{"id":2378,"date":"2023-02-14T17:47:10","date_gmt":"2023-02-14T20:47:10","guid":{"rendered":"https:\/\/aiqon.com.br\/blog\/?p=2378"},"modified":"2023-02-15T10:05:41","modified_gmt":"2023-02-15T13:05:41","slug":"top-5-praticas-recomendadas-de-seguranca-do-azure-ad","status":"publish","type":"post","link":"https:\/\/aiqon.com.br\/blog\/top-5-praticas-recomendadas-de-seguranca-do-azure-ad\/","title":{"rendered":"TOP 5 pr\u00e1ticas recomendadas de seguran\u00e7a do Azure AD"},"content":{"rendered":"<div id=\"bsf_rt_marker\"><\/div><p>Detalharemos as 5 principais pr\u00e1ticas recomendadas de seguran\u00e7a a serem seguidas para proteger seu Azure AD e proteger seus neg\u00f3cios.<\/p><div id=\"ez-toc-container\" class=\"ez-toc-v2_0_85 ez-toc-wrap-left counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Nesse Artigo<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Alternar tabela de conte\u00fado\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/aiqon.com.br\/blog\/top-5-praticas-recomendadas-de-seguranca-do-azure-ad\/#1_%E2%80%93_Limite_os_privilegios_administrativos\" >1 &#8211; Limite os privil\u00e9gios administrativos.<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/aiqon.com.br\/blog\/top-5-praticas-recomendadas-de-seguranca-do-azure-ad\/#2_%E2%80%93_Revise_o_acesso_e_as_permissoes_do_aplicativo_regularmente\" >2 &#8211; Revise o acesso e as permiss\u00f5es do aplicativo regularmente.<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/aiqon.com.br\/blog\/top-5-praticas-recomendadas-de-seguranca-do-azure-ad\/#3_%E2%80%93_Habilite_a_autenticacao_multifator_MFA_do_Azure_AD\" >3 &#8211; Habilite a autentica\u00e7\u00e3o multifator (MFA) do Azure AD.<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/aiqon.com.br\/blog\/top-5-praticas-recomendadas-de-seguranca-do-azure-ad\/#4_%E2%80%93_Atividade_de_auditoria_no_Azure_AD\" >4 &#8211; Atividade de auditoria no Azure AD.<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/aiqon.com.br\/blog\/top-5-praticas-recomendadas-de-seguranca-do-azure-ad\/#5_%E2%80%93_Diretorio_ativo_local_seguro\" >5 &#8211; Diret\u00f3rio ativo local seguro.<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/aiqon.com.br\/blog\/top-5-praticas-recomendadas-de-seguranca-do-azure-ad\/#Onde_obter_ajuda\" >Onde obter ajuda<\/a><\/li><\/ul><\/nav><\/div>\n\n<p>O Azure AD cont\u00e9m as chaves do seu reino do Microsoft 365. Respons\u00e1vel por fun\u00e7\u00f5es vitais, como autentica\u00e7\u00e3o e autoriza\u00e7\u00e3o, o Azure AD \u00e9 o respons\u00e1vel pelo gerenciamento de acesso no ecossistema de nuvem da Microsoft. Por esse motivo, \u00e9 alvo de muitos ataques cibern\u00e9ticos.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"1_%E2%80%93_Limite_os_privilegios_administrativos\"><\/span>1 &#8211; Limite os privil\u00e9gios administrativos.<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>As contas de administrador s\u00e3o o alvo n\u00famero 1 dos invasores porque fornecem acesso a dados e sistemas mais confidenciais em todo o ecossistema de uma organiza\u00e7\u00e3o. Embora essas contas sejam necess\u00e1rias para fun\u00e7\u00f5es de neg\u00f3cios e de TI, elas representam um risco significativo para sua organiza\u00e7\u00e3o.<\/p>\n<p>Assim, os especialistas enfatizam que \u00e9 fundamental n\u00e3o apenas proteger essas contas, mas tamb\u00e9m limitar o n\u00famero delas. Atingir esse objetivo requer uma compreens\u00e3o abrangente de todas as contas administrativas da sua organiza\u00e7\u00e3o \u2014 tanto as que s\u00e3o \u00f3bvias quanto as que n\u00e3o s\u00e3o. Portanto, al\u00e9m de enumerar a associa\u00e7\u00e3o de grupos ou fun\u00e7\u00f5es conhecidas que fornecem acesso administrativo, certifique-se de auditar os direitos de acesso individuais para descobrir administradores ocultos que possam estar \u00e0 espreita e tomar medidas para reduzir as oportunidades de escalonamento de privil\u00e9gios por meios n\u00e3o padr\u00e3o.