Criar um plano de segurança para acesso externo a recursos
Antes de criar um plano de segurança de acesso externo, revise os dois artigos a seguir, que adicionam contexto e informações para o plano de segurança.
- Determine sua postura de segurança para acesso externo com o Microsoft Entra ID
- Descubra o estado atual da colaboração externa na sua organização
Antes de começar
Este artigo é o número 3 de uma série de 10 artigos. Recomendamos que você revise os artigos em ordem. Vá para a seção Próximas etapas para ver a série inteira.
Documentação do plano de segurança
Para o seu plano de segurança, documente as seguintes informações:
- Aplicativos e recursos agrupados para acesso
- Condições de início de sessão para utilizadores externos
- Estado do dispositivo, local de entrada, requisitos do aplicativo cliente, risco do usuário e assim por diante.
- Políticas para determinar o tempo de revisão e remoção de acesso
- Populações de utilizadores agrupadas para experiências semelhantes
Para implementar o plano de segurança, você pode usar as políticas de gerenciamento de identidade e acesso da Microsoft ou outro provedor de identidade (IdP).
Saiba mais: Visão geral do gerenciamento de identidades e acessos
Usar grupos para acesso
Consulte os seguintes links para artigos sobre estratégias de agrupamento de recursos:
- O Microsoft Teams agrupa arquivos, conversas e outros recursos
- Formular uma estratégia de acesso externo para o Teams
- Consulte Proteger o acesso externo ao Microsoft Teams, SharePoint e OneDrive for Business com o Microsoft Entra ID
- Use pacotes de acesso de gerenciamento de direitos para criar e delegar o gerenciamento de pacotes de aplicativos, grupos, equipes, sites do SharePoint e assim por diante.
- Aplique políticas de Acesso Condicional a até 250 aplicativos, com os mesmos requisitos de acesso
- Definir o acesso para grupos de aplicativos de usuários externos
Documente os aplicativos agrupados. As considerações incluem:
- Perfil de risco - avalie o risco se um agente mal-intencionado obtiver acesso a um aplicativo
- Identifique o aplicativo como de alto, médio ou baixo risco. Recomendamos que não agrupe Alto Risco com Baixo Risco.
- Documentar aplicativos que não podem ser compartilhados com usuários externos
- Estruturas de conformidade - determinar estruturas de conformidade para aplicativos
- Identificar requisitos de acesso e revisão
- Aplicativos para funções ou departamentos - avalie os aplicativos agrupados para acesso a função ou departamento
- Aplicativos de colaboração - identifique aplicativos de colaboração que usuários externos podem acessar, como o Teams ou o SharePoint
- Para aplicativos de produtividade, os usuários externos podem ter licenças ou você pode fornecer acesso
Documente as seguintes informações para acesso a aplicativos e grupos de recursos por usuários externos.
- Nome do grupo descritivo, por exemplo, High_Risk_External_Access_Finance
- Aplicações e recursos no grupo
- Proprietários de aplicativos e recursos e suas informações de contato
- A equipe de TI controla o acesso ou o controle é delegado a um proprietário de empresa
- Pré-requisitos para acesso: verificação de antecedentes, treinamento e assim por diante.
- Requisitos de conformidade para acessar recursos
- Desafios, por exemplo, autenticação multifator para alguns recursos
- Cadência das avaliações, por quem e onde os resultados são documentados
Gorjeta
Use esse tipo de plano de governança para acesso interno.
Condições de início de sessão do documento para utilizadores externos
Determine os requisitos de entrada para usuários externos que solicitam acesso. Baseie os requisitos no perfil de risco do recurso e na avaliação de risco do usuário durante o login. Configure as condições de entrada usando o Acesso Condicional: uma condição e um resultado. Por exemplo, você pode exigir autenticação multifator.
Saiba mais: O que é o Acesso Condicional?
Condições de início de sessão do perfil de risco do recurso
Considere as seguintes políticas baseadas em risco para acionar a autenticação multifator.
