Configure o Microsoft Entra para maior segurança (Pré-visualização)

No Microsoft Entra, agrupamos as nossas recomendações de segurança em múltiplos temas baseados na Iniciativa Futuro Seguro (SFI). Essa estrutura permite que as organizações dividam logicamente os projetos em partes de consumíveis relacionadas.

Tip

Algumas organizações podem tomar essas recomendações exatamente como escritas, enquanto outras podem optar por fazer modificações com base em suas próprias necessidades de negócios. Em nossa versão inicial desta orientação, nos concentramos nos locatários tradicionais da força de trabalho. Esses locatários da força de trabalho são para seus funcionários, aplicativos de negócios internos e outros recursos organizacionais.

Recomendamos que todos os controles a seguir sejam implementados onde as licenças estiverem disponíveis. Esses padrões e práticas ajudam a fornecer uma base para outros recursos criados com base nessa solução. Mais controles serão adicionados a este documento ao longo do tempo.

Avaliação automatizada

Verificar manualmente essa orientação em relação à configuração de um locatário pode ser demorado e propenso a erros. A Confiança Zero Assessment transforma este processo com automação para testar estes itens de configuração de segurança e muito mais. Saiba mais em O que é a Avaliação Confiança Zero?

Proteja identidades e segredos

Reduza o risco relacionado a credenciais implementando padrões de identidade modernos.

Verificar	Licença mínima exigida
Os aplicativos não têm segredos de cliente configurados	Nenhum (incluído com o Microsoft Entra ID)
As entidades de serviço não têm certificados ou credenciais associadas a elas	Nenhum (incluído com o Microsoft Entra ID)
Os aplicativos não têm certificados com validade superior a 180 dias	Nenhum (incluído com o Microsoft Entra ID)
Os certificados de candidatura devem ser rotacionados regularmente	Nenhum (incluído com o Microsoft Entra ID)
Impor padrões para segredos e certificados de aplicativos	Nenhum (incluído com o Microsoft Entra ID)
Os aplicativos de serviços da Microsoft não têm credenciais configuradas	Nenhum (incluído com o Microsoft Entra ID)
As configurações de consentimento do usuário são restritas	Nenhum (incluído com o Microsoft Entra ID)
O fluxo de trabalho de consentimento do administrador está habilitado	Nenhum (incluído com o Microsoft Entra ID)
Alta relação Global Administrator para utilizadores privilegiados	Nenhum (incluído com o Microsoft Entra ID)
Os privilégios administrativos são fortemente limitados para evitar compromissos	Microsoft Entra ID P1
Os direitos de administrador aplicação estão limitados a aplicações específicas de Access privadas	Acesso à Internet Microsoft Entra ou Acesso Privado Microsoft Entra
Contas privilegiadas são identidades nativas da nuvem	Nenhum (incluído com o Microsoft Entra ID)
Todas as atribuições de funções privilegiadas são ativadas a tempo e não permanentemente ativas	Microsoft Entra ID P2
Todas as atribuições Microsoft Entra funções privilegiadas são geridas com PIM	Microsoft Entra ID P2
Método de autenticação de chave de acesso ativado	Nenhum (incluído com o Microsoft Entra ID)
O atestado de chave de segurança é aplicado	Nenhum (incluído com o Microsoft Entra ID)
Contas privilegiadas têm métodos resistentes a phishing registrados	Microsoft Entra ID P1
Os papéis incorporados Privileged Microsoft Entra são direcionados por políticas de Access Condicional para impor métodos resistentes ao phishing	Microsoft Entra ID P1
As políticas de Access condicional impõem autenticação forte para aplicações privadas	Acesso Privado Microsoft Entra
As aplicações Proxy de Aplicações requerem pré-autenticação para bloquear access	Microsoft Entra ID P1
Exigir notificações de redefinição de senha para funções de administrador	Microsoft Entra ID P1
A política de autenticação legado de bloco está configurada	Microsoft Entra ID P1
Passe temporário de access está ativado	Microsoft Entra ID P1
Restringe o passe temporário de Access a uso único	Microsoft Entra ID P1
Migrar de políticas herdadas de MFA e SSPR	Microsoft Entra ID P1
Impedir que os administradores usem o SSPR	Microsoft Entra ID P1
A redefinição de senha de autoatendimento não usa perguntas de segurança	Microsoft Entra ID P1
Os métodos de autenticação de SMS e Chamada de Voz estão desativados	Microsoft Entra ID P1
Proteger a página de registro de MFA (Minhas Informações de Segurança)	Microsoft Entra ID P1
Usar autenticação na nuvem	Microsoft Entra ID P1
Todos os usuários são obrigados a se registrar para MFA	Microsoft Entra ID P2
Os usuários têm métodos de autenticação forte configurados	Microsoft Entra ID P1
Reduzir a área de superfície da palavra-passe visível pelo utilizador	Microsoft Entra ID P1
A atividade de início de sessão do utilizador utiliza proteção de token	Microsoft Entra ID P1
As políticas de proteção de tokens são configuradas	Microsoft Entra ID P1
Toda a atividade de login do utilizador utiliza métodos de autenticação resistentes ao phishing	Microsoft Entra ID P1
Toda a atividade de início de sessão provém de dispositivos geridos	Microsoft Entra ID P1
Método de autenticação por chave de segurança ativado	Nenhum (incluído com o Microsoft Entra ID)
Papéis privilegiados não são atribuídos a identidades obsoletas	Microsoft Entra ID P2
A aplicação Microsoft Authenticator mostra o contexto de iniciação de sessão	Microsoft Entra ID P1
Microsoft Authenticator a aplicação reportar atividade suspeita está ativada	Microsoft Entra ID P1
A expiração da palavra-passe está desativada	Microsoft Entra ID P1
Limite de bloqueio inteligente definido como 10 ou menos	Microsoft Entra ID P1
A duração do bloqueio inteligente é definida para um mínimo de 60	Microsoft Entra ID P1
Adicionar termos organizacionais à lista de senhas proibidas	Microsoft Entra ID P1
Exigir autenticação multifator para ingresso e registro de dispositivo usando a ação do usuário	Microsoft Entra ID P1
A Solução de Senha de Administrador Local é implantada	Microsoft Entra ID P1
O Entra Connect Sync está configurado com as Credenciais da Entidade de Serviço	Nenhum (incluído com o Microsoft Entra ID)
A conta de sincronização de diretório está bloqueada a um local específico com nome	Microsoft Entra ID P1
Não utilização da ADAL no inquilino	Nenhum (incluído com o Microsoft Entra ID)
Block legacy Azure módulo PowerShell AD	Nenhum (incluído com o Microsoft Entra ID)
Ativar Microsoft Entra ID predefinições de segurança para inquilinos gratuitos	Nenhum (incluído com o Microsoft Entra ID)