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"2_%E2%80%93_Revise_o_acesso_e_as_permissoes_do_aplicativo_regularmente\"><\/span>2 &#8211; Revise o acesso e as permiss\u00f5es do aplicativo regularmente.<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>O Azure AD vai al\u00e9m dos poderes de provisionamento do Active Directory local \u2014 ele \u00e9 respons\u00e1vel por autenticar e conceder acesso n\u00e3o apenas a usu\u00e1rios e grupos, mas tamb\u00e9m a aplicativos que usam m\u00e9todos de autentica\u00e7\u00e3o modernos, como SAML ou OAuth. Com o tempo, esses aplicativos podem n\u00e3o exigir mais o acesso que receberam. De fato, sem supervis\u00e3o e revis\u00e3o consistente, pode ocorrer expans\u00e3o significativa do acesso, aumentando muito a \u00e1rea de superf\u00edcie de ataque da organiza\u00e7\u00e3o.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"3_%E2%80%93_Habilite_a_autenticacao_multifator_MFA_do_Azure_AD\"><\/span>3 &#8211; Habilite a autentica\u00e7\u00e3o multifator (MFA) do Azure AD.<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>O Azure AD MFA reduz o risco de autentica\u00e7\u00e3o somente por senha exigindo que os usu\u00e1rios forne\u00e7am uma combina\u00e7\u00e3o de dois ou mais fatores: \u201calgo que eles sabem\u201d (por exemplo, uma senha), \u201calgo que eles t\u00eam\u201d (por exemplo, um dispositivo confi\u00e1vel como um telefone ) e \u201calgo que eles s\u00e3o\u201d (por exemplo, uma impress\u00e3o digital). Em geral, \u00e9 recomend\u00e1vel habilitar o MFA n\u00e3o apenas para administradores, mas para todos os usu\u00e1rios, especialmente contas que podem representar uma amea\u00e7a significativa se comprometidas.<\/p>\n<p>A Microsoft fornece v\u00e1rios m\u00e9todos para habilitar o MFA:<\/p>\n<ul>\n<li><strong>Padr\u00f5es de seguran\u00e7a do Azure AD<\/strong> \u2014 Essa op\u00e7\u00e3o permite que as organiza\u00e7\u00f5es simplifiquem a implanta\u00e7\u00e3o de MFA e apliquem pol\u00edticas para desafiar contas administrativas, exigir MFA por meio do Microsoft Authenticator para todos os usu\u00e1rios e restringir protocolos de autentica\u00e7\u00e3o herdados. Este m\u00e9todo est\u00e1 dispon\u00edvel em todos os n\u00edveis de licenciamento.<\/li>\n<li><strong>Pol\u00edticas de acesso condicional<\/strong> \u2014 essas pol\u00edticas fornecem flexibilidade para exigir MFA sob condi\u00e7\u00f5es espec\u00edficas, como login de locais incomuns, dispositivos n\u00e3o confi\u00e1veis ou aplicativos arriscados. Essa abordagem diminui a carga sobre os usu\u00e1rios, exigindo verifica\u00e7\u00e3o adicional somente quando um risco extra \u00e9 identificado.<\/li>\n<li><strong>Modificar o estado do usu\u00e1rio <\/strong>\u2014 Essa op\u00e7\u00e3o funciona com o Azure AD MFA na nuvem e o servidor de autentica\u00e7\u00e3o do Azure MFA. Ele exige que os usu\u00e1rios executem a verifica\u00e7\u00e3o em duas etapas a cada entrada e substitua as pol\u00edticas de acesso condicional.<\/li>\n<\/ul>\n<h2><span class=\"ez-toc-section\" id=\"4_%E2%80%93_Atividade_de_auditoria_no_Azure_AD\"><\/span>4 &#8211; Atividade de auditoria no Azure AD.<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>\u00c9 extremamente importante auditar o que est\u00e1 acontecendo em seu ambiente do Azure AD, incluindo quais entradas est\u00e3o ocorrendo, altera\u00e7\u00f5es que est\u00e3o sendo feitas e como os aplicativos est\u00e3o sendo usados. As organiza\u00e7\u00f5es devem implantar ferramentas que possam n\u00e3o apenas monitorar os eventos que est\u00e3o ocorrendo, mas tamb\u00e9m detectar e sinalizar quando algo incomum ou amea\u00e7ador est\u00e1 acontecendo, como:<\/p>\n<ul>\n<li><strong>Altera\u00e7\u00f5es de privil\u00e9gio<\/strong>, como modifica\u00e7\u00f5es nas permiss\u00f5es do aplicativo, certificado do aplicativo ou gera\u00e7\u00e3o de chaves e altera\u00e7\u00f5es em fun\u00e7\u00f5es ou grupos confidenciais (por exemplo, administrador global)<\/li>\n<li><strong>Atividade suspeita<\/strong>, como logins de geolocaliza\u00e7\u00e3o irrealistas ou anormais ou comportamento an\u00f4malo com base em tend\u00eancias de atividades hist\u00f3ricas<\/li>\n<li><strong>Sinais de ataques conhecidos<\/strong>, como tentativas de login com falha que podem indicar um ataque de pulveriza\u00e7\u00e3o de senha<\/li>\n<\/ul>\n<h2><span class=\"ez-toc-section\" id=\"5_%E2%80%93_Diretorio_ativo_local_seguro\"><\/span>5 &#8211; Diret\u00f3rio ativo local seguro.