Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A Estratégia e roteiro de Confiança Zero do DoD delineia um caminho para os componentes do Departamento de Defesa e os parceiros da Base Industrial de Defesa (DIB) adotarem uma nova estrutura de segurança cibernética baseada nos princípios de Confiança Zero. A Confiança Zero elimina perímetros tradicionais e suposições de confiança, permitindo uma arquitetura mais eficiente que aprimora a segurança, as experiências do usuário e o desempenho da missão.
Este guia tem recomendações para as 152 atividades da Confiança Zero no Roteiro de execução da funcionalidade de Confiança Zero do DoD. As seções correspondem aos sete pilares do modelo de Confiança Zero do DoD.
Use os links a seguir para acessar as seções do guia.
- Introdução
- Usuário
- Dispositivo
- Aplicativos e cargas de trabalho
- Dados
- Rede
- Automação e orquestração
- Visibilidade e análise
1 Usuário
Esta seção contém diretrizes e recomendações da Microsoft para as atividades de Confiança Zero de DoD no pilar do usuário. Para saber mais, confira Proteger a identidade com Confiança Zero.
1.1 Inventário de usuários
O Microsoft Entra ID é a plataforma de identidade necessária para os serviços em nuvem da Microsoft. O Microsoft Entra ID é um provedor de identidade (IdP) e uma plataforma de governança para dar suporte a identidades híbridas e multinuvem. Você pode usar o Microsoft Entra ID para controlar o acesso a nuvens que não são da Microsoft, como Amazon Web Services (AWS), Google Cloud Platform (GCP), Oracle Cloud Infrastructure (OCI) e outras. O Microsoft Entra ID usa protocolos de identidade padrão, tornando-se um IdP adequado para software como serviço (SaaS), aplicativos Web modernos, aplicativos móveis e de área de trabalho, assim como aplicativos locais herdados.
Use o Microsoft Entra ID para verificar usuários e entidades não pessoais (NPE), autorizar continuamente o acesso a aplicativos e dados, controlar identidades e seus direitos seguindo princípios de privilégios mínimos e executar a administração just-in-time (JIT).
| Descrição e resultado das atividades do DoD | Diretrizes e recomendações da Microsoft |
|---|---|
Target
1.1.1 Inventário de UsuáriosAs Organizações DoD estabelecem e atualizam um inventário de usuários manualmente, se necessário, preparando-se para uma abordagem automatizada em estágios posteriores. As contas gerenciadas centralmente por um IdP/ICAM e localmente nos sistemas serão identificadas e inventariadas. As contas com privilégios serão identificadas para auditoria futura e as contas de usuário padrão e as com privilégios que se locais para aplicativos e sistemas serão identificadas para migração futura e/ou encerramento. Resultados: – Usuários regulares gerenciados identificados – Usuários com privilégios gerenciados identificados – Aplicativos identificados usando seu próprio gerenciamento de conta de usuário para contas não administrativas e administrativas |
Microsoft Entra ID Identifique usuários regulares e privilegiados em sua organização usando o Centro de administração do Microsoft Entra ou a API do Microsoft Graph. A atividade do usuário é capturada nos logs de entrada e de auditoria do Microsoft Entra ID, que podem ser integrados a sistemas de monitoramento de eventos de informações de segurança (SIEM), como o Microsoft Sentinel. - Adotar o Microsoft Entra ID - API do Microsoft Graph: listar usuários - Integração dos logs de atividade do Microsoft Entra Funções do Microsoft Entra e do Azure Usuários privilegiados são identidades atribuídas a funções do Microsoft Entra ID, funções do Azure ou grupos de segurança do Microsoft Entra ID que concedem acesso privilegiado ao Microsoft 365 ou outros aplicativos. Recomendamos que você use usuários somente na nuvem para acesso privilegiado. - Funções internas Microsoft Defender para Aplicativos de Nuvem Use o Defender para Aplicativos de Nuvem para descobrir aplicativos não aprovados usando seu próprio armazenamento de identidades. - Descobrir e gerenciar a TI sombra Microsoft Defender para Identidade Implante e configure sensores do Microsoft Defender para Identidade para criar um inventário de ativos de identidade para ambientes locais do Active Directory Domain Services. - Visão geral do Microsoft Defender para Identidade - Implantar o Microsoft Defender para Identidade - Investigar ativos |
1.2 Acesso condicional do usuário
A Microsoft Entra ID ajuda sua organização a implementar o acesso condicional e dinâmico do usuário. Os recursos que dão suporte a essa capacidade incluem acesso condicional do Microsoft Entra, Microsoft Entra ID Governance, funções personalizadas, grupos de segurança dinâmica, funções de aplicativo e atributos de segurança personalizados.
O acesso condicional é o mecanismo de política de Confiança Zero no Microsoft Entra ID. As políticas de acesso condicional usam sinais de segurança do usuário, dispositivo, aplicativo, sessão, risco e outros elementos para aplicar autorização dinâmica adaptável para recursos protegidos pelo Microsoft Entra ID.
