Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Em uma política de Acesso Condicional, os administradores usam um ou mais sinais para melhorar as decisões de política.
Os administradores combinam várias condições para criar políticas de Acesso Condicional específicas e refinadas.
Quando os usuários acessam um aplicativo confidencial, os administradores podem considerar várias condições em suas decisões de acesso, como:
- Informação de risco da Microsoft Entra ID Protection
- Local da rede
- Informações do dispositivo
Risco do agente (Pré-visualização)
Os administradores com acesso à Proteção de Identificação podem avaliar o risco dos agentes como parte de uma política de Acesso Condicional. O risco do agente mostra a probabilidade de um agente estar comprometido.
Risco de utilizador
Os administradores com acesso à Proteção de ID podem avaliar o risco do usuário como parte de uma política de Acesso Condicional. O risco do usuário mostra a probabilidade de uma identidade ou conta ser comprometida. Saiba mais sobre o risco do usuário em O que é risco e Como configurar e habilitar políticas de risco.
Risco de acesso
Os administradores com acesso à Proteção de ID podem avaliar o risco de início de sessão como parte de uma política de Acesso Condicional. O risco de entrada mostra a probabilidade de uma solicitação de autenticação não ser feita pelo proprietário da identidade. Saiba mais sobre o risco de início de sessão nos artigos O que é risco e Como configurar e ativar políticas de risco.
Risco interno
Os administradores com acesso à proteção adaptável do Microsoft Purview podem incorporar sinais de risco do Microsoft Purview nas decisões de política de Acesso Condicional. O risco interno leva em consideração a governança de dados, a segurança dos dados e as configurações de risco e conformidade do Microsoft Purview. Estes sinais baseiam-se em fatores contextuais, tais como:
- Comportamento do utilizador
- Padrões históricos
- Deteções de anomalias
Essa condição permite que os administradores usem políticas de Acesso Condicional para executar ações como bloquear o acesso, exigir métodos de autenticação mais fortes ou exigir a aceitação dos termos de uso.
Esta funcionalidade incorpora parâmetros que abordam especificamente os riscos potenciais decorrentes de dentro de uma organização. Configurar o Acesso Condicional para considerar o risco interno permite que os administradores personalizem as permissões de acesso com base em fatores contextuais, como comportamento do usuário, padrões históricos e deteção de anomalias.
Para obter mais informações, consulte configurar e ativar uma política de risco interno.
Plataformas de dispositivos
O Acesso Condicional identifica a plataforma do dispositivo usando informações fornecidas pelo dispositivo, como cadeias de caracteres do agente do usuário. Como as cadeias de caracteres do agente do usuário podem ser modificadas, essas informações não são verificadas. Use a plataforma de dispositivos com as políticas de conformidade de dispositivos do Microsoft Intune ou como parte de uma declaração de bloqueio. Por padrão, ele se aplica a todas as plataformas de dispositivos.
O Acesso Condicional suporta estas plataformas de dispositivos:
- Android
- iOS
- Mac OS
- macOS
- Aplicações Linux
Se bloquear a autenticação herdada usando a condição de outros clientes, também poderá definir a condição da plataforma do dispositivo.
A seleção de plataformas de dispositivo macOS ou Linux não é suportada quando você seleciona Exigir aplicativo cliente aprovado ou Exigir política de proteção de aplicativo como os únicos controles de concessão, ou quando seleciona Exigir todos os controles selecionados.
Importante
A Microsoft recomenda a criação de uma política de Acesso Condicional para plataformas de dispositivos sem suporte. Por exemplo, para bloquear o acesso a recursos empresariais a partir do SO Chrome ou de outros clientes não suportados, configure uma política com uma condição de plataformas de dispositivos que inclua qualquer dispositivo, exclua plataformas de dispositivos suportadas e defina o controlo de concessão para Bloquear acesso.
Localizações
A condição de localização mudou.
Aplicações do cliente
Por padrão, todas as políticas de Acesso Condicional recém-criadas se aplicam a todos os tipos de aplicativos cliente, mesmo que a condição de aplicativos cliente não esteja configurada.
Nota
O comportamento do estado das aplicações cliente foi atualizado em agosto de 2020. Se você tiver políticas de Acesso Condicional existentes, elas permanecerão inalteradas. No entanto, se você selecionar uma política existente, a alternância Configurar será removida e os aplicativos cliente aos quais a política se aplica serão selecionados.
