Compartilhar via

Configurar políticas de acesso condicional do Essential Eight MFA

  • Artigo

Este artigo fornece orientações sobre como configurar a política de acesso condicional no Microsoft Entra ID para cumprir os requisitos de um determinado nível de maturidade.

Observação

  • Não crie exclusões para as seguintes políticas de MFA (por exemplo, não exclua com base na localização, no estado do dispositivo).
  • Existe um problema conhecido com a ativação do Licenciamento do Windows quando a MFA é necessária para a aplicação Loja Windows para Empresas. Uma solução provisória é excluir esta aplicação da política de acesso condicional.

Para criar a política de acesso condicional.

  1. Navegue para o centro de administração do Microsoft Entra>centro de administração do Microsoft Entra.
  2. Selecione Proteção>Acesso> condicionalCriar nova política.
  3. Configure a política para o nível de vencimento necessário.
  4. Defina Ativar política como Ativado, selecione Criar.

Nível de Maturidade 1

  • Nome: ACSC Essential Eight MFA – Nível de Maturidade 1
  • Usuários:
    • Incluir: Todos os utilizadores
  • Aplicações na cloud:
    • Incluir: Todas as aplicações na cloud
  • Condições: Nenhuma
  • Concessão: exigir força de autenticação

Níveis de Maturidade 2 & 3

  • Nome: ACSC Essential Eight MFA – Nível de Maturidade 2 & 3
  • Usuários:
    • Incluir: Todos os utilizadores
  • Aplicações na cloud:
    • Incluir: Todas as aplicações na cloud
  • Condições: Nenhuma
  • Concessão: exigir força de autenticação

Recomendações da Microsoft

Além das políticas de acesso condicional de nível de vencimento, recomendamos a implementação dos seguintes controlos.

Exigir dispositivos compatíveis ou associados híbridos

A resistência ao phishing pode ser obtida em qualquer um dos níveis de maturidade ao limitar os inícios de sessão a dispositivos associados em conformidade ou Microsoft Entra híbridos (ambiente de trabalho e dispositivos móveis). Este controlo é recomendado para todos os níveis de maturidade e tem de ser aplicado a todos os dispositivos pertencentes à organização. Sempre que possível, este controlo também deve ser aplicado aos dispositivos BYOD (Bring Your Own Device).

Siga este guia para ativar a necessidade de um dispositivo compatível ou Microsoft Entra associado híbrido:

Bloquear autenticação legada

Os protocolos de autenticação legados não suportam a autenticação moderna e, por conseguinte, são vulneráveis a ataques de roubo de credenciais. Recomendamos que bloqueie os protocolos de autenticação legados para reduzir o risco de ataques de roubo de credenciais.

Para bloquear a autenticação legada, siga este guia:

Proteger contra a obtenção de controlo de autenticação multifator de contas inativas

As contas inativas que não estão registadas para autenticação multifator são suscetíveis a ataques de obtenção de controlo de autenticação multifator. Recomendamos que configure uma política de registo da MFA para garantir que os utilizadores configuram a autenticação multifator como parte do fluxo de inclusão do utilizador.

Identifique as contas inativas que não estão registadas para autenticação multifator ao rever regularmente o relatório de atividade de registo de autenticação multifator. Uma solução de governação de identidades, como Microsoft Entra ID Governance, pode ser utilizada para automatizar a revisão de contas inativas.

Predefinições de Segurança do Microsoft Entra

Microsoft Entra inquilinos que não têm uma licença P1 ou P2 Microsoft Entra ID podem atingir o nível de vencimento ACSC Essential Eight nível 1 ao ativar Microsoft Entra Predefinições de Segurança.

A documentação de orientação sobre como ativar as Predefinições de Segurança está disponível em Fornecer um nível predefinido de segurança no Microsoft Entra ID.

Próximas etapas