Microsoft vai implementar políticas de MFA para aceder a portais de administração

A Microsoft começará em breve a implementar políticas de acesso condicional que exigem a autenticação multifator (MFA) dos administradores para aceder aos portais de administração da empresa, como Microsoft Entra, Microsoft 365, Exchange e Azure.

A empresa anunciou que implementará também políticas que exigirão MFA para utilizadores de MFA por utilizador em todas as aplicações de cloud. Uma política exigirá MFA para logins de alto risco, que estará disponível apenas para clientes do Microsoft Entra ID Premium Plano 2.

As políticas em questão, geridas pela Microsoft, serão adicionadas de forma gradual no modo ‘report-only’ aos locatários elegíveis do Microsoft Entra a partir da próxima semana. Após a implementação chegar ao locatário, os administradores terão 90 dias para as rever e decidir se desejam ativá-las ou não.

Por sua vez, Redmond ativará automaticamente essas políticas de acesso condicional apenas nos locatários onde estas não foram desativadas dentro de 90 dias após a sua implementação.

“Preste muita atenção à primeira política. É a nossa forte recomendação – e uma política que implantaremos em seu nome – que a autenticação multifator proteja todo o acesso do utilizador a portais de administração, como https://portal.azure.com, administrador do Microsoft 365 center e centro de administração do Exchange”, afirma Alex Weinert, vice-presidente de segurança de identidade da Microsoft.

“Observe que, embora possa cancelar essas políticas, as equipas da Microsoft exigirão cada vez mais a autenticação multifator para interações específicas, como já fazem para determinados cenários de gestão de assinaturas do Azure, Partner Center e registo de dispositivos Microsoft Intune”, acrescenta Weinert.

Depois de adicionadas, os administradores com pelo menos a função de Administrador de Acesso Condicional podem encontrar estas políticas no centro de administração do Microsoft Entra em Proteção > Acesso Condicional > Políticas.

Os administradores podem também modificar o estado (Ativado, Desativado ou Report-only) de todas as políticas geridas pela Microsoft, assim como as identidades excluídas (Utilizadores, Grupos e Funções) da política. É aconselhado que as organizações excluam o acesso de emergência ou contas de segurança destas políticas, tal como fariam com outras políticas de Acesso Condicional.

A Microsoft também oferece a opção de modificar ainda mais estas políticas, podendo cloná-las com o botão Duplicar no modo de exibição de lista de políticas e adaptá-las como qualquer outra política de acesso condicional.

“O nosso objetivo é 100% de autenticação multifatorial. Dado que estudos formais mostram que a autenticação multifatorial reduz o risco de controlo de conta em mais de 99%, cada utilizador que autentica deve fazê-lo com uma autenticação forte e moderna”, refere Weinert.

Weinert acrescenta ainda que o propósito final é “combinar insights e recomendações de políticas baseadas em machine learning com implementação automatizada de políticas para fortalecer a sua postura de segurança em seu nome com os controles corretos”.