Proteja os locatários e isole os sistemas de produção

Verificar	Licença mínima exigida
As permissões para criar novos locatários são limitadas à função Criador de Locatários	Nenhum (incluído com o Microsoft Entra ID)
Permitir ações protegidas para garantir a criação e alterações de políticas de Access Condicionais	Microsoft Entra ID P1
Guest access está limitada a inquilinos aprovados	Microsoft Entra ID Grátis
Os convidados não recebem funções de diretório com privilégios elevados	Microsoft Entra ID Grátis Microsoft Entra ID P2 ou Microsoft ID Governance for PIM
Os hóspedes não podem convidar outros hóspedes	Microsoft Entra ID Grátis
Os convidados restringiram access a objetos de diretório	Microsoft Entra ID Grátis
O bloqueio de propriedade da instância do aplicativo está configurado para todos os aplicativos multilocatários	Microsoft Entra ID Grátis
Os hóspedes não têm sessões de login de longa duração	Microsoft Entra ID P1
O access Guest é protegido por métodos de autenticação fortes	Microsoft Entra ID Grátis Microsoft Entra ID P1 recomendado para Conditional Access
A inscrição de autoatendimento de convidado via fluxo de usuário está desabilitada	Microsoft Entra ID Grátis
As definições de access Outbound cross-tenant estão configuradas	Microsoft Entra ID Grátis Microsoft Entra ID P1 recomendado para Conditional Access
Os hóspedes não possuem aplicativos no locatário	Nenhum (incluído com o Microsoft Entra ID)
Todos os hóspedes têm um patrocinador	Microsoft Entra ID Grátis
As identidades de convidado inativas são desabilitadas ou removidas do locatário	Microsoft Entra ID Grátis
Todas as políticas de gestão de direitos têm uma data de expiração	Microsoft Entra ID P2 ou Microsoft ID Governance para gestão de direitos e revisões de acesso
Todas as políticas de atribuição de gerenciamento de direitos que se aplicam a usuários externos exigem organizações conectadas	Microsoft Entra ID P2 ou Microsoft ID Governance para gestão de direitos e revisões de acesso
Todas as políticas de atribuição de gestão de direitos que se aplicam a utilizadores externos requerem aprovação	Microsoft Entra ID P2 ou Microsoft ID Governance para gestão de direitos e revisões de acesso
Todos os pacotes de gestão de direitos que se aplicam a hóspedes têm expirações ou avaliações de access configuradas nas suas políticas de atribuição	Microsoft Entra ID P2 ou Microsoft ID Governance para gestão de direitos e revisões de acesso
Gerir os administradores locais em dispositivos associados ao Microsoft Entra	Nenhum (incluído com o Microsoft Entra ID)
Restringir utilizadores não administradores de recuperar as chaves BitLocker dos seus dispositivos próprios	Nenhum (incluído com o Microsoft Entra ID)

Proteja as redes

Proteja o perímetro da rede.

