A pandemia chegou para balançar as estruturas das empresas que não tinham politicas de home office.
E muito profissionais começaram a questionar:
- Como melhoro a segurança no meu ambiente?
- Preciso contratar serviços?
- Preciso de uma consultoria para desenhar a governança de trabalho.
- Meu funcionário não possui dispositivo corporativo como ele vai trabalhar de forma remota?
- Meu ambiente de trabalho e colaboração está crescendo de forma desgovernada, como eu controlo?
Olhando para os meus clientes atuais que consomem produtos Microsoft, como eu poderia ajuda-los? Qual seria o direcionamento para tantas duvidas?
Bom, eu fiz um estudo onde pontuei algumas melhores praticas para proteger o Microsoft 365 usando ok recursos disponíveis na plataforma.
1- Secure Score
Microsoft 365 Secure Score é um painel de onde você pode monitorar e melhorar a segurança de suas identidades, dados, aplicativos, dispositivos e infraestrutura do Microsoft 365. O painel mostra para você uma relação de melhores práticas e padrões utilizados pela Microsoft e te fornece uma pontuação.

2- Microsoft 365 security center
O Security Center oferece uma visão geral dos aspectos essenciais da segurança do Microsoft 365:
- Integridade geral da segurança de sua organização.
- Incidentes de serviço.
- Alertas – todos os alertas em seu ambiente Microsoft 365
- Centro de ação – Ações a serem executadas pela equipe de TI.
- Relatórios – obtenha os detalhes e as informações de que você precisa para proteger e melhor seus usuários, dispositivos e aplicativos.
- Pontuação segura.
- Busca avançada – pesquise de forma proativa por malware, arquivos suspeitos e atividades em sua organização Microsoft 365.
- Classificação – Adicionar rótulos para classificar documentos, mensagens de e-mail, documentos, sites e muito mais.
- Políticas – configure procedimentos para gerenciar dispositivos, proteger contra ameaças e receber alertas sobre várias atividades em sua organização.

3- Funções administrativas no Azure Active Directory
Funções administrativas devem ser limitadas e restritas apenas quando necessário a utilização desse privilegio. Muitas outras funções podem complementar contas de administrador global, como administrador de impressora e administrador de função privilegiada, crie o habito de segregar as funções de trabalho da sua equipe. Tenha no máximo de 3 a 5 administradores globais.
Nesse link você poderá consultar o que é um administrador global, perfis segregados por funções e muito mais.
4- Unidades administrativas no Azure Active Directory
As unidades administrativas do AAD atuam como um contêiner para outros recursos do Azure AD, como usuários e grupos. Em outras palavras, você pode colocar muitos usuários e grupos em uma unidade e atribuir um administrador a ela para delegar privilégios de administrador.
Exemplo extraído do site da Microsoft:
Um administrador central poderia:
- Criar uma função com permissões administrativas somente para usuários do Azure AD na unidade administrativa da escola de negócios.
- Criar uma unidade administrativa para a Escola de Negócios.
- Popular a unidade administrativa com apenas os alunos e os funcionários da escola de negócios.
- Adicionar a equipe de TI da escola de negócios à função, juntamente com o escopo dela.
5- MFA – Multi-factor authentication
Seria bem melhor se você ativasse o MFA para todos os funcionários que trabalham em casa ou no escritório quando estiverem fazendo logon no Office 365. Isso pode ser feito usando um aplicativo autenticador simples da Microsoft em seus telefones.
Estas são algumas das práticas de segurança padrão:
- Exigir que todos os usuários se registrem no Azure AD Multi-Factor Authentication.
- Exigir que os administradores executem autenticação multifator.
- Bloqueie os protocolos de autenticação legados.
- Exija que os usuários executem autenticação multifator quando necessário.
- Proteja atividades privilegiadas, como acesso ao portal do Azure.
6- Contas de acesso de emergência
É uma boa prática criar duas ou mais contas de acesso de emergência em sua organização para mitigar o impacto de uma falta acidental de acesso administrativo, mas certifique de usa-las apenas em caso de necessidade, sendo assim manter as mesmas seguras em cofres de senha. Essas contas de super administrador são apenas na nuvem e não estão conectadas a nenhum dispositivo pessoal. No entanto, se por acaso houver um dispositivo conectado, ele deve ser mantido em um local conhecido, seguro e acessível. Os mecanismos de MFA para essas contas são um pouco diferentes das contas “normais”, portanto, é aconselhável usar MFA de terceiros se a principal não estiver funcionando. Crie alertas para essas contas, quando elas forem utilizadas você saberá, sendo assim poderá identificar um uso indevido das mesmas.
7- PIM – Privileged Identity Management
Você precisa usar a forma mais forte de autenticação secundária para proteger suas contas de administrador globais do Microsoft 365, que permite gerenciar, controlar e monitorar o acesso a importantes recursos na sua organização. O PIM tem a função de ativar uma credencial administrativa baseada em tempo e aprovação, reduzindo o numero excessivo de administradores globais com acessos desnecessário.
Estes são alguns dos principais recursos do Privileged Identity Management:
- Fornecer acesso privilegiado just-in-time ao Azure AD e aos recursos do Azure
- Atribua acesso com limite de tempo aos recursos usando as datas de início e término
- Exigir aprovação para ativar funções com privilégios
- Impor autenticação multifator para ativar qualquer função
- Usar justificativa para entender por que os usuários ativam
- Obter notificações quando as funções privilegiadas forem ativadas
- Realizar revisões de acesso para garantir que os usuários ainda precisem de funções
- Baixar o histórico de auditoria para auditoria interna ou externa
8- AcCess Reviews
As empresas devem revisar regularmente o acesso para reduzir o risco associado a funções obsoletas e garantir atribuições de funções adequadas. Isso é especialmente importante para funções altamente privilegiadas. É por isso que é recomendado configurar revisões de acesso periódicas para todo o locatário.

