Criando uma política de acesso condicional

Conforme explicado no artigo O que é Acesso Condicional, uma política de Acesso Condicional é uma instrução if-then de Atribuições e controles de Acesso. Uma política de Acesso Condicional combina sinais para tomar decisões e aplicar políticas organizacionais.

Como uma organização cria essas políticas? O que é necessário? Como são aplicados?

Várias políticas de Acesso Condicional podem ser aplicadas a um usuário individual a qualquer momento. Neste caso, todas as políticas aplicáveis devem ser cumpridas. Por exemplo, se uma política requer autenticação multifator e outra requer um dispositivo compatível, você deve concluir a MFA e usar um dispositivo compatível. Todas as atribuições são logicamente combinadas usando AND. Se você tiver mais de uma atribuição configurada, todas as atribuições deverão ser satisfeitas para acionar uma política.

Se uma política com "Exigir um dos controles selecionados" estiver selecionada, os prompts aparecerão na ordem definida. Uma vez cumpridos os requisitos da política, o acesso é concedido.

Todas as políticas são aplicadas em duas fases:

• Fase 1: Coletar detalhes da sessão
  • Reúna os detalhes da sessão, como a localização da rede e a identidade do dispositivo, necessários para a avaliação da política.
  • A fase 1 da avaliação de políticas ocorre para políticas ativadas e políticas no modo de apenas relatório .
• Fase 2: Execução
  • Use os detalhes da sessão reunidos na fase 1 para identificar quaisquer requisitos que não sejam atendidos.
  • Se houver uma política configurada com o controle bloquear e conceder, a aplicação será interrompida aqui e o utilizador será bloqueado.
  • O usuário é solicitado a concluir mais requisitos de controle de concessão que não foram satisfeitos durante a fase 1 na seguinte ordem, até que a política seja satisfeita:
    1. Autenticação multifator
    2. Dispositivo a ser marcado como compatível
    3. Microsoft Entra dispositivo híbrido unido
    4. Aplicativo cliente aprovado
    5. Política de proteção de aplicativos
    6. Alteração de palavra-passe
    7. Termos de utilização
    8. Controles personalizados
  • Quando todos os controles de concessão forem satisfeitos, os controles de sessão serão aplicados (App Enforced, Microsoft Defender for Cloud Apps e tempo de vida do token).
  • A fase 2 da avaliação de políticas ocorre para todas as políticas habilitadas.

Atribuições

A seção atribuições define quem, o quê e onde para a política de Acesso Condicional.

Utilizadores e grupos

Usuários e grupos determinam quem a política deve incluir ou excluir quando aplicada. Essa atribuição pode incluir todos os usuários, grupos específicos de usuários, funções de diretório ou usuários convidados externos. As organizações com licenças do Microsoft Entra Workload ID também podem direcionar identidades de carga de trabalho .

As políticas direcionadas a funções ou grupos são avaliadas somente quando um token é emitido. Isto significa:

• Os usuários recém-adicionados a uma função ou grupo não estão sujeitos à política até receberem um novo token.
• Se um usuário já tiver um token válido antes de ser adicionado à função ou grupo, a política não se aplica retroativamente.

A prática recomendada é acionar a avaliação de Acesso Condicional durante a ativação de função ou associação de grupo usando o Microsoft Entra Privileged Identity Management.

Recursos alvo

Recursos de destino podem incluir ou excluir aplicativos em nuvem, ações do usuário ou contextos de autenticação sujeitos à política.

Rede

Network contém endereços IP, geografias e de rede compatível com Acesso Seguro Global às decisões da política de Acesso Condicional. Os administradores podem definir locais e marcar alguns como confiáveis, como os locais de rede principais de sua organização.

Condições

Uma política pode conter várias condições .

Risco de login

Para organizações com Microsoft Entra ID Proteção, as deteções de risco geradas podem influenciar as suas políticas de Acesso Condicional.

Plataformas de dispositivos

As organizações com várias plataformas de sistema operacional de dispositivo podem aplicar políticas específicas em plataformas diferentes.

As informações usadas para determinar a plataforma do dispositivo vêm de fontes não verificadas, como cadeias de caracteres do agente do usuário que podem ser alteradas.

Aplicativos cliente

O software que o usuário está empregando para acessar o aplicativo em nuvem. Por exemplo, 'Browser' e 'Aplicações móveis e clientes de ambiente de trabalho'. Por padrão, todas as políticas de Acesso Condicional recém-criadas se aplicam a todos os tipos de aplicativos cliente, mesmo que a condição de aplicativos cliente não esteja configurada.

Filtro para dispositivos

Esse controle permite segmentar dispositivos específicos com base em seus atributos em uma política.

Controlos de acesso

A parte de controles de acesso da política de Acesso Condicional controla como uma política é imposta.

Subvenção

Grant fornece aos administradores de sistema um meio de aplicar políticas, permitindo-lhes bloquear ou conceder acesso.

Bloquear acesso

Bloquear acesso bloqueia o acesso sob as atribuições especificadas. Este controlo é poderoso e requer conhecimentos adequados para ser utilizado de forma eficaz.

Conceder acesso

O controlo das subvenções desencadeia a execução de um ou mais controlos.

• Exigir autenticação multifator
• Exigir força de autenticação
• Exigir que o dispositivo seja marcado como compatível (Intune)
• Exigir dispositivo associado híbrido Microsoft Entra
• Exigir aplicativo cliente aprovado
• Exigir política de proteção de aplicativos
• Exigir alteração de senha
• Exigir termos de utilização

Os administradores optam por exigir um dos controles anteriores ou todos os controles selecionados usando as opções a seguir. Por padrão, vários controles exigem todos.

• Requer todos os controles selecionados (controle e controle)
• Exigir um dos controles selecionados (controle ou controle)

Sessão

Controles de sessão podem limitar a experiência dos usuários.

• Utilize as restrições aplicadas pela app:
  • Funciona apenas com o Exchange Online e o SharePoint Online.
  • Passa as informações do dispositivo para controlar a experiência, concedendo acesso total ou limitado.
• Utilize o Controlo de Aplicações de Acesso Condicional
  • Usa sinais do Microsoft Defender for Cloud Apps para fazer coisas como:
    • Bloqueie o download, corte, cópia e impressão de documentos confidenciais.
    • Monitore o comportamento de risco da sessão.
    • Exigir a rotulagem de arquivos confidenciais.
• Frequência de início de sessão:
  • Capacidade de alterar a frequência de entrada padrão para autenticação moderna.
• Sessão persistente do navegador:
  • Permite que os usuários permaneçam conectados depois de fechar e reabrir a janela do navegador.
• Personalize a avaliação contínua do acesso.
• Desative os padrões de resiliência.

Políticas simples

Uma política de Acesso Condicional deve incluir pelo menos o seguinte a ser imposto:

• Nome da política
• Atribuições
  • Usuários e/ou grupos para aplicar a política
  • Direcionar recursos para aplicar a política a
• Controles de acesso
  • Conceder ou Bloquear controlos

O artigo Políticas comuns de acesso condicional inclui políticas que podem ser úteis para a maioria das organizações.

Conteúdo relacionado

• Políticas de Acesso Condicional comuns

• Gerenciando a conformidade do dispositivo com o Intune

• Microsoft Defender para aplicativos de nuvem e acesso condicional