Implementar controles e atribuições de política de Acesso Condicional

  • 8 minutos

O Acesso Condicional é uma funcionalidade avançada do Microsoft Entra ID que lhe permite especificar políticas detalhadas que controlam quem pode aceder aos seus recursos. Usando o Acesso Condicional, pode proteger as suas aplicações limitando o acesso dos utilizadores com base em sinais como pertença ao grupo, conformidade com dispositivos, localização da rede e risco de início de sessão.

Criar uma política de Acesso Condicional

Este é um guia abreviado para criar uma política de Acesso Condicional. A documentação completa está disponível em O que é Acesso Condicional?.

Para criar uma nova política:

  1. Inicia sessão no centro de administração do Microsoft Entra pelo menos como Administrador de Acesso Condicional.
  2. Navegue para Proteção>Acesso Condicional.
  3. Selecione + Nova Política.
  4. Dê à apólice um nome significativo.
  5. Configurar Atribuições — selecione os utilizadores, grupos ou papéis a que a política se aplica.
  6. Configurar recursos de destino — selecione as aplicações na cloud ou as ações do utilizador que a política cobre.
  7. Configure quaisquer Condições adicionais, como risco de início de sessão, plataforma do dispositivo ou localização.
  8. Em Controlos de Acesso, configure os controlos de Concessão ou Sessão para se aplicarem.
  9. Defina a política de Ativar para apenas Reportar para testar o impacto antes de ativar, depois selecione Criar.

A Microsoft recomenda iniciar todas as novas políticas apenas em modo de relatório. Monitore os registos de início de sessão para verificar o comportamento esperado antes de mudar a política para Ligado.

Acesso Condicional baseado no risco do início de sessão

A maioria dos usuários tem um comportamento normal que pode ser rastreado. Quando eles não se enquadram nessa norma, pode ser arriscado permitir que eles simplesmente entrem. Você quer bloquear esse usuário ou pedir-lhe para executar a autenticação multifator para provar que ele é realmente quem ele diz ser.

Um risco de início de sessão representa a probabilidade de um determinado pedido de autenticação não ser autorizado pelo proprietário da identidade. As organizações com licenças Premium P2 do Microsoft Entra ID podem criar políticas de Acesso Condicional incorporando deteções de risco de entrada do Microsoft Entra Identity Protection.

Esta política pode ser atribuída através do próprio Acesso Condicional ou através da Proteção de Identidade do Microsoft Entra. As organizações devem escolher uma das duas opções para habilitar uma política de Acesso Condicional baseada em risco de entrada que exija uma alteração segura de senha.

Acesso Condicional baseado no risco do utilizador

A Microsoft trabalha com pesquisadores, policiais, várias equipes de segurança da Microsoft e outras fontes confiáveis para encontrar pares de nome de usuário e senha vazados. As organizações com licenças Premium P2 do Microsoft Entra ID podem criar políticas de Acesso Condicional incorporando deteções de risco de usuário do Microsoft Entra Identity Protection.

Tal como o Acesso Condicional baseado no risco de início de sessão, esta política pode ser atribuída através do próprio Acesso Condicional ou através da Proteção de Identidade do Microsoft Entra.

Proteger o registo de informações de segurança

Proteger quando e como os usuários se registram para autenticação multifator e redefinição de senha de autoatendimento agora é possível com ações do usuário na política de Acesso Condicional. Esta funcionalidade de pré-visualização está disponível para organizações que ativaram a pré-visualização do registo combinado. Essa funcionalidade pode ser habilitada em organizações onde elas desejam usar condições como local de rede confiável para restringir o acesso ao registro para autenticação multifator e redefinição de senha de autoatendimento (SSPR).

Criar uma política para requerer o registo a partir de um local confiável

A política a seguir se aplica a todos os usuários selecionados que tentam se registrar usando a experiência de registro combinada e bloqueia o acesso, a menos que eles estejam se conectando a partir de um local marcado como uma rede confiável.

  1. No centro de administração do Microsoft Entra, navegue até Proteção e depois Acesso Condicional.

  2. Selecione + Criar nova política.

  3. Em Nome, insira um Nome para esta política. Por exemplo, Registro combinado de informações de segurança em redes confiáveis.

  4. Em Atribuições, selecione Usuários e grupos e selecione os usuários e grupos aos quais você deseja que essa política seja aplicada.

    1. Em Excluir, selecione Usuários e grupos e escolha as contas de acesso de emergência ou de quebra-vidro da sua organização.
    2. Selecionar Concluído.

    Nota

    Se estivesse a direcionar agentes de IA em vez de utilizadores, selecionaria as identidades de Carga de Trabalho na área de Atribuições e escolheria a identidade do seu agente a partir do ID de Agente Microsoft Entra nesta etapa. O resto da estrutura política mantém-se igual.

  5. Em Aplicações ou ações na nuvem, selecione Ações do utilizador, selecione Registar informações de segurança.

  6. Em Condições, selecione Locais.

    • Configurar Sim.
    • Inclua qualquer local.
    • Excluir todos os locais confiáveis.
    • Selecione Concluído na tela Locais .
    • Selecione Concluído no ecrã Condições.