9- Microsoft Defender para Office 365
O Microsoft Defender é outra opção de segurança da Microsoft. É um sistema que elimina todo malware, spam, phishing e outras ameaças vindas de fora da empresa por e-mail, OneDrive e SharePoint. O Microsoft Defender é construído em torno da IA e permite que você rastreie de forma proativa todos os riscos possíveis que ameacem vários clientes do Office 365 antes que eles os prejudiquem.
10- Security Dashboard
Com o Painel de Segurança, os administradores podem obter uma visão geral do que está acontecendo no locatário – quantas mensagens de malware são bloqueadas, quantas mensagens de phishing são detectadas, etc., e aprender como gerenciar a segurança do sistema de forma proativa.

11- Conditional Access
O acesso condicional é uma ferramenta do Azure AD que analisa vários sinais para tomar decisões. Eles são construídos com base em vários sinais, como sua localização, seu padrão de login, etc. Por exemplo, se sua empresa for dos Estados Unidos e alguém estiver tentando fazer login de um país diferente você pode bloquear esse usuário. Basicamente essa função possui um aprendizado de maquina para analisar e criar regras de acordo com padrões.

Texto extraído do site da Microsoft.
Alguns dos sinais que você pode usar no acesso condicional são:
- Associação de usuário ou grupo
- Localização de IP
- Dispositivo
- Aplicação
- Risco em tempo real
Algumas das decisões que você pode impor no acesso condicional são:
- Quadra
- Grant
- Requer MFA
- Requer dispositivo compatível
As políticas de acesso condicional padrão são:
- Requer autenticação multifator para usuários com funções administrativas
- Exigindo autenticação multifator para tarefas de gerenciamento do Azure
- Bloqueio de logins para usuários que tentam usar protocolos de autenticação legados
- Exigindo locais confiáveis para o registro do Azure AD Multi-Factor Authentication
- Bloquear ou conceder acesso de locais específicos
- Bloqueio de comportamentos de login arriscados
- Requer dispositivos gerenciados pela organização para aplicativos específicos
12- Suporte PARA trabalhO SEGURO EM CASA
Listei aqui algumas ações para que seus funcionários remotos se tornem mais eficientes, seguros e capacitados:
- Habilitar MFA
- Configurar o Defender O365
- Configurar o Defender for Identity
- Configurar Intune para mobile
- MFA conditional + Intune app
- Device Management
- Optimize
- Cloud App Security
- Monitor de sistema
13- Colaboração segura com Microsoft 365
Uma das vantagens mais significativas da nuvem é a colaboração com pessoas dentro e fora da empresa. Porém, essa flexibilidade também traz algumas questões de segurança.
O Microsoft 365 oferece diferentes aspectos de compartilhamento, pois você pode configurar o compartilhamento com:
- Qualquer pessoa (não autenticado)
- Pessoas dentro da organização
- Pessoas específicas dentro da organização
- Pessoas específicas dentro e fora da organização

14- Colaborando com pessoas fora da minha organização
A grande vantagem do Microsoft 365 é a possibilidade de colaborar com parceiros, fornecedores, clientes e outras pessoas que não possuem uma conta em seu diretório.
Você pode habilitar o compartilhamento em níveis diferentes no Microsoft 365 – no Azure Active Directory, Teams, Grupos do Microsoft 365, OneDrive e SharePoint.

15- Compartilhamento com links não autenticado
Links anônimos podem ser úteis em vários cenários, mas você deve ter cuidado ao usá-los. Estas são as recomendações padrão ao compartilhar anonimamente:
- Escolha as opções de expiração e permissões para links Qualquer pessoa (para toda a organização ou apenas um site)
- Controle os níveis de permissão permitidos para arquivos e pastas
- Definir o tipo de link padrão apenas para pessoas especificadas
- Use regras de DLP para controlar o compartilhamento de conteúdo confidencial
16- exposição acidental de arquivos
É uma boa prática limitar o compartilhamento com grupos ou domínios específicos – digamos apenas seus próprios domínios ou domínios de parceiros.

