Tutorial: Usar deteções de risco para entradas de usuário para disparar a autenticação multifator do Microsoft Entra ou alterações de senha

Para proteger seus usuários, você pode configurar políticas de Acesso Condicional do Microsoft Entra baseadas em risco que respondem automaticamente a comportamentos de risco. Essas políticas podem bloquear automaticamente uma tentativa de entrada ou exigir uma ação extra, como exigir uma alteração de senha segura ou solicitar a autenticação multifator do Microsoft Entra. Essas políticas funcionam com as políticas de Acesso Condicional existentes do Microsoft Entra como uma camada extra de proteção para sua organização. Os usuários podem nunca acionar um comportamento de risco em uma dessas políticas, mas sua organização estará protegida se uma tentativa de comprometer sua segurança for feita.

Neste tutorial, irá aprender a:

Pré-requisitos

Para concluir este tutorial, você precisa dos seguintes recursos e privilégios:

• Um inquilino ativo do Microsoft Entra com pelo menos um Microsoft Entra ID P2 ou uma licença de avaliação ativada.
  • Se necessário, crie um gratuitamente.
• Uma conta com privilégios de Administrador de Segurança.
• ID do Microsoft Entra configurado para redefinição de senha de autoatendimento e autenticação multifator do Microsoft Entra
  • Se necessário, conclua o tutorial para habilitar o Microsoft Entra SSPR.
  • Se necessário, conclua o tutorial para ativar a autenticação multifator do Microsoft Entra.

Visão geral do Microsoft Entra ID Protection

Todos os dias, a Microsoft recolhe e analisa biliões de sinais anónimos como parte das tentativas de início de sessão dos utilizadores. Estes sinais ajudam a criar padrões de bom comportamento de início de sessão do utilizador e a identificar potenciais tentativas de início de sessão arriscadas. A Proteção de ID do Microsoft Entra pode analisar as tentativas de início de sessão do utilizador e tomar medidas adicionais caso haja um comportamento suspeito.

Algumas das seguintes ações podem acionar a deteção de risco do Microsoft Entra ID Protection:

• Usuários com credenciais vazadas.
• Inícios de sessão a partir de endereços IP anónimos.
• Impossível viajar para locais atípicos.
• Inicia sessão a partir de dispositivos infetados.
• Entradas a partir de endereços IP com atividade suspeita.
• Inicia sessão a partir de locais desconhecidos.

Este artigo orienta você na habilitação de três políticas para proteger os usuários e automatizar a resposta a atividades suspeitas.

• Política de registo de autenticação multifator
  • Certifica-se de que os usuários estão registrados para autenticação multifator do Microsoft Entra. Se uma política de risco de entrada solicitar MFA, o usuário já deverá estar registrado para autenticação multifator do Microsoft Entra.
• Política de risco do utilizador
  • Identifica e automatiza a resposta a contas de usuário que podem ter credenciais comprometidas. Pode solicitar que o usuário crie uma nova senha.
• Política de risco de início de sessão
  • Identifica e automatiza a resposta a logins suspeitos. Pode solicitar que o usuário forneça formas extras de verificação usando a autenticação multifator do Microsoft Entra.

Ao habilitar uma política baseada em risco, você também pode escolher o limite para o nível de risco - baixo, médio ou alto. Essa flexibilidade permite que você decida o quão agressivo você deseja ser na imposição de quaisquer controles para eventos de entrada suspeitos. A Microsoft recomenda as seguintes configurações de política.

Para obter mais informações sobre a Proteção de ID do Microsoft Entra, consulte O que é a Proteção de ID do Microsoft Entra?

Habilitar a política de registro de autenticação multifator

O Microsoft Entra ID Protection inclui uma política padrão que pode ajudar a registrar os usuários para autenticação multifator do Microsoft Entra. Se você usar outras políticas para proteger eventos de entrada, precisará que os usuários já tenham se registrado para MFA. Quando você habilita essa política, ela não exige que os usuários executem MFA em cada evento de entrada. A política apenas verifica o estado de registo de um utilizador e pede-lhe para se pré-registar, se necessário.

É recomendável habilitar essa política de registro para usuários que usam autenticação multifator. Para habilitar essa política, conclua as seguintes etapas:

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.
2. Navegue até Proteção de ID>Painel>Política de registo de autenticação multifator.
3. Por padrão, a política se aplica a Todos os usuários. Se desejar, selecione Atribuições e, em seguida, escolha os usuários ou grupos nos quais aplicar a política.
4. Em Controles, selecione Acesso. Verifique se a opção Exigir registro de autenticação multifator do Microsoft Entra está marcada e escolha Selecionar.
5. Defina Aplicar Política como Ativado, depois selecione Salvar.

Habilitar a política de risco do usuário para alteração de senha

A Microsoft trabalha com investigadores, entidades responsáveis pela aplicação da lei, várias equipas de segurança da Microsoft e outras origens fidedignas para localizar os pares de nome de utilizador e palavra-passe. Quando um desses pares corresponde a uma conta em seu ambiente, uma alteração de senha baseada em risco pode ser solicitada. Esta política e ação exigem que o utilizador atualize a respetiva palavra-passe antes de poder iniciar sessão para se certificar de que as credenciais anteriormente expostas já não funcionam.