- Baixa - autenticação multifator para alguns conjuntos de aplicativos
- Média - autenticação multifator quando outros riscos estão presentes
- Alto - os usuários externos sempre usam autenticação multifator
Saiba mais:
- Tutorial: Impor autenticação multifator para usuários convidados B2B
- Confiar na autenticação multifator de locatários externos
Condições de início de sessão do utilizador e do dispositivo
Use a tabela a seguir para ajudar a avaliar a política para lidar com o risco.
| Risco de utilizador ou início de sessão | Política proposta |
|---|---|
| Dispositivo | Exigir dispositivos em conformidade |
| Aplicações móveis | Exigir aplicativos aprovados |
| O risco do usuário do Microsoft Entra ID Protection é alto | Exigir que o usuário altere a senha |
| Local da rede | Para aceder a projetos confidenciais, exija o início de sessão a partir de um intervalo de endereços IP |
Para utilizar o estado do dispositivo como entrada de política, registe-se ou associe o dispositivo ao seu inquilino. Para confiar nas declarações de dispositivo do locatário doméstico, configure as configurações de acesso entre locatários. Consulte Modificar configurações de acesso de entrada.
Você pode usar políticas de risco de proteção de identidade. No entanto, atenue os problemas no locatário doméstico do usuário. Consulte Política comum de acesso condicional: autenticação multifator baseada em risco de entrada.
Para locais de rede, você pode restringir o acesso aos intervalos de endereços IP de sua propriedade. Use esse método se parceiros externos acessarem aplicativos enquanto estiverem no seu local. Consulte Acesso condicional: bloquear o acesso por localização
Políticas de revisão de acesso a documentos
Documente políticas que ditam quando revisar o acesso a recursos e remover o acesso à conta para usuários externos. As entradas podem incluir:
- Requisitos das estruturas de conformidade
- Políticas e processos empresariais internos
- Comportamento do utilizador
Geralmente, as organizações personalizam a política, no entanto, consideram os seguintes parâmetros:
- Revisões de acesso de gerenciamento de direitos:
- Alterar as configurações do ciclo de vida de um pacote de acesso no gerenciamento de direitos
- Criar uma revisão de acesso de um pacote de acesso no gerenciamento de direitos
- Adicionar uma organização conectada no gerenciamento de direitos: agrupe usuários de um parceiro e agende revisões
- Grupos do Microsoft 365
- Opções:
- Se os usuários externos não usarem pacotes de acesso ou grupos do Microsoft 365, determine quando as contas ficarão inativas ou excluídas
- Remover o início de sessão de contas que não iniciam sessão durante 90 dias
- Avaliar regularmente o acesso de utilizadores externos
Métodos de controlo de acesso
Alguns recursos, por exemplo, gerenciamento de direitos, estão disponíveis com uma licença Microsoft Entra ID P1 ou P2. As licenças do Microsoft 365 E5 e do Office 365 E5 incluem licenças do Microsoft Entra ID P2. Saiba mais na seção de gerenciamento de direitos a seguir.
Nota
As licenças são para um usuário. Portanto, usuários, administradores e proprietários de empresas podem ter controle de acesso delegado. Esse cenário pode ocorrer com o Microsoft Entra ID P2 ou Microsoft 365 E5, e você não precisa habilitar licenças para todos os usuários. Os primeiros 50.000 utilizadores externos são gratuitos. Se você não habilitar licenças P2 para outros usuários internos, eles não poderão usar o gerenciamento de direitos.
Outras combinações do Microsoft 365, Office 365 e Microsoft Entra ID têm funcionalidade para gerenciar usuários externos. Consulte as diretrizes do Microsoft 365 para segurança e conformidade.
Controlar o acesso com o Microsoft Entra ID P2 e o Microsoft 365 ou Office 365 E5
O Microsoft Entra ID P2, incluído no Microsoft 365 E5, tem recursos adicionais de segurança e governança.
Provisionar, entrar, revisar o acesso e desprovisionar o acesso
As entradas em negrito são ações recomendadas.
| Caraterística | Provisionar usuários externos | Impor requisitos de início de sessão | Rever acesso | Desprovisionar o acesso |
|---|---|---|---|---|
| Colaboração B2B do Microsoft Entra | Convide por e-mail, senha de uso único (OTP), autoatendimento | N/A | Revisão periódica do parceiro | Remover conta Restringir início de sessão |
| Gestão de direitos | Adicionar usuário por atribuição ou acesso de autoatendimento | N/A | Revisões de acesso | Expiração ou remoção do pacote de acesso |
| Grupos do Office 365 | N/A | N/A | Rever associações de grupos | Expiração ou exclusão de grupo Remoção do grupo |
| Grupos de segurança do Microsoft Entra | N/A | Políticas de acesso condicional: adicione usuários externos a grupos de segurança conforme necessário | N/A | N/A |
Acesso aos recursos
As entradas em negrito são ações recomendadas.
