Configurar o Microsoft Entra para aumentar a segurança (Pré-visualização)

No Microsoft Entra, agrupamos nossas recomendações de segurança em vários temas com base na Secure Future Initiative (SFI). Essa estrutura permite que as organizações dividam logicamente os projetos em partes de consumíveis relacionadas.

Tip

Algumas organizações podem tomar essas recomendações exatamente como escritas, enquanto outras podem optar por fazer modificações com base em suas próprias necessidades de negócios. Em nossa versão inicial desta orientação, nos concentramos nos locatários tradicionais da força de trabalho. Esses locatários da força de trabalho são para seus funcionários, aplicativos de negócios internos e outros recursos organizacionais.

Recomendamos que todos os controles a seguir sejam implementados onde as licenças estiverem disponíveis. Esses padrões e práticas ajudam a fornecer uma base para outros recursos criados com base nessa solução. Mais controles serão adicionados a este documento ao longo do tempo.

Avaliação automatizada

Verificar manualmente essa orientação em relação à configuração de um locatário pode ser demorado e propenso a erros. A Avaliação Zero Trust transforma esse processo com automação para testar esses itens de configuração de segurança e muito mais. Saiba mais em O que é a Avaliação Zero Trust?

Proteja identidades e segredos

Reduza o risco relacionado a credenciais implementando padrões de identidade modernos.

Verificar	Licença mínima exigida
Os aplicativos não têm segredos de cliente configurados	Nenhum (incluído com o Microsoft Entra ID)
As entidades de serviço não têm certificados ou credenciais associadas a elas	Nenhum (incluído com o Microsoft Entra ID)
Os aplicativos não têm certificados com validade superior a 180 dias	Nenhum (incluído com o Microsoft Entra ID)
Os certificados de candidatura têm de ser alternados regularmente	Nenhum (incluído com o Microsoft Entra ID)
Impor padrões para segredos e certificados de aplicativos	Nenhum (incluído com o Microsoft Entra ID)
Os aplicativos de serviços da Microsoft não têm credenciais configuradas	Nenhum (incluído com o Microsoft Entra ID)
As configurações de consentimento do usuário são restritas	Nenhum (incluído com o Microsoft Entra ID)
O fluxo de trabalho de consentimento do administrador está habilitado	Nenhum (incluído com o Microsoft Entra ID)
Alta relação entre administrador global e usuário privilegiado	Nenhum (incluído com o Microsoft Entra ID)
Contas privilegiadas são identidades nativas da nuvem	Nenhum (incluído com o Microsoft Entra ID)
Todas as atribuições de funções privilegiadas são ativadas a tempo e não permanentemente ativas	Microsoft Entra ID P2
Todas as atribuições de funções privilegiadas do Microsoft Entra são geridas com PIM	Microsoft Entra ID P2
Método de autenticação de chave de acesso ativado	Nenhum (incluído com o Microsoft Entra ID)
O atestado de chave de segurança é aplicado	Nenhum (incluído com o Microsoft Entra ID)
Contas privilegiadas têm métodos resistentes a phishing registrados	Microsoft Entra ID P1
As funções internas privilegiadas do Microsoft Entra são direcionadas com políticas de Acesso Condicional para impor métodos resistentes a phishing	Microsoft Entra ID P1
Exigir notificações de redefinição de senha para funções de administrador	Microsoft Entra ID P1
Bloquear a autenticação legada	Microsoft Entra ID P1
O passe de acesso temporário está ativado	Microsoft Entra ID P1
Restringir o Passe de Acesso Temporário ao Uso Único	Microsoft Entra ID P1
Migrar de políticas herdadas de MFA e SSPR	Microsoft Entra ID P1
Impedir que os administradores usem o SSPR	Microsoft Entra ID P1
A redefinição de senha de autoatendimento não usa perguntas de segurança	Microsoft Entra ID P1
Os métodos de autenticação de SMS e Chamada de Voz estão desativados	Microsoft Entra ID P1
Proteger a página de registro de MFA (Minhas Informações de Segurança)	Microsoft Entra ID P1
Usar autenticação na nuvem	Microsoft Entra ID P1
Todos os usuários são obrigados a se registrar para MFA	Microsoft Entra ID P2
Os usuários têm métodos de autenticação forte configurados	Microsoft Entra ID P1
A atividade de início de sessão do utilizador utiliza proteção de token	Microsoft Entra ID P1
A aplicação Microsoft Authenticator mostra o contexto de início de sessão	Microsoft Entra ID P1
A configuração de relatório de atividade suspeita do aplicativo Microsoft Authenticator está habilitada	Microsoft Entra ID P1
A expiração da palavra-passe está desativada	Microsoft Entra ID P1
Limite de bloqueio inteligente definido como 10 ou menos	Microsoft Entra ID P1
A duração do bloqueio inteligente é definida para um mínimo de 60	Microsoft Entra ID P1
Adicionar termos organizacionais à lista de senhas proibidas	Microsoft Entra ID P1
Exigir autenticação multifator para ingresso e registro de dispositivo usando a ação do usuário	Microsoft Entra ID P1
A Solução de Senha de Administrador Local é implantada	Microsoft Entra ID P1
O Entra Connect Sync está configurado com as Credenciais da Entidade de Serviço	Nenhum (incluído com o Microsoft Entra ID)
Não utilização da ADAL no inquilino	Nenhum (incluído com o Microsoft Entra ID)
Bloquear módulo herdado do Azure AD PowerShell	Nenhum (incluído com o Microsoft Entra ID)
Ativar padrões de segurança do Microsoft Entra ID	Nenhum (incluído com o Microsoft Entra ID)

