativas	Microsoft Entra ID P2
Todas as atribuições de função com privilégios do Microsoft Entra são gerenciadas com PIM	Microsoft Entra ID P2
Método de autenticação passkey habilitado	Nenhum (incluído na ID do Microsoft Entra)
O atestado de chave de segurança é imposto	Nenhum (incluído na ID do Microsoft Entra)
Contas privilegiadas têm métodos resistentes a phishing registrados	Microsoft Entra ID P1
As funções internas privilegiadas do Microsoft Entra são direcionadas com políticas de Acesso Condicional para impor métodos resistentes a phishing	Microsoft Entra ID P1
Exigir notificações de redefinição de senha para funções de administrador	Microsoft Entra ID P1
Bloquear a autenticação herdada.	Microsoft Entra ID P1
A passagem de acesso temporário está habilitada	Microsoft Entra ID P1
Restringir a passagem de acesso temporário para uso único	Microsoft Entra ID P1
Migrar de políticas de MFA e SSPR herdadas	Microsoft Entra ID P1
Impedir que os administradores usem o SSPR	Microsoft Entra ID P1
A redefinição de senha de autoatendimento não usa perguntas de segurança	Microsoft Entra ID P1
Os métodos de autenticação sms e chamada de voz estão desabilitados	Microsoft Entra ID P1
Proteger o registro de MFA (Minhas Informações de Segurança)	Microsoft Entra ID P1
Usar a autenticação na nuvem	Microsoft Entra ID P1
Todos os usuários são necessários para se registrar em MFA	Microsoft Entra ID P2
Os usuários têm métodos de autenticação fortes configurados	Microsoft Entra ID P1
A atividade de entrada do usuário usa a proteção de token	Microsoft Entra ID P1
O aplicativo Microsoft Authenticator mostra o contexto de entrada	Microsoft Entra ID P1
A configuração de atividade suspeita do relatório do aplicativo Microsoft Authenticator está habilitada	Microsoft Entra ID P1
A expiração da senha está desabilitada	Microsoft Entra ID P1
Limite de bloqueio inteligente definido como 10 ou menos	Microsoft Entra ID P1
A duração do bloqueio inteligente é definida como um mínimo de 60	Microsoft Entra ID P1
Adicionar termos organizacionais à lista de senhas proibidas	Microsoft Entra ID P1
Exigir autenticação multifator para ingresso no dispositivo e registro de dispositivo usando a ação do usuário	Microsoft Entra ID P1
A Solução de Senha do Administrador Local é implantada	Microsoft Entra ID P1
A Sincronização do Entra Connect está configurada com as Credenciais da Entidade de Serviço	Nenhum (incluído na ID do Microsoft Entra)
Nenhum uso da ADAL no locatário	Nenhum (incluído na ID do Microsoft Entra)
Bloquear o módulo do PowerShell do Azure AD herdado	Nenhum (incluído na ID do Microsoft Entra)
Habilitar padrões de segurança da ID do Microsoft Entra	Nenhum (incluído na ID do Microsoft Entra)

Proteger locatários e sistemas de produção de isolamento

Verificação	Licença mínima necessária
As permissões para criar novos locatários são limitadas à função Criador de Locatário	Nenhum (incluído na ID do Microsoft Entra)
Habilitar ações protegidas para proteger a criação e as alterações da política de Acesso Condicional	Microsoft Entra ID P1
O acesso de convidado é limitado a locatários aprovados	Microsoft Entra ID Gratuito
Os convidados não recebem funções de diretório com privilégios elevados	Microsoft Entra ID Gratuito Microsoft Entra ID P2 ou Governança de ID da Microsoft para PIM
Os convidados não podem convidar outros convidados	Microsoft Entra ID Gratuito
Os convidados têm acesso restrito a objetos de diretório	Microsoft Entra ID Gratuito
O bloqueio de propriedade da instância do aplicativo está configurado para todos os aplicativos multilocatários	Microsoft Entra ID Gratuito
Os convidados não têm sessões de entrada de longa duração	Microsoft Entra ID P1
O acesso de convidado é protegido por métodos de autenticação fortes	Microsoft Entra ID Gratuito Microsoft Entra ID P1 recomendado para acesso condicional
A inscrição de autoatendimento de convidado por meio do fluxo de usuário está desabilitada	Microsoft Entra ID Gratuito
As configurações de acesso entre locatários de saída são configuradas	Microsoft Entra ID Gratuito Microsoft Entra ID P1 recomendado para acesso condicional
Os convidados não possuem aplicativos no locatário	Nenhum (incluído na ID do Microsoft Entra)
Todos os convidados têm um patrocinador	Microsoft Entra ID Gratuito
Identidades de convidado inativas são desabilitadas ou removidas do locatário	Microsoft Entra ID Gratuito
Todas as políticas de gerenciamento de direitos têm uma data de validade	Microsoft Entra ID P2 ou Microsoft ID Governance for right managed and access reviews
Todas as políticas de atribuição de gerenciamento de direitos que se aplicam a usuários externos exigem organizações conectadas	Microsoft Entra ID P2 ou Microsoft ID Governance for right managed and access reviews
Todos os pacotes de gerenciamento de direitos que se aplicam aos convidados têm expirações ou revisões de acesso configuradas em suas políticas de atribuição	Microsoft Entra ID P2 ou Microsoft ID Governance for right managed and access reviews
Gerenciar os administradores locais em dispositivos ingressados no Microsoft Entra	Nenhum (incluído na ID do Microsoft Entra)
Restringir usuários não administradores de recuperar as chaves do BitLocker para seus dispositivos de propriedade	Nenhum (incluído na ID do Microsoft Entra)