| Descrição e resultado das atividades do DoD | Diretrizes e recomendações da Microsoft |
|---|---|
Target
1.2.1 Implementar Permissões Baseadas em Aplicativos por EmpresaA empresa DoD, em colaboração com as Organizações, estabelece um conjunto básico de atributos de usuário para autenticação e autorização. Elas são integradas ao processo de atividade "Gerenciamento do ciclo de vida de identidades pt1" para um padrão empresarial completo. A solução de Gerenciamento de Identidades, Credenciais e Acesso (ICAM) empresarial está habilitada para a funcionalidade de autoatendimento para adicionar/atualizar atributos dentro da solução. As atividades restantes do Privileged Access Management (PAM) são totalmente migradas para a solução PAM. Resultados: – Funções/atributos empresariais necessários para autorização do usuário para funções de aplicativo e/ou dados foram registrados com o ICAM empresarial – O ICAM empresarial do DoD tem um serviço de registro de função/atributo de autoatendimento que permite aos proprietários de aplicativos adicionar atributos ou usar atributos corporativos existentes – Atividades com privilégios são totalmente migradas para o PAM |
Estabeleça uma identidade híbrida com o Microsoft Entra Connect para preencher locatários do Microsoft Entra ID com dados de atributo de usuário dos sistemas de diretório atuais. - Integre aplicativos ao Microsoft Entra ID. Crie modelos de autorização e permissões de aplicativo usando grupos de segurança e funções de aplicativo. Para delegar o gerenciamento de aplicativos, atribua proprietários para gerenciar a configuração do aplicativo, bem como para registrar e atribuir funções de aplicativo. - Integrar aplicativos com o Microsoft Entra ID - Grupos de segurança dinâmicos - Funções de aplicativo para aplicativos Microsoft Entra ID Governance Configure os pacotes de acesso no gerenciamento de direitos para que os usuários possam solicitar acesso a funções ou grupos de aplicativos. - Controlar o acesso aos aplicativos - Delegar controle de pacote de governança Acesso condicional Configure políticas de acesso condicional para autorização dinâmica para aplicativos e serviços protegidos pelo Microsoft Entra ID. Nas políticas de acesso condicional, use atributos de segurança e filtros de aplicativo personalizados para definir o escopo da autorização de atributo de segurança atribuída a objetos de aplicativo, como confidencialidade. - Acesso condicional - Atributos de segurança personalizados - Filtrar por aplicativos Privileged Identity Management Use o recurso Descoberta e insights do PIM para identificar funções e grupos privilegiados. Use o PIM para gerenciar privilégios descobertos e converter atribuições de usuário de permanentes para qualificadas. - Descoberta e insights do PIM |
Target
1.2.2 Acesso Dinâmico Baseado em Regras Pt1As Organizações DoD utilizam as regras da atividade "Autenticação Periódica" para criar regras básicas que habilitam e desabilitam privilégios dinamicamente. Contas de usuário de alto risco utilizam a solução PAM para migrar para o acesso privilegiado dinâmico usando o acesso Just-In-Time (JIT) e métodos Just-Enough-Administration (JEA). Resultados: – O acesso às funções e/ou dados do aplicativo/serviço é limitado a usuários com atributos empresariais apropriados – Todos os aplicativos possíveis usam permissões JIT/JEA para usuários administrativos |
Microsoft Entra ID Utilize os recursos de autorização e governança do Microsoft Entra ID para limitar o acesso a aplicativos com base em atributos de usuário, atribuições de função, risco e detalhes da sessão. Consulte as diretrizes da Microsoft em 1.2.1. Gerenciamento de Identidades Privilegiadas Use o PIM para as funções do Microsoft Entra e Azure. Estenda o PIM para outros aplicativos do Microsoft Entra ID com o PIM para Grupos. - PIM para funções do Microsoft Entra - PIM para funções do Azure - PIM para Grupos |
Advanced
1.2.3 Acesso Dinâmico Baseado em Regras Pt2As Organizações DoD expandem o desenvolvimento de regras para tomada de decisão de acesso dinâmico considerando o risco. As soluções usadas para acesso dinâmico são integradas com funcionalidade intersetoriais de aprendizado do Machine Learning e inteligência artificial, permitindo o gerenciamento automatizado de regras. Resultados: – Componentes e serviços estão utilizando na sua totalidade regras para habilitar o acesso dinâmico a aplicativos e serviços – A tecnologia utilizada para acesso dinâmico baseado em regras dá suporte à integração com ferramentas de IA/ML |
Proteção do Microsoft Entra ID A Proteção do Microsoft Entra ID usa algoritmos do Machine Learning (ML) para detectar usuários e entradas suspeitos. Use as condições de risco em políticas de acesso condicional para acesso dinâmico, com base no nível de risco. - Proteção do Microsoft Entra ID - Detecções de risco - Políticas de acesso baseadas em risco Microsoft Defender XDR O Microsoft Defender XDR é uma solução de detecção e resposta estendida (XDR). Implante o Microsoft Defender para Ponto de Extremidade e o Microsoft Defender para Aplicativos de Nuvem e configure as integrações. - Integrar o Defender para Ponto de Extremidade ao Defender para Aplicativos de Nuvem |
Advanced
1.2.4 Funções e permissões de Governança Empresarial Pt1As Organizações DoD federam os atributos restantes de usuário e grupo, conforme apropriado, para a solução de Gerenciamento de Identidade, Credenciais e Acesso Empresarial (ICAM). O conjunto de atributos atualizados é usado para criar funções universais para as organizações usarem. As principais funções das soluções do provedor de identidade (IdP) e de Gerenciamento de Identidade, Credenciais e Acesso (ICAM) são migradas para serviços de nuvem e/ou ambientes que permitem maior resiliência e desempenho. Resultados: – Repositório de dados de função e atributo de componente federado com o ICAM empresarial O IdP empresarial baseado em nuvem pode ser usado por aplicativos locais e de nuvem – Conjunto padronizado de funções e permissões são criados e alinhados a atributos |
Microsoft Entra ID O Microsoft Entra ID é uma plataforma de gerenciamento de identidade, credenciais e acesso (ICAM) e um provedor de identidade (IdP) gerenciados de forma centralizada e multinuvem. Estabeleça a identidade híbrida com o Microsoft Entra Connect para preencher os dados do usuário no diretório. - Microsoft Entra ID - Identidade híbrida Aplicativos do Microsoft Entra Integre aplicativos com o Microsoft Entra ID e use grupos de segurança dinâmica, funções de aplicativo e atributos de segurança personalizados para controlar o acesso a aplicativos. - Gerenciar aplicativos - Controlar o acesso de aplicativos Proxy de aplicativo de Microsoft Entra Para usar o Microsoft Entra ID para aplicativos \que usam protocolos de autenticação herdados, implante e configure o proxy de aplicativo ou integre soluções de parceiro de acesso híbrido seguro (SHA). - SHA: proteger aplicativos herdados |
Advanced
1.2.5 Funções e permissões de Governança Empresarial Pt2As Organizações DoD movem todas as funções possíveis do Provedor de Identidade (IdP) e das soluções de Gerenciamento de Identidade, Credenciais e Acesso (ICAM) para ambientes em nuvem. As capacidades locais dos ambientes de Enclave/DDIL podem dar suporte a funções desconectadas, mas, em última análise, são gerenciados pelas soluções centralizadas de Gerenciamento de Identidade, Credenciais e Acesso (ICAM). As funções atualizadas agora são obrigatórias para uso e as exceções são revisadas após uma abordagem baseada em risco. Resultados: – A maioria dos componentes utiliza a funcionalidade de IdP de nuvem e sempre que possível o IdP local é desativado – Permissões e funções são obrigatórias para uso ao avaliar atributos |
Aplicativos do Microsoft Entra Migre aplicativos modernos dos Serviços de Federação do Active Directory (AD FS) para o Microsoft Entra ID e, em seguida, desative a infraestrutura do AD FS. - Migrar a autenticação de aplicativo do AD FS para o Microsoft Entra ID Provisionamento dos aplicativos do Microsoft Entra Mova os processos restantes de ICAM e provisionamento de aplicativos de sistemas de gerenciamento de identidade local para o Microsoft Entra ID. - Provisionamento de entrada controlado por API - Provisionamento de aplicativos |
1.3 Autenticação multifatorial
O Microsoft Entra ID dá suporte à autenticação baseada em certificado (CBA), incluindo os Cartões de Acesso Comum (CAC) do DoD e a Verificação de Identidade Pessoal (PIV) sem federação com outro IdP, para usuários de nuvem e híbridos (sincronizados). O Microsoft Entra ID dá suporte a vários métodos de autenticação multifator sem senha resistente a phishing padrão do setor, incluindo CBA, Windows Hello para Empresas, chaves de segurança FIDO2 e chaves de passagem.