17- Acesso a convidados
Certifique-se de controlar como os convidados agem dentro de sua organização. Você pode fazer várias atividades de controle, como:
- Solicitando MFA para convidados
- Tempo limite da sessão
- Limitar o acesso de dispositivos não gerenciados ao acesso apenas pela web
- Aplicando rótulos de sensibilidade
- Realizando análise de acesso de convidado
18- Rótulos de sensibilidade
Você deve seguir estes conceitos em relação aos seus dados e conteúdo:
- Classifique e proteja os dados da sua organização, garantindo que a produtividade do usuário e sua capacidade de colaboração não sejam prejudicadas.
- Proteja o conteúdo em aplicativos do Office em diferentes plataformas e dispositivos.
- Proteja contêineres que incluem equipes, grupos do Microsoft 365 e sites do SharePoint.
Alguns documentos em sua organização podem ser confidenciais e, como tal, exigem um alto nível de controle de acesso. A prática recomendada é rotular o conteúdo confidencial e proibir o compartilhamento dele.
Você pode estender ainda mais o controle usando a Proteção de Informações do Azure, criptografando documentos confidenciais. Portanto, mesmo que usuários não autorizados tenham acesso a eles, eles não serão capazes de lê-los.
19- Site Classification
Podemos aplicar rótulos de classificação em sites também. Assim, você pode classificar sites confidenciais que apenas pessoas específicas podem acessar.

20- Implantação de equipes
Devido aos eventos inesperados no início do ano passado, muitas organizações não tiveram tempo para planejar a implantação das equipes com antecedência. Os resultados foram arquitetura desorganizada das equipes, funções indefinidas e falta de controles de governança.
Cada organização deve se perguntar estas questões antes de se aprofundar na implantação do Teams:
- Quem serão os Administradores das Equipes
- Quem serão proprietários e membros
- Quais serão as políticas de mensagens
- Como o provisionamento vai acontecer
- Qual nível de acesso externo / convidado será permitido
- Quais serão as configurações das equipes
- Quais equipes clientes serão usados
- Teremos relatórios de uso
- Quais aplicativos padrão usaremos
21- Segurança do SharePoint
O Microsoft Teams anda de mãos dadas com o SharePoint. Com cada equipe, há um site do SharePoint e um conjunto padrão de grupos do SharePoint. Você precisa pensar sobre estas configurações para seus sites do SharePoint:
- Configurações de compartilhamento
- Grupos do SharePoint
- Grupos AD
- Quebrando a herança de permissão
- Sites não conectados a grupos Microsoft 365
- Sites relacionados a grupos Microsoft 365
- Alterar como os membros podem compartilhar
- [Acesso ao site] Solicitações de acesso
22- Criptografia de dados no OneDrive e SharePoint Online
Quando se trata da segurança dos dados armazenados nos datacenters Microsoft 365, a Microsoft está realizando uma infinidade de ações de segurança:
- Criptografia de nível de disco BitLocker
- Criptografia por arquivo AES-256, distribuição de conteúdo, chaves e credenciais (FIPS 140-2)
- Pedaços criptografados com várias chaves no armazenamento de blob
- Um conjunto diferente de chaves dependendo da operação (ler, escrever, enum, excluir)
23- Práticas adicionais de proteção de e-mail
Você pode implementar práticas adicionais de proteção de e-mail em sua empresa:
- Acesso condicional
- Desativar encaminhamento de e-mail externo
- Desativar compartilhamento anônimo de agenda externa
- Configure políticas de prevenção de perda de dados para dados confidenciais
- Implementar políticas de classificação de dados e proteção de informações
- Proteja os dados em aplicativos e serviços de terceiros c / Cloud App Security
- Use o Microsoft Defender para Endpoint
- Use AIP
24- Licenciamento
A maioria dos recursos avançados de segurança e conformidade estão disponíveis nos Planos Premium listados abaixo:
- Office 365 E5
- Microsoft 365 E5
- Estar sozinho:
- Azure AD Premium 1 ou 2
- Em sintonia
Gostou? Deixa seu comentário aqui embaixo e se tiver alguma duvida, pode perguntar que respondemos 🙂
Ótimo artigo!
CurtirCurtir
Estou utilizando a opção de rótulos de sensibilidade para aplicar criptografia e proteção em e-mails que possuam conteúdo sigiloso e que são encaminhadas internamente e externamente do ambiente corporativo. Desabilitei a opção de edição para inibir a alteração do corpo de em e-mail, por exemplo, entretanto os emails encaminhados externamente ainda são passíveis de edição. Há alguma ferramenta ou configuração que possa ser realizada para que essa edição de e-mails encaminhados externamente seja inibida?
CurtirCurtir