| Caraterística | Acesso a aplicações e recursos | Acesso ao SharePoint e ao OneDrive | Acesso às equipas | Segurança de e-mails e documentos |
|---|---|---|---|---|
| Gestão de direitos | Adicionar usuário por atribuição ou acesso de autoatendimento | Pacotes de acesso | Pacotes de acesso | N/A |
| Grupo do Office 365 | N/A | Acesso a sites e conteúdo de grupo | Acesso a equipas e conteúdo de grupo | N/A |
| Etiquetas de confidencialidade | N/A | Classificar e restringir o acesso manual e automaticamente | Classificar e restringir o acesso manual e automaticamente | Classificar e restringir o acesso manual e automaticamente |
| Grupos de segurança do Microsoft Entra | Políticas de acesso condicional para acesso não incluído em pacotes de acesso | N/A | N/D | N/A |
Gestão de direitos
Use o gerenciamento de direitos para provisionar e desprovisionar o acesso a grupos e equipes, aplicativos e sites do SharePoint. Defina as organizações conectadas que receberam acesso, solicitações de autoatendimento e fluxos de trabalho de aprovação. Para garantir que o acesso termine corretamente, defina políticas de expiração e revisões de acesso para pacotes.
Saiba mais: Criar um novo pacote de acesso no gerenciamento de direitos
Gerencie o acesso com o Microsoft Entra ID P1, Microsoft 365, Office 365 E3
Provisionar, entrar, revisar o acesso e desprovisionar o acesso
Itens em negrito são ações recomendadas.
| Caraterística | Provisionar usuários externos | Impor requisitos de início de sessão | Rever acesso | Desprovisionar o acesso |
|---|---|---|---|---|
| Colaboração B2B do Microsoft Entra | Convide por e-mail, OTP, self-service | Federação B2B direta | Revisão periódica do parceiro | Remover conta Restringir início de sessão |
| Grupos do Microsoft 365 ou Office 365 | N/A | N/D | N/A | Expiração ou exclusão de grupo Remoção do grupo |
| Grupos de segurança | N/A | Adicionar usuários externos a grupos de segurança (organização, equipe, projeto e assim por diante) | N/A | N/A |
| Políticas de Acesso Condicional | N/A | Políticas de Acesso Condicional de Início de Sessão para utilizadores externos | N/A | N/A |
Acesso aos recursos
| Caraterística | Acesso a aplicações e recursos | Acesso ao SharePoint e ao OneDrive | Acesso às equipas | Segurança de e-mails e documentos |
|---|---|---|---|---|
| Grupos do Microsoft 365 ou Office 365 | N/A | Acesso a sites de grupo e conteúdo associado | Acesso a equipas de grupo do Microsoft 365 e conteúdo associado | N/A |
| Etiquetas de confidencialidade | N/A | Classificar e restringir o acesso manualmente | Classificar e restringir o acesso manualmente | Classificar manualmente para restringir e criptografar |
| Políticas de Acesso Condicional | Políticas de acesso condicional para controle de acesso | N/A | N/D | N/A |
| Outros métodos | N/A | Restringir o acesso ao site do SharePoint com grupos de segurança Não permitir compartilhamento direto |
Restringir convites externos de uma equipe | N/A |
Próximos passos
Use a série de artigos a seguir para saber como proteger o acesso externo aos recursos. Recomendamos que siga a ordem listada.
Determine sua postura de segurança para acesso externo com o Microsoft Entra ID
Descubra o estado atual da colaboração externa na sua organização
Criar um plano de segurança para acesso externo a recursos (Você está aqui)
Acesso externo seguro com grupos no Microsoft Entra ID e Microsoft 365
Transição para colaboração governada com colaboração B2B do Microsoft Entra
Gerencie o acesso externo com o gerenciamento de direitos do Microsoft Entra
Gerencie o acesso externo a recursos com políticas de Acesso Condicional
Controle o acesso externo a recursos no Microsoft Entra ID com rótulos de sensibilidade
Converter contas de convidado locais em contas de convidado B2B do Microsoft Entra