Importante
As entradas de clientes de autenticação herdados não suportam autenticação multifator (MFA) e não passam informações de estado do dispositivo, por isso são bloqueadas por controles de concessão de Acesso Condicional, como exigir MFA ou dispositivos compatíveis. Se você tiver contas que devem usar autenticação herdada, exclua essas contas da política ou configure a política para se aplicar apenas a clientes de autenticação moderna.
O botão Configurar, quando definido como Sim, aplica-se a itens verificados; quando definido como Não, aplica-se a todas as aplicações cliente, incluindo clientes de autenticação modernos e legados. Este botão não aparece nas políticas criadas antes de agosto de 2020.
- Clientes de autenticação modernos
- Navegador
- Esses clientes incluem aplicativos baseados na Web que usam protocolos como SAML, WS-Federation, OpenID Connect ou serviços registrados como um cliente confidencial OAuth.
- Aplicações móveis e clientes de desktop
- Esta opção inclui aplicações como as aplicações de ambiente de trabalho e telemóvel do Office.
- Navegador
- Clientes de autenticação herdados
- Clientes do Exchange ActiveSync
- Essa seleção inclui todo o uso do protocolo Exchange ActiveSync (EAS). Quando a política bloqueia o uso do Exchange ActiveSync, o usuário afetado recebe um único email de quarentena. Este e-mail fornece informações sobre o motivo pelo qual eles são bloqueados e inclui instruções de correção, se possível.
- Os administradores só podem aplicar a política a plataformas suportadas (como iOS, Android e Windows) através da API do Microsoft Graph de Acesso Condicional.
- Outros clientes
- Essa opção inclui clientes que usam protocolos de autenticação básicos/herdados que não oferecem suporte à autenticação moderna.
- SMTP - Usado por clientes POP e IMAP para enviar mensagens de e-mail.
- Descoberta Automática - Usada por clientes Outlook e EAS para localizar e se conectar a caixas de correio no Exchange Online.
- PowerShell do Exchange Online - Utilizado para conectar ao Exchange Online através do PowerShell remoto. Se você bloquear a autenticação Básica para o PowerShell do Exchange Online, precisará usar o Módulo PowerShell do Exchange Online para se conectar. Para obter instruções, consulte Como se conectar ao PowerShell do Exchange Online utilizando a autenticação multifator.
- Exchange Web Services (EWS) - Uma interface de programação usada pelo Outlook, Outlook para Mac e aplicativos que não são da Microsoft.
- IMAP4 - Usado por clientes de e-mail IMAP.
- MAPI sobre HTTP (MAPI/HTTP) - Usado pelo Outlook 2010 e posterior.
- Catálogo de Endereços Offline (OAB) - Uma cópia das coleções de listas de endereços baixadas e usadas pelo Outlook.
- Outlook em Qualquer Lugar (RPC sobre HTTP) - Usado pelo Outlook 2016 e versões anteriores.
- Serviço Outlook - Utilizado pela aplicação Correio e Calendário para Windows 10.
- POP3 - Usado por clientes de e-mail POP.
- Reporting Web Services - Usado para recuperar dados de relatório no Exchange Online.
- Essa opção inclui clientes que usam protocolos de autenticação básicos/herdados que não oferecem suporte à autenticação moderna.
- Clientes do Exchange ActiveSync
Essas condições são comumente usadas para:
- Exigir um dispositivo gerenciado
- Bloquear a autenticação herdada
- Bloquear aplicações Web, mas permitir aplicações móveis ou de ambiente de trabalho
Browsers suportados
Essa configuração funciona com todos os navegadores. No entanto, para satisfazer uma política de dispositivo, como um requisito de dispositivo compatível, os seguintes sistemas operacionais e navegadores são suportados. Sistemas operacionais e navegadores fora do suporte principal não são mostrados nesta lista:
| Sistemas Operativos | Navegadores |
|---|---|
| Janelas 10 + | Microsoft Edge, Chrome, Firefox 91+ |
| Windows Server 2025 | Microsoft Edge, Chrome |
| Windows Server 2022 | Microsoft Edge, Chrome |
| Windows Server 2019 | Microsoft Edge, Chrome |
| iOS | Microsoft Edge, Safari (consulte as notas) |
| Android | Microsoft Edge, Chrome |
| macOS | Microsoft Edge, Chrome, Firefox 133+, Safari |
| Área de trabalho Linux | Borda da Microsoft |
Esses navegadores suportam a autenticação do dispositivo, permitindo que o dispositivo seja identificado e validado em relação a uma política. A verificação do dispositivo falhará se o navegador estiver em execução no modo privado ou se os cookies estiverem desativados.
