Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Um provedor de identidade unificado (IdP) é crucial para gerenciar o acesso de forma eficaz; Ele garante que os usuários e entidades tenham o acesso certo aos recursos sem permissões excessivas. A integração de soluções de gerenciamento de identidade, credencial e acesso cria autenticação forte, autorização personalizada baseada no contexto e avaliação de risco de identidade.
O Escritório de Gestão e Orçamento (OMB) Memorando-22-09, publicado em apoio à Ordem Executiva 14028: Melhorar a Cibersegurança da Nação, determina que as agências federais empreguem sistemas centralizados de gerenciamento de identidade para seus usuários. Estes sistemas podem integrar-se em aplicações e plataformas comuns, garantindo uma abordagem unificada à gestão de identidades. Este requisito faz parte da estratégia Zero Trust que melhora a cibersegurança e a privacidade dos dados. Recomendamos a consolidação de IdPs, repositórios de identidades e sistemas de gestão de identidades através da adoção do Microsoft Entra ID como IdP.
Para obter mais informações, consulte Atender aos requisitos de identidade do M-22-09 com o Microsoft Entra ID.
Use os links a seguir para ir para as seções do guia.
1 Identidade
Esta seção contém orientações e recomendações da Microsoft para o Modelo de Maturidade CISA Zero Trust no pilar de identidade. A Cybersecurity & Infrastructure Security Agency (CISA) identifica a identidade como um atributo, ou conjunto de atributos, que descreve exclusivamente um utilizador ou entidade da agência, incluindo entidades não pessoais. Para saber mais, consulte Protegendo a identidade com o Zero Trust.
1.1 Função: Autenticação
| Descrição do estágio do CISA ZTMM | Orientações e recomendações da Microsoft |
|---|---|
|
Status de Maturidade Inicial Enterprise autentica a identidade usando MFA, que pode incluir senhas como um fator e requer validação de vários atributos de entidade (por exemplo, localidade ou atividade). |
ID do Microsoft Entra Estabeleça uma base sólida de identidade ao consolidar provedores de identidade, utilizando o ID do Microsoft Entra em cada solicitação de acesso. Enquanto você identifica e migra aplicativos para o Microsoft Entra ID, implemente uma política que exija a integração de novos aplicativos com o Microsoft Entra ID. Essa ação garante que as políticas de segurança, como autenticação multifator (MFA) e validação de atributo de entidade, sejam aplicadas de forma consistente para acesso aos recursos da empresa. Ao longo de 2024-2025, a Microsoft está implementando a imposição de MFA para portais de administração. A Microsoft recomenda que as contas usem MFA. - Migrar aplicações e autenticação para o Microsoft Entra ID - Microsoft Entra MFA obrigatório - Identidade Segura com Zero Trust Métodos de autenticação do Microsoft Entra Ativar métodos de MFA permitidos pela empresa com configurações de política no Microsoft Entra. Habilite os métodos que os usuários selecionam ou usam durante o login. - Gerir métodos de autenticação - Visão Geral do Microsoft Entra MFA Microsoft Entra Acesso Condicional Criar política de Acesso Condicional do Microsoft Entra para exigir MFA para todas as aplicações na nuvem. Qualquer método de autenticação multifator passa o controle de permissão "exigir MFA" no Acesso Condicional. Inclua a validação de vários atributos de entidade, como localidade e atividade. Utilize a segmentação de alvos de aplicativos e as condições de rede. - Ative a autenticação multifator - aplicações em nuvem, ações e autenticação no Acesso Condicional - política de Acesso Condicional Identificador Externo do Microsoft Entra Exigir MFA para todos os usuários, incluindo convidados externos. Configurar as definições de confiança de acesso entre locatários para melhorar a experiência de colaboração com parceiros. Acesso entre locatários para colaboração B2B |
|
Advanced Maturity Status Enterprise começa a autenticar toda a identidade usando MFA e atributos resistentes a phishing, incluindo a implementação inicial de MFA sem senha via FIDO2 ou PIV. |
