As melhores práticas para proteger o Microsoft 365

Por Fernando Viana e Sá
As melhores práticas para proteger o Microsoft 365

O Microsoft 365 vem com muitos recursos para proteger seus dados contra as ameaças atuais. Se você criar um novo inquilino, alguns desses recursos de segurança, mas não todos, serão ativados por padrão. Os tenants existentes, entretanto, precisarão acompanhar os novos recursos de segurança e habilitá-los manualmente para proteger o Microsoft365.

Portanto, este guia para você usar como linha de base para proteger seu tenant do Microsoft 365. Todos os recursos de segurança podem ser habilitados sem a necessidade de produtos complementares adicionais, como Advanced Thread Protection, Defender for Microsoft 365 ou Azure Premium P1 ou P2.

Configurar autenticação multifator

Habilitar a autenticação multifator (MFA) é a medida de segurança mais recomendada para proteger o Microsoft 365. Pois, ela protege suas contas contra ataques de phishing e sprays de senha. Assim, a autenticação multifator deve ser habilitada para todas as contas de administrador e usuário.

Primeiramente, vamos verificar as configurações padrão de autenticação multifator.

  1. Faça login em aad.portal.azure.com
  2. Selecione Usuários e clique em Autenticação multifator
  • Não permita que os usuários criem senhas de aplicativos. As senhas de app são necessárias para apps que não oferecem suporte à autenticação moderna. Assim, você deve evitar o uso desses tipos de aplicativos no seu locatário.
  • Desative os métodos de verificação de chamada para telefone e mensagem de texto. Eles são conhecidos por serem menos seguros. Ou seja, o aplicativo móvel é o método preferencial de uso.
  • Defina dispositivos confiáveis ​​para 90 dias. Isso diminuirá a frequência com que os usuários precisam verificar, o que ajuda a evitar que eles aprovem acidentalmente a solicitação de MFA. Contudo, se eles receberem a solicitação com muita frequência, eles se acostumarão demais a ela e talvez a aprovem sem realizar uma ação de login por conta própria.

Sendo assim, agora você pode adicionar correspondência de número e contexto adicional (local e aplicativo) à notificação de solicitação de MFA. Pois, isso realmente ajuda a identificar quem fez a solicitação de MFA. Então, certifique-se de dar uma olhada nesses novos recursos.

Habilitando MFA para seus usuários

A melhor forma de implementar o MFA é baseada no acesso condicional. Você obtém isso quando usa os padrões de segurança, mas se não quiser ou não puder usar os padrões de segurança, você precisará do Plano 1 do Azure Premium para isso.

Então, se você não quiser usar os padrões de segurança e não tiver acesso condicional, sua única opção é habilitar o MFA para cada usuário manualmente .

Além disso, uma boa opção é informar seus usuários sobre o MFA e dar a eles um período de duas semanas para habilitar o MFA por conta própria. Os usuários podem habilitar o MFA por meio do seguinte link https://aka.ms/mfasetup .

Crie uma conta de administrador com acesso de emergência

A Microsoft recomenda que você crie duas contas de administrador de emergência. A ideia por trás disso é que essas contas sejam excluídas da autenticação multifatorial e das políticas de acesso condicional. Pois, se você não usar políticas de acesso condicional, uma conta de emergência excluída da MFA é o suficiente.

Essas contas evitam que você seja bloqueado no Azure Active Directory em caso de uma circunstância imprevista. Por exemplo, uma interrupção da rede de telefonia móvel que o impede de aprovar a solicitação de MFA ou a saída repentina do único Administrador global.

Não use essas contas diariamente, apenas quando perder o acesso ao Azure AD com sua conta de administrador global normal.

Você pode criar a conta de administrador no centro de administração do Office 365 em Usuários> Usuários ativos> Adicionar um usuário .

Você não precisa atribuir uma licença de produto ao usuário, apenas certifique-se de conceder à conta acesso de Administrador Global nas configurações opcionais.

Anote a senha temporária e mude-a para uma senha forte e muito longa, gerada aleatoriamente . Guarde a senha em um local seguro ao qual várias pessoas autorizadas tenham acesso.

Certifique-se de excluir uma conta das políticas de acesso condicional (se você as usar) e excluir a outra conta da autenticação multifator .

Você pode encontrar mais informações sobre a conta de administrador de emergência aqui na documentação do Azure AD .

Políticas de senha de usuário

Com o MFA habilitado, podemos alterar algumas configurações no que diz respeito às nossas políticas de senha. Podemos remover a política de expiração de senha. Os estudos mais recentes mostraram que a expiração de senha faz mais mal do que bem. Até a Microsoft agora recomenda remover os requisitos de expiração de senha para proteger ainda mais o Office 365.

Uma conta de usuário comprometida é quase sempre usada imediatamente pelos invasores. E os usuários que precisam alterar suas senhas geralmente tendem a usar um padrão previsível.

Definir política de expiração de senha

Se você estiver usando o AD Connect para sincronizar seus usuários e senha, a política de expiração de senha será substituída pela política de grupo local.

Você pode alterar a expiração da senha no Centro de Administração do Microsoft Office 365 :

  1. Selecione Configurações e, em seguida, Configurações da organização
  2. Escolha Segurança e Privacidade
  3. Selecione a política de expiração de senha
  4. Certifique-se de que está desligado

Habilitar redefinição de senha de autoatendimento

Permita que seus usuários redefinam a senha automaticamente quando necessário. Por padrão, isso está desabilitado. Permitir que os usuários redefinam suas senhas automaticamente não é uma melhoria de segurança para o Microsoft 365, mas resulta em menos tíquetes / chamadas para o helpdesk.

Se estiver usando o Azure AD Connect, você precisará ter pelo menos o Azure AD Premium P1 para habilitar o write-back de senha. Sem a redefinição da senha, você não pode usar o SSRP.

O que você precisa alterar são os requisitos para redefinir a senha.

  1. No Portal do Azure, selecione Usuários
  2. Escolha a redefinição de senha
  3. Selecione Propriedades
  4. Habilite para todos os usuários

Em seguida, precisamos definir os métodos de autenticação necessários para alterar uma senha. Por padrão, apenas um método é necessário e pode ser e-mail ou telefone celular.

Dê a seus usuários pelo menos a opção de registrar vários métodos de autenticação, incluindo código de aplicativo móvel. Você também pode aumentar o número de métodos necessários para redefinir uma senha de um para dois, mas antes de fazer isso, certifique-se de que seus usuários tenham vários métodos registrados.

Empacotando

Uma parte importante para manter o Microsoft 365 seguro é verificar regularmente os logs de auditoria e acompanhar as recomendações de segurança na Central de Segurança do Microsoft 365.

Por fim, se você achou este guia de práticas recomendadas do Microsoft 365 útil, compartilhe-o. Se você tiver dúvidas entre em contato e nossos especialistas ajudaram sua organização a se proteger no Microsoft 365.

Ver mais artigos

Entre em Contato

Vamos juntos transformar sua dor
em solução!

#moveFast