Você pode criar políticas de acesso condicional para impor a força de autenticação e autorizar dinamicamente o acesso com base nas condições do usuário, dispositivo e ambiente, incluindo o nível de risco.
| Descrição e resultado das atividades do DoD | Diretrizes e recomendações da Microsoft |
|---|---|
Target
1.3.1 MFA/IDP OrganizacionalAs Organizações DoD adquirem e implementam uma solução centralizada de Provedor de Identidade (IdP) e uma solução de Autenticação Multifator (MFA). As soluções IdP e MFA podem ser combinadas em um único aplicativo ou usadas separadas, conforme necessário, supondo que a integração automatizada seja compatível com ambas as soluções. O IdP e a MFA dão suporte à integração com a funcionalidade da PKI empresarial e permitem que os pares de chaves sejam assinados pelas autoridades de certificação raiz confiáveis. Os serviços e aplicativos críticos de missão/tarefa estão utilizando as soluções de IdP e MFA para gerenciamento de usuários e grupos. Resultados: – O componente está usando o IdP com a MFA para aplicativos/serviços críticos – Os componentes implementaram um provedor de identidade(IdP) que permite a autenticação multifator da PKI do DoD – PKI padronizada organizacional para serviços críticos |
Métodos de autenticação do Microsoft Entra Configure a CBA do Microsoft Entra usando a PKI do DoD. Defina o nível de proteção global como autenticação de fator único. Crie regras para cada AC emissora do DoD ou OID da política para identificar a PKI do DoD como nível de proteção da autenticação multifator. Após a configuração, os usuários entram no Microsoft Entra com um CAC DoD. - Autenticação no Microsoft Entra ID - CBA do Microsoft Entra - Configurar o CBA Distribuição em etapas Usar uma distribuição em etapas para migrar a autenticação do usuário de um serviço de federação local para o CBA do Microsoft Entra. Consulte as diretrizes da Microsoft na versão 1.2.4. Força de autenticação do Microsoft Entra Criar uma nova força de autenticação denominada CAC DoD. Escolha a autenticação baseada em certificado (multifator). Configure opções avançadas e selecione emissores de certificado para a PKI do DoD. - Força de autenticação - Forças de autenticação personalizadas Microsoft Intune O Microsoft Entra dá suporte a dois métodos para usar certificados em um dispositivo móvel: credenciais derivadas (certificados no dispositivo) e chaves de segurança de hardware. Para usar credenciais derivadas de PKI do DoD em dispositivos móveis gerenciados, use o Intune para implantar o Purebred do DISA. - Credenciais derivadas - CBA em dispositivos iOS - CBA em dispositivos Android |
Advanced
1.3.2 MFA Flexível Alternativa Pt1O Provedor de Identidade (IdP) da Organização DoD suporta métodos alternativos de autenticação multifator que cumprem os requisitos de Cibersegurança (por exemplo, FIPS 140-2, FIPS 197, etc.). Tokens alternativos podem ser usados para autenticação baseada em aplicativo. As opções multifator dão suporte à capacidade biométrica e podem ser gerenciadas usando uma abordagem de autoatendimento. Sempre que possível provedores multifator são movidos para serviços de nuvem em vez de serem hospedados localmente. Resultados: – O IdP fornece um token alternativo de autoatendimento do usuário – O IdP fornece MFA de token alternativo para aplicativos aprovados por política |
Métodos de autenticação do Microsoft Entra Configure os métodos de autenticação do Microsoft Entra para que os usuários registrem chaves de acesso (chaves de segurança FIDO2). Use configurações opcionais para configurar uma política de restrição de chave para chaves em conformidade com o FIPS 140-2. - Entrar com chave de segurança sem senha - Métodos de autenticação Senha de acesso temporário Configure uma senha de acesso temporária (TAP) para que os usuários registrem autenticadores alternativos sem senha sem uma CAC. - Configurar TAP Acesso condicional Crie uma política de acesso condicional para exigir a força de autenticação: CAC do DoD para registro de informações de segurança. A política exige que a CAC registre outros autenticadores, como chaves de segurança FIDO2. - Registro de informações de segurança Consulte as diretrizes da Microsoft na versão 1.3.1. Windows Hello para Empresas Use o Windows Hello para Empresas com um PIN ou um gesto biométrico para entrar no Windows. Use políticas de gerenciamento de dispositivos para registro do Windows Hello para Empresas em dispositivos Windows fornecidos pela empresa. - Windows Hello para Empresas |
Advanced
1.3.3 MFA Flexível Alternativa Pt2Tokens alternativos utilizam padrões de atividade do usuário de atividades transversais, como "Monitoramento de Atividade do Usuário (UAM) e Análise de Comportamento de Usuário e Entidade (UEBA)" para auxiliar na tomada de decisões de acesso (por exemplo, não conceder acesso quando ocorrer desvio de padrão). Essa funcionalidade também é estendida para tokens alternativos habilitados para biometria. Resultado: – Padrões de atividade do usuário implementados |
Proteção do Microsoft Entra ID A Proteção do Microsoft Entra ID usa o Machine Learning (ML) e a inteligência contra ameaças para detectar eventos de usuários e entradas suspeitos. Use as condições de risco de entrada e de usuário para direcionar políticas de acesso condicional aos níveis de risco. Comece com a proteção de linha de base que exige MFA para entradas suspeitas. - Proteção do Microsoft Entra ID - Implantar a proteção de identidade Acesso condicional Crie um conjunto de políticas de acesso condicional baseadas em risco que usam controles de concessão e sessão para exigir uma proteção mais forte à medida que o risco aumenta. - Configurar e habilitar as políticas de risco - Acesso Condicional: Sessão - Acesso condicional: Conceder Exemplos de políticas de Acesso Condicional com base em risco: Risco médio de entrada – Exigir força de autenticação: MFA resistente a phishing – Exigir dispositivo em conformidade – Frequência de entrada: 1 hora Alto risco de entrada – Exigir força de autenticação: MFA resistente a phishing – Exigir dispositivo em conformidade – Frequência de entrada: sempre Alto risco para o usuário – Exigir força de autenticação: MFA resistente a phishing – Exigir dispositivo em conformidade – Frequência de entrada: sempre Microsoft Sentinel Configure uma regra de análise do Sentinel e um guia estratégico para criar um incidente para alertas da Proteção do Entra ID quando o risco do usuário for alto. - Conector da Proteção Microsoft Entra ID para Microsoft Sentinel - User:revokeSignInSessions |
1.4 Gerenciamento de acesso privilegiado
O Microsoft Entra ID Governance permite recursos do PAM, incluindo administração just-in-time (JIT), gerenciamento de direitos e revisões de acesso periódico. O Microsoft Entra Privileged Identity Management (PIM) ajuda você a descobrir como as funções são atribuídas em sua organização. Use o PIM para converter atribuições de função JIT permanentes, personalizar a atribuição de função e os requisitos de ativação, assim como agendar revisões de acesso.