  7. Em Condições, em Aplicativos cliente (Visualização), defina Configurar como Sim e selecione Concluído.

  8. Em Controlo de Acesso, selecione Conceder.

    • Selecione Bloquear acesso.
    • Em seguida, use a opção Selecionar .

  9. Defina Permitir política como Ativado.

  10. Em seguida, selecione Guardar.

Na etapa 6 desta política, as organizações têm escolhas que podem fazer. A política acima requer registo de uma localização de rede confiável. As organizações podem optar por utilizar quaisquer condições disponíveis no lugar de Locais. Lembre-se de que esta política é uma política de bloqueio, portanto, qualquer coisa incluída é bloqueada.

Você pode optar por usar o estado do dispositivo em vez da localização na etapa 6 acima:

  1. Em Condições, selecione Estado do dispositivo (Pré-visualização).
  2. Configurar Sim.
  3. Incluir todo o estado do dispositivo.
  4. Excluir Dispositivo associado ao Microsoft Entra híbrido e/ou Dispositivo marcado como em conformidade.
  5. Selecione Concluído na tela Locais .
  6. Selecione Concluído no ecrã Condições.

Bloquear acesso por localização

Com a condição de localização no Acesso Condicional, pode controlar o acesso às aplicações na cloud com base na localização da rede de um utilizador. A condição de localização é normalmente utilizada para bloquear o acesso de países/regiões de onde a sua organização sabe que o tráfego não deve vir.

Definir localizações

  1. Entre no portal de administração do Microsoft Entra como Administrador de Segurança ou Administrador de Acesso Condicional.

  2. Navegue até Proteção, depois Acesso Condicional, e depois Localizações Nomeadas.

  3. Escolha Nova localização.

  4. Dê um nome à sua localização.

  5. Escolha intervalos de endereços IP se souber os intervalos de endereços IPv4 específicos acessíveis externamente que compõem essa localização ou Países/Regiões.

    1. Forneça os intervalos de IP ou selecione os Países/Regiões para o local que você está especificando.
    • Se escolher Países/Regiões, pode opcionalmente optar por incluir áreas desconhecidas.

  6. Escolha Guardar.

Criar uma política de Acesso Condicional

  1. Entre no centro de administração do Microsoft Entra como Administrador de Segurança ou Administrador de Acesso Condicional.

  2. Navegue até Proteção, depois Acesso Condicional.

  3. Selecione + Criar nova política.

  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.

  5. Em Atribuições, selecione Usuários e grupos.

    1. Em Incluir, selecione Todos os usuários.
    2. Em Excluir, selecione Usuários e grupos e escolha as contas de acesso de emergência ou de quebra-vidro da sua organização.
    3. Selecionar Concluído.

  6. Em Aplicações ou ações na nuvem, em Incluir e selecione Todas as aplicações na nuvem.

  7. Sob Condições, depois Localização.

    1. Defina Configurar como Sim.
    2. Em Incluir, selecione Locais selecionados.
    3. Selecione o local bloqueado que você criou para sua organização.
    4. Escolha Selecionar.

  8. Em Controles de acesso, selecione Bloquear acesso e selecione Selecionar.

  9. Confirme suas configurações e defina Ativar política como Ativado.

  10. Selecione Criar para criar Política de Acesso Condicional.

Exigir dispositivos em conformidade

As organizações que implantaram o Microsoft Intune podem usar as informações retornadas de seus dispositivos para identificar dispositivos que atendem aos requisitos de conformidade, como:

  • Exigir um PIN para desbloquear.
  • Exigindo criptografia de dispositivo.
  • Exigindo uma versão mínima ou máxima do sistema operacional.
  • Exigir que o dispositivo não esteja com jailbreak ou root.

Essas informações de conformidade com a política são encaminhadas para a ID do Microsoft Entra, onde o Acesso Condicional pode tomar decisões para conceder ou bloquear o acesso aos recursos.

Criar uma política de Acesso Condicional

As etapas a seguir ajudarão a criar uma política de Acesso Condicional para exigir que os dispositivos que acessam recursos sejam marcados como compatíveis com as políticas de conformidade do Intune da sua organização.

  1. Entre no centro de administração do Microsoft Entra como Administrador de Segurança ou Administrador de Acesso Condicional.

  2. Navegue até Proteção, depois Acesso Condicional.

  3. Selecione + Criar nova política.

  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.

  5. Em Atribuições, selecione Usuários e grupos.

    1. Em Incluir, selecione Todos os usuários.
    2. Em Excluir, selecione Usuários e grupos e escolha as contas de acesso de emergência ou de quebra-vidro da sua organização.
    3. Selecionar Concluído.

  6. Em Aplicações ou ações na nuvem, em Incluir e selecione Todas as aplicações na nuvem.

    1. Se tiver de excluir aplicações específicas da sua política, pode escolhê-las no separador Excluir sob Selecionar aplicações na nuvem excluídas e escolher Selecionar.
    2. Selecionar Concluído.