Proteja os inquilinos e os sistemas de produção de isolamento

Verificar	Licença mínima exigida
As permissões para criar novos locatários são limitadas à função Criador de Locatários	Nenhum (incluído com o Microsoft Entra ID)
Permitir ações protegidas para garantir a criação e alterações da política de Acesso Condicional	Microsoft Entra ID P1
O acesso de hóspedes é limitado a inquilinos aprovados	Microsoft Entra ID Grátis
Os convidados não recebem funções de diretório com privilégios elevados	Microsoft Entra ID Grátis Microsoft Entra ID P2 ou Governança de ID da Microsoft para PIM
Os hóspedes não podem convidar outros hóspedes	Microsoft Entra ID Grátis
Os convidados têm acesso restrito a objetos de diretório	Microsoft Entra ID Grátis
O bloqueio de propriedade da instância do aplicativo está configurado para todos os aplicativos multilocatários	Microsoft Entra ID Grátis
Os hóspedes não têm sessões de login de longa duração	Microsoft Entra ID P1
O acesso de convidado é protegido por métodos de autenticação forte	Microsoft Entra ID Grátis Microsoft Entra ID P1 recomendado para Acesso Condicional
A inscrição de autoatendimento de convidado via fluxo de usuário está desabilitada	Microsoft Entra ID Grátis
As configurações de acesso entre locatários de saída são definidas	Microsoft Entra ID Grátis Microsoft Entra ID P1 recomendado para Acesso Condicional
Os hóspedes não possuem aplicativos no locatário	Nenhum (incluído com o Microsoft Entra ID)
Todos os hóspedes têm um patrocinador	Microsoft Entra ID Grátis
As identidades de convidado inativas são desabilitadas ou removidas do locatário	Microsoft Entra ID Grátis
Todas as políticas de gestão de direitos têm uma data de expiração	Microsoft Entra ID P2 ou Microsoft ID Governance para direitos gerenciados e revisões de acesso
Todas as políticas de atribuição de gerenciamento de direitos que se aplicam a usuários externos exigem organizações conectadas	Microsoft Entra ID P2 ou Microsoft ID Governance para direitos gerenciados e revisões de acesso
Todos os pacotes de gerenciamento de direitos que se aplicam aos hóspedes têm expirações ou revisões de acesso configuradas em suas políticas de atribuição	Microsoft Entra ID P2 ou Microsoft ID Governance para direitos gerenciados e revisões de acesso
Gerenciar os administradores locais em dispositivos ingressados no Microsoft Entra	Nenhum (incluído com o Microsoft Entra ID)
Restringir utilizadores não administradores de recuperar as chaves BitLocker dos seus dispositivos próprios	Nenhum (incluído com o Microsoft Entra ID)

Proteja as redes

Proteja o perímetro da rede.

