Quando falamos em segurança do ambiente do Microsoft 365 é necessário entender o ciclo que envolve todos os produtos da plataforma e mergulhar na arquitetura da solução.
Não adianta muito proteger um lado e desproteger outro, a segurança precisar ser implementada na Medida em todas as frentes, agregando valor aos negócios e protegendo o ambiente corretamente.
Vou iniciar uma serie de postagens sobre esse assunto e vamos na seguinte ordem:
- Gerenciamento de usuários e grupos
- Sincronização e proteção de identidade
- Gerenciamento de identidade e acesso
- Segurança no Microsoft 365
- Proteção contra ameaças
- Gerenciamento de ameaças
- Segurança de aplicativos em nuvem
- Gerenciamento de aplicativos móveis (MAM)
- Proteção e governança de informações
- Gerenciamento de direitos de informação (IRM)
- Prevenção contra perda de dados (DLP)
- Gestão de Conformidade
- Gerenciamento de risco interno
Vamos iniciar hoje falando sobre o Gerenciamento de usuários e grupos e seguindo os itens semana após semana.
Para essa série de postagem, se você quiser realizar os exercícios práticos, será necessário criar um tenant trial, abaixo explico como:
Provisioning Office 365
https://www.microsoft.com/en-us/microsoft-365/enterprise/office-365-e5?activetab=pivot%3aoverviewtab
2. In Office 365 E5 page select Free Trial.
3. Enter any mail that was not used to sign up for the 365 trial and select next.
- In Tell us about yourself, fill in the fields with the information below and click Next • First Name: MOD
- Last Name: Administrator
- Business Phone number: Your phone number
- Company Name: A. Datum
- Company size: 250-999 people
- Country or region: United States
5. On the Verification Code screen, check your phone number in the Phone number field and click Send Verification Code.
6. In the enter verification code field, enter the verification code sent by SMS and click in Verify.
7. In the Create your business identity field, type your new trial domain with the pattern alunoXyourcourse.oncmicrosoft.com, click in Check availability and Next.
8. On the Create your business identity screen, fill in the following information and then click Sign Up.
Configuring Users and Licenses
- With your tenant created, access the following URL: https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/Licenses
- Click on All products and then on Try/Buy.
3. On the Activate tab, expand Free Trial under the ENTERPRISE MOBILITY + SECURITY E5 license, then click Activate.
4. Refresh the page, click on All Products and validate that the assigned license was correctly inserted.
5. Repeat Steps 2 and 3 with AZURE AD PREMIUM P2 license.
6. In the Licenses | All products verify that Office 365 E5, Azure P2 and Enterprise Mobility + Security E5 licenses are available for the next step.
Note: If one of the licenses is not available, refresh the page or redo the tasks from the beginning.
Com o tenant trial provisionado agora vamos falar sobre o gerenciamento de usuários e grupos
Gerenciamento de usuários e grupos
Aprenda como proteger sua implantação do Microsoft 365 e cumprir as proteções de dados do setor. Este tópico se concentra em proteger a identidade e o acesso do usuário, por meio de uma gestão de usuários é grupos que traga benefícios a organização e maior segurança.
O administrador de segurança do Microsoft 365 atua juntamente com os demais administradores corporativos do Microsoft 365, para planejar e implementar estratégias de segurança e garantir que as soluções estejam em conformidade com as políticas e regulamentos da organização.
Essa função protege proativamente os ambientes corporativos do Microsoft 365. As responsabilidades incluem responder a ameaças, implementar, gerenciar e monitorar soluções de segurança e conformidade para o ambiente Microsoft 365.
O gerenciamento de usuários e grupos é, portanto, vital na estratégia de defesa cibernética das organizações
A Microsoft trabalha fortemente para fornecer ferramentas para proteger a identidade dos usuários e possibilitar o gerenciamento de acesso aos arquivos de forma que todos tenham liberdade e compromisso com a segurança cibernética
Identidade é o novo Firewall
Os modelos tradicionais de segurança possuem o firewall como o item principal de controle de acesso, e não estão errados, mas, quando vamos para o ambiente de nuvem, independente da solução (AWS, Google, Microsoft…) o firewall tradicional não se aplica mais.
O controle de acesso aos aplicativos, aos dados da organização, dispositivos e recursos agora são controlados pela IDENTIDADE DOS USUÁRIOS, a identidade de acesso é muito importante para todos.
Para que as organizações possam ter o controle da identidade e acesso é preciso identificar, revisar e autorizar o acesso de forma legitima aos recursos apropriados.