  7. Em Condições, em seguida , Aplicativos cliente (Visualização), selecione os aplicativos cliente aos quais essa política será aplicada, deixe todos os padrões selecionados e selecione Concluído.

  8. Em Controlo de acesso, depois em Conceder, selecione Exigir que o dispositivo esteja em conformidade.

  9. Selecione Selecionar.

  10. Confirme suas configurações e defina Ativar política como Ativado.

  11. Selecione Criar para criar para habilitar sua política.

Nota

Pode inscrever os seus novos dispositivos no Intune mesmo que selecione Exigir que o dispositivo seja marcado como compatível para Todos os utilizadores e Todas as aplicações na nuvem utilizando os passos acima. Exigir que o dispositivo seja marcado como controle compatível não bloqueia o registro do Intune.

Comportamento conhecido

No Windows 7, iOS, Android, macOS e alguns navegadores da Web de terceiros, o Microsoft Entra ID identifica o dispositivo usando um certificado de cliente que é provisionado quando o dispositivo é registrado com o Microsoft Entra ID. Quando um usuário entra pela primeira vez através do navegador, o usuário é solicitado a selecionar o certificado. O utilizador final tem de selecionar este certificado antes de poder continuar a utilizar o navegador.

Bloquear o acesso

Para organizações com uma abordagem conservadora de migração para a nuvem, a política de bloqueio total é uma opção que pode ser usada.

Aviso

A configuração incorreta de uma política de bloqueio pode fazer com que as organizações sejam bloqueadas do portal do Azure.

Políticas como estas podem ter efeitos secundários não intencionais. Testes e validação adequados são vitais antes de habilitar. Os administradores devem utilizar ferramentas como o modo somente relatório de Acesso Condicional e a ferramenta E Se no Acesso Condicional.

Exclusões de utilizadores

As políticas de Acesso Condicional são ferramentas poderosas. Recomendamos excluir as seguintes contas da sua política:

  • Acesso de emergência ou contas quebra-vidro para evitar o bloqueio de contas em todo o inquilino. No improvável caso de todos os administradores estarem bloqueados do acesso ao locatário, a sua conta administrativa de acesso de emergência pode ser utilizada para fazer login no locatário e tomar medidas para restaurar o acesso.

  • Contas de serviço e princípios de serviço, como a Conta de Sincronização do Microsoft Entra Connect. As contas de serviço são contas não interativas que não estão vinculadas a nenhum usuário em particular. Eles são normalmente usados por serviços de back-end que permitem acesso programático a aplicativos, mas também são usados para entrar em sistemas para fins administrativos. Estes tipos de contas de serviço devem ser excluídas, pois a MFA não pode ser concluída programaticamente. As chamadas feitas por entidades de serviço não são bloqueadas pelo Acesso Condicional.

    • Se sua organização tiver essas contas em uso em scripts ou código, considere substituí-las por identidades gerenciadas. Como solução temporária, você pode excluir essas contas específicas da política de linha de base.

  • Identidades dos agentes: Agentes de IA registados no ID do Agente Microsoft Entra podem ser alvo ou excluídos das políticas de Acesso Condicional, tal como os principais de serviço. Assegure que quaisquer agentes de confiança que necessitem de acesso ininterrupto sejam explicitamente excluídos e reveja as políticas direcionadas para agentes juntamente com as suas políticas de identidade de carga de trabalho.

Termos de Utilização de Acesso Condicional (TDU)

Captura de ecrã da caixa de diálogo Governação de Identidade para criar novos Termos de Utilização para as suas soluções na nuvem.

Você pode criar Termos de Uso (TOU) para seu site nas ferramentas de Governança de Identidade. Inicie o aplicativo de governança de identidade e escolha Termos de uso no menu. Você tem que fornecer um arquivo PDF com os termos para o usuário. Você pode configurar várias regras, como quando os termos expirarão ou se o usuário precisa abri-los antes de aceitar. Uma vez criada, você pode criar uma regra condicional personalizada diretamente na governança de identidade. Ou você pode salvar os termos e usar o Acesso Condicional na ID do Microsoft Entra. Para criar novos Termos de uso, preencha a caixa de diálogo acima.

Captura de ecrã da página de configuração de acesso condicional do Microsoft Entra que mostra a adição de regras de Termos de Utilização para poder aceder a recursos.

A vinculação do consentimento (aceitar termos antes do acesso) e do acesso condicional está ganhando cada vez mais força. As organizações têm a capacidade de impor que um usuário concorde com os termos de uso. Além disso, as organizações podem expirar o consentimento dado ou alterar os termos de uso e solicitar que o usuário ateste novamente.

Antes de aceder a determinadas aplicações na cloud no seu ambiente, poderá ser útil obter o consentimento dos utilizadores sob a forma de aceitação dos seus termos de utilização (TdU). O Acesso Condicional do Microsoft Entra fornece-lhe:

  • Um método simples para configurar o ToU
  • A opção de exigir a aceitação dos seus termos de utilização através de uma política de Acesso Condicional