Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
A Avaliação de Confiança Zero verifica a configuração do locatário e recomenda maneiras de melhorar a segurança, conforme descrito em nossa visão geral.
Pré-requisitos
- PowerShell 7. Para instalá-lo, consulte Instalar o PowerShell no Windows, Linux e macOS.
- Para se conectar e consentir com as permissões necessárias pela primeira vez, você precisa ser um Administrador Global.
- As execuções subsequentes podem usar a função Leitor Global .
- Se você instalou uma versão anterior da Avaliação de Confiança Zero, desinstale-a antes de continuar.
Instalar os módulos do PowerShell
Siga estas etapas para instalar ou atualizar a avaliação e conectar-se ao Microsoft Graph e ao seu locatário.
Abra uma nova janela do PowerShell 7.
Execute o seguinte comando para instalar o
ZeroTrustAssessmentmódulo:Install-Module ZeroTrustAssessment -Scope CurrentUser
Conectar-se ao Microsoft Graph e ao Microsoft Azure
Para executar o módulo Avaliação de Confiança Zero, conecte-se ao Microsoft Graph e ao Microsoft Azure. O módulo Avaliação de Confiança Zero se conecta primeiro ao Microsoft Graph e, em seguida, ao Microsoft Azure.
Execute este comando para se conectar ao Microsoft Graph:
Connect-ZtAssessment
Quando você se conecta usando o Microsoft Graph PowerShell, ele solicita estas permissões:
- AuditLog.Read.All (Leitura Completa de Registros de Auditoria)
- CrossTenantInformation.ReadBasic.All
- DeviceManagementApps.Read.All
- ConfiguraçãoDeGestãoDeDispositivo.Leitura.Todos (DeviceManagementConfiguration.Read.All)
- DeviceManagementManagedDevices.Read.All
- DeviceManagementRBAC.Read.All
- DeviceManagementServiceConfig.Read.All
- Directory.Read.All
- RecomendacoesDoDiretório.Ler.Tudo
- EntitlementManagement.Read.All
- IdentityRiskEvent.Read.All
- IdentityRiskyUser.Read.All
- Política.Leia.Tudo
- Policy.Read.ConditionalAccess
- Política.Leitura.ConcessãoPermissão
- PrivilegedAccess.Read.AzureAD
- Relatórios.Ler.Todos
- RoleManagement.Read.All
- UserAuthenticationMethod.Read.All
Observação
O prompt de consentimento aparecerá somente se o aplicativo Microsoft Graph PowerShell ainda não tiver essas permissões. Da próxima vez que você se conectar, não precisará consentir com as permissões novamente.
Entrar no Microsoft Graph
- Entre no Microsoft Graph como administrador global.
- Selecione Aceitar.
Entrar no Microsoft Azure
Uma segunda janela é aberta para a entrada no Microsoft Azure. Quando lhe for pedido, inicie sessão no Microsoft Azure como Administrador Global.
É necessário iniciar sessão no Microsoft Azure para verificar a exportação dos registos de auditoria e de início de sessão. Se não tiver o Microsoft Azure, feche a janela sem iniciar sessão e ignore o aviso. A avaliação ignora o teste que depende do Microsoft Azure.
Se tiver várias assinaturas, selecione um inquilino e uma assinatura quando solicitado.
Executar a avaliação
A Avaliação de Confiança Zero é de leitura única. Ele executa e armazena todos os dados localmente na área de trabalho. É uma boa prática armazenar o relatório de avaliação com segurança e excluir a pasta gerada e seu conteúdo da unidade local assim que a avaliação for concluída.
Depois de fornecer o consentimento do Administrador Global para as permissões na primeira execução, as execuções subsequentes podem ser executadas como um Leitor Global.
Para executar a avaliação, use este comando:
Invoke-ZtAssessment
A avaliação salva os resultados na pasta .\ZeroTrustReport\ZeroTrustAssessmentReport.htmlde trabalho atual. Após a conclusão da avaliação, o relatório é aberto automaticamente no navegador padrão.
