Zero Trust com Microsoft Defender e Entra ID — identidade como plano de controle

1) Pilares de Zero Trust

• Verificar explicitamente: autenticar e autorizar sempre, com base em todos os sinais disponíveis.
• Usar acesso com privilégio mínimo: políticas adaptativas e Just-In-Time.
• Assumir violação: segmentar, registrar e monitorar continuamente.

2) Sinais e avaliação de risco

Decisões de acesso devem considerar:

• Identidade: risco do usuário/sessão (Entra ID Protection).
• Dispositivo: compliance/saúde (Intune + Defender for Endpoint).
• Aplicativo: sensibilidade e sensibilização (labels, App Enforced Restrictions).
• Local e rede: anomalias geográficas e sinal de VPN/Tor.
• Dados: rotulagem e DLP.

3) Acesso Condicional (CA) — exemplos práticos

1. Bloqueio legado: negar protocolos herdados (IMAP/POP/SMTP Basic).
2. MFA quando risco ≥ Medium (user or sign-in risk).
3. Exigir dispositivo conforme para apps sensíveis (SharePoint/Exchange/Teams).
4. Session controls: restrições por navegador (download bloqueado) via Defender for Cloud Apps.

4) MFA e autenticação sem senha

• Habilite Microsoft Authenticator com number matching.
• Implemente FIDO2 e **Windows Hello for Business** para experiências sem senha.
• Use políticas de registration campaign para adesão guiada.

5) Integração com Defender for Endpoint (MDE)

Conecte conformidade e **Device Risk** ao CA. Dispositivos com risco alto → bloqueio/quarentena; médio → exigência de remediação.

CA: If device risk = High → Block; If Medium → Require device to be marked compliant
Intune: Compliance policy + MDE comunicação habilitada
MDE: Remediate threats → risco reduz para liberar acesso

6) Defender for Cloud Apps (MCAS)

• Descoberta de Shadow IT (log collectors, Cloud Discovery).
• Políticas de sessão: bloquear download, aplicar proteção por rótulos (MIP).
• Conectores para apps (OAuth) e alertas de exfiltração.

7) Identity Protection

• Políticas de user risk e sign-in risk (remediação automática com reset de senha/MFA).
• Detecções: credenciais vazadas, anomalias de localização, malware‑linked IP.

8) Resposta e automação

• Envie logs para Microsoft Sentinel e crie **playbooks** (Logic Apps) para auto-contenção: desabilitar usuário, revogar refresh tokens, isolar dispositivo.
• Use **User Risk Policy** para respostas automáticas baseadas em risco.

9) Baseline sugerida (ponto de partida)

- Bloquear legado (Exchange ActiveSync básico, IMAP/POP/SMTP Basic)
- Exigir MFA para todos; sem senha (FIDO2/WHfB) para admins e VIPs
- CA: Require device compliant para M365; bloquear risco High; permitir Medium com restrições
- Identity Protection: exigir reset MFA se user risk >= Medium
- MCAS: session control para apps críticas (bloqueio de download)
- Auditoria contínua via Sentinel + workbook de acessos arriscados