Nota
O Microsoft Edge 85+ exige que o usuário esteja conectado ao navegador para passar corretamente a identidade do dispositivo. Caso contrário, ele se comporta como o Chrome sem a extensão Microsoft Single Sign On. Este início de sessão pode não ocorrer automaticamente num cenário de associação de dispositivo híbrido.
O Safari é suportado para Acesso Condicional baseado em dispositivo num dispositivo gerido, mas não pode satisfazer as condições de Exigir aplicação cliente aprovada ou de Exigir política de proteção da aplicação. Um navegador gerenciado como o Microsoft Edge atende aos requisitos aprovados da política de proteção de aplicativos e aplicativos cliente. No iOS com soluções MDM que não sejam da Microsoft, apenas o navegador Microsoft Edge oferece suporte à política de dispositivo.
O Firefox 91+ é compatível com Acesso Condicional baseado em dispositivo, mas "Permitir logon único do Windows para contas Microsoft, profissionais e escolares" precisa ser habilitado.
O Chrome 111+ é compatível com Acesso Condicional baseado em dispositivo, mas "CloudApAuthEnabled" precisa ser ativado.
Os dispositivos macOS que utilizam o plug-in Enterprise SSO requerem a extensão Microsoft Single Sign On para suportar SSO e Acesso Condicional baseado em dispositivo no Google Chrome.
Os dispositivos macOS que usam o navegador Firefox devem estar executando o macOS versão 10.15 ou mais recente e ter o plug-in Microsoft Enterprise SSO instalado e configurado adequadamente.
Por que vejo um prompt de certificado no navegador
No Windows 7, os dispositivos iOS, Android e macOS são identificados usando um certificado de cliente. Este certificado é provisionado quando o dispositivo é registrado. Quando um usuário entra pela primeira vez através do navegador, o usuário é solicitado a selecionar o certificado. O usuário deve selecionar este certificado antes de usar o navegador.
Suporte para Chrome
Mac OS
Para obter suporte do Chrome no Windows 10 Creators Update (versão 1703) ou posterior, instale a extensão Microsoft Single Sign On ou ative o CloudAPAuthEnabled do Chrome. Essas configurações são necessárias quando uma política de Acesso Condicional requer detalhes específicos do dispositivo para plataformas Windows especificamente.
Para ativar automaticamente a política CloudAPAuthEnabled no Chrome, crie a seguinte chave do Registro:
- Caminho:
HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome - Nome:
CloudAPAuthEnabled - Valor:
0x00000001 - Tipo de propriedade:
DWORD
Para implementar automaticamente a extensão Microsoft Single Sign On nos navegadores Chrome, crie a seguinte chave de registo utilizando a política ExtensionInstallForcelist no Chrome:
- Caminho:
HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist - Nome:
1 - Tipo:
REG_SZ (String) - Dados:
ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crx
Para suporte do Chrome no Windows 8.1 e 7, crie a seguinte chave do Registro:
- Caminho:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls - Nome:
1 - Tipo:
REG_SZ (String) - Dados:
{"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}
macOS
Os dispositivos macOS que utilizam o plug-in Enterprise SSO requerem a extensão Microsoft Single Sign On para suportar SSO e Acesso Condicional baseado em dispositivo no Google Chrome.
Para obter implantações baseadas em MDM do Google Chrome e gerenciamento de extensões, consulte Configurar o navegador Chrome no Mac e ExtensionInstallForcelist.
Aplicações móveis e aplicações de ambiente de trabalho suportadas
Os administradores podem selecionar aplicativos móveis e clientes de desktop como aplicativo cliente.