Microsoft Entra ID Migrar aplicativos atuais para usar o Microsoft Entra ID como o provedor de identidade (IdP). Requer integração com o Microsoft Entra ID para novos aplicativos. Inclua aplicativos usando protocolos de autenticação herdados com o proxy de aplicativo Microsoft Entra. Migre para a nuvem e para a autenticação gerida a partir de IdPs federados com implementação faseada. Essas ações garantem que o MFA resistente a phishing seja aplicado de forma consistente para acesso aos recursos da empresa. - Migrar aplicações e autenticação para o Microsoft Entra ID - Galeria de Aplicações do Microsoft Entra - Proxy de aplicação Microsoft Entra para publicar apps on-premises - Autenticação na nuvem com implementação em fases Acesso Condicional Configurar os Pontos Fortes da Autenticação de Acesso Condicional para exigir MFA resistente a phishing, incluindo MFA sem senha, como chaves de acesso Fast IDentity Online 2 (FIDO2) ou autenticação baseada em certificado (CBA) com cartões de verificação de identidade pessoal (PIV). Pontos Fortes da Autenticação do Microsoft Entra Métodos de Autenticação do Microsoft Entra Implemente políticas de autenticação com métodos resistentes a phishing, como chaves de acesso no Microsoft Authenticator, Microsoft Entra CBA, Windows Hello for Business e chaves de acesso. Consulte também as chaves de segurança FIDO2. Para fazer a transição de usuários de MFA não resistente a phishing, exclua-os de métodos de autenticação mais fracos. - Métodos de autenticação - Microsoft Entra CBA - Entrada sem senha com chave de segurança - Chaves de acesso no Authenticator - Windows Hello for Business - requisitos de MFA M-22-09 ID Externa do Microsoft Entra Configure políticas de acesso entre locatários para confiar na MFA de parceiros. Permita que utilizadores externos utilizem métodos de autenticação resilientes a phishing para aceder a recursos. Acesso entre inquilinos para B2B |
|
Optimal Maturity Status A empresa valida continuamente a identidade com MFA resistente ao phishing, não apenas quando o acesso é concedido inicialmente. |
Políticas de Acesso Condicional são avaliadas continuamente durante toda a sessão do utilizador. Configure os controles de sessão para aumentar a frequência de entrada necessária sob determinadas condições, como quando o usuário ou a entrada são detetados como arriscados na Proteção de ID do Microsoft Entra. controles de sessão Avaliação Contínua de Acesso Habilitar Avaliação Contínua de Acesso (CAE) para eventos críticos e validação de acesso contínuo quase em tempo real. - Avaliação de Acesso Contínuo - CAE para Microsoft 365 - APIs habilitadas para CAE em aplicativos |
1.2 Função: Lojas de identidade
| Descrição do estágio do CISA ZTMM | Orientações e recomendações da Microsoft |
|---|---|
|
Status de Maturidade Inicial A empresa tem uma combinação de repositórios de identidade autogeridos e repositórios de identidade hospedados (por exemplo, na nuvem ou noutra empresa) com integração mínima entre os repositórios (por exemplo, início de sessão único). |
Microsoft Entra ID Empresas podem ter aplicativos integrados com vários repositórios de identidades e/ou provedores de identidade (IdPs). Consolide e adote o Microsoft Entra ID como o IdP corporativo. Planeje a adoção da nuvem e a redução das dependências do repositório de identidades local. - Mova a identidade e o acesso ao Microsoft Entra ID - Migre aplicativos e autenticação para o Microsoft Entra ID inventarie aplicativos, usuários, grupos e dispositivos. Tenha uma contagem precisa dos repositórios de identidade. Inclua repositórios de identidades ou IdPs, como os Serviços de Federação do Active Directory (AD FS) ou IdPs de terceiros. Para garantir que os atributos de usuário, grupo e dispositivo sejam atualizados consistentemente entre plataformas, sincronize identidades entre os Serviços de Domínio Ative Directory (AD DS) locais e a ID do Microsoft Entra.pt-PT: - Sincronização do Microsoft Entra Connect - Sincronização da Cloud Microsoft Entra - Logon único (SSO) - Migração de aplicações para a ID do Microsoft Entra - Integrações do Microsoft Entra com protocolos de autenticação Microsoft Intune dispositivos com associação híbrida ao domínio AD DS atual. Para modernizar a gestão de dispositivos, evite associar novas estações de trabalho ao domínio. Gerencie dispositivos com o Microsoft Intune.pt-PT: - abordagem prioritária na nuvem - dispositivos com associação híbrida - SSO para recursos locais com dispositivos associados - Microsoft Intune |