O acesso condicional impõe a força de autenticação, o nível de risco e o dispositivo de estação de trabalho com acesso privilegiado (PAW) em conformidade para acesso privilegiado. As ações administrativas no Microsoft Entra ID são registradas nos logs de auditoria do Microsoft Entra.
| Descrição e resultado das atividades do DoD | Diretrizes e recomendações da Microsoft |
|---|---|
Target
1.4.1 Implementar sistema e migrar usuários privilegiados pt1As organizações do DoD obtêm e implementam uma solução de Privileged Access Management (PAM) para dar suporte a todos os casos críticos de uso privilegiado. Os pontos de integração de aplicativo/serviço são identificados para determinar o status do suporte da solução PAM. Aplicativos/serviços que se integram facilmente à solução PAM são transferidos para usar a solução em vez de permissões com privilégios estáticos e diretos. Resultados: – Ferramentas do Privilege Access Management (PAM) são implementadas – Aplicativos e dispositivos que dão suporte e não dão suporte a ferramentas PAM são identificados – Aplicativos que dão suporte ao PAM, agora usam o PAM para controlar contas internas/de emergência |
Privileged Identity Management Implante o PIM para proteger o Microsoft Entra ID e as funções do Azure. Use o recurso Descoberta e insights do PIM para identificar funções e grupos privilegiados. Use o PIM para gerenciar privilégios descobertos e converter atribuições de usuário de permanentes para qualificadas. - Visão geral do PIM - Descoberta e insights para funções - Recursos do Azure Microsoft Intune Implante uma PAW gerenciada pelo Intune para o Microsoft Entra, o Microsoft 365 e a administração do Azure. - Estratégia do acesso privilegiado Acesso Condicional Use uma política de acesso condicional personalizada para exigir dispositivos em conformidade. Para impor a PAW, use filtros de dispositivo no controle de concessão de dispositivo em conformidade com o acesso condicional. - Filtros para dispositivos |
Target
1.4.2 Implementar o Sistema e Migrar Usuários Privilegiados Pt2As organizações do DoD utilizam o inventário de aplicativos/serviços com suporte e sem suporte para integração com a solução de Privileged Access Management (PAM) para estender as integrações. O PAM é integrado aos aplicativos/serviços mais desafiadores para maximizar a cobertura da solução PAM. As exceções são gerenciadas em uma abordagem metódica baseada em risco com o objetivo de migrar e/ou desativar aplicativos/serviços que não dão suporte a soluções PAM. Resultado: – As atividades com privilégios são migradas para o PAM e o acesso é totalmente gerenciado |
Privileged Identity Management Use grupos de acesso de privilégios e o PIM para Grupos para estender o acesso just-in-time (JIT) além do Microsoft Entra ID e do Azure. Use os grupos de segurança no Microsoft 365, Microsoft Defender XDR ou mapeados para declarações de função privilegiadas para aplicativos não Microsoft integrados ao Microsoft Entra ID. - Grupos atribuíveis a funções - Trazer grupos para o PIM - Atribuições de usuário e grupo a um aplicativo Acesso condicional Use ações protegidas para adicionar outra camada de proteção quando os administradores executam ações que exigem permissões altamente privilegiadas no Microsoft Entra ID. Por exemplo, gerencie políticas de acesso condicional e configurações de acesso entre locatários. - Ações protegidas Crie uma política de acesso condicional para usuários com associação de função ativa do Microsoft Entra. Exigir força de autenticação: MFA resistente a phishing e dispositivo em conformidade. Use filtros de dispositivo para exigir PAWs compatíveis. - Exigir MFA para administradores - Filtro para dispositivos |
Advanced
1.4.3 Aprovações em Tempo Real e Análise JIT/JEA Pt1A identificação dos atributos necessários (usuários, grupos etc.) é automatizada e integrada à solução de Privileged Access Management (PAM). As solicitações de acesso a privilégios são migradas para a solução PAM para aprovações e negações automatizadas. Resultados: – Contas, aplicativos, dispositivos e dados preocupantes identificados (de maior risco para a missão do DoD) – Uso de ferramentas PAM, acesso JIT/JEA aplicado a contas de alto risco – Solicitações de acesso privilegiado são automatizadas conforme apropriado |
Gerenciamento de Identidade Privilegiada Identifique funções de alto risco em seu ambiente, como funções do Microsoft Entra, funções do Azure como Proprietário e Administrador de Acesso do Usuário, além de grupos de segurança privilegiados. - Melhores práticas para funções - Funções com privilégios Defina as configurações de função do PIM que devem exigir aprovação. - Configurações de função de recurso do Azure - Configurações de função do Microsoft Entra - Configurações do PIM para Grupos Governança da ID do Microsoft Entra Use pacotes de acesso para gerenciar grupos de segurança para qualificação de função. Esse mecanismo gerencia administradores qualificados; ele adiciona solicitações de autoatendimento, aprovações e revisões de acesso para qualificação de função. - Gerenciamento de direitos Crie grupos atribuíveis a funções para funções privilegiadas para configurar solicitações e aprovações de qualificação. Crie um catálogo chamado Administradores Qualificados para Função com Privilégios. Adicione grupos atribuíveis a funções como recursos. - Grupos atribuíveis a funções - Criar e gerenciar catálogos de recursos Crie pacotes de acesso para grupos atribuíveis a funções no catálogo de administradores qualificados para função com privilégios. Você pode exigir aprovação quando os usuários solicitam qualificação no gerenciamento de direitos, exigem aprovação após a ativação no PIM ou ambos. - Pacotes de acesso |
Advanced
1.4.4 Aprovações em Tempo Real e Análise JIT/JEA Pt2As organizações do DoD integram as soluções de Análise de Comportamento de Entidade e Usuário (UEBA) e Monitoramento de Atividade do Usuário (UAM) à solução de Privileged Access Management (PAM), fornecendo análise de padrão do usuário para tomada de decisão. Resultado: – UEBA ou sistema de análise semelhante integrado às ferramentas do PAM para aprovações de conta de JIT/JEA |
Acesso Condicional Defina um contexto de autenticação para acesso privilegiado. Crie uma ou mais políticas de acesso condicional direcionadas ao contexto de autenticação de acesso privilegiado. Use condições de risco na política e aplique controles de concessão e sessão para acesso privilegiado. Recomendamos que você exija a força de autenticação: MFA resistente a phishing, estação de trabalho de acesso privilegiado em conformidade. - Configurar o contexto de autenticação Consulte as diretrizes da Microsoft na versão 1.4.1. Para bloquear o acesso privilegiado quando o risco de entrada for alto, crie mais políticas de acesso condicional que visam o contexto de autenticação de acesso privilegiado com uma condição de alto risco de entrada. Repita esta etapa com uma política de alto risco do usuário. - Implantação de política Privileged Identity Management Defina as configurações de função do PIM para exigir o contexto de autenticação. Essa configuração impõe políticas de acesso condicional para o contexto de autenticação escolhido após a ativação da função. - Exigir contexto de autenticação |
1.5 Federação de identidades e credenciamento de usuários
O Microsoft Entra ID desempenha um papel fundamental no gerenciamento do ciclo de vida de identidades (ILM). Um locatário do Microsoft Entra é um serviço de diretório em nuvem de hiperescala, uma solução de gerenciamento de identidade, credenciais e acesso (ICAM) e um provedor de identidade (IdP). Ele dá suporte ao provisionamento entre diretórios e ao provisionamento de aplicativos para gerenciar o ciclo de vida dos usuários internos no Microsoft Entra ID e em outros aplicativos.