Verificar	Licença mínima exigida
Os locais nomeados são configurados	Microsoft Entra ID P1
A política v2 de restrições de locatário está configurada	Microsoft Entra ID P1
Internet Access encaminhamento do perfil está ativado	Acesso à Internet Microsoft Entra
As políticas de filtragem de conteúdos web são configuradas	Acesso à Internet Microsoft Entra
O filtragem de conteúdos web utiliza regras baseadas em categorias	Acesso à Internet Microsoft Entra
As políticas de filtragem de conteúdos web estão ligadas a perfis de segurança	Acesso à Internet Microsoft Entra
filtragem de conteúdos web integra-se com Access	Acesso à Internet Microsoft Entra
A filtragem de conteúdos web bloqueia categorias de alto risco	Acesso à Internet Microsoft Entra
A inspeção TLS está ativada e corretamente configurada para tráfego de saída	Acesso à Internet Microsoft Entra
As regras de contorno da inspeção TLS são regularmente revistas	Acesso à Internet Microsoft Entra
Os certificados de inspeção TLS têm um período de validade suficiente	Acesso à Internet Microsoft Entra
A taxa de falhas da inspeção TLS é inferior a 1%	Acesso à Internet Microsoft Entra
As regras personalizadas de bypass de inspeção TLS não duplicam destinos de bypass do sistema	Acesso à Internet Microsoft Entra
A filtragem de inteligência de ameaças protege o tráfego da internet	Acesso à Internet Microsoft Entra
As políticas de transferência de ficheiros são configuradas para evitar a exfiltração de dados	Acesso à Internet Microsoft Entra
AI Gateway protege aplicações empresariais de IA generativa contra ataques de injeção rápida	Acesso à Internet Microsoft Entra
Global Secure Access cloud firewall protege o tráfego da internet das filiais	Acesso à Internet Microsoft Entra
O tráfego de Internet é inspecionado em todas as camadas de defesa do Secure Web Gateway	Acesso à Internet Microsoft Entra
Validação de Rede é configurada através da Avaliação Universal de Access Contínua	Acesso à Internet Microsoft Entra ou Acesso Privado Microsoft Entra
Global Secure Access cliente é implementado em todos os endpoints geridos	Acesso à Internet Microsoft Entra ou Acesso Privado Microsoft Entra
As licenças Global Secure Access estão disponíveis no tenant e atribuídas aos utilizadores	Acesso à Internet Microsoft Entra ou Acesso Privado Microsoft Entra
O tráfego Microsoft 365 está a fluir ativamente através do Global Secure Access	Suíte Microsoft Entra
universal bloqueiam access	Acesso à Internet Microsoft Entra
As políticas de Access condicional utilizam controlos de rede compatíveis	Microsoft Entra ID P1
Global Secure Access sinalização para Access Condicional está ativada	Acesso à Internet Microsoft Entra
Tráfego de rede é encaminhado através do Global Secure Access para aplicação da política de segurança	Acesso à Internet Microsoft Entra ou Acesso Privado Microsoft Entra
Os perfis de encaminhamento de tráfego são direcionados para utilizadores e grupos apropriados para implementação controlada	Acesso à Internet Microsoft Entra ou Acesso Privado Microsoft Entra
Conectores de rede privada estão ativos e são saudáveis para manter Confiança Zero access aos recursos internos	Acesso Privado Microsoft Entra
Os conectores de rede privada estão a correr a versão mais recente	Acesso Privado Microsoft Entra
Pelo menos dois conectores de Access privados estão ativos e saudáveis por grupo de conectores	Acesso Privado Microsoft Entra
DNS Privado está configurado para resolução interna de nomes	Acesso Privado Microsoft Entra
O tráfego DNS para domínios internos é encaminhado através de Access	Acesso Privado Microsoft Entra
Intelligent Local Access está ativado e configurado	Acesso Privado Microsoft Entra
Quick Access está ativado e ligado a um conector	Acesso Privado Microsoft Entra
Quick Access está vinculado a uma política de Access Condicional	Acesso Privado Microsoft Entra
Entra Segmentos de Aplicação de Access Privada são definidos para aplicar o privilégio mínimo access	Acesso Privado Microsoft Entra
O access RDP do controlador de domínio está protegido por autenticação resistente ao phishing através do Global Secure Access	Acesso Privado Microsoft Entra
Os sensores Access privados estão a aplicar políticas de autenticação fortes nos controladores de domínio	Acesso Privado Microsoft Entra
Quick Access tem atribuições de utilizadores ou de grupo	Acesso Privado Microsoft Entra
Todas as aplicações de Access privadas têm atribuições de utilizadores ou de grupo	Acesso Privado Microsoft Entra

