- Artigo
A Microsoft está disponibilizando padrões de segurança para todos, porque gerenciar a segurança pode ser difícil. Ataques relacionados à identidade, como spray de senha, repetição e phishing, são comuns no ambiente atual. Mais de 99,9% desses ataques relacionados à identidade são interrompidos usando a autenticação multifator (MFA) e bloqueando a autenticação herdada. O objetivo é garantir que todas as organizações tenham pelo menos um nível básico de segurança habilitado sem nenhum custo extra.
Os padrões de segurança facilitam a proteção de sua organização contra esses ataques relacionados à identidade com configurações de segurança pré-configuradas:
- Exigir que todos os usuários se registrem na autenticação multifator do Azure AD.
- Exigir que os administradores façam autenticação multifator.
- Exigir que os usuários façam autenticação multifator quando necessário.
- Bloqueio de protocolos de autenticação herdados.
- Protegendo atividades privilegiadas, como acesso ao portal do Azure.
Para quem é?
- Organizações que desejam aumentar sua postura de segurança, mas não sabem como ou por onde começar.
- Organizações que usam o nível gratuito de licenciamento do Azure Active Directory.
Quem deve usar o Acesso Condicional?
- Se você for uma organização que atualmente usa políticas de Acesso Condicional, os padrões de segurança provavelmente não são adequados para você.
- Se você for uma organização com licenças Azure Active Directory Premium, os padrões de segurança provavelmente não são adequados para você.
- Se sua organização tiver requisitos de segurança complexos, considereAcesso Condicional.
Habilitando padrões de segurança
Se seu locatário foi criado a partir de 22 de outubro de 2019, os padrões de segurança podem ser ativados em seu locatário. Para proteger todos os nossos usuários, os padrões de segurança estão sendo implantados para todos os novos locatários na criação.
Observação
Para ajudar a proteger as organizações, estamos sempre trabalhando para melhorar a segurança dos serviços de conta da Microsoft. Como parte disso, os locatários gratuitos que não usam ativamente a autenticação multifator para todos os seus usuários serão notificados periodicamente para a habilitação automática da configuração de padrões de segurança. Depois que essa configuração for habilitada, todos os usuários da organização precisarão se registrar para autenticação multifator. Para evitar confusão, consulte o e-mail que você recebeu e, em alternativa, você podedesativar padrões de segurançadepois de habilitado.
Para ativar os padrões de segurança em seu diretório:
- Faça login noPortal do Azurecomo administrador de segurança, administrador de acesso condicional ou administrador global.
- Navegue atéAzure Active Directory>Propriedades.
- SelecioneGerenciar padrões de segurança.
- DefinirPadrões de segurançaparaHabilitado.
- SelecioneSalvar.
Políticas de segurança aplicadas
Exigir que todos os usuários se registrem na autenticação multifator do Azure AD
Todos os usuários em seu locatário devem se registrar para autenticação multifator (MFA) na forma de autenticação multifator do Azure AD. Os usuários têm 14 dias para se registrar na Autenticação Multifator do Azure AD usando oAplicativo Microsoft Authenticatorou qualquer aplicativo compatívelJURAMENTO TOTP. Depois que os 14 dias se passaram, o usuário não pode entrar até que o registro seja concluído. O período de 14 dias de um usuário começa após seu primeiro login interativo bem-sucedido após habilitar os padrões de segurança.
Exigir que os administradores façam autenticação multifator
Os administradores têm maior acesso ao seu ambiente. Devido ao poder que essas contas altamente privilegiadas têm, você deve tratá-las com cuidado especial. Um método comum para melhorar a proteção de contas privilegiadas é exigir uma forma mais forte de verificação de conta para entrar. No Azure AD, você pode obter uma verificação de conta mais forte exigindo autenticação multifator.
Dica
Recomendações para seus administradores:
- Certifique-se de que todos os seus administradores façam login após habilitar os padrões de segurança para que possam se registrar para os métodos de autenticação.
- Tenha contas separadas para administração e tarefas de produtividade padrão para reduzir significativamente o número de vezes que seus administradores são solicitados para MFA.