Proteger redes

Proteja seu perímetro de rede.

Verificação	Licença mínima necessária
Os locais nomeados estão configurados	Microsoft Entra ID P1
A política v2 de restrições de locatário está configurada	Microsoft Entra ID P1

Proteger sistemas de engenharia

Proteja os ativos de software e melhore a segurança do código.

Verificação	Licença mínima necessária
As contas de acesso de emergência são configuradas adequadamente	Microsoft Entra ID P1
A ativação de função de Administrador Global dispara um fluxo de trabalho de aprovação	Microsoft Entra ID P2
Os administradores globais não têm acesso permanente às assinaturas do Azure	Nenhum (incluído na ID do Microsoft Entra)
A criação de novos aplicativos e entidades de serviço é restrita a usuários privilegiados	Microsoft Entra ID P1
Aplicativos inativos não têm permissões de API do Microsoft Graph altamente privilegiadas	Microsoft Entra ID P1
Aplicativos inativos não têm funções internas altamente privilegiadas	Microsoft Entra ID P1
Registros de aplicativo usam URIs de redirecionamento seguro	Microsoft Entra ID P1
Entidades de serviço usam URIs de redirecionamento seguro	Microsoft Entra ID P1
Os registros de aplicativo não devem ter URIs de redirecionamento de domínio pendentes ou abandonadas	Microsoft Entra ID P1
O consentimento específico do recurso para o aplicativo é restrito	Microsoft Entra ID P1
Identidades de carga de trabalho não são atribuídas a funções com privilégios	Microsoft Entra ID P1
Os aplicativos empresariais devem exigir atribuição explícita ou provisionamento com escopo	Microsoft Entra ID P1
Aplicativos empresariais têm proprietários	Nenhum (incluído na ID do Microsoft Entra)
Limitar o número máximo de dispositivos por usuário para 10	Nenhum (incluído na ID do Microsoft Entra)
As políticas de acesso condicional para estações de trabalho de acesso privilegiado estão configuradas	Microsoft Entra ID P1

Monitorar e detectar ameaças cibernéticas

Coletar e analisar logs de segurança e alertas de triagem.

Verificação	Licença mínima necessária
As configurações de diagnóstico são configuradas para todos os logs do Microsoft Entra	Microsoft Entra ID P1
Ativações de função com privilégios têm monitoramento e alertas configurados	Microsoft Entra ID P2
Alerta de ativação para atribuições de função de Administrador Global	Microsoft Entra ID P2
Alerta de ativação para todas as atribuições de função com privilégios	Microsoft Entra ID P2
Usuários privilegiados se inscrevem com métodos resistentes a phishing	Microsoft Entra ID P1
Todos os usuários de alto risco são triagem	Microsoft Entra ID P2
Todas as entradas de alto risco são triagem	Microsoft Entra ID P2
[Todas as identidades de carga de trabalho arriscadas são triagem]
Todas as atividades de entrada do usuário usam métodos de autenticação fortes	Microsoft Entra ID P1
Recomendações de alta prioridade do Microsoft Entra são tratadas	Microsoft Entra ID P1
Notificações de Proteção de ID habilitadas	Microsoft Entra ID P2
Nenhuma atividade de entrada de autenticação herdada	Microsoft Entra ID P1
Todas as recomendações do Microsoft Entra são tratadas	Microsoft Entra ID P1

Acelerar a resposta e a correção

Aprimore a resposta a incidentes de segurança e as comunicações de incidentes.

Verificação	Licença mínima necessária
Identidades de carga de trabalho com base em políticas de risco são configuradas	ID de carga de trabalho do Microsoft Entra
Restringir entradas de alto risco	Microsoft Entra ID P2
Restringir o acesso a usuários de alto risco	Microsoft Entra ID P2

Comentários

Esta página foi útil?

Last updated on 2025-11-07