Proteja os sistemas de engenharia

Proteja os ativos de software e melhore a segurança do código.

Verificar	Licença mínima exigida
As contas access Emergency são configuradas adequadamente	Microsoft Entra ID P1
A ativação da função Global Administrator desencadeia um fluxo de trabalho de aprovação	Microsoft Entra ID P2
Administradores Globais não têm access de Azure subscrições	Nenhum (incluído com o Microsoft Entra ID)
A criação de novos aplicativos e entidades de serviço é restrita a usuários privilegiados	Microsoft Entra ID P1
Aplicações inativas não têm permissões Microsoft Graph API altamente privilegiadas	Microsoft Entra ID P1
Os aplicativos inativos não têm funções internas altamente privilegiadas	Microsoft Entra ID P1
Registos de aplicações usar URIs de redirecionamento seguros	Microsoft Entra ID P1
As entidades de serviço usam URIs de redirecionamento seguro	Microsoft Entra ID P1
Registos de aplicações não deve ter URIs de redirecionamento de domínio suspensos ou abandonados	Microsoft Entra ID P1
O consentimento específico por recurso é restrito	Microsoft Entra ID P1
As identidades de carga de trabalho não recebem funções privilegiadas	Microsoft Entra ID P1
Os aplicativos corporativos devem exigir atribuição explícita ou provisionamento com escopo	Microsoft Entra ID P1
As aplicações empresariais têm proprietários	Nenhum (incluído com o Microsoft Entra ID)
Limitar o número máximo de dispositivos por utilizador a 10	Nenhum (incluído com o Microsoft Entra ID)
As políticas de Access condicional para estações de trabalho de Access privilegiadas estão configuradas	Microsoft Entra ID P1

Monitore e detete ameaças cibernéticas

Colete e analise logs de segurança e alertas de triagem.

Verificar	Licença mínima exigida
As definições de diagnóstico estão configuradas para todos os registos Microsoft Entra	Microsoft Entra ID P1
As ativações de função privilegiada têm monitoramento e alerta configurados	Microsoft Entra ID P2
Alerta de ativação para atribuições de Global Administrator funções	Microsoft Entra ID P2
Alerta de ativação para todas as atribuições de funções privilegiadas	Microsoft Entra ID P2
Utilizadores privilegiados iniciam sessão com métodos resistentes a phishing	Microsoft Entra ID P1
Todos os usuários de alto risco são triados	Microsoft Entra ID P2
Todos os logins de alto risco são triados	Microsoft Entra ID P2
Todas as identidades de cargas de trabalho de risco são triadas	Microsoft Entra ID P2
Os eventos de criação de inquilinos são triados	Microsoft Entra ID P1
Toda a atividade de entrada do usuário usa métodos de autenticação forte	Microsoft Entra ID P1
As recomendações de Microsoft Entra de alta prioridade são abordadas	Microsoft Entra ID P1
As notificações de Proteção de Identificação estão ativadas	Microsoft Entra ID P2
Nenhuma atividade de login de autenticação herdada	Microsoft Entra ID P1
Todas as recomendações Microsoft Entra são abordadas	Microsoft Entra ID P1
A atividade access de rede é visível para as operações de segurança para deteção e resposta a ameaças	Microsoft Entra ID P1
registos de access de rede são mantidos para análise de segurança e requisitos de conformidade	Microsoft Entra ID P1
Os registos de implementação Global Secure Access são preenchidos e revistos	Acesso à Internet Microsoft Entra ou Acesso Privado Microsoft Entra

Acelere a resposta e a remediação

Melhore a resposta a incidentes de segurança e as comunicações de incidentes.

Verificar	Licença mínima exigida
As Identidades de Carga de Trabalho são configuradas com políticas baseadas em risco	Identificação de carga de trabalho Microsoft Entra
Restringir entradas de alto risco	Microsoft Entra ID P2
Restringir access a utilizadores de alto risco	Microsoft Entra ID P2

Comentários

Esta página foi útil?

Last updated on 2026-04-30