Depois que o registro com a Autenticação Multifator do Azure AD for concluído, as seguintes funções de administrador do Azure AD serão necessárias para fazer autenticação extra sempre que entrarem:
- Administrador global
- Administrador de aplicativos
- administrador de autenticação
- Administrador de faturamento
- Cloudapplicationadministrator
- Administrador ConditionalAccess
- Administrador do Exchange
- administrador do helpdesk
- Administrador de senhas
- administrador de autenticação privilegiada
- administrador de segurança
- Administrador do SharePoint
- Administrador do usuário
Exigir que os usuários façam autenticação multifator quando necessário
Tendemos a pensar que as contas de administrador são as únicas contas que precisam de camadas extras de autenticação. Os administradores têm amplo acesso a informações confidenciais e podem fazer alterações nas configurações de toda a assinatura. Mas os invasores frequentemente visam os usuários finais.
Depois que esses invasores obtêm acesso, eles podem solicitar acesso a informações privilegiadas para o titular da conta original. Eles podem até baixar o diretório inteiro para fazer um ataque de phishing em toda a sua organização.
Um método comum para melhorar a proteção de todos os usuários é exigir uma forma mais forte de verificação de conta, como autenticação multifator, para todos. Depois que os usuários concluírem o registro, eles serão solicitados a fazer outra autenticação sempre que necessário. O Azure AD decide quando um usuário será solicitado para autenticação multifator, com base em fatores como localização, dispositivo, função e tarefa. Essa funcionalidade protege todos os aplicativos registrados no Azure AD, incluindo aplicativos SaaS.
Observação
No caso deconexão direta B2Busuários, qualquer requisito de autenticação multifator de padrões de segurança habilitados no locatário de recursos precisará ser atendido, incluindo o registro de autenticação multifator pelo usuário de conexão direta em seu locatário inicial.
Bloquear protocolos de autenticação herdados
Para fornecer aos seus usuários acesso fácil aos seus aplicativos de nuvem, o Azure AD oferece suporte a vários protocolos de autenticação, incluindo autenticação herdada.Autenticação herdadaé um termo que se refere a uma solicitação de autenticação feita por:
- Clientes que não usam autenticação moderna (por exemplo, um cliente do Office 2010).
- Qualquer cliente que use protocolos de e-mail mais antigos, como IMAP, SMTP ou POP3.
Hoje, as tentativas de login mais comprometedoras vêm da autenticação herdada. A autenticação herdada não oferece suporte à autenticação multifator. Mesmo se você tiver uma política de autenticação multifator habilitada em seu diretório, um invasor pode autenticar usando um protocolo mais antigo e ignorar a autenticação multifator.
Depois que os padrões de segurança forem habilitados em seu locatário, todas as solicitações de autenticação feitas por um protocolo mais antigo serão bloqueadas. Os padrões de segurança bloqueiam a autenticação básica do Exchange Active Sync.
Aviso
Antes de ativar os padrões de segurança, verifique se os administradores não estão usando protocolos de autenticação mais antigos. Para mais informações, vejaComo se afastar da autenticação herdada.
- Como configurar um dispositivo ou aplicativo multifuncional para enviar email usando o Microsoft 365
Proteja atividades privilegiadas, como acesso ao portal do Azure
As organizações usam vários serviços do Azure gerenciados por meio da API do Azure Resource Manager, incluindo:
- Portal do Azure
- Centro de administração do Microsoft Entra
- Azure PowerShell
- CLI do Azure
Usar o Azure Resource Manager para gerenciar seus serviços é uma ação altamente privilegiada. O Azure Resource Manager pode alterar as configurações de todo o locatário, como configurações de serviço e cobrança de assinatura. A autenticação de fator único é vulnerável a vários ataques, como phishing e spray de senha.
É importante verificar a identidade dos usuários que desejam acessar o Azure Resource Manager e atualizar as configurações. Você verifica a identidade deles exigindo mais autenticação antes de permitir o acesso.
Depois de habilitar os padrões de segurança em seu locatário, qualquer usuário que acessar os seguintes serviços deverá concluir a autenticação multifator:
- Portal do Azure
- Azure PowerShell
- CLI do Azure
Esta política se aplica a todos os usuários que acessam os serviços do Azure Resource Manager, sejam eles administradores ou usuários.
Observação
Os locatários do Exchange Online anteriores a 2017 têm a autenticação moderna desabilitada por padrão. Para evitar a possibilidade de um loop de login durante a autenticação por meio desses inquilinos, você devehabilitar autenticação moderna.