|
Status de Maturidade Avançada A empresa começa a consolidar e integrar com segurança alguns repositórios de identidade autogeridos e hospedados. |
Microsoft Entra ID A empresa adotou o Microsoft Entra ID como repositório de identidade e IdP. As novas aplicações integram-se com o Microsoft Entra ID. Para migração, inventarie aplicativos atuais não integrados ao Microsoft Entra ID. Os aplicativos herdados que não oferecem suporte à autenticação moderna podem usar o acesso híbrido seguro (SHA) do Microsoft Entra ID com o proxy de aplicativo Microsoft Entra. Para usar protocolos de autenticação modernos, substitua, refatore ou reconfigure aplicativos. - Galeria de aplicativos do Microsoft Entra - Migrar aplicativos e autenticação para o Microsoft Entra ID |
|
estado de maturidade ideal A Enterprise integra com segurança os seus repositórios de identidade em todos os parceiros e ambientes, conforme apropriado. |
A migração do Microsoft Entra ID App para o Microsoft Entra ID está concluída. O acesso aos recursos da empresa requer autenticação com o Microsoft Entra ID. ID Externo do Microsoft Entra Habilite a colaboração segura com ID Externa. Configure a sincronização entre locatários para reduzir a carga administrativa de TI. Forneça experiências de usuário perfeitas e automatizadas. - ID Externa - Sincronização Entre Locatários no Microsoft Entra ID Provisionamento de Aplicações do Microsoft Entra Para aplicações com repositórios de identidades, configure o provisionamento de aplicações para gerenciar identidades e funções. - Provisionamento de Aplicativos - Provisionamento de Aplicativos Locais - Configure o Aplicativo de Provisionamento Controlado por API - O Proxy de Aplicativo Microsoft Entra para Publicar Aplicativos Locais Provisionamento de Entrada do RH no Microsoft Entra Modernize com o Provisionamento de Identidade Orientado por RH. Crie identidades digitais com base em um sistema de RH, a fonte autorizada para novas identidades digitais. O provisionamento geralmente começa nesta conjuntura. Utilize o Microsoft Entra com sistemas de RH locais para criar e atualizar utilizadores no Active Directory ou no Microsoft Entra ID. provisionamento orientado por RH Microsoft 365 para empresas Utilize o recurso de organização multilocatária no Microsoft Entra ID e no Microsoft 365 para formar um grupo de locatários e simplificar a colaboração intra-organizacional entre locatários. As organizações multilocatárias no Microsoft Entra ID e no Microsoft 365 permitem uma funcionalidade unificada de pesquisa de pessoas, a lista de endereços global (GAL) e a colaboração melhorada no Microsoft Teams em vários inquilinos. - Recursos de organização multilocatária - organizações multilocatárias no Microsoft 365 |
1.3 Função: Avaliações de risco
| Descrição do estágio do CISA ZTMM | Orientações e recomendações da Microsoft |
|---|---|
|
Status de Maturidade Inicial A empresa determina o risco de identidade usando métodos manuais e regras estáticas para suportar a visibilidade. |
As empresas podem rever manualmente os eventos de segurança e as linhas de base de configuração. Microsoft Entra ID Use os logs do Microsoft Entra para avaliar aspetos do Microsoft Entra tenant. O Microsoft Entra ID tem opções para acessar dados e relatórios de log de atividades para vários cenários. - Stream activity logs para integrar ferramentas - Logs de Atividade com a API do Microsoft Graph - Integre logs de atividade - Atividade em tempo real com o Sentinel - Logs e relatórios de atividade no portal do Azure - Exporte logs de atividades para armazenamento e consultas Configure as definições de diagnóstico no Microsoft Entra ID para integrar logs com o Azure Monitor. Transmita logs para um hub de eventos ou arquive logs em uma conta de armazenamento. Configurações de diagnóstico |
|
Advanced Maturity Status A empresa determina o risco de identidade usando análises automatizadas e regras dinâmicas para apoiar decisões de acesso e atividades de resposta. |
Proteção de ID do Microsoft Entra Configure políticas de Acesso Condicional do Microsoft Entra com base no risco de utilizador e de início de sessão. Configure políticas de Acesso Condicional com atividades de resposta, com base em uma avaliação do impacto do usuário. Por exemplo, alto risco de usuário e login: bloquear o acesso ou configurar o controle de sessão de frequência de entrada. Use pontos fortes de autenticação que exijam um cartão de verificação de identidade pessoal (PIV) ou métodos de autenticação resistentes a phishing. - Microsoft Entra ID Protection - Política de registo de MFA - Identidades de carga de trabalho seguras - Acesso Condicional Baseado em Risco Microsoft Sentinel As alertas do Microsoft Entra ID Protection aparecem automaticamente no Microsoft Defender XDR. Conecte o Microsoft Defender XDR ao Microsoft Sentinel para maior visibilidade, correlação com dados não XDR, maior retenção de dados e automação de resposta mais personalizável. - Defender XDR - conectar o Defender XDR ao Sentinel |
|
Status de Maturidade Ideal A Empresa determina o risco de identidade em tempo real com base em análise contínua e regras dinâmicas para oferecer proteção contínua. |
Acesso Condicional Configure o controle de aplicativo de Acesso Condicional para aplicativos na nuvem. Proteja dispositivos com o Microsoft Defender for Endpoint e habilite o Microsoft Defender para Office 365 para proteger contra ameaças em email, links (URLs), anexos de arquivos e ferramentas de colaboração. - Monitoramento de acesso a aplicativos com o Defender for Cloud Apps e o Microsoft Entra ID - Implantar o Defender for Endpoint - Implantar o Defender para Office 365 o Microsoft Purview Insider Risk Management Configurar o Insider Risk Management para detetar, investigar e agir em atividades maliciosas ou acidentais. Use políticas de risco interno para definir tipos de risco para identificar e detetar. Tomar medidas em casos ou escalá-los para Microsoft Purview eDiscovery (Premium), se necessário. - Microsoft Purview - Insider risk management - Block insider-risk access Microsoft Defender XDR Microsoft Defender para Endpoint, Defender para Cloud Apps e Defender para Office detetam atividades incomuns e contribuem com sinais de risco para os níveis de risco de utilizador e de início de sessão no Microsoft Entra ID Protection. Deteções de risco |
1.4 Função: Gestão de acessos
| Descrição do estágio do CISA ZTMM | Orientações e recomendações da Microsoft |
|---|---|
|
Status de Maturidade Inicial A empresa autoriza o acesso, inclusive para solicitações de acesso privilegiado, cujo prazo expira com a revisão automatizada. |
Acesso Condicional do Microsoft Entra Configurar o Acesso Condicional para aplicar a política ao uso do aplicativo. O Acesso Condicional recebe sinais de várias fontes para autorizar o acesso. Acesso Condicional Gerenciamento de direitos do Microsoft Entra Configure pacotes de acesso no gerenciamento de direitos para solicitações de acesso e fluxos de trabalho de aprovação em funções e grupos, incluindo funções e grupos privilegiados. Configurar a automação de revisão de acesso; incluir expiração e remoção de papéis e grupos. - Gestão de direitos - Gestão de direitos e pacotes de acesso - Revisões de acesso |
|
Advanced Maturity Status A empresa autoriza o acesso com base na necessidade e na sessão, incluindo para solicitações de acesso privilegiado, que são ajustadas às ações e recursos. |
Acesso Condicional Configure o Acesso Condicional para autorizar o acesso, incluindo o acesso baseado em sessão. Direcione recursos, funções e funções privilegiadas. Acesso Condicional Microsoft Entra Privileged Identity Manager Configure o PIM para gerenciar, controlar e monitorar o acesso a recursos importantes, como funções e grupos personalizados. Adaptar o acesso a ações e recursos específicos. - Privileged Identity Management - funções personalizadas do Azure no PIM - PIM for Groups gerenciamento de acesso privilegiado do Microsoft Purview Configure o gerenciamento de acesso privilegiado para controle de acesso granular de tarefas de administrador privilegiado no Office 365. - Gerenciamento de acesso privilegiado - Introdução ao PAM |
|
Optimal Maturity Status Enterprise utiliza automação para autorizar acesso no momento certo e apenas o necessário, ajustado às ações e necessidades individuais de recursos. |
Microsoft Entra ID Governance Configure Microsoft Entra ID Governance pacotes de acesso para automatizar a autorização de acessos just-in-time (JIT) e suficientes (JEA) adaptados a ações individuais e necessidades de recursos. - Gestão de direitos - pacotes de acesso |
1.5 Função: Visibilidade e análise
| Descrição do estágio do CISA ZTMM | Orientações e recomendações da Microsoft |
|---|---|
|
Status de Maturidade Inicial Enterprise coleta logs de atividades de usuários e entidades e realiza análises manuais de rotina e algumas análises automatizadas, com correlação limitada entre os tipos de log. |
ID do Microsoft Entra, Azure Monitor Arquivar os logs do Microsoft Entra numa conta de armazenamento ou integrar com o Azure Monitor. Facilite a análise manual de rotina com a biblioteca de Kusto dados e pastas de trabalho de identidade incorporadas, com correlação de tipos de log. - Monitorização e integridade do Microsoft Entra - Arquivar logs de atividades no Armazenamento do Azure - Integrar logs com logs do Azure Monitor - Logs de atividades e Análise de Logs - Workbooks do Microsoft Entra |
|
Advanced Maturity Status A empresa realiza análises automatizadas em alguns tipos de registos de atividades de utilizadores e entidades e aumenta a recolha para resolver lacunas na visibilidade. |
Microsoft Entra ID, Microsoft Defender XDRMicrosoft Sentinel Incorpore logs de atividade do Microsoft Entra Identity, junto com outras categorias de logs de identidade das configurações de diagnóstico e do Microsoft Defender XDR, em uma solução de gestão de eventos de informação de segurança (SIEM), como o Sentinel. - Monitorização e estado de funcionamento do Microsoft Entra - Registos de início de sessão no Microsoft Entra ID - Microsoft Sentinel - Ligue dados do Microsoft Entra ao Sentinel - Defender for Identity - Ligue dados XDR do Defender ao Sentinel - Defender for Cloud Apps |
|
Optimal Maturity Status A empresa mantém visibilidade abrangente e consciência situacional em todas as empresas, realizando análises automatizadas sobre tipos de log de atividades do utilizador, incluindo análises comportamentais. |
Proteção de ID do Microsoft Entra Habilitar a Proteção de ID para analisar os padrões de comportamento dos utilizadores em termos de risco. Configure a deteção de risco interno e integre-se ao Acesso Condicional. - Políticas de Proteção de Identidade - Políticas de Risco Sentinel, Regras de Análise para Deteção e Resposta a Ameaças de Identidade O Sentinel realiza a ingestão e análise de eventos quase em tempo real a partir dos logs do Microsoft Entra. Permita a identificação proativa e a resposta a eventos e riscos de segurança com análises avançadas, fluxos de trabalho de gerenciamento de incidentes e integração de inteligência contra ameaças. Agilize a investigação de incidentes e melhore a postura de segurança da empresa. - Microsoft Sentinel - Regras de análise de deteção quase em tempo real - conector de dados para inteligência de ameaças - comportamento de utilizador e entidade (UEBA) |
1.6 Função: Automação e orquestração
| Descrição do estágio do CISA ZTMM | Orientações e recomendações da Microsoft |
|---|---|
|
Status de Maturidade Inicial Enterprise orquestra manualmente identidades privilegiadas e externas e automatiza a orquestração de usuários não privilegiados e de entidades autogerenciadas. |
Microsoft Entra Connect, Microsoft Entra Cloud Sync Com o Ative Directory local, automatize a orquestração de usuários sem privilégios com o Entra Connect e/ou o Entra Cloud Sync. Não sincronize usuários privilegiados do Ative Directory local. Na jornada em direção à identidade que prioriza a nuvem, orquestre usuários sem privilégios com o Microsoft Entra HR Provisioning. - Microsoft Entra Connect v2 - Microsoft Entra Cloud Sync - Proteja o Microsoft 365 de ataques locais - aplicativo Cloud HR para o provisionamento de usuários do Microsoft Entra |
|
Advanced Maturity Status Enterprise orquestra manualmente identidades de utilizadores privilegiados e automatiza a orquestração de todas as identidades com integração em todos os ambientes. |
Provisionamento de Aplicativos Microsoft Entra Com o provisionamento de aplicativos Microsoft Entra, automatize a orquestração de identidades entre ambientes, como provedores de nuvem ou aplicativos SaaS (software como serviço). - O provisionamento de aplicativos no Microsoft Entra ID - System for Cross-Domain Identity Management (SCIM) sincroniza com o Microsoft Entra ID o Microsoft Entra External ID Configure a sincronização entre locatários para automatizar a orquestração de identidades entre ambientes de parceiros. - ID Externa - Sincronização entre locatários no Microsoft Entra ID - Configurar sincronização entre locatários |
|
Estado de Maturidade Óptima A empresa automatiza a orquestração de todas as identidades com integração total em todos os ambientes com base nos comportamentos, registos e necessidades de implantação. |
Governança de Identidades do Microsoft Entra ID Neste estágio de maturidade, a orquestração de identidade está completa. Consulteestado avançado. O gerenciamento de direitos do Microsoft Entra é implementado para orquestrar o acesso gerenciado de usuários, aplicativos, funções e grupos. Integração completa de identidades configurando identidades de usuário privilegiadas com o Privileged Identity Management (PIM). Utilize fluxos de trabalho de ciclo de vida para automatizar a transição entre cenários de integração, transferência e saída. - Gerenciamento de direitos - Saiba mais sobre os fluxos de trabalho do PIM - Lifecycle |
1.7 Função: Governação
| Descrição do estágio do CISA ZTMM | Orientações e recomendações da Microsoft |
|---|---|
|
Status de Maturidade Inicial Enterprise define e começa a implementar políticas de identidade para aplicação em toda a empresa com automação mínima e atualizações manuais. |
Microsoft Entra ID Use o Microsoft Entra ID como o provedor de identidade (IdP) para novas integrações de aplicativos. Migre os aplicativos atuais para o Microsoft Entra ID. Configure as políticas de Acesso Condicional do Microsoft Entra para aplicar requisitos em toda a organização e funcionar como o ponto de aplicação de políticas (PEP) para o acesso a aplicações e recursos. Implemente autorização e mapeamento de funções para aplicativos atuais e futuros usando controle de acesso baseado em função (RBAC), mapeamento de declarações e provisionamento de saída. - Microsoft Entra ID Governance - Acesso Condicional |
|
Advanced Maturity Status A Empresa implementa políticas de identidade para aplicação em toda a empresa, com automação e atualizações periódicas das políticas. |
Acesso Condicional Usar Acesso Condicional para imposição de políticas de identidade em toda a empresa. Revise e implemente as recomendações para o Microsoft Entra ID do Projeto CISA Secure Cloud Business Applications (SCuBA), e automatize a configuração de Acesso Condicional usando suas APIs. - implantação de Acesso Condicional - CISA SCuBA e Microsoft Entra ID - tipo de recurso conditionalAccessPolicy |
|
Optimal Maturity Status A empresa implementa e automatiza totalmente as políticas de identidade numa base abrangente na empresa para todos os utilizadores e entidades em todos os sistemas com imposição contínua e atualizações dinâmicas. |
Microsoft Entra ID Exigir acesso ao aplicativo para usar o Microsoft Entra ID, impondo assim a avaliação do Acesso Condicional. Use a avaliação de acesso contínuo (CAE) do Microsoft Entra ID para aplicação quase em tempo real e proteção de identidade. Esta ação permite uma adaptação dinâmica aos riscos ambientais. Para impor a avaliação contínua, integre o CAE em aplicativos e APIs personalizados com código. - Avaliação de acesso contínuo - APIs com CAE ativado em aplicações - Microsoft Entra ID Protection Global Secure Access Configure a aplicação de rede compatível para reduzir o risco de roubo de token e ataques de reprodução. As autoridades de fiscalização colaboram com serviços que dão apoio ao CAE. O aplicativo rejeita tokens de acesso roubados, reproduzidos fora da rede compatível com o locatário, quase em tempo real. - Acesso Global Seguro - Microsoft Entra Internet Access - Verificação de rede em conformidade com Acesso Condicional |
Próximos passos
Configure o Microsoft Cloud Services para o modelo de maturidade CISA Zero Trust.