Aplicar MFA para sites online do SharePoint com políticas de acesso condicional

Os sites do Sharepoint normalmente mantêm informações confidenciais da organização. Agora que o Sharepoint Online oferece suporte a etiquetas de sensibilidade, você pode proteger documentos individuais com criptografia para impedir o vazamento de seu conteúdo.

Outros recursos, como a marcação de novos arquivos como sensíveis por padrão para impedir que sejam compartilhados externamente até que o Data Loss Prevention (DLP) determine que não há dados confidenciais nos arquivos.

Isto é ótimo, mas uma conta comprometida ainda pode acessar sites e baixar informações. A forma mais rápida de uma conta ser comprometida é não usar a autenticação multifator (MFA). A Microsoft garante que o MFA bloqueia 99,9% das contas comprometidas.

Leia mais:

3 dicas para manter seu Sharepoint Online seguro
Permissões no Sharepoint online, saiba como configurar
Recuperando itens deletados no novo Exchange Admin Center
13 Comandos obrigatórios do Microsoft 365 Powershell
Como usar a prevenção de perda de dados no Office 365
Habilitar a criptografia de mensagens do Office 365

Diretiva de acesso condicional para o SharePoint Online

Para forçar as pessoas a utilizarem o MFA para proteger documentos confidenciais e aumentar a segurança geral da segurança do Sharepoint Online, pode-se implantar nos Tenants políticas de acesso condicional (CA) do Azure Active Directory para aplicar o MFA a sites específicos.

#DicaProfissa: Faça um curso profissionalizante!
Garanta um curso certificado na área de TI e Software pela plataforma de estudos online Udemy. Clique aqui e confira todos os cursos mais recentes em tecnologia!

A política de Acesso condicional controla o acesso do usuários aos dados com o MFA e pode ser atribuída a todos os usuários no tenant ou nas contas selecionadas. Na imagem abaixo podemos ver a estrutura geral dessa política e a configuração das ações, como o acesso é concedido e os usuários que estão dentro do escopo da política. Você também pode ver que a política exige que os usuários aceitem um documento de termos de uso.

Em termos de aplicação do MFA, a nova opção para as políticas de acesso condicional é controlar o “acesso a dados de aplicativos protegidos”, que é onde entra o Sharepoint Online. Isso pode ser combinado com outros controles disponíveis nas políticas, como definir uma entrada frequente para garantir que os usuários não possam deixar as sessões abertas por longos períodos.

Protegendo um site

Depois de configurar uma política de acesso condicional, você precisa atribuí-la a um site (todos os tipos de sites são suportados). Por enquanto, isso deve ser feito com o Powershell, pois não existe uma interface gráfica no centro de administração do Sharepoint Online para esse fim. Você precisará baixar a versão mais recente do módulo do Sharepoint Online Powershell (versão 16.0.19927.0 no mínimo) para poder executar os comandos necessários.

Set-SPOSite -Identity https://office365itpros.sharepoint.com/sites/TestMFASite -ConditionalAccessPolicy ProtectionLevel -ProtectionLevelName "urn:microsoft:req1"

Este comando informa ao Sharepoint Online que a política de acesso condicional com a tag “urn:microsoft:req1” se aplica ao site. Pense na tag como a maneira de conectar o site à política de acesso condicional. Como observado acima, quando disponível em geral, a tag pode ser chamada de algo diferente para torná-la mais clara e indicar seu objetivo. A mesma política de autoridade de certificação pode ser atribuída a vários sites, mas apenas uma política de autoridade de certificação pode ser atribuída a um site.

Depois que a política de acesso condicional do MFA é anexada a um site, as tentativas futuras de acessar o site são avaliadas pelo Azure Active Directory em relação às configurações da política de acesso condicional (e quaisquer outras políticas aplicáveis). Os usuários cujas contas são protegidas pelo MFA atendem aos critérios de acesso definidos na política e podem continuar o acesso normalmente.

As contas que não possuem MFA ativo verão uma tela de logon do Azure Active Directory informando que a organização precisa de mais informações para manter sua conta segura, o que é uma maneira “educada” de informar ao usuários para configurar o MFA.

Licenciamento

Políticas de acesso condicional desse tipo requerem licença do Azure Active Directory Premium. Nesse caso, você precisará do AAD Premium para quem precisar acessar um site protegido pela política MFA. Além disso, é provável que os usuários precisem de licenças de conformidade do Office 365 E5 ou Microsoft 365 E5.

Limitações

Maior segurança normalmente incorre em algumas limitações de funcionalidade. Se você aplicar uma política de acesso condicional com o MFA a um site, aplica-se o seguinte:

  • O cliente de sincronização do OneDrive não pode sincronizar bibliotecas de documentos do site.
  • Somente os aplicativos online podem ser usados para abrir arquivos do Office (Word, Excel e Powerpoint).
  • As equipes não podem carregar arquivos do site na guia do canal Arquivos. Você só pode acessar os arquivos pela interface do navegador do Sharepoint.
  • O OWA não pode adicionar anexos às mensagens das bibliotecas de documentos no site.
  • Os fluxos de trabalho não funcionam no site.

A Microsoft está trabalhando para diminuir essas limitações e podemos ter alterações nisso em breve.

Combinação e correspondência de políticas

As políticas de acesso condicional podem ser combinadas para permitir diferentes níveis de acesso a um site. Por exemplo, você pode exigir que alguns usuários usem o MFA e um dispositivo gerenciado, enquanto outros são permitidos acesso somente com MFA.

Acompanhe as novidades em tempo real. Siga nosso perfil no Instagram..

Felipe Santos
Felipe Santos é Arquiteto de Cloud e Segurança, com vivência em Administração de Ambientes Windows Server, Cluster, Storages, Backups Veeam e Office 365.
pt_BRPortuguese

ATÉ 90% DE DESCONTO

DECOLE SUA CARREIRA!!

Quer dar um upgrade na sua carreira? 

Invista em você e saia na frente! Conquiste aquele emprego dos sonhos em 2022!