Observação
A conta de sincronização do Azure AD Connect é excluída dos padrões de segurança e não será solicitada a se registrar ou executar a autenticação multifator. As organizações não devem usar esta conta para outros fins.
Considerações de implantação
Métodos de autenticação
Os usuários de padrões de segurança são obrigados a se registrar e usar a Autenticação Multifator do Azure AD usando oAplicativo Microsoft Authenticator usando notificações. Os usuários podem usar códigos de verificação do aplicativo Microsoft Authenticator, mas só podem se registrar usando a opção de notificação. Os usuários também podem usar qualquer aplicativo de terceiros usandoJURAMENTO TOTPpara gerar códigos.
Aviso
Não desative métodos para sua organização se estiver usando padrões de segurança. A desativação de métodos pode fazer com que você fique fora do seu locatário. Deixe tudoMétodos disponíveis para usuáriosativado noPortal de configurações do serviço MFA.
Contas de administrador de backup
Cada organização deve ter pelo menos duas contas de administrador de backup configuradas. Chamamos essas contas de acesso de emergência.
Essas contas podem ser usadas em cenários em que suas contas normais de administrador não podem ser usadas. Por exemplo: A pessoa com o acesso de administrador global mais recente deixou a organização. O Azure AD impede que a última conta de administrador global seja excluída, mas não impede que a conta seja excluída ou desabilitada localmente. Qualquer uma das situações pode impedir que a organização recupere a conta.
As contas de acesso de emergência são:
- Direitos de administrador global atribuídos no Azure AD.
- Não são usados no dia a dia.
- São protegidos com uma senha longa e complexa.
As credenciais dessas contas de acesso de emergência devem ser armazenadas offline em um local seguro, como um cofre à prova de fogo. Somente indivíduos autorizados devem ter acesso a essas credenciais.
Para criar uma conta de acesso de emergência:
- Faça login noPortal do Azurecomo Administrador Global existente.
- Navegue atéAzure Active Directory>Usuários.
- SelecioneNovo usuário.
- SelecioneCriar usuário.
- Dê a conta umNome de usuário.
- Dê a conta umNome.
- Crie uma senha longa e complexa para a conta.
- SobFunções, atribuir oAdministrador globalpapel.
- SobLocal de uso, selecione o local apropriado.
- SelecioneCriar.
você pode escolherdesativar expiração de senhapara essas contas usando o Azure AD PowerShell.
Para obter informações mais detalhadas sobre contas de acesso de emergência, consulte o artigoGerenciar contas de acesso de emergência no Azure AD.
usuários B2B
Qualquerconvidado B2Busuários ouconexão direta B2Bos usuários que acessam seu diretório são tratados da mesma forma que os usuários de sua organização.
Status de MFA desativado
Se a sua organização for um usuário anterior da Autenticação Multifator do Azure AD baseada por usuário, não se assuste ao não ver os usuários em umHabilitadoouForçadostatus se você olhar para a página de status Multi-Factor Auth.Desabilitadoé o status apropriado para usuários que estão usando padrões de segurança ou autenticação multifator do Azure AD baseada em acesso condicional.
Acesso Condicional
Você pode usar o acesso condicional para configurar políticas semelhantes aos padrões de segurança, mas com mais granularidade. As políticas de acesso condicional permitem selecionar outros métodos de autenticação e a capacidade de excluir usuários, que não estão disponíveis nos padrões de segurança. Se você estiver usando acesso condicional em seu ambiente hoje, os padrões de segurança não estarão disponíveis para você.
Se você deseja habilitar o acesso condicional para configurar um conjunto de políticas, que formam um bom ponto de partida para proteger suas identidades:
- Exigir MFA para administradores
- Exigir MFA para gerenciamento do Azure
- Bloquear autenticação herdada
- Exigir MFA para todos os usuários
Desabilitando padrões de segurança
As organizações que optam por implementar políticas de Acesso Condicional que substituem os padrões de segurança devem desabilitar os padrões de segurança.
Para desativar os padrões de segurança em seu diretório:
- Faça login noPortal do Azurecomo administrador de segurança, administrador de acesso condicional ou administrador global.
- Navegue atéAzure Active Directory>Propriedades.
- SelecioneGerenciar padrões de segurança.