Os recursos do Microsoft Entra ID Governance ajudam você a gerenciar o ciclo de vida de acesso para direitos como aplicativos, Microsoft Teams e associação a grupos de segurança. O gerenciamento de direitos também pode ser usado para integrar e controlar convidados externos. É possível bloquear o acesso e remover objetos de usuários convidados quando o último pacote de acesso for removido. Para entender como sua organização pode migrar funções ILM para o Microsoft Entra ID, consulte Caminho para a nuvem.
| Descrição e resultado das atividades do DoD | Diretrizes e recomendações da Microsoft |
|---|---|
Target
1.5.1 Gerenciamento do Ciclo de Vida de Identidades OrganizacionaisAs organizações do DoD estabelecem um processo de gerenciamento de ciclo de vida de usuários privilegiados e padrão. Utilizando o provedor de identidade (IdP) organizacional o processo é implementado e seguido pelo número máximo de usuários. Todos os usuários que estão fora do processo padrão são aprovados por meio de exceções baseadas em risco a serem avaliados regularmente para desativação. Resultado: – Processo de ciclo de vida de identidades padronizado |
Microsoft Entra ID Padronize o ciclo de vida da conta para identidades, incluindo usuários, administradores, usuários externos e identidades de aplicativo (entidades de serviço). - Gerenciamento do ciclo de vida de identidades - Operações de gerenciamento de identidade e acesso Microsoft Entra ID Governance Estabeleça revisões regulares do acesso de usuários e aplicativos privilegiados em um locatário. - Revisões de acesso |
Target
1.5.2 Gerenciamento do Ciclo de Vida de Identidades Empresariais Pt1A DoD Enterprise trabalha com Organizações para revisar e alinhar os Processos, políticas e padrões existentes do Ciclo de Vida da Identidade. Uma política finalizada e o processo de suporte são desenvolvidos e seguidos pelas organizações do DoD. Utilizando as soluções centralizadas ou federadas do IdP provedor de identidade (IdP) e do Gerenciamento de Identidades e Acesso (IdAM), as organizações do DoD implementam o processo de gerenciamento do ciclo de vida empresarial para o número máximo de identidades, grupos e permissões. As exceções à política são gerenciadas em uma abordagem metódica baseada em risco. Resultados: – Processos automatizados de ciclo de vida de identidades – Integrado ao processo e às ferramentas do ICAM empresarial |
Microsoft Entra ID Se sua organização usa o Active Directory, sincronize os usuários com o Microsoft Entra ID usando a Sincronização do Microsoft Entra Connect ou a Sincronização do Microsoft Entra Connect Cloud. Observação: não sincronize contas privilegiadas do Active Directory ou atribua funções de nuvem privilegiadas a contas sincronizadas. - Sincronização do Connect - Sincronização na nuvem - Proteger o Microsoft 365 contra ataques locais - Reduzir a área de superfície de ataque Privileged Identity Management Gerencie o acesso administrativo com o PIM. Estabelecer uma cadência de revisão de acesso para funções privilegiadas do Microsoft Entra e do Azure. - Contas com privilégios Métodos de autenticação do Microsoft Entra Usar métodos de MFA resistentes a phishing baseados em nuvem. Configurar a autenticação baseada em certificado (CBA) do Microsoft Entra com os cartões de acesso comum (CACs) de DoD para registrar outras credenciais sem senha. Consulte as diretrizes da Microsoft na versão 1.3.2. |
Advanced
1.5.3 Gerenciamento do Ciclo de Vida de Identidades Empresarial Pt2As Organizações DoD integram ainda mais as funções críticas de automação do Provedor de Identidade (IdP) e das soluções de Gerenciamento de Identidade, Credenciais e Acesso (ICAM) seguindo o processo de Gerenciamento do Ciclo de Vida Empresarial para habilitar a automação e análise empresarial. Os processos primários do gerenciamento do ciclo de vida de identidades são integrados à solução ICAM empresarial baseada em nuvem. Resultados: – Integração com funções IDM/IDP críticas – As funções ILM primárias são baseadas em nuvem |
Microsoft Entra ID Governance Use revisões de acesso e de gerenciamento de direitos para gerenciar os ciclos de vida de acesso do usuário da sua organização e os ciclos de vida de identidade de convidados externos. - Gerenciamento de direitos - Governança de acesso de usuários externos Identidades gerenciadas Utilize identidades gerenciadas para recursos do Azure e federação de ID de carga de trabalho para reduzir o risco de gerenciar credenciais de aplicativos. - Identidades gerenciadas - Federação de identidade de carga de trabalho Política de gerenciamento de aplicativos Configure políticas de gerenciamento de aplicativos para controlar os tipos de credenciais adicionados às aplicações em seu locatário. Use a restrição passwordAddition para exigir credenciais de certificado para aplicativos. - API de métodos de aplicativo - Credenciais de certificado da autenticação de aplicativo |
Advanced
1.5.4 Gerenciamento do Ciclo de Vida de Identidades Empresariais Pt3As Organizações DoD integram os processos restantes de Gerenciamento do Ciclo de Vida de Identidades com a solução de Gerenciamento de Identidade, Credenciais e Acesso Empresarial. Os ambientes enclave/DDIL, apesar de ainda serem autorizados a operar, integram-se com o ICAM empresarial usando conectores locais para o ambiente de nuvem. Resultados: – Todas as funções ILM movidas para a nuvem conforme apropriado – Integração com todas as funções IDM/IDP |
Provisionamento de aplicativos do Microsoft Entra Use o provisionamento de aplicativos do Microsoft Entra para sincronizar identidades com aplicativos SCIM, SQL, LDAP, PowerShell e de serviços Web. Use o aplicativo controlado por API para provisionar usuários em instâncias diferentes do Active Directory. - Provisionar aplicativos - Provisionamento de aplicativo local - Configurar aplicativo de provisionamento controlado por API |
1.6 ID comportamental e contextual e a biometria
A Proteção do Microsoft Entra ID ajuda você a detectar, corrigir e prevenir ameaças de identidade usando o Machine Learning (ML) e a inteligência contra ameaças. Esse recurso detecta riscos em tempo real durante a entrada do usuário e os riscos offline calculados ao longo do tempo. Os riscos incluem anomalias de token, propriedades de entrada incomuns, viagens impossíveis, comportamento suspeito do usuário e muito mais.
A proteção de identidade é integrada ao Microsoft Defender XDR para mostrar os riscos de identidade detectados por outros componentes na família de produtos do Microsoft Defender.