<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Embora algumas organiza\u00e7\u00f5es novas sejam implantadas exclusivamente na nuvem, a maioria das empresas hoje utiliza uma combina\u00e7\u00e3o de sistemas locais e plataformas e aplicativos baseados em nuvem. Nessas implanta\u00e7\u00f5es h\u00edbridas do AD, a import\u00e2ncia de monitorar e proteger o Azure AD e o Active Directory n\u00e3o pode ser enfatizada o suficiente. Com as identidades sendo sincronizadas entre local e online usando ferramentas como o Azure AD Connect, uma conta de usu\u00e1rio do AD violada facilmente se torna uma conta de usu\u00e1rio do Azure AD violada, o que fornece ao invasor acesso al\u00e9m das fronteiras da infraestrutura local.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Onde_obter_ajuda\"><\/span>Onde obter ajuda<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Agora que voc\u00ea conhece essas pr\u00e1ticas recomendadas importantes para proteger seu ambiente do Azure Active Directory, \u00e9 hora de coloc\u00e1-las em uso. Embora possa parecer um grande desafio entender todas as suas contas administrativas, proteg\u00ea-las usando MFA, revisar o acesso a elas regularmente e monitorar as altera\u00e7\u00f5es de maneira produtiva, n\u00e3o tenha medo &#8211; o <a href=\"https:\/\/aiqon.com.br\/netwrix-products\/\">Netwrix<\/a> fornece ferramentas para ajudar! Saiba mais sobre como voc\u00ea pode <a href=\"https:\/\/aiqon.com.br\/auditoria-de-alteracoes\/\">auditar privil\u00e9gios administrativos<\/a>, identificar atividades maliciosas em seu ecossistema h\u00edbrido e substituir contas administrativas permanentes vulner\u00e1veis por acesso just-in-time usando nosso amplo <a href=\"https:\/\/aiqon.com.br\/netwrix-products\/\">portf\u00f3lio de produtos<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Detalharemos as 5 principais pr\u00e1ticas recomendadas de seguran\u00e7a a serem seguidas para proteger seu Azure AD e proteger seus neg\u00f3cios. O Azure AD cont\u00e9m as chaves do seu reino do Microsoft 365. Respons\u00e1vel por fun\u00e7\u00f5es vitais, como autentica\u00e7\u00e3o e autoriza\u00e7\u00e3o, o Azure AD \u00e9 o respons\u00e1vel pelo gerenciamento de acesso no ecossistema de nuvem da [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":2381,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_feature_clip_id":0,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_post_was_ever_published":false},"categories":[168],"tags":[117],"class_list":["post-2378","post","type-post","status-publish","format-standard","has-post-thumbnail","category-seguranca-em-cloud","tag-microsoft-azure","czr-hentry"],"jetpack_featured_media_url":"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2023\/02\/cloud-storage-background-remixed-from-public-domain-by-nasa.jpg","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/2378","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/comments?post=2378"}],"version-history":[{"count":2,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/2378\/revisions"}],"predecessor-version":[{"id":2380,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/2378\/revisions\/2380"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/media\/2381"}],"wp:attachment":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/media?parent=2378"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/categories?post=2378"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/tags?post=2378"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}