Microsoft Entra ID Security Defaults
agosto 31, 2023
Microsoft Entra ID
Recentemente a Microsoft alterou o nome do Azure Active Directory para Entra ID. Trazendo assim uma versão renovada e, com novas features do que antes era conhecido como Azure Active Directory.
Security Defaults
Para Tenants criados em 22 de outubro de 2019 ou depois, a Microsoft adicionou padrões de segurança básicos. Estas configurações padrões envolvem MFA, bloqueio de protocolos legados entre outras configurações.
MFA Security Defaults
Para todos os usuários criados em Tenants novos no Office 365 ou Microsoft 365. Os usuários possuem 14 dias para registrar o MFA, o mais recomendado pela Microsoft é utilizar o aplicativo “Authenticator” que é desenvolvido pela própria Microsoft para fazer o registro do MFA.
Após os 14 dias o usuário não poderá efetuar o login no Office 365 ou Microsoft 365, até que ele faça a configuração de MFA.
É uma configuração bastante importante, que pode impedir diversos problemas ainda mais quando temos acesso a informações sensíveis em e-mails, documentos e afins.
MFA para Administradores
Para os administradores existe a obrigatoriedade de configurar o MFA, porém diferentes dos usuários os administradores não possuem a parte dos 14 dias. Abaixo os grupos de administração que precisam registrar o MFA:
Administrador Global;
Administrador de aplicativos;
Administrador de autenticação;
Administrador de cobrança;
Administrador de aplicativos em nuvem;
Administrador de acesso condicional;
Administrador do Exchange;
Administrador de suporte técnico;
Administrador de senha;
Administrador de Autenticação Privilegiado;
Administrador de função privilegiada;
Administrador de segurança;
Administrador do SharePoint;
Administrador de usuário.
Bloqueio de Protocolos Legados
Uma parte extremamente importante, muitos clientes ainda possuem versões antigas de Office e, utilizam protocolos legados em aplicações antigas, etc.
Como parte importante da configuração de segurança, a Microsoft no Security Defaults bloqueia o uso do Office 2010 (por exemplo), pois ele não consegue se autenticar utilizando autenticação moderna. A Microsoft bloqueia também protocolos como IMAP, SMTP e POP3.
Estes protocolos acabam sendo inseguros, por não respeitarem a questão do MFA, e isto acaba gerando problema para os clientes quando algum invasor conseguir acessar o usuário (mesmo que seja para algum serviço em específico utilizando estes protocolos).
Tenants Antigos
Para Tenants mais antigos a Microsoft deixa o Security Defaults como desabilitados. Ele existe dentro do Tenant, porém por já existir algumas configurações a Microsoft não habilita o Security Defaults.
Desta forma não gera problema de usabilidade do Tenant e, fica a encargo do cliente habilitar o Security Defaults ou não.
Recomendação
A questão de segurança hoje, é de extrema importância para todos os usuários seja de rede social, e-mail pessoal ou para trabalho. O Security Defaults como o nome mesmo diz, são padrões de segurança básicos, a Microsoft tem alguns planos que podem ser adquiridos para aumentar a segurança dos usuários do Office 365 ou Microsoft 365, sem perder a produtividade.
Para cliente que possuem o Tenant com o licenciamento do Entra ID P1 ou superior podem desabilitar o Security Defaults, porém antes de desabilitá-lo é necessário configurar regras de acesso condicional. Caso o cliente configure as regras de acesso condicional e mantenha o Security Defaults habilitado, as regras podem entrar em conflito.
Com as regras de acesso condicional o cliente possuí uma granularidade muito maior em uma regra do que com o próprio Security Defaults.
Links de referência:
https://learn.microsoft.com/en-us/azure/active-directory/fundamentals/security-defaults
https://learn.microsoft.com/pt-br/azure/active-directory/conditional-access/overviewhttps://learn.microsoft.com/en-us/microsoft-365/business-premium/m365bp-turn-on-mfa?view=o365-worldwide&source=recommendations&tabs=secdefaults