Construindo uma política de acesso condicional

Conforme explicado no artigo O que é acesso condicional, uma política de Acesso Condicional é uma instrução if-then de atribuições e controles de acesso. Uma política de Acesso Condicional combina sinais para tomar decisões e impor políticas organizacionais.

Como uma organização cria essas políticas? O que é necessário? Como eles são aplicados?

Várias políticas de Acesso Condicional podem ser aplicadas a um usuário individual a qualquer momento. Nesse caso, todas as políticas aplicáveis devem ser atendidas. Por exemplo, se uma política exigir autenticação multifator e outra exigir um dispositivo em conformidade, você deverá concluir a MFA e usar um dispositivo em conformidade. Todas as atribuições são logicamente combinadas usando AND. Se você tiver mais de uma atribuição configurada, todas as atribuições deverão ser atendidas para disparar uma política.

Se uma política com "Exigir um dos controles selecionados" for selecionada, os prompts aparecerão na ordem definida. Depois que os requisitos de política forem atendidos, o acesso será concedido.

Todas as políticas são impostas em duas fases:

• Fase 1: Coletar detalhes da sessão
  • Reúna detalhes da sessão, como o local da rede e a identidade do dispositivo necessária para a avaliação da política.
  • A fase 1 da avaliação de política ocorre para políticas e políticas habilitadas no modo somente relatório.
• Fase 2: Imposição
  • Use os detalhes da sessão coletados na fase 1 para identificar os requisitos que não são atendidos.
  • Se houver uma política configurada com o controle de concessão com bloqueio, a implementação irá parar nesse ponto e o usuário será bloqueado.
  • O usuário é solicitado a concluir mais requisitos de controle de concessão que não foram atendidos durante a fase 1 na seguinte ordem, até que a política seja atendida:
    1. Autenticação multifator
    2. Dispositivo a ser marcado como compatível
    3. Dispositivo híbrido ingressado no Microsoft Entra
    4. Aplicativo cliente aprovado
    5. Política de proteção de aplicativo
    6. Alteração de senha
    7. Termos de uso
    8. Controles personalizados
  • Depois que todos os controles de concessão forem atendidos, os controles de sessão serão aplicados (Aplicativo Imposto, Microsoft Defender para Aplicativos de Nuvem e tempo de vida do token).
  • A fase 2 da avaliação da política ocorre para todas as políticas habilitadas.

Atribuições

A seção atribuições define quem, o que e onde para a política de Acesso Condicional.

Usuários e grupos

Usuários e grupos atribuem quem a política inclui ou exclui quando aplicada. Essa atribuição pode incluir todos os usuários, grupos específicos de usuários, funções de diretório ou usuários convidados externos. Organizações com licenças de ID de carga de trabalho do Microsoft Entra também podem ter como destino identidades de carga de trabalho .

As políticas direcionadas a funções ou grupos são avaliadas somente quando um token é emitido. Isso significa:

• Os usuários recém-adicionados a uma função ou grupo não estão sujeitos à política até que obtenham um novo token.
• Se um usuário já tiver um token válido antes de ser adicionado à função ou grupo, a política não se aplicará retroativamente.

A melhor prática é disparar a avaliação de Acesso Condicional durante a ativação da função ou a ativação de associação de grupo usando o Microsoft Entra Privileged Identity Management.

Recursos de destino

Os recursos de destino podem incluir ou excluir aplicativos de nuvem, ações do usuário ou contextos de autenticação que estão sujeitos à política.

Rede

A rede contém endereços IP, localizações geográficas e uma rede compatível com o Acesso Seguro Global para decisões de políticas de Acesso Condicional. Os administradores podem definir locais e marcar alguns como confiáveis, como os principais locais de rede de sua organização.

Condições

Uma política pode conter várias condições.

Risco de entrada

Para organizações com o Microsoft Entra ID Protection, as detecções de risco geradas lá podem influenciar suas políticas de Acesso Condicional.

Plataformas de dispositivo

Organizações com várias plataformas de sistema operacional de dispositivo podem impor políticas específicas em diferentes plataformas.

As informações usadas para determinar a plataforma do dispositivo vêm de fontes não verificadas, como cadeias de caracteres de agente de usuário que podem ser alteradas.

Aplicativos cliente

O software que o usuário está empregando para acessar o aplicativo de nuvem. Por exemplo, 'Navegador' e 'Aplicativos móveis e aplicativos desktop'. Por padrão, todas as políticas de Acesso Condicional recém-criadas se aplicam a todos os tipos de aplicativo cliente, mesmo que a condição de aplicativos cliente não esteja configurada.

Filtro para dispositivos

Esse controle permite direcionar dispositivos específicos com base em seus atributos em uma política.

Controles de acesso

A parte de controles de acesso da política de Acesso Condicional controla como uma política é imposta.

Conceder

O Grant fornece aos administradores um meio de imposição de política em que eles podem bloquear ou conceder acesso.

Bloquear acesso

Bloquear o acesso bloqueia o acesso nas atribuições especificadas. Esse controle é poderoso e requer conhecimento apropriado para ser usado com eficiência.

Conceder acesso

O controle de concessão dispara a imposição de um ou mais controles.

• Exigir autenticação multifator
• Exigir força de autenticação
• Exigir que o dispositivo seja marcado como compatível (Intune)
• Exigir um dispositivo ingressado no Microsoft Entra híbrido
• Exigir aplicativo cliente aprovado
• Exigir uma política de proteção de aplicativo
• Exigir alteração de senha
• Requerer Termos de uso

Os administradores optam por exigir um dos controles anteriores ou todos os controles selecionados usando as opções a seguir. Por padrão, vários controles exigem todos.

• Exigir todos os controles selecionados (controle e controle)
• Exigir um dos controles selecionados (controle ou controle)

Sessão

Os controles de sessão podem limitar a experiência dos usuários.

• Use restrições impostas pelo aplicativo:
  • Funciona somente com o Exchange Online e o SharePoint Online.
  • Passa informações do dispositivo para controlar a experiência, concedendo acesso total ou limitado.
• Usar o Controle de Aplicativos de Acesso Condicional:
  • Usa sinais do Microsoft Defender para Aplicativos de Nuvem para fazer coisas como:
    • Bloqueio de download, corte, cópia e impressão de documentos confidenciais.
    • Monitore o comportamento de sessão arriscada.
    • Exigir rotulagem de arquivos confidenciais.
• Frequência de login:
  • Capacidade de alterar a frequência de entrada padrão para autenticação moderna.
• Sessão persistente do navegador:
  • Permite que os usuários permaneçam conectados após o fechamento e a reabertura da janela do navegador.
• Personalize a avaliação de acesso contínuo.
• Desabilite os padrões de resiliência.

Políticas simples

Uma política de Acesso Condicional deve incluir pelo menos o seguinte a ser imposto:

• Nome da política
• Atribuições
  • Usuários e/ou grupos aos quais aplicar a política
  • Recursos de destino para aplicar a política a
• Controles de acesso
  • Conceder ou Bloquear controles

O artigo Políticas comuns de acesso condicional incluem políticas que podem ser úteis para a maioria das organizações.

Conteúdo relacionado

• Políticas de acesso condicional comuns

• Gerenciando a conformidade do dispositivo com o Intune

• Microsoft Defender para Aplicativos de Nuvem e Acesso Condicional