Analise os cenários abaixo
Cenário de acesso 1
Chesley Rocha é CEO da organização e tenta acessar os recursos corporativos por meio do seu dispositivo registrado. A Azure AD monitora seus dados de usuário e valida seu dispositivo com base em sua configuração de política para determinar se esse acesso teria um baixo impacto para o ambiente
Cenário de acesso 2
Suponha que Chesley Rocha tente acessar a rede em um dispositivo por meio de um endereço IP anônimo que está fora de um local esperado. Com base na configuração de sua política, o Microsoft 365 pode detectar um impacto comercial médio elevado (MBI) e exigir que Chesley Rocha confirme e autentique a identidade de forma independente por meio de um método alternativo, como autenticação multifator.
Em ambos os cenários temos a análise do Microsoft 365 defender em detectar o risco de acesso, neste caso o risco detectado foi a utilização de Ip Anônimo e uma localização não familiar!
Processo de governança de identidade
Qual o seu provedor de identidade principal? Quando se utiliza o Microsoft 365 e seu provedor é:
● Serviços de Domínio Active Directory (AD DS), um provedor de identidade de intranet hospedado em computadores que executam o Windows Server. Isso normalmente é usado por organizações que têm um provedor de identidade local existente.
● Azure Active Directory (Azure AD), uma identidade como serviço (IDaaS) baseada em nuvem que fornece uma ampla gama de recursos para gerenciar e proteger seu ambiente. Isso normalmente é usado por organizações que não têm infraestrutura local existente. O Azure AD também é usado por clientes corporativos com infraestrutura local. Você usa o Azure AD Connect para gerenciar esse ambiente de identidade híbrida.
Use as etapas a seguir para planejar sua infraestrutura de governança de identidade em uma nuvem ou ambiente híbrido.
- Planejamento para usuários e grupos. Identifique usuários, grupos e associações de grupo e suas contas do Azure AD correspondentes.
- Proteja suas identidades privilegiadas. Planeje como proteger suas contas de administrador global e determine quais usuários terão funções de administrador global e contas de administrador globais dedicadas.
- Configure a identidade híbrida. Para ambientes híbridos, determine quais identidades locais no AD DS você deseja sincronizar com o locatário do Azure AD usado por sua assinatura do Microsoft 365.
- Planeje como você configurará o Azure AD Connect para implementar a sincronização.
- Configure a autenticação segura do usuário. Planeje configurar a autenticação multifator como um segundo nível de segurança para logins de usuários. Determine como você configurará o segundo método de autenticação com base na conta do usuário.
- Simplifique o acesso dos usuários. Planeje usar o Azure AD para habilitar a redefinição de senha de autoatendimento (SSPR). Isso permite que os usuários redefinam ou desbloqueiem suas senhas sem intervenção do help desk. Para ambientes híbridos, planeje implementar o write-back de senha, que permite aos usuários atualizar suas senhas por meio do SSPR do Azure AD mesmo quando suas contas e atributos são armazenados no local.
- Use grupos para facilitar o gerenciamento. Identifique os grupos do Azure AD que os proprietários do grupo podem gerenciar por conta própria. O gerenciamento de grupo por autoatendimento permite que os líderes de grupo que entendem o uso comercial do grupo tenham controle diário da associação.
Prepare-se para o Microsoft Azure Active Directory
- Abra o Windows PowerShell executando as seguintes etapas:
- Selecione o ícone da lupa (Pesquisar Windows) na barra de tarefas na parte inferior da tela e digite powershell na caixa Pesquisar que aparece.
- No menu exibido, clique com o botão direito do mouse no Windows PowerShell e selecione Executar como administrador no menu suspenso.
- No Windows PowerShell , digite o seguinte comando e pressione Enter:
Install-Module MSOnline
- Se você for solicitado a instalar o provedor NuGet , insira Y para selecionar [Y] Yes . Pressione a tecla Enter.
- Se você for solicitado a instalar o módulo do PSGallery, digite A para selecionar [A] Yes to All . Pressione a tecla Enter.
- Quando a instalação estiver concluída, a tela retornará ao prompt de comando do Windows PowerShell.
- Você deve executar o seguinte comando para instalar o módulo Azure AD PowerShell que você acabou de recuperar na etapa anterior:
Install-Module AzureADPreview
Habilite o IRM para SharePoint Online
- No centro de administração do Microsoft 365 , role para baixo no painel de navegação esquerdo e, em Centros de administração, selecione SharePoint . Isso abrirá o centro de administração do SharePoint.
- Se uma janela pop-up de administração de um local para SharePoint for exibida, selecione Consegui para fechar a janela.
- No centro de administração do SharePoint , no painel de navegação esquerdo, selecione Configurações .
- Na parte inferior da página há uma frase que diz “Não consegue encontrar a configuração que está procurando? Vá para a página de configurações clássicas.” Nesta frase, selecione o texto com hiperlink: página de configurações clássicas .
- Na página Configurações , role para baixo até a seção Gerenciamento de Direitos de Informação (IRM) , selecione Usar o serviço IRM especificado em sua configuração , selecione o botão Atualizar Configurações de IRM , role para baixo até a parte inferior da página e selecione OK .
Blog do Chesley 