- DefinirPadrões de segurançaparaDesativado (não recomendado).
- SelecioneSalvar.
Próximos passos
- Blog: Apresentando padrões de segurança
- Políticas comuns de acesso condicional
- Mais informações sobre o licenciamento do Azure AD podem ser encontradas noPágina de preços do Azure AD.
FAQs
How do I access Active Directory in Azure? ›
- Go to portal.azure.com and sign in with your work or student account.
- In the left navigation pane in the Azure portal, click Azure Active Directory. The Azure Active Directory admin center is displayed.
To enable multi-factor authentication for AD Connector
On the Directory details page, select the Networking & security tab. In the Multi-factor authentication section, choose Actions, and then choose Enable.
- Sign in to the Azure portal as a security administrator, Conditional Access administrator, or global administrator.
- Browse to Azure Active Directory > Properties.
- Select Manage security defaults.
- Set Security defaults to Disabled (not recommended).
- Select Save.
Select Start > Administrative Tools > Active Directory Users and Computers. In the Active Directory Users and Computers tree, find and select your domain name. Expand the tree to find the path through your Active Directory hierarchy.
How do I access my Active Directory? ›Go to Start > Administrative Tools on the Start menu to access Active Directory.
How do I enable MFA authentication administrator? ›Watch: Turn on multifactor authentication
Go to the Microsoft 365 admin center at https://admin.microsoft.com. Select Show All, then choose the Azure Active Directory Admin Center. Select Azure Active Directory, Properties, Manage Security defaults. Under Enable Security defaults, select Yes and then Save.
On your computer, go to the MFA setup for Office 365 using this link - https://aka.ms/mfasetup and sign in using your work email address and your network password.
How do I set up multi-factor authentication on my computer? ›- Select More security options.
- Under Two-step verification, choose Set up two-step verification to turn it on, or choose Turn off two-step verification to turn it off.
- Follow the instructions.
- Open the Microsoft 365 Admin Center.
- In the left side navigation, click Azure Active Directory admin center.
- In the left side navigation, click Azure Active Directory.
- Click Properties.
- Click Manage Security Defaults.
- Select No to Disable Security defaults.
Disable in SQL Database using Azure portal
Go to your SQL server resource, and select Azure Active Directory under the Settings menu. To disable the Azure AD-only authentication feature, uncheck the Support only Azure Active Directory authentication for this server checkbox and Save the setting.
How to enable Basic authentication in Azure Active Directory? ›
- Open the Azure Portal;
- Go to the Azure Active Directory -> Sign-in logs;
- Select the date range Last 1 month;
- Add filter by field Client App;
- Select all Legacy Authentication Clients for this filter.
- On your Android phone or tablet, open your device's Settings app Google. Manage your Google Account.
- At the top, tap Security.
- Under "Signing in to Google," tap 2-Step Verification. You might need to sign in.
- Tap Turn off.
- Confirm by tapping Turn off.
Unfortunately, it is not possible to turn off MFA for specific user(s) when Security Defaults is enabled.
Should the default administrator account be disabled? ›You should never log on with the built-in administrator account. Use your own administrative account instead. If things get so bad that you need the built-in administrator account, flatten the system and rebuild it. It's generally quicker and less painful than ensuring nothing was compromised.
How to get user details from Active Directory using command line? ›- Click Start, and then click Run.
- In the Open box, type cmd.
- At the command prompt, type the command dsquery user parameter . The parameter specifies the parameter to use. For the list of parameters, see the online help for the d squery user command.
Starting with Windows Vista, the Windows home directory is \user\username. In prior Windows versions, it was \Documents and Settings\username. In the Mac, the home directory is /users/username, and in most Linux/Unix systems, it is /home/username.
How to find active and inactive users in Active directory? ›To find the accounts, run a script that queries Active Directory for inactive user accounts. In Active Directory Module for Windows PowerShell, Search-ADAccount –AccountInactive –UsersOnly command returns all inactive user accounts.
What is a domain admin account? ›The Domain Admin account is used to sign in to the domain controller, and this account requires a strong password. The Domain Admin account gives you access to domain resources.
What is a domain administrator? ›So, consider a Domain Administrator: A Domain Administrator is basically a user authorized to make changes to global policies that impact all the computers and users connected to that Active Directory organization.