Essa configuração tem um efeito nas tentativas de acesso feitas a partir dos seguintes aplicativos móveis e clientes de desktop:
| Aplicações do cliente | Serviço Alvo | Plataforma |
|---|---|---|
| Aplicação Dynamics CRM | CRM Dinâmico | Windows 10, Windows 8.1, iOS e Android |
| Aplicação Correio/Calendário/Pessoas, Outlook 2016, Outlook 2013 (com autenticação moderna) | Exchange Online | Janelas 10 |
| MFA e política de localização para aplicações. Não há suporte para políticas baseadas em dispositivos. | Qualquer serviço de aplicativo Meus Aplicativos | Android e iOS |
| Microsoft Teams Services - esta aplicação cliente controla todos os serviços que suportam o Microsoft Teams e todas as suas Aplicações Cliente - Windows Desktop, iOS, Android, WP e Web client | Microsoft Teams | Windows 10, Windows 8.1, Windows 7, iOS, Android e macOS |
| Aplicações do Office 2016, Office 2013 (com autenticação moderna), cliente de sincronização do OneDrive | SharePoint | Windows 8.1, Windows 7 |
| Aplicações do Office 2016, aplicações do Office Universal, Office 2013 (com autenticação moderna), cliente de sincronização do OneDrive | SharePoint Online | Janelas 10 |
| Office 2016 (apenas Word, Excel, PowerPoint, OneNote). | SharePoint | macOS |
| Escritório 2019 | SharePoint | Windows 10, macOS |
| Aplicações móveis do Office | SharePoint | Android, iOS |
| Aplicação Office Yammer | Yammer | Windows 10, iOS, Android |
| Perspetivas 2019 | SharePoint | Windows 10, macOS |
| Outlook 2016 (Office para macOS) | Exchange Online | macOS |
| Outlook 2016, Outlook 2013 (com autenticação moderna), Skype for Business (com autenticação moderna) | Exchange Online | Windows 8.1, Windows 7 |
| Aplicação móvel do Outlook | Exchange Online | Android, iOS |
| Aplicação Power BI | serviço Power BI | Windows 10, Windows 8.1, Windows 7, Android e iOS |
| Skype para Empresas | Exchange Online | Android, iOS |
| Aplicativo Azure DevOps Services (anteriormente Visual Studio Team Services ou VSTS) | Azure DevOps Services (anteriormente Visual Studio Team Services ou VSTS) | Windows 10, Windows 8.1, Windows 7, iOS e Android |
Clientes do Exchange ActiveSync
- Os administradores só podem selecionar clientes do Exchange ActiveSync ao atribuir políticas a usuários ou grupos. Selecionar Todos os usuários, Todos os usuários convidados e externos ou Funções de diretório faz com que todos os usuários estejam sujeitos à política.
- Quando os administradores criam uma política atribuída a clientes do Exchange ActiveSync, o Exchange Online deve ser o único aplicativo de nuvem atribuído à política.
- Os administradores podem restringir o escopo dessa política a plataformas específicas usando a condição Plataformas de dispositivo .
Se o controle de acesso atribuído à política usar Exigir aplicativo cliente aprovado, o usuário será direcionado a instalar e usar o cliente móvel do Outlook. Caso a autenticação Multifator, os Termos de uso ou os controles personalizados sejam necessários, os usuários afetados serão bloqueados, porque a autenticação básica não oferece suporte a esses controles.
Para obter mais informações, consulte os seguintes artigos:
- Bloquear autenticação herdada com Acesso Condicional
- Exigindo aplicativos cliente aprovados com acesso condicional
Outros clientes
Ao selecionar Outros clientes, você pode especificar uma condição que afeta aplicativos que usam autenticação básica com protocolos de email como IMAP, MAPI, POP, SMTP e aplicativos mais antigos do Office que não usam autenticação moderna.
Estado do dispositivo (obsoleto)
Esta condição foi preterida. Os clientes devem usar a condição Filtro para dispositivos na política de Acesso Condicional para satisfazer cenários anteriormente alcançados usando a condição de estado do dispositivo.
Importante
O estado do dispositivo e os filtros para dispositivos não podem ser usados juntos na política de Acesso Condicional. Os filtros para dispositivos oferecem segmentação mais detalhada, incluindo suporte para segmentar informações de estado do dispositivo através das propriedades trustType e isCompliant.
Filtrar dispositivos
Quando os administradores configuram o filtro para dispositivos como uma condição, eles podem incluir ou excluir dispositivos com base em um filtro usando uma expressão de regra nas propriedades do dispositivo. Você pode criar a expressão de regra para filtro para dispositivos usando o construtor de regras ou a sintaxe da regra. Esse processo é semelhante ao usado para regras para grupos dinâmicos de membros. Para obter mais informações, consulte Acesso condicional: filtro para dispositivos.
Fluxos de autenticação (visualização)
Os fluxos de autenticação controlam como sua organização usa determinados protocolos e concessões de autenticação e autorização. Esses fluxos podem fornecer uma experiência perfeita para dispositivos que não têm entrada local, como dispositivos compartilhados ou sinalização digital. Use esse controle para configurar métodos de transferência, como fluxo de código de dispositivo ou transferência de autenticação.