Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Em uma política de Acesso Condicional, um administrador pode usar controles de acesso para conceder ou bloquear o acesso a recursos.
Bloquear o acesso
O controle para bloquear o acesso avalia atribuições e impede o acesso com base na configuração da política de Acesso Condicional.
Bloquear acesso é um controle poderoso que requer uma aplicação cuidadosa. Políticas com instruções de bloqueio podem causar efeitos colaterais não intencionais. Testes e validação adequados são essenciais antes de permitir o controle em escala. Os administradores devem usar ferramentas como o modo somente relatório de Acesso Condicional e a ferramenta E Se no Acesso Condicional ao fazer alterações.
Conceder acesso
Os administradores podem optar por impor um ou mais controles ao conceder acesso. Esses controles incluem as seguintes opções:
- Exigir autenticação multifatorial (autenticação multifatorial Microsoft Entra)
- Exigir força de autenticação
- Exigir que o dispositivo seja marcado como compatível (Microsoft Intune)
- Exigir dispositivo híbrido associado ao Microsoft Entra
- Exigir aplicativo cliente aprovado
- Exigir política de proteção de aplicativos
- Exigir alteração de senha
Quando os administradores optam por combinar essas opções, eles podem usar os seguintes métodos:
- Requer todos os controles selecionados (controle e controle)
- Exigir um dos controles selecionados (controle ou controle)
Por padrão, o Acesso Condicional requer todos os controles selecionados.
Exigir autenticação multifator
A seleção desta caixa de verificação requer que os utilizadores realizem a autenticação multifator do Microsoft Entra. Pode encontrar mais informações sobre a implementação de autenticação multifator do Microsoft Entra em Planeamento de uma Implementação de Autenticação Multifator do Microsoft Entra Baseada na Nuvem.
O Windows Hello for Business satisfaz o requisito de autenticação multifator nas políticas de Acesso Condicional.
Exigir força de autenticação
Os administradores podem optar por exigir pontos fortes de autenticação específicos em suas políticas de Acesso Condicional. Esses pontos fortes de autenticação são definidos no centro de administração do Microsoft Entra>ID do Entra>Métodos de autenticação>Pontos fortes de autenticação. Os administradores podem optar por criar as suas próprias versões ou utilizar as versões incorporadas.
Exigir que o dispositivo seja marcado como conforme
As organizações que implantam o Intune podem usar as informações retornadas de seus dispositivos para identificar dispositivos que atendem a requisitos específicos de conformidade de políticas. O Intune envia informações de conformidade para o Microsoft Entra ID para que o Acesso Condicional possa decidir conceder ou bloquear o acesso aos recursos. Para obter mais informações sobre políticas de conformidade, consulte Definir regras em dispositivos para permitir o acesso a recursos em sua organização usando o Intune.
Um dispositivo pode ser marcado como compatível pelo Intune para qualquer sistema operativo de dispositivo ou por um sistema de gestão de dispositivos móveis que não seja da Microsoft para dispositivos Windows. Pode encontrar uma lista de sistemas de gestão de dispositivos móveis não Microsoft suportados em Apoiar parceiros de conformidade de dispositivos não Microsoft no Intune.
Os dispositivos têm de ser registados no Microsoft Entra ID para poderem ser marcados como conformes. Pode encontrar mais informações sobre o registo de dispositivos em O que é uma identidade de dispositivo?.
O Exigir que o dispositivo seja marcado como controle compatível :
- Suporta apenas dispositivos Windows 10+, iOS, Android, macOS e Linux Ubuntu registados com o Microsoft Entra ID e inscritos no Intune.
- O Microsoft Edge no modo InPrivate no Windows é considerado um dispositivo não compatível.
Nota
No Windows, iOS, Android, macOS e em alguns navegadores da Web que não são da Microsoft, o Microsoft Entra ID identifica o dispositivo usando um certificado de cliente que é provisionado quando o dispositivo é registrado com o Microsoft Entra ID. Quando um usuário entra pela primeira vez através do navegador, o usuário é solicitado a selecionar o certificado. O usuário deve selecionar esse certificado antes de poder continuar a usar o navegador.
Pode utilizar a aplicação Microsoft Defender for Endpoint com a política de aplicação cliente aprovada no Intune para definir a política de conformidade do dispositivo para políticas de Acesso Condicional. Não há nenhuma exclusão necessária para o aplicativo Microsoft Defender for Endpoint enquanto você estiver configurando o Acesso Condicional. Embora o Microsoft Defender for Endpoint no Android e iOS (ID do aplicativo dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) não seja um aplicativo aprovado, ele tem permissão para relatar a postura de segurança do dispositivo. Essa permissão permite o fluxo de informações de conformidade para o Acesso Condicional.
Da mesma forma, a opção Exigir que o dispositivo seja marcado como compatível não bloqueia o acesso do UserAuthenticationMethod.Read aplicativo Microsoft Authenticator ao escopo. O Autenticador precisa de acesso ao UserAuthenticationMethod.Read escopo durante o registo do Autenticador para determinar quais credenciais um usuário pode configurar. O autenticador precisa de acesso a UserAuthenticationMethod.ReadWrite para registar credenciais, o que não contorna a checagem Exigir que o dispositivo seja marcado como compatível.
Exigir dispositivo associado híbrido Microsoft Entra
As organizações podem optar por usar a identidade do dispositivo como parte de sua política de Acesso Condicional. As organizações podem exigir que os dispositivos estejam aderidos ao Microsoft Entra em modo híbrido utilizando esta caixa de seleção. Para obter mais informações sobre identidades de dispositivo, consulte O que é uma identidade de dispositivo?.
Quando você usa o fluxo OAuth do código do dispositivo, o controle de concessão necessário para o dispositivo gerenciado ou uma condição de estado do dispositivo não é suportado. Isso ocorre porque o dispositivo que está executando a autenticação não pode fornecer seu estado de dispositivo para o dispositivo que está fornecendo um código. Além disso, o estado do dispositivo armazenado no token é associado ao dispositivo que executa a autenticação. Em vez disso, use o controle Exigir autenticação multifator .
O controle de dispositivo híbrido Require Microsoft Entra juntou-se :
- Suporta apenas dispositivos Windows de nível inferior (antes do Windows 10) e Windows atuais (Windows 10+) associados a domínios.
- Não considera o Microsoft Edge no modo InPrivate como um dispositivo híbrido associado ao Microsoft Entra.
Exigir aplicação cliente aprovada
As organizações podem exigir que um aplicativo cliente aprovado seja usado para acessar aplicativos de nuvem selecionados. Estas aplicações cliente aprovadas suportam políticas de proteção de aplicações do Intune independentes de qualquer solução de gestão de dispositivos móveis.
Aviso
A concessão aprovada da aplicação cliente vai ser descontinuada no início de março de 2026. As organizações devem fazer a transição de todas as políticas atuais de Acesso Condicional que usam apenas a concessão Exigir Aplicativo Cliente Aprovado para Exigir Aplicativo Cliente Aprovado ou Política de Proteção de Aplicativo até março de 2026. Além disso, para qualquer nova política de Acesso Condicional, aplique apenas a concessão que exige a política de proteção de aplicações. Para obter mais informações, consulte o artigo Migrar aplicação cliente aprovada para a política de proteção de aplicações em Acesso Condicional.
Para aplicar esse controle de concessão, o dispositivo deve ser registrado no Microsoft Entra ID, que requer o uso de um aplicativo de broker. O aplicativo de corretagem pode ser o Microsoft Authenticator para iOS ou o Microsoft Authenticator ou o Microsoft Company Portal para dispositivos Android. Se um aplicativo de agente não estiver instalado no dispositivo quando o usuário tentar autenticar, o usuário será redirecionado para a loja de aplicativos apropriada para instalar o aplicativo de corretor necessário.
Os seguintes aplicativos cliente oferecem suporte a essa configuração. Esta lista não é exaustiva e está sujeita a alterações:
- Microsoft Azure Information Protection
- Microsoft Cortana
- Microsoft Dynamics 365
- Borda da Microsoft
- Microsoft Excel
- Microsoft Power Automate
- Faturação da Microsoft
- Microsoft Kaizala
- Iniciador da Microsoft
- Listas da Microsoft
- Microsoft Office
- Microsoft OneDrive
- Microsoft OneNote
- Microsoft Outlook
- Planejador Microsoft
- Aplicativos Microsoft Power
- Microsoft Power BI
- Microsoft PowerPoint
- Microsoft SharePoint
- Microsoft Skype para Empresas
- Microsoft Stream
- Microsoft Teams
- Microsoft para fazer
- Microsoft Visio
- Microsoft Word
- Microsoft Yammer
- Quadro Branco da Microsoft
- Administrador do Microsoft 365
Observações
- As aplicações cliente aprovadas suportam a funcionalidade de gestão de aplicações móveis do Intune.