Do domain controllers have local admin accounts? ›Windows domain controllers have no local accounts.
How do I require MFA for administrative access? ›
Under Cloud apps or actions > Include, select All cloud apps. Under Access controls > Grant, select Grant access, Require multifactor authentication, and select Select. Confirm your settings and set Enable policy to Report-only. Select Create to create to enable your policy.
How do I reset multi factor authentication in Office 365? ›Search for a user and click on the name from the list. Click on Authentication methods. Click on Require re-register multifactor authentication. You will get a notification that you completed it.
How do I log into Microsoft authenticator app? ›- Sign in to an application or service such as Microsoft 365 using your username and password.
- Microsoft prompts you for a verification code.
- Open the Microsoft Authenticator app on your phone and enter the code in the box where you are signing in.
Another social engineering technique that is becoming popular is known as “consent phishing”. This is where hackers present what looks like a legitimate OAuth login page to the user. The hacker will request the level of access they need, and if access is granted, they can bypass MFA verification.
How do I reset my multi factor authentication Security? ›- Navigate to Settings > Members.
- Select the member account to reset MFA.
- Click the Reset multi-factor authentication button.
- In the Admin Console, go to DirectoryPeople.
- Click the user whose multifactor authentication that you want to reset.
- Click More Actions > Reset Multifactor.
- Select the factors that you want to reset and then click either Reset Selected Factors or Reset All. A confirmation prompt appears.
First off, go to Settings and Privacy > Settings > Security and Login > Two-factor authentication on your browser-based Facebook account. You'll find a list of your authorized devices where you won't need to use a login code.
How do I reset my Azure authentication method? ›Using Azure Portal:
Navigate to Azure Active Directory > Users > All users > Choose the user you wish to perform an action on > select Authentication methods > Require Re-register MFA. Once this is done, the next time the user signs in, he/she will be requested to set up a new MFA authentication method.
- Sign in to the Azure portal as a Global administrator.
- Search for and select Azure Active Directory, then select Users > All users.
- Select Per-user MFA.
- A new page opens that displays the user state, as shown in the following example.
- Sign in to the Azure portal.
- Navigate to your Automation account and under Account Settings, select Identity.
- From the System assigned tab, under the Status button, select Off and then select Save. When you're prompted to confirm, select Yes.
How do I turn off access restrictions on Azure app service? ›
- In your App Configuration store, under Settings, select Networking.
- Under Public Access, select Disabled to disable public access to the App Configuration store and only allow access through private endpoints. ...
- Select Apply.
The recommended way to disable a function is with an app setting in the format AzureWebJobs. <FUNCTION_NAME>. Disabled set to true . You can create and modify this application setting in several ways, including by using the Azure CLI and from your function's Overview tab in the Azure portal.
What is the default authentication service for Active Directory? ›Active Directory uses the Kerberos protocol for authentication of its users. The Kerberos authentication protocol succeeds the NTLM protocol.
What is the default authentication method for Active Directory? ›Which Type of Authentication is Used in Active Directory? AD Authentication is a process that typically follows Kerberos protocol, where users have to log in using their credentials to gain access to resources.
How can I get my verification code without another device? ›Get a text or phone call
If you don't have a trusted device handy, you can have a verification code sent to your trusted phone number as a text message or phone call.
Keep in mind that turning off two-factor authentication makes your account less secure and means you can't use features that require a higher level of security. Note: If you use two-step verification and upgrade to iOS 13 or later, your account might be migrated to use two-factor authentication.
What happens when you disable Basic authentication? ›Disabling Basic authentication forces all client access requests to use modern authentication. For more information about modern authentication, see Using modern authentication with Office clients.
How do I disable forced MFA in Office 365? ›- Sign-In to Exchange Online and enter the Admin Portal.
- Go to User and then to Active Users page.
- Go to More–> Multifactor Authentication Setup.
- Select the Exchange Online account. ...
- Select Disable to remove the MFA for a particular user.
Disabled. This is the default state for users who are not enrolled in Azure AD MFA. Enabled. The user is enrolled in MFA but can still use a password for legacy access.
How do I override administrator account? ›- Click the Windows Start button. ...
- Then click Settings. ...
- Next, select Accounts.
- Choose Family & other users. ...
- Click on a user account under the Other users panel.
- Then select Change account type. ...