Para habilitar essa política, conclua as seguintes etapas:

1. Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.
2. Navegue até Entra ID>Acesso Condicional.
3. Selecione Nova política.
4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
   1. Em Incluir, selecione Todos os usuários.
   2. Em Excluir, selecione Usuários e grupos e escolha as contas de acesso de emergência ou de quebra-vidro da sua organização.
   3. Selecionar Concluído.
6. Em Recursos de destino>Incluir, selecione Todos os recursos (anteriormente "Todos os aplicativos na nuvem").
7. Em Condições>Risco do usuário, defina Configurar como Sim.
   1. Em Configurar níveis de risco do usuário necessários para que a política seja imposta, selecione Alto. Estas orientações baseiam-se nas recomendações da Microsoft e podem ser diferentes para cada organização
   2. Selecionar Concluído.
8. Em Controlo de acesso>Conceder, selecione Conceder acesso.
   1. Selecionar Exigir remediação de riscos. O controlo de concessão Exigir força de autenticação é automaticamente selecionado. Escolha a força adequada à sua organização.
   2. Selecione Selecionar.
9. Em Sessão, frequência de início de sessão - Cada vez, é automaticamente aplicada como controlo de sessão e é obrigatória.
10. Confirme as suas definições e defina Ativar política como Apenas relatório.
11. Selecione Criar para criar a sua apólice.

Depois de confirmar suas configurações usando o impacto da política ou o modo somente relatório, mova a alternância Habilitar política de Somente relatório para Ativado.

Habilitar a política de risco de entrada para MFA

A maioria dos usuários tem um comportamento normal que pode ser rastreado. Quando eles não se enquadram nessa norma, pode ser arriscado permitir que eles entrem com sucesso. Em vez disso, você pode querer bloquear esse usuário ou pedir-lhe para executar uma autenticação multifator. Se o usuário concluir com êxito o desafio de MFA, você poderá considerá-lo uma tentativa de entrada válida e conceder acesso ao aplicativo ou serviço.

Para habilitar essa política, conclua as seguintes etapas:

1. Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.
2. Navegue até Entra ID>Acesso Condicional.
3. Selecione Nova política.
4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
   1. Em Incluir, selecione Todos os usuários.
   2. Em Excluir, selecione Usuários e grupos e escolha as contas de acesso de emergência ou de quebra-vidro da sua organização.
   3. Selecionar Concluído.
6. Em Aplicações ou ações>na nuvem Incluir, selecione Todos os recursos (anteriormente "Todas as aplicações na nuvem").
7. Em Condições>Risco de início de sessão, defina Configurar como Sim.
   1. Em Selecione o nível de risco de início de sessão ao qual esta política se aplicará, selecione Alto e Médio. Estas orientações baseiam-se nas recomendações da Microsoft e podem ser diferentes para cada organização
   2. Selecionar Concluído.
8. Em Controlo de acesso>Conceder, selecione Conceder acesso.
   1. Selecione Exigir força de autenticação, e, em seguida, selecione a força de autenticação multifator integrada na lista.
   2. Selecione Selecionar.
9. Em Sessão.
   1. Selecione Frequência de início de sessão.
   2. Certifique-se de que cada vez está selecionado.
   3. Selecione Selecionar.
10. Confirme as suas definições e defina Ativar política como Apenas relatório.
11. Selecione Criar para criar para habilitar sua política.

Depois de confirmar suas configurações usando o impacto da política ou o modo somente relatório, mova a alternância Habilitar política de Somente relatório para Ativado.

Cenários sem senha

Para organizações que adotam métodos de autenticação sem senha, faça as seguintes alterações:

Atualize a sua política de risco de início de sessão sem palavra-passe

1. Em Utilizadores:
   1. Inclua, selecione Usuários e grupos e segmente seus usuários sem senha.
   2. Em Excluir, selecione Usuários e grupos e escolha as contas de acesso de emergência ou de quebra-vidro da sua organização.
   3. Selecionar Concluído.
2. Em Aplicações ou ações na nuvem>Incluir, selecione Todos os recursos (anteriormente "Todas as aplicações na nuvem").
3. Em Condições>Risco de início de sessão, defina Configurar como Sim.
   1. Em Selecione o nível de risco de início de sessão ao qual esta política se aplicará, selecione Alto e Médio. Para obter mais informações sobre os níveis de risco, consulte Escolhendo níveis de risco aceitáveis.
   2. Selecionar Concluído.
4. Em Controlo de acesso>Conceder, selecione Conceder acesso.
   1. Selecione Exigir força de autenticaçãoe, em seguida, selecione a MFA integrada sem senha ou a MFA resistente a phishing com base no método que os utilizadores-alvo possuem.
   2. Selecione Selecionar.
5. Na Sessão:
   1. Selecione Frequência de início de sessão.
   2. Certifique-se de que cada vez está selecionado.
   3. Selecione Selecionar.

Testar eventos de sinal de risco

A maioria dos eventos de entrada do usuário não aciona as políticas baseadas em risco configuradas nas etapas anteriores. Um utilizador pode nunca ver um aviso para MFA ou para redefinir a sua palavra-passe. Se suas credenciais permanecerem seguras e seu comportamento consistente, seus eventos de entrada serão bem-sucedidos.

Para testar as políticas de Proteção de ID do Microsoft Entra criadas nas etapas anteriores, você precisa de uma maneira de simular comportamentos de risco ou ataques potenciais. As etapas para fazer esses testes variam com base na política de Proteção de ID do Microsoft Entra que você deseja validar. Para obter mais informações sobre cenários e etapas, consulte Simular deteções de risco no Microsoft Entra ID Protection.

Limpar recursos

Se você concluir o teste e não quiser mais ter as políticas baseadas em risco habilitadas, retorne a cada política que deseja desabilitar e defina Habilitar política como Desativado ou exclua-as.

Próximos passos

Neste tutorial, você habilitou políticas de usuário baseadas em risco para a Proteção de ID do Microsoft Entra. Aprendeu a: