Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo fornece um plano de implantação para criar Confiança Zero segurança com Microsoft 365. Confiança Zero é um modelo de segurança que pressupõe violação e verifica cada solicitação como se tivesse se originado de uma rede descontrolada. Independentemente de onde a solicitação se origina ou qual recurso ela acessa, o modelo Confiança Zero nos ensina a "nunca confiar, sempre verificar".
Utilize este artigo juntamente com este cartaz.
Princípios e arquitetura de Confiança Zero
Confiança Zero é uma estratégia de segurança. Não é um produto ou um serviço, mas uma abordagem na conceção e implementação do seguinte conjunto de princípios de segurança.
| Princípio | Descrição |
|---|---|
| Verificação explícita | Sempre autentique e autorize com base em todos os pontos de dados disponíveis. |
| Usar o acesso com privilégios mínimos | Limite o acesso do usuário com JIT/JEA (Just-In-Time e Just-Enough-Access), políticas adaptáveis baseadas em risco e proteção de dados. |
| Presumir violação | Minimize o raio de explosão e segmente o acesso. Verifique a criptografia de ponta a ponta e use a análise para obter visibilidade, promover a detecção de ameaças e melhorar as defesas. |
As diretrizes neste artigo ajudam você a aplicar esses princípios implementando recursos com Microsoft 365.
Uma abordagem Confiança Zero se estende por toda a propriedade digital e serve como uma filosofia de segurança integrada e estratégia de ponta a ponta.
Esta ilustração fornece uma representação dos elementos primários que contribuem para Confiança Zero.
Na ilustração:
- A aplicação da política de segurança está no cerne de uma arquitetura de Confiança Zero. Isto inclui a autenticação multifator com Acesso Condicional que tem em conta o risco da conta de utilizador, o status do dispositivo e outros critérios e políticas que definiu.
- As identidades, dispositivos, dados, aplicações, rede e outros componentes de infraestrutura estão todos configurados com segurança adequada. As políticas configuradas para cada um desses componentes são coordenadas com sua estratégia geral de Confiança Zero. Por exemplo, as políticas de dispositivos determinam os critérios para dispositivos em bom estado de funcionamento e as políticas de Acesso Condicional requerem dispositivos em bom estado de funcionamento para aceder a aplicações e dados específicos.
- A proteção contra ameaças e inteligência monitora o ambiente, apresenta os riscos atuais e toma medidas automatizadas para corrigir ataques.
Para obter mais informações sobre Confiança Zero, consulte Confiança Zero Guidance Center do Microsoft.
Implantando Confiança Zero para Microsoft 365
Microsoft 365 é criado intencionalmente com muitos recursos de segurança e proteção de informações para ajudá-lo a criar Confiança Zero em seu ambiente. Muitos dos recursos podem ser estendidos para proteger o acesso a outros aplicativos SaaS que sua organização usa e os dados dentro desses aplicativos.
Esta ilustração representa o trabalho de implantação de recursos de Confiança Zero. Esse trabalho está alinhado aos cenários de negócios de Confiança Zero na estrutura de adoção do Confiança Zero.
Nesta ilustração, o trabalho de implementação é categorizado em cinco pistas de natação:
- Trabalho remoto e híbrido seguro – esse trabalho cria uma base de identidade e proteção de dispositivo.
- Impedir ou reduzir danos comerciais de uma violação – a proteção contra ameaças fornece monitoramento e correção em tempo real de ameaças à segurança. Defender para Aplicativos de Nuvem fornece a descoberta de aplicativos SaaS, incluindo aplicativos de IA, e permite que você estenda a proteção de dados a esses aplicativos.
- Identificar e proteger dados comerciais confidenciais – os recursos de proteção de dados fornecem controles sofisticados direcionados a tipos específicos de dados para proteger suas informações mais valiosas.
- Proteger aplicativos e dados de IA — proteja rapidamente o uso de aplicativos de IA pela sua organização e os dados com os quais eles interagem.
- Atenda aos requisitos regulatórios e de conformidade — entenda e acompanhe seu progresso em relação ao cumprimento das regulamentações que afetam sua organização.
Este artigo pressupõe que está a utilizar a identidade da cloud. Se você precisar de diretrizes para esse objetivo, consulte Deploy sua infraestrutura de identidade para Microsoft 365.
Dica
Ao entender as etapas e o processo de implantação de ponta a ponta, você pode usar o Configurar seu modelo de segurança Microsoft Confiança Zero guia de implantação avançada ao acessar o centro de administração do Microsoft 365. Este guia orienta você pela aplicação de princípios Confiança Zero para pilares de tecnologia padrão e avançados.
Pista de natação 1 – Proteger o trabalho remoto e híbrido
A proteção do trabalho remoto e híbrido envolve a configuração da proteção de acesso de identidades e dispositivos. Essas proteções contribuem para o princípio Confiança Zero de verificar explicitamente.
Realize o trabalho de proteção do trabalho remoto e híbrido em três fases.
Fase 1 – Implementar políticas de identidade de ponto de partida e de acesso de dispositivos
Microsoft recomenda um conjunto abrangente de políticas de acesso de identidade e dispositivo para Confiança Zero neste guia : Confiança Zero identidade e configurações de acesso ao dispositivo.
Na fase 1, comece por implementar o escalão de ponto de partida. Estas políticas não requerem a inscrição de dispositivos para gestão.
Acesse Confiança Zero identidade e proteção de acesso ao dispositivo para obter diretrizes prescritivas detalhadas. Esta série de artigos descreve um conjunto de configurações de pré-requisito de acesso de identidade e dispositivo e um conjunto de políticas do Acesso condicional do Microsoft Entra, Microsoft Intune e outras para proteger o acesso ao Microsoft 365 para empresas, aplicativos e serviços de nuvem, outros serviços SaaS e aplicativos locais publicados com o proxy de aplicativo do Microsoft Entra.
| Inclui | Pré-requisitos | Não inclui |
|---|---|---|
Políticas de identidade e acesso de dispositivo recomendadas para três níveis de proteção:
Recomendações adicionais para:
|
Microsoft E3 ou E5 Microsoft Entra ID em qualquer um desses modos:
|
Registro de dispositivos para políticas que requerem dispositivos gerenciados. Consulte Gerenciar dispositivos com o Intune para registrar dispositivos. |
Fase 2 – Inscrever dispositivos para gestão com Intune
Em seguida, inscreva os seus dispositivos na gestão e comece a protegê-los com controlos mais sofisticados.
Consulte Gerenciar dispositivos com o Intune para obter diretrizes prescritivas detalhadas sobre como registrar dispositivos no gerenciamento.
| Inclui | Pré-requisitos | Não inclui |
|---|---|---|
Inscrever dispositivos com Intune:
Configurar políticas:
|
Registrar os pontos de extremidade com o Microsoft Entra ID | Configurar capacidades de proteção de informações, incluindo:
Para essas funcionalidades, consulte Swim lane 3 – Identificar e proteger dados comerciais confidenciais (posteriormente neste artigo). |
Para obter mais informações, consulte Confiança Zero para Microsoft Intune.
Fase 3 – Adicionar Confiança Zero identidade e proteção de acesso ao dispositivo: políticas empresariais
Com os dispositivos registrados no gerenciamento, agora você pode implementar o conjunto completo de políticas de acesso de identidade e dispositivo recomendadas pelo modelo Confiança Zero, exigindo dispositivos em conformidade.
Retorne às políticas comuns de acesso de identidade e dispositivo e adicione as políticas na camada Enterprise.
Leia mais sobre como proteger o trabalho remoto e híbrido na estrutura de adoção Confiança Zero — Secure trabalho remoto e híbrido.
Pista de natação 2 – Impedir ou reduzir danos comerciais causados por uma violação
Microsoft Defender XDR é uma solução de detecção e resposta estendida (XDR) que coleta, correlaciona e analisa automaticamente dados de sinal, ameaça e alerta de todo o ambiente Microsoft 365, incluindo ponto de extremidade, email, aplicativos e identidades. Além disso, Microsoft Defender para Aplicativos de Nuvem ajuda as organizações a identificar e gerenciar o acesso a aplicativos SaaS, incluindo aplicativos GenAI.
Evite ou reduza os danos comerciais de uma violação pilotando e implantando Microsoft Defender XDR.
Acesse Pilot e implante Microsoft Defender XDR para obter um guia metódico para pilotar e implantar os componentes do Microsoft Defender XDR.
| Inclui | Pré-requisitos | Não inclui |
|---|---|---|
Configure o ambiente de avaliação e piloto para todos os componentes:
Proteção contra ameaças Investigar e responder às ameaças |
Consulte as diretrizes para ler sobre os requisitos de arquitetura para cada componente de Microsoft Defender XDR. | Microsoft Entra ID Protection não está incluído neste guia de solução. Ele está incluído na Pista de Natação 1 – Trabalho remoto e híbrido seguro. |
Leia mais sobre como prevenir ou reduzir danos empresariais causados por uma violação na estrutura de adoção Confiança Zero — Prevenir ou reduzir os danos nos negócios causados por uma violação.
Pista de natação 3 – Identificar e proteger dados empresariais confidenciais
Implemente Proteção de Informações do Microsoft Purview para ajudá-lo a descobrir, classificar e proteger informações confidenciais onde quer que ela more ou viaje.
Proteção de Informações do Microsoft Purview recursos são incluídos com Microsoft Purview e fornecem as ferramentas para conhecer seus dados, proteger seus dados e evitar a perda de dados. Pode começar este trabalho a qualquer momento.
Proteção de Informações do Microsoft Purview fornece uma estrutura, um processo e recursos que você pode usar para alcançar seus objetivos de negócios específicos.
Para obter mais informações sobre como planejar e implantar a proteção de informações, consulte Deploy uma solução Proteção de Informações do Microsoft Purview.
Leia mais sobre como identificar e proteger dados comerciais confidenciais na estrutura de adoção Confiança Zero — Identificar e proteger dados comerciais confidenciais.
Pista de natação 4 – Proteger aplicações e dados de IA
Microsoft 365 inclui recursos para ajudar as organizações a proteger rapidamente os aplicativos de IA e os dados que elas usam.
Comece utilizando o Gerenciamento da Postura de Segurança de Dados (DSPM) do Purview para IA. Esta ferramenta centra-se na forma como a IA é utilizada na sua organização, especialmente os dados confidenciais que interagem com as ferramentas de IA. O DSPM para IA fornece insights mais profundos para Microsoft Copilots e aplicativos SaaS de terceiros, como ChatGPT Enterprise e Google Gemini.
O diagrama seguinte apresenta uma visão agregada sobre o impacto da utilização de IA em seus dados: Interações sensíveis por aplicativo de IA generativa.
Utilize DSPM para IA para:
- Obtenha visibilidade sobre a utilização de IA, incluindo dados confidenciais.
- Examine as avaliações de dados para saber mais sobre as lacunas no compartilhamento excessivo que podem ser atenuadas com controles de compartilhamento excessivo de SharePoint.
- Encontre lacunas na cobertura da política para etiquetas de confidencialidade e políticas de prevenção de perda de dados (DLP).
Defender para Aplicativos de Nuvem é outra ferramenta poderosa para descobrir e controlar o uso e os aplicativos SaaS GenAI. Defender para Aplicativos de Nuvem inclui mais de mil aplicativos relacionados à IA generativos no catálogo, fornecendo visibilidade de como os aplicativos de IA generativos são usados em sua organização e ajudando você a gerenciá-los com segurança.
Além dessas ferramentas, Microsoft 365 fornece um conjunto abrangente de recursos para proteger e controlar a IA. Consulte Descobrir, proteger e controlar aplicativos e dados de IA para saber como começar a usar esses recursos.
A tabela a seguir lista os recursos de Microsoft 365 com links para mais informações na biblioteca Security for AI.
Pista de natação 5 – Cumprir os requisitos regulamentares e de conformidade
Independentemente da complexidade do ambiente de TI da sua organização ou da dimensão da sua organização, os novos requisitos regulamentares que podem afetar a sua empresa estão continuamente a aumentar. Uma abordagem Confiança Zero geralmente excede alguns tipos de requisitos impostos por regulamentos de conformidade, por exemplo, aqueles que controlam o acesso a dados pessoais. As organizações que implementaram uma abordagem Confiança Zero podem descobrir que já atendem a algumas novas condições ou podem facilmente se basear em sua arquitetura Confiança Zero para serem compatíveis.
Microsoft 365 inclui recursos para auxiliar na conformidade regulatória, incluindo:
- Gerenciador de Conformidade
- Explorador de conteúdo
- Políticas de retenção, etiquetas de confidencialidade e políticas DLP
- Conformidade de comunicações
- Gerenciamento do ciclo de vida de dados
- Gerenciamento de risco de privacidade Priva
Utilize os seguintes recursos para cumprir os requisitos regulamentares e de conformidade.
| Recurso | Mais informações |
|---|---|
| Confiança Zero estrutura de adoção – Atenda os requisitos de regulamentação e conformidade | Descreve uma abordagem metódica que a sua organização pode seguir, incluindo definir estratégia, planeamento, adoção e governação. |
| Governar aplicações e dados de IA para conformidade regulamentar | Resolve a conformidade regulamentar dos regulamentos relacionados com IA emergentes, incluindo capacidades específicas que ajudam. |
| Manage privacidade de dados e proteção de dados com Microsoft Priva e Microsoft Purview | Avalie os riscos e tome as medidas apropriadas para proteger dados pessoais no ambiente da sua organização usando Microsoft Priva e Microsoft Purview. |
Próximas etapas
Saiba mais sobre Confiança Zero visitando o centro de diretrizes Confiança Zero.