- O requisito Exigir aplicativo cliente aprovado :
- Suporta apenas iOS e Android para condição de plataforma de dispositivo.
- Requer um aplicativo de corretagem para registrar o dispositivo. O aplicativo de corretagem pode ser o Microsoft Authenticator para iOS ou o Microsoft Authenticator ou o Microsoft Company Portal para dispositivos Android.
- O Acesso Condicional não pode considerar o Microsoft Edge no modo InPrivate um aplicativo cliente aprovado.
- As políticas de Acesso Condicional que exigem o Microsoft Power BI como um aplicativo cliente aprovado não oferecem suporte ao uso do proxy de aplicativo Microsoft Entra para conectar o aplicativo móvel do Power BI ao Servidor de Relatório do Power BI local.
- WebViews hospedados fora do Microsoft Edge não satisfazem a política de aplicativo cliente aprovada. Por exemplo: se um aplicativo estiver tentando carregar o SharePoint em um modo de exibição da Web, as políticas de proteção do aplicativo falharão.
Consulte Exigir aplicativos cliente aprovados para acesso a aplicativos na nuvem com Acesso Condicional para obter exemplos de configuração.
Pedir uma política de proteção de aplicações
Na política de Acesso Condicional, pode exigir que esteja presente uma política de proteção de aplicações do Intune na aplicação cliente antes de o acesso estar disponível para as aplicações selecionadas. Essas políticas de proteção de aplicativos de gerenciamento de aplicativos móveis (MAM) permitem que você gerencie e proteja os dados da sua organização em aplicativos específicos.
Para aplicar esse controle de concessão, o Acesso Condicional requer que o dispositivo esteja registrado no Microsoft Entra ID, o que requer o uso de um aplicativo de broker. O aplicativo de corretagem pode ser o Microsoft Authenticator para iOS ou o Portal da Empresa Microsoft para dispositivos Android. Se um aplicativo de corretor não estiver instalado no dispositivo quando o usuário tentar autenticar, o usuário será redirecionado para a loja de aplicativos para instalar o aplicativo de corretor. O aplicativo Microsoft Authenticator pode ser usado como o aplicativo de corretagem, mas não suporta ser direcionado como um aplicativo cliente aprovado. As políticas de proteção de aplicações estão geralmente disponíveis para iOS e Android e em pré-visualização pública para o Microsoft Edge no Windows. Os dispositivos Windows não suportam mais do que três contas de utilizador do Microsoft Entra na mesma sessão. Para obter mais informações sobre como aplicar a política a dispositivos Windows, consulte o artigo Exigir uma política de proteção de aplicativo em dispositivos Windows (visualização).
Os aplicativos devem atender a determinados requisitos para oferecer suporte a políticas de proteção de aplicativos. Os desenvolvedores podem encontrar mais informações sobre esses requisitos na seção Aplicativos que você pode gerenciar com políticas de proteção de aplicativos.
Os seguintes aplicativos cliente oferecem suporte a essa configuração. Esta lista não é exaustiva e está sujeita a alterações. Se o seu aplicativo não estiver na lista, verifique com o fornecedor do aplicativo para confirmar o suporte:
- Aplicação Adobe Acrobat Reader para dispositivos móveis
- iAnnotate para o Office 365
- Microsoft Cortana
- Microsoft Dynamics 365 para telefones
- Vendas do Microsoft Dynamics 365
- Borda da Microsoft
- Microsoft Excel
- Microsoft Power Automate
- Iniciador da Microsoft
- Listas da Microsoft
- Microsoft Loop
- Microsoft Office
- Microsoft OneDrive
- Microsoft OneNote
- Microsoft Outlook
- Planejador Microsoft
- Microsoft Power BI
- Microsoft PowerApps
- Microsoft PowerPoint
- Microsoft SharePoint
- Microsoft Stream Mobile Nativo 2.0
- Microsoft Teams
- Microsoft para fazer
- Microsoft Word
- Serviços Microsoft Whiteboard
- MultiLine para Intune
- Nine Mail - Email e Calendário
- Notate para Intune
- Provectus - Contactos Seguros
- Viva Engage (Android, iOS e iPadOS)
- Aplicação Windows (Android, iOS/iPadOS e Microsoft Edge no Windows)
Nota
Kaizala, Skype for Business e Visio não oferecem suporte à concessão da política Exigir proteção de aplicativo . Se você precisar que esses aplicativos funcionem, use exclusivamente a concessão Exigir aplicativos aprovados . A utilização da cláusula "ou" entre as duas subvenções não funcionará para estas três candidaturas.
Consulte Exigir política de proteção de aplicativo e um aplicativo cliente aprovado para acesso a aplicativos na nuvem com Acesso Condicional para obter exemplos de configuração.
Exigir alteração da palavra-passe
Quando o risco do usuário é detetado, os administradores podem empregar as condições da política de risco do usuário para que o usuário altere uma senha com segurança usando a redefinição de senha de autoatendimento do Microsoft Entra. Os utilizadores podem executar uma redefinição de palavra-passe autónoma para se auto-remediarem. Esse processo fecha o evento de risco do usuário para evitar alertas desnecessários para administradores.
Quando um usuário é solicitado a alterar uma senha, ele primeiro é obrigado a concluir a autenticação multifator. Certifique-se de que todos os utilizadores se registam para autenticação multifator, para que estejam preparados para o caso de ser detetado um risco para a respetiva conta.
Aviso
Os usuários devem ter se registrado previamente para autenticação multifator antes de acionar a política de risco do usuário.
As seguintes restrições se aplicam quando você configura uma política usando o controle de alteração de senha:
- A política deve ser atribuída a Todos os recursos. Esse requisito impede que um invasor use um aplicativo diferente para alterar a senha do usuário e redefinir o risco da conta entrando em um aplicativo diferente.
- Exigir alteração de senha não pode ser usado com outros controles, como exigir um dispositivo compatível.
- O controle de alteração de senha só pode ser usado com a condição de atribuição de usuário e grupo, condição de atribuição de aplicativo na nuvem (que deve ser definida como "todos") e condições de risco do usuário.
Exigir remediação de riscos
Quando o risco do utilizador é detetado, os utilizadores podem auto-remediar-se completando o fluxo de remediação apropriado, independentemente do seu método de autenticação. A política de remediação gerida pela Microsoft no Acesso Condicional acomoda todos os métodos de autenticação, incluindo baseados em palavra-passe e sem palavra-passe. Para mais informações, consulte Exigir remediação de riscos com remediação gerida pela Microsoft (pré-visualização).
Quando seleciona Exigir remediação de riscos como controlo de subsídios, as seguintes definições são automaticamente aplicadas à política:
- Exigir força de autenticação
- Frequência de início de sessão - Sempre
Quando um utilizador é obrigado a remediar riscos com este controlo selecionado, os utilizadores são convidados a iniciar sessão imediatamente após a revogação das suas sessões. Selecionar este controlo de concessões significa que, se o utilizador acabou de iniciar sessão mas estiver em risco, será solicitado a iniciar sessão novamente. O risco é eliminado após o utilizador assinar com sucesso pela segunda vez.
Termos de utilização
Se sua organização criou termos de uso, outras opções podem estar visíveis em controles de concessão. Essas opções permitem que os administradores exijam o reconhecimento dos termos de uso como condição para acessar os recursos que a política protege. Você pode encontrar mais informações sobre os termos de uso em Termos de uso do Microsoft Entra.
Múltiplos controlos de subvenções
Quando vários controles de concessão se aplicam a um usuário, entenda que as políticas de Acesso Condicional seguem uma ordem de validação específica por design. Por exemplo, se um usuário tiver duas políticas que exigem autenticação multifator (MFA) e Termos de Uso (ToU), o Acesso Condicional validará primeiro a declaração de MFA do usuário e, em seguida, o ToU.
- Se uma declaração de MFA válida não estiver no token, você verá uma "interrupção" (MFA pendente) e uma falha para ToU nos logs, mesmo que o ToU tenha sido aceito em um login anterior.
- Depois de concluir a autenticação multifator, uma segunda entrada de log aparece, validando o ToU. Se o usuário já aceitou o ToU, você verá sucesso para MFA e ToU.
- Se um pedido de MFA válido estiver presente no token, um único registo indicará sucesso tanto para MFA como para ToU.
Se várias políticas forem aplicadas a um usuário que exija MFA, Estado do Dispositivo e ToU, o processo será semelhante. A ordem de validação é MFA, Device State e, em seguida, ToU.
Controlos personalizados (pré-visualização)
Os controlos personalizados são uma capacidade de pré-visualização do Microsoft Entra ID. O uso de controles personalizados redireciona seus usuários para um serviço compatível para satisfazer os requisitos de autenticação separados do Microsoft Entra ID. Para obter mais informações, consulte o artigo Controles personalizados .