Para saber mais, confira O que são detecções de risco?
| Descrição e resultado das atividades do DoD | Diretrizes e recomendações da Microsoft |
|---|---|
Target
1.6.1 Implementar a Análise de Comportamento de Usuário e Entidade(UEBA) e Ferramentas de Monitoramento de Atividade do Usuário (UAM) que as Organizações DoD adquirem e implementam soluções de Análise de Comportamento de Usuário e Entidade (UEBA) e Monitoramento de Atividade do Usuário (UAM). O ponto de integração inicial com o IdP empresarial foi concluído, permitindo seu uso futuro na tomada de decisões. Resultado: – As funcionalidade de UEBA e UAM implementadas para o IDP empresarial |
Proteção do Microsoft Entra ID Implante a Proteção do Microsoft Entra ID para obter detecções de risco em tempo real e offline para usuários e eventos de entrada. Estenda as detecções de risco de identidade para identidades de aplicativos (Entidades de Serviço) usando a ID de carga de trabalho do Microsoft Entra, a edição Premium das Identidades de Carga de Trabalho. - Proteger identidades de cargas de trabalho - Política baseada em risco para identidades de cargas de trabalho Consulte as diretrizes da Microsoft na versão 1.3.3. Microsoft Defender para Aplicativos de Nuvem Implantar o Defender para Aplicativos de Nuvem e configurar as integrações com o Microsoft Defender para Ponto de Extremidade e soluções externas. Configure políticas de detecção de anomalias no Defender para Aplicativos de Nuvem. - Integrar o Defender para Ponto de Extremidade com o Defender para Aplicativos de Nuvem - Integração de soluções externas - Detectar atividades suspeitas do usuário com a UEBA Microsoft Defender para Ponto de Extremidade Integre pontos de extremidade ao Defender para Ponto de Extremidade. Configure as integrações entre o Defender para Ponto de Extremidade e o Microsoft Intune. - Defender para Ponto de Extremidade e outras soluções Microsoft Intune Configure as integrações com o Defender para Ponto de Extremidade e use a pontuação de risco de máquina do Defender para Ponto de Extremidade na sua política de conformidade do dispositivo. - Regras do Defender para Ponto de Extremidade Acesso condicional Crie políticas de acesso condicional para exigir dispositivos em conformidade. Antes que o acesso seja concedido, o controle requer um dispositivo marcado como em conformidade no Microsoft Intune. A integração entre o Defender para Ponto de Extremidade e o Intune fornece uma visão geral da integridade do dispositivo e do nível de risco com base no estado de conformidade. - Políticas de conformidade para definir regras para dispositivos gerenciados do Inune Microsoft Sentinel Conecte fontes de dados ao Sentinel e habilite a UEBA para logs de auditoria, logs de entrada, atividade do Azure e eventos de segurança. - Habilitar a UEBA - Ameaças avançadas com UEBA |
Advanced
1.6.2 Monitoramento de Atividade do Usuário Pt1As Organizações DoD integram as soluções de Análise de Comportamento de Usuário e Entidade (UEBA) e Monitoramento de Atividade do Usuário (UAM) com Provedores de Identidade Organizacional (IdP) para visibilidade estendida conforme necessário. A análise e os dados gerados pela UEBA e pela UAM para aplicativos e serviços críticos são integrados às soluções Just-In-Time e Just-Enough-Access, melhorando ainda mais a tomada de decisões. Resultados: – A UEBA é integrada com os IDPs organizacionais conforme apropriado – A UEBA é integrada ao JIT/JEA para serviços críticos |
Privileged Identity Management Implante o PIM e integre funções privilegiadas. Defina o contexto de autenticação para acesso privilegiado. Use as condições de risco no contexto de autenticação e defina as configurações de função do PIM para exigir o contexto de autenticação após a ativação. Consulte as diretrizes da Microsoft na versão 1.4.4. Microsoft Sentinel Conectar fontes de dados ao Sentinel e habilitar o UEBA para logs de auditoria, logs de entrada, atividades do Azure e eventos de segurança. - Habilitar o UEBA - Ameaças avançadas com o UEBA Microsoft Defender para Aplicativos de Nuvem Monitorar e controlar as sessões de aplicativos de nuvem com o Defender para Aplicativos de Nuvem. - Proteger aplicativos com o Controle de Aplicativos - Políticas de sessão - Investigue usuários suspeitos |
Advanced
1.6.3 Monitoramento de Atividade do Usuário Pt2As Organizações DoD continuam a utilização de análises das soluções de Análise de Comportamento de Usuário e Entidade (UEBA) e Monitoramento de Atividade do Usuário (UAM) usando dados gerados para todos os aplicativos e serviços monitorados quando ocorre a tomada de decisão na solução de Acesso Just-in-Time e Just-Enough. Resultado: – O monitoramento da UEBA/entidade de é integrado ao JIT/JEA para todos os serviços |
Privileged Identity Management Use o PIM para Grupos para estender o acesso JIT (just-in-time) a aplicativos usando funções de aplicativo. Atribua grupos, gerenciados pelo PIM, às funções de aplicativo com privilégios. - PIM para Grupos - Adicionar funções de aplicativo a um aplicativo |
1.7 Acesso com privilégios mínimos
O acesso a aplicativos usando o Microsoft Entra ID é negado por padrão. Os recursos do Microsoft Entra ID Governance como o gerenciamento de direitos e as revisões de acesso garantem que o acesso esteja associado ao tempo, se alinhem ao princípio de privilégios mínimos e impõem controles para a separação de tarefas.
Use funções internas do Microsoft Entra para atribuir permissões de privilégios mínimos por tarefa. As unidades administrativas permitem definir o escopo de permissões baseadas em recursos para usuários e dispositivos do Microsoft Entra ID.