Verificar	Licença mínima exigida
Os locais nomeados são configurados	Microsoft Entra ID P1
A política v2 de restrições de locatário está configurada	Microsoft Entra ID P1

Proteja os sistemas de engenharia

Proteja os ativos de software e melhore a segurança do código.

Verificar	Licença mínima exigida
As contas de acesso de emergência são configuradas adequadamente	Microsoft Entra ID P1
A ativação da função de Administrador Global aciona um fluxo de trabalho de aprovação	Microsoft Entra ID P2
Os Administradores Globais não têm acesso permanente às subscrições do Azure	Nenhum (incluído com o Microsoft Entra ID)
A criação de novos aplicativos e entidades de serviço é restrita a usuários privilegiados	Microsoft Entra ID P1
Os aplicativos inativos não têm permissões altamente privilegiadas da API do Microsoft Graph	Microsoft Entra ID P1
Os aplicativos inativos não têm funções internas altamente privilegiadas	Microsoft Entra ID P1
Os registros de aplicativos usam URIs de redirecionamento seguro	Microsoft Entra ID P1
As entidades de serviço usam URIs de redirecionamento seguro	Microsoft Entra ID P1
Os registros de aplicativos não devem ter URIs de redirecionamento de domínio suspensos ou abandonados	Microsoft Entra ID P1
O consentimento específico do recurso para o aplicativo é restrito	Microsoft Entra ID P1
As identidades de carga de trabalho não recebem funções privilegiadas	Microsoft Entra ID P1
Os aplicativos corporativos devem exigir atribuição explícita ou provisionamento com escopo	Microsoft Entra ID P1
As aplicações empresariais têm proprietários	Nenhum (incluído com o Microsoft Entra ID)
Limitar o número máximo de dispositivos por utilizador a 10	Nenhum (incluído com o Microsoft Entra ID)
As políticas de Acesso Condicional para Estações de Trabalho de Acesso Privilegiado estão configuradas	Microsoft Entra ID P1

Monitore e detete ameaças cibernéticas

Colete e analise logs de segurança e alertas de triagem.

Verificar	Licença mínima exigida
As configurações de diagnóstico são definidas para todos os logs do Microsoft Entra	Microsoft Entra ID P1
As ativações de função privilegiada têm monitoramento e alerta configurados	Microsoft Entra ID P2
Alerta de ativação para atribuições de funções de Administrador Global	Microsoft Entra ID P2
Alerta de ativação para todas as atribuições de funções privilegiadas	Microsoft Entra ID P2
Utilizadores privilegiados iniciam sessão com métodos resistentes a phishing	Microsoft Entra ID P1
Todos os usuários de alto risco são triados	Microsoft Entra ID P2
Todos os logins de alto risco são triados	Microsoft Entra ID P2
[Todas as identidades de carga de trabalho arriscadas são triadas]
Toda a atividade de entrada do usuário usa métodos de autenticação forte	Microsoft Entra ID P1
Recomendações de alta prioridade do Microsoft Entra são abordadas	Microsoft Entra ID P1
Notificações de proteção de ID ativadas	Microsoft Entra ID P2
Nenhuma atividade de login de autenticação herdada	Microsoft Entra ID P1
Todas as recomendações do Microsoft Entra são abordadas	Microsoft Entra ID P1

Acelere a resposta e a remediação

Melhore a resposta a incidentes de segurança e as comunicações de incidentes.

Verificar	Licença mínima exigida
As identidades de carga de trabalho baseadas em políticas de risco são configuradas	Identificação de carga de trabalho Microsoft Entra
Restringir entradas de alto risco	Microsoft Entra ID P2
Restringir o acesso a utilizadores de alto risco	Microsoft Entra ID P2

Feedback

Esta página foi útil?

Last updated on 2026-01-15