- Choose Administrator in the Change account type dropdown.
How to enable default admin account Windows 10 without admin rights? ›
Quick guide: Enable administrator account in Windows 10
Open “Run” with [Windows] + [R]. Type “cmd” and press [Ctrl] + [Shift] + [Enter]. Type “net user administrator /active:yes”. The administrator account is now activated.
Configure the policy value for Computer Configuration >> Windows Settings >> Security Settings >> Local Policies >> Security Options >> "Accounts: Administrator account status" to "Disabled".
How do I join Azure Active Directory or domain? ›Open Settings, and then select Accounts. Select Access work or school, and then select Connect. On the Set up a work or school account screen, select Join this device to Azure Active Directory. On the Let's get you signed in screen, type your email address (for example, alain@contoso.com), and then select Next.
Does Azure have Active Directory? ›Azure Active Directory (Azure AD), part of Microsoft Entra, is an enterprise identity service that provides single sign-on, multifactor authentication, and conditional access to guard against 99.9 percent of cybersecurity attacks.
Does Azure come with Active Directory? ›Each Azure tenant has a dedicated and trusted Azure AD directory. The Azure AD directory includes the tenant's users, groups, and apps and is used to perform identity and access management functions for tenant resources.
How to access Active Directory remotely? ›Remote Active Directory Management
Active Directory can be managed remotely using Microsoft's Remote Server Administration Tools (RSAT). With RSAT, IT administrators can remotely manage roles and features in Windows Server from any up-to-date PC running Professional or Enterprise editions of Windows.
Sign in to the Azure portal in the User Administrator role. Navigate to Azure Active Directory > Users. Select either Create new user or Invite external user from the menu. You can change this setting on the next screen.
How do I connect my domain to my Azure server? ›- If Server Manager doesn't open by default when you sign in to the VM, select the Start menu, then choose Server Manager.
- In the left pane of the Server Manager window, select Local Server. ...
- In the System Properties window, select Change to join the managed domain.
Add your custom domain name to Azure AD
After you create your directory, you can add your custom domain name. Sign in to the Azure portal using a Global administrator account for the directory. Search for and select Azure Active Directory from any page. Then select Custom domain names > Add custom domain.
Active Directory is a database that stores and organizes enterprise resources as objects. You can think of Active Directory as a database that stores users and device configurations in AD DS. A domain controller, in contrast, is simply a server running Active Directory that authenticates users and devices.
What is difference between Azure Active Directory and Microsoft Azure? ›
Azure AD is a multi-tenant cloud-based identity and access management solution for the Azure platform. Active Directory (AD) is great at managing traditional on-premise infrastructure and applications. Azure AD is great at managing user access to cloud applications.
What is the difference between Azure Active Directory and Azure AD? ›Credentials in Active Directory are based on passwords, certificate authentication, and smartcard authentication. Passwords are managed using password policies that are based on password length, expiry, and complexity. Azure AD uses intelligent password protection for cloud and on-premises.
What is the difference between Office 365 and Azure AD? ›Microsoft Azure is another enterprise cloud platform, with a much wider range of capabilities. Unlike Microsoft 365, which is a software as a service (SaaS) product, Azure has infrastructure as a service (IaaS) and platform as a service (PaaS) components.
Do I need a domain controller in Azure? ›Azure Active Directory Domain Services (Azure AD DS), part of Microsoft Entra, enables you to use managed domain services—such as Windows Domain Join, group policy, LDAP, and Kerberos authentication—without having to deploy, manage, or patch domain controllers.
What is Azure Active Directory called? ›Azure Active Directory (Azure AD), part of Microsoft Entra, is an enterprise identity service that provides single sign-on, multifactor authentication, and conditional access to guard against 99.9 percent of cybersecurity attacks.
How do I grant access to a computer on my network? ›- Access the Properties dialog box.
- Select the Security tab. ...
- Click Edit.
- In the Group or user name section, select the user(s) you wish to set permissions for.
- In the Permissions section, use the checkboxes to select the appropriate permission level.
- Click Apply.
- Click Okay.
- Account Operators.
- Administrators.
- Backup Operators.
- Print Operators.
- Server Operators.
- Select the Start button, then select Settings > Network & internet , and on the right side, select Sharing options.
- Under Private, select Turn on Network discovery and Turn on file and printer sharing.