| Descrição e resultado das atividades do DoD | Diretrizes e recomendações da Microsoft |
|---|---|
Target
1.7.1 Política de Negar Usuário por PadrãoAs Organizações DoD auditam o uso interno de usuários e grupos para permissões e revogam permissões quando possível. Essa atividade inclui a revogação e/ou o encerramento de permissões em excesso e o acesso de identidades e grupos baseados em aplicativo/serviço. Sempre que possíveis usuários com privilégios estáticos são desativados ou têm suas permissões reduzidas, preparando-os para o acesso futuro baseado em regra/dinâmico. Resultados: – Aplicativos atualizados para negar por padrão a funções/dados que exigem funções/atributos específicos para acesso – Níveis de permissões padrão reduzidos são implementados – Aplicativos/serviços revisaram/auditaram todos os usuários privilegiados e removeram os usuários que não precisam desse nível de acesso |
Microsoft Entra ID Revise e restrinja permissões padrão de usuário e convidado no Microsoft Entra ID. Restrinja o consentimento do usuário aos aplicativos e examine o consentimento atual em sua organização. - Permissões de usuário padrão - Restringir permissões de consentimento do usuário Aplicativos do Microsoft Entra O acesso aos aplicativos do Microsoft Entra é negado por padrão. O Microsoft Entra ID verifica os direitos e aplica políticas de acesso condicional para autorizar o acesso a recursos. - Integrar aplicativos - Integração de aplicativos Microsoft Entra ID Governance Use o recurso de governança de identidade de gerenciamento de direitos para gerenciar os ciclos de vida de identidades e acesso. Encontre fluxos de trabalho de solicitação de acesso automatizado, atribuições de acesso, revisões e expiração. - Gerenciamento de direitos - Revisões de acesso Funções personalizadas Use as funções internas do Microsoft Entra ID para o gerenciamento de recursos. No entanto, se as funções não atenderem às necessidades organizacionais ou minimizarem privilégios para seus usuários administrativos, crie uma função personalizada. Conceda permissões granulares de funções personalizadas para gerenciar usuários, grupos, dispositivos, aplicativos e outros recursos. - Funções personalizadas Unidades administrativas Uma unidade administrativa é um recurso do Microsoft Entra que contém outros recursos do Microsoft Entra, como usuários, grupos ou dispositivos. Use unidades administrativas para delegar permissões a um subconjunto de administradores, com base na estrutura organizacional. - Unidades administrativas - Unidades administrativas de gerenciamento restrito - Criar ou excluir unidades administrativas Privileged Identity Mangement Use o PIM Discovery and Insights para gerenciar privilégios e reduzir o número de administradores. Configure alertas do PIM quando funções privilegiadas são atribuídas fora do PIM. - Acesso privilegiado para implantações híbridas e na nuvem - Alertas de segurança para funções do Microsoft Entra - Alertas de segurança para funções do Azure Microsoft Defender para Aplicativos de Nuvem Revise as permissões concedidas a aplicativos. Investigue aplicativos OAuth suspeitos no Defender para Aplicativos de Nuvem. - Revisar as permissões concedidas aos aplicativos - Investigar aplicativos OAuth suspeitos Microsoft Sentinel Use o PIM para atribuir funções do Azure para acesso ao Sentinel e audite periodicamente consultas e atividades. - Auditar consultas e atividades |
1.8 Autenticação contínua
O Microsoft Entra ID usa tokens de curta e longa duração para autenticar usuários periodicamente em aplicativos e serviços protegidos pelo Microsoft Entra. O Microsoft Entra ID possui o mecanismo de avaliação contínua de acesso (CAE) para aprimorar o protocolo padrão. O mecanismo da política responde às alterações ambientais quase em tempo real e impõe políticas de acesso adaptável.
| Descrição e resultado das atividades do DoD | Diretrizes e recomendações da Microsoft |
|---|---|
Target
1.8.1 Autenticação ÚnicaAs Organizações DoD empregam processos básicos de autenticação para autenticar usuários e NPEs pelo menos uma vez por sessão (por exemplo, logon). É importante ressaltar que os usuários que estão sendo autenticados são gerenciados pela atividade paralela "MFA/IDP organizacional" com o provedor de identidade (IdP) organizacional em comparação com o uso de identidades e grupos baseados em aplicativo/serviço. Resultado: – Autenticação implementada entre aplicativos por sessão |
Microsoft Entra ID O Microsoft Entra ID é um provedor de identidade (IdP) centralizado que facilita o logon único (SSO) entre aplicativos de nuvem da Microsoft e aplicativos que sua organização usa. - Microsoft Entra ID Logon único O método de autenticação de logon único (SSO) permite que os usuários usem suas credenciais do Microsoft Entra ID para autenticar aplicativos e serviços. Os aplicativos podem ser SaaS, aplicativos de linha de negócios personalizados ou aplicativos locais. Use a autenticação do Microsoft Entra e as capacidades de Confiança Zero para habilitar o acesso seguro e fácil aos aplicativos. - O que é o SSO? - Integrações do Microsoft Entra aos protocolos de autenticação Provisionamento de aplicativos do Microsoft Entra O provisionamento de aplicativos do Microsoft Entra cria, atualiza e remove usuários, funções e grupos em aplicativos SaaS e aplicativos personalizados ou locais. Use o Microsoft Entra ID como a fonte de identidade centralizada para aplicativos. Minimize as identidades de aplicativo ou de serviço e os usuários. - Provisionamento automatizado - Provisionamento de aplicativos Carga de trabalho do Microsoft Entra ID As entidades de serviço e as identidades gerenciadas são identidades de entidades não pessoais (NPE) no Microsoft Entra. Use entidades de serviço para acesso automatizado (não interativo) a APIs protegidas pelo Microsoft Entra. - Identidades de carga de trabalho - Entidades de serviço no Microsoft Entra ID |
Target
1.8.2 Autenticação PeriódicaAs Organizações DoD habilitam requisitos de autenticação periódica para aplicativos e serviços. Tradicionalmente, eles se baseiam na duração e/ou no tempo limite de duração, mas outras análises baseadas em períodos podem ser usadas para exigir a autenticação nova de sessões de usuário. Resultado: – Autenticação implementada várias vezes por sessão com base em atributos de segurança |
Aplicativos do Microsoft Entra Os aplicativos do Microsoft Entra gerenciam automaticamente a atualização de sessão sem interação do usuário. Consulte as diretrizes da Microsoft na versão 1.8.1. Acesso Condicional Configurar o controle de sessão de frequência de entrada no Acesso Condicional para autenticar novamente as sessões do usuário. Use o recurso quando as entradas forem suspeitas ou um dispositivo de usuário não for gerenciado ou não estiver em conformidade. - Configurar o gerenciamento de autenticação de sessão - Políticas de acesso no Defender para Aplicativos de Nuvem |
Advanced
1.8.3 Autenticação Contínua Pt1Os aplicativos/serviços das Organizações DoD utilizam múltiplas autenticações de sessão com base em atributos de segurança e no acesso solicitado. As alterações de privilégio e as solicitações de transação associacional exigiam níveis adicionais de autenticação, como a autenticação multifator (MFA) para os usuários. Resultado: – Autenticação de transação implementada por sessão com base em atributos de segurança |