Atenção
O relatório e a pasta de exportação contêm informações confidenciais do locatário que os agentes de ameaças podem usar a seu favor. Partilhe o relatório e a pasta apenas com pessoal autorizado na sua organização.
Use o -Path parâmetro para fornecer um local personalizado para armazenar o relatório de avaliação. Por exemplo, o comando a seguir salva o relatório na pasta C:/MyAssessment01/ZeroTrustAssessmentReport.html:
Invoke-ZtAssessment -Path C:\MyAssessment01
Sugestão
Para locatários grandes, a Avaliação de Confiança Zero pode levar mais de 24 horas para ser executada. Não pare a avaliação enquanto ela estiver em execução, mesmo que ela registre avisos ou erros.
Rever os resultados da avaliação
Depois que a avaliação for executada, o relatório abrirá a guia Visão geral no navegador padrão. A guia Visão geral mostra as principais informações de Zero Trust sobre o locatário.
As guias Identidade e Dispositivos mostram uma lista de resultados dos testes executados em relação ao locatário. Os resultados mostram o risco e estado de resultado de cada teste.
Para ver mais detalhes sobre um teste, selecione um resultado. Os detalhes descrevem o que foi testado e listam as ações de correção recomendadas para abordar a configuração do locatário. Para mais detalhes sobre alguns dos termos utilizados em cada verificação, consulte o nosso glossário.
Remover o módulo Avaliação de Confiança Zero
Para remover o módulo Avaliação de Confiança Zero:
- Remova o módulo do PowerShell.
- Remova o registro e o consentimento do aplicativo.
- Exclua a pasta criada pelo módulo Avaliação de Confiança Zero.
FAQs
Desinstalar versões anteriores
Execute os seguintes comandos para garantir que todas as versões dos módulos anteriores sejam desinstaladas
Uninstall-Module ZeroTrustAssessment -Force -AllVersions
Reinicie o PowerShell e instale a versão mais recente.
Não foi possível carregar o arquivo ou assembly Microsoft.Graph.Authentication
Esse erro acontece quando você tem versões conflitantes do Microsoft Graph PowerShell instaladas.
Para corrigir esse erro, recomendamos desinstalar todos os módulos do Microsoft Graph PowerShell instalados no seu sistema. Você pode usar um módulo auxiliar como o uninstall-graph.merill.net para executar a limpeza.
Ao desinstalar o Microsoft Graph, você também deve desinstalar todas as versões da Avaliação de Confiança Zero, reiniciar o PowerShell e instalar a versão mais recente.
Install-Module Uninstall-Graph
Uninstall-Module ZeroTrustAssessment -Force -AllVersions
Uninstall-Graph
Como posso saber o que o script faz?
O código para esta avaliação é de código aberto. Reveja-o em https://github.com/microsoft/zerotrustassessment/tree/psnext/src/powershell.
Qual o motivo de ter recebido o erro de exceção, "O inicializador de tipo para 'DuckDB.NET.Data.DuckDBConnectionStringBuilder' gerou uma exceção?"
Em uma nova instalação do Windows, você pode ver o seguinte erro:
O inicializador de tipo para 'DuckDB.NET.Data.DuckDBConnectionStringBuilder' lançou uma exceção. Exceção interna: Não é possível carregar a DLL 'duckdb' ou uma de suas dependências: O módulo especificado não pôde ser encontrado. (0x8007007E) Tipo de exceção interna: DllNotFoundException
Este erro ocorre porque está a executar num sistema que não inclui Microsoft Visual C++ 2015-2022 Redistributable (x64) - Microsoft.VCRedist.2015+.x64. VCRedist geralmente instala quando você instala produtos da Microsoft, como o Microsoft Office ou Microsoft Entra Connect Sync. Se estiver a utilizar um novo dispositivo, poderá ter de instalar este componente manualmente. Consulte Versão mais recente do Microsoft Visual C++ Redistributable.
O suporte para Windows em dispositivos ARM64 não está disponível no momento.
Como posso obter suporte?
Levante questões de suporte no repositório GitHub de Avaliação de Confiança Zero.