Avaliação contínua de acesso A avaliação contínua de acesso (CAE) baseia-se em um padrão OpenID que aprimora os mecanismos de expiração e atualização de token baseados em tempo para obter uma resposta mais oportuna às violações de política. A CAE requer um novo token de acesso em resposta a eventos críticos, como um usuário movendo de um local de rede confiável para um que não seja confiável. Implemente a CAE com aplicativos cliente e as APIs de serviço de back-end. - Avaliação contínua de acesso - Avaliações de evento crítico Aplicativos do Microsoft Office que usam a API do Microsoft Graph, a API do Outlook Online e a API do SharePoint Online dão suporte à CAE. Desenvolva aplicativos com as Bibliotecas de Autenticação da Microsoft (MSAL) mais recentes para acessar APIs habilitadas para CAE. - CAE para o Microsoft 365 - APIs habilitadas para CAE em aplicativos Acesso condicional Defina e use o contexto de autenticação do acesso condicional para proteger sites confidenciais do SharePoint, Microsoft Teams, aplicativos protegidos do Microsoft Defender para Aplicativos de Nuvem, ativação de função do PIM e aplicativos personalizados. - Contexto de autenticação - Política para sites do SharePoint e para o OneDrive - Políticas de sessão no Defender para Aplicativos de Nuvem - Exigir contexto de autenticação para funções do PIM - Diretrizes de contexto de autenticação Use ações protegidas para adicionar outra camada de proteção quando os administradores executam ações que exigem permissões altamente privilegiadas no Microsoft Entra ID, como gerenciar políticas de acesso condicional e configurações de acesso entre locatários. Proteger as ações do usuário, como registrar informações de segurança e conectar dispositivos. - Ações protegidas - Recurso de destino Gerenciamento de Identidade Privilegiada Exigir o contexto de autenticação para a ativação da função PIM. Consulte as diretrizes da Microsoft na versão 1.4.4. |
Advanced
1.8.4 Autenticação contínua pt2As organizações do DoD continuam usando a autenticação baseada em transações para incluir a integração, como padrões de usuário. Resultado: – Autenticação de transação implementada por sessão com base em atributos de segurança, incluindo padrões de usuário |
Proteção do Microsoft Entra ID Quando a Proteção do Microsoft Entra ID detecta comportamentos anômalos, suspeitos ou arriscados, o nível de risco do usuário aumenta. Criar políticas de Acesso Condicional usando condições de risco, aumentando as proteções de acordo com o nível de risco. - Detecções de risco Consulte as diretrizes da Microsoft na versão 1.3.3. Avaliação contínua de acesso O aumento do nível de risco é um evento crítico de CAE. Os serviços que implementam a CAE, por exemplo, a API do Exchange Online, exigem que o cliente (Outlook) se autentique novamente para a próxima transação. As políticas de acesso condicional para o aumento do nível de risco são atendidas antes que o Microsoft Entra ID emita um novo token de acesso para acessar o Exchange Online. - Avaliação de evento crítico |
1.9 Plataforma de ICAM integrada
O Microsoft Entra ID dá suporte à autenticação de certificado com certificados emitidos por uma infraestrutura de chave pública (PKI) externa para usuário e entidades não pessoais (NPE). Os NPEs no Microsoft Entra ID são identidades de aplicativo e dispositivo. As configurações de acesso entre locatários da ID externa do Microsoft Entra ajudam organizações multilocatário, como o DoD, a colaborar perfeitamente entre locatários.
| Descrição e resultado das atividades do DoD | Diretrizes e recomendações da Microsoft |
|---|---|
Target
1.9.1 PKI/IDP Empresarial Pt1A DoD Enterprise trabalha com Organizações para implementar soluções de Infraestrutura de Chave Pública (PKI) e Provedor de Identidade (IdP) de forma centralizada e/ou federada. A solução PKI empresarial utiliza um único ou um conjunto de autoridades de certificação (AC) de nível raiz de acesso empresarial, nas quais as organizações podem confiar para criar ACs intermediárias desativadas. A solução de provedor de identidade pode ser uma única solução ou um conjunto federado de IdPs organizacionais com nível padrão de acesso entre organizações e um conjunto padronizado de atributos. Os IdPs das organizações e as autoridades certificadas de PKI são integrados às soluções de IdP e PKI empresariais. Resultados: – Os componentes estão usando o IdP com MFA para todos os aplicativos/serviços – MFA/PKI organizacional integrada à MFA/PKI empresarial – PKI padronizada organizacional para todos os serviços |
Métodos de autenticação do Microsoft Entra ID Usar a política de métodos de autenticação no Microsoft Entra ID para controlar os métodos de autenticação do usuário. - CBA do Microsoft Entra Consulte as diretrizes da Microsoft na versão 1.3.1. Força da Autenticação Usar a força da autenticação para controlar o acesso do usuário aos recursos. - Força da autenticação ID externa do Microsoft Entra Configurar o acesso entre locatários para locatários do Microsoft Entra ID de DoD. Use as configurações de confiança para aceitar a MFA e declarações de dispositivo em conformidade para identidades externas de locatários confiáveis do DoD. - Acesso entre locatários Política de gerenciamento de aplicativos A política de gerenciamento de aplicativos de locatário é uma estrutura para implementar as melhores práticas de segurança para aplicativos no locatário. Use a política para restringir as credenciais do aplicativo a certificados emitidos por uma PKI confiável. Para criar uma cadeia de certificados de confiança, adicione uma nova coleção de autoridades de certificação (AC) a certificados de ACs intermediários e raiz para sua PKI empresarial. - Tipo de recurso certificateBasedApplicationConfiguration Para criar uma política de gerenciamento de aplicativos para exigir certificados emitidos por ACs confiáveis, configure restrições para não permitir passwordAddition e exigir trustedCertificateauthority.. Especifique a ID da coleção de AC confiável que você criou. - API de métodos de autenticação de aplicativo Microsoft Intune O Intune dá suporte a certificados padrões de criptografia de chave pública (PKCS) e de chave privada. - Certificados PKCS |
Advanced
1.9.2 PKI/IDP Empresarial Pt2As Organizações DoD habilitam suporte biométrico no Provedor de Identidade (IdP) para aplicativos e serviços críticos para a missão/tarefa, conforme apropriado. A funcionalidade biométrica é movida de soluções organizacionais para a empresa. A autenticação multifator (MFA) organizacional e a infraestrutura de chave pública (PKI) são desativadas e migradas para a empresa conforme apropriado. Resultados: – Serviços organizacionais críticos integrados com biometria – Desativação de MFA/PKI organizacional conforme apropriado no lugar de MFA/PKI empresarial – Funções biométricas empresariais implementadas |
Microsoft Entra ID A Microsoft dá suporte à biometria em vários componentes compatíveis com a autenticação do Microsoft Entra ID. Métodos de autenticação O Microsoft Entra ID dá suporte a chaves de acesso de hardware (chaves de segurança FIDO2) que usam presença ou impressão digital. - Chaves de segurança FIDO Windows Hello para Empresas O Windows Hello para Empresas usa gestos biométricos, como impressão digital e verificação facial. - Configurações de perfil de proteção de identidade MacOS Os dispositivos MacOS utilizam biometria, como o Touch ID, para entrar com uma credencial associada ao dispositivo. - Plug-in de SSO para dispositivos Apple Microsoft Authenticator Os dispositivo móveis e o Authenticator usam toque e detecção facial para autenticação sem senha. O suporte à chave de acesso é outro método de autenticação resistente a phishing no Authenticator. - Authenticator - Entrada sem senha - Autenticação resistente a phishing aprimorada |
Advanced
1.9.3 PKI/IDP Empresarial Pt3As Organizações DoD integram os aplicativos/serviços restantes com funcionalidades Biométricas. Tokens multifator (MFA) alternativos podem ser usados. Resultado: – Todos os serviços organizacionais se integram à biometria |
Microsoft Entra ID Os cenários de identidade descentralizada que usam a ID Verificada podem exigir verificação facial após a apresentação da credencial. - ID Verificada - Detecção Facial |
Próximas etapas
Configure os serviços de nuvem da Microsoft para a Estratégia de Confiança Zero do DoD: