Construindo uma política de acesso condicional

Conforme explicado no artigo o que é acesso condicional, uma política de acesso condicional é uma instrução if-then, de atribuições e controles de acesso. Uma política de acesso condicional reúne sinais para tomar decisões e impor políticas organizacionais.

Como uma organização cria essas políticas? O que é necessário? Como eles são aplicados?

Várias políticas de acesso condicional podem se aplicar a um usuário individual a qualquer momento. Nesse caso, todas as políticas que se aplicam devem ser atendidas. Por exemplo, se uma política solicitar a autenticação multifator e outra solicitar um dispositivo em conformidade, concluía a MFA e use um dispositivo em conformidade. Todas as atribuições são avaliadas com AND lógicos. Se você tiver mais de uma atribuição configurada, todas as atribuições deverão ser atendidas para disparar uma política.

Se uma política em que "Exigir um dos controles selecionados" estiver selecionada, solicitaremos na ordem definida e, assim que os requisitos de política forem atendidos, o acesso será concedido.

Todas as políticas são impostas em duas fases:

• Fase 1: coletar detalhes da sessão
  • Colete detalhes da sessão, como o local de rede e a identidade do dispositivo que serão necessários para a avaliação da política.
  • A fase 1 da avaliação de política ocorre para políticas e políticas habilitadas no modo somente de relatório.
• Fase 2: imposição
  • Use os detalhes da sessão coletados na fase 1 para identificar os requisitos que não foram atendidos.
  • Se houver uma política configurada para bloquear o acesso, com o controle de concessão de bloqueio, a imposição será interrompida aqui e o usuário será bloqueado.
  • O usuário será solicitado a concluir mais requisitos de controle de concessão que não foram atendidos durante a fase 1 na seguinte ordem, até que a política seja satisfeita:
    1. Autenticação multifator
    2. Dispositivo ser marcado como em conformidade
    3. Dispositivo ingressado no Microsoft Entra híbrido
    4. Aplicativo do cliente aprovado
    5. Política de proteção do aplicativo
    6. Alteração de senha
    7. Termos de uso
    8. Controles personalizados
  • Depois que todos os controles de concessão forem satisfeitos, aplique os controles de sessão (App Enforced, Microsoft Defender for Cloud App e o Tempo de vida do token)
  • A fase 2 da avaliação de política ocorre para todas as políticas habilitadas.

Atribuições

A parte de atribuições controla quem, e onde a política de Acesso Condicional.

Usuários e grupos

Usuários e grupos atribuem quem a política incluirá ou excluirá. Essa atribuição pode incluir todos os usuários, grupos específicos de usuários, funções de diretório ou usuários convidados externos.

Aplicativos na nuvem ou ações

Os aplicativos de nuvem ou as ações podem incluir ou excluir aplicativos de nuvem, ações do usuário ou contextos de autenticação que estarão sujeitos à política.

Condições

Uma política pode conter várias condições.

Risco de entrada

Para organizações com Microsoft Entra ID Protection, as detecções de risco geradas podem influenciar suas políticas de acesso condicional.

Plataformas de dispositivo

As organizações com várias plataformas de sistema operacional de dispositivos podem querer impor políticas específicas em diferentes plataformas.

As informações usadas para calcular a plataforma de dispositivo vêm de fontes não verificadas, como cadeias de caracteres de agente do usuário que podem ser alteradas.

Locais

Os locais conectam endereços IP, geografias e a Rede em conformidade com o Acesso Seguro Global às decisões de política de Acesso Condicional. Os administradores podem optar por definir locais e marcar alguns deles como confiáveis para os locais de rede principais de suas organizações.

Aplicativos cliente

O software que o usuário está usando para acessar o aplicativo na nuvem. Por exemplo, 'Navegador' e 'Clientes de aplicativos móveis e de desktop'. Por padrão, todas as políticas de Acesso Condicional recém-criadas serão aplicadas a todos os tipos de aplicativo cliente, mesmo se a condição dos aplicativos cliente não estiver configurada.

O comportamento da condição de aplicativos cliente foi atualizado em agosto de 2020. Se já existirem políticas de Acesso Condicional, elas permanecerão inalteradas. No entanto, se você selecionar uma política existente, a opção de alternância Configurar será removida e os aplicativos cliente aos quais a política se aplica serão selecionados.

Filtro para dispositivos

Esse controle permite direcionar dispositivos específicos com base em seus atributos para uma política.

Controles de acesso

A parte controles de acesso da política de acesso condicional controla como uma política é imposta.

Conceder

Grant fornece aos administradores um meio de imposição de política onde eles podem bloquear ou conceder acesso.

Bloquear acesso

Bloquear acesso faz exatamente isso, ele bloqueará o acesso nas atribuições especificadas. O controle de bloco é poderoso e deve ser atraente com o conhecimento apropriado.

Permitir acesso

O controle de concessão pode disparar a imposição de um ou mais controles.

• Exigir autenticação multifator
• Exigir que o dispositivo seja marcado como em conformidade (Intune)
• Exigir um dispositivo ingressado no Microsoft Entra híbrido
• Exigir um aplicativo cliente aprovado
• Exigir uma política de proteção de aplicativo
• Exigir alteração de senha
• Requerer termos de uso

Os administradores podem optar por exigir um dos controles anteriores ou todos os controles selecionados usando as opções a seguir. O padrão para vários controles é exigir todos.

• Exigir todos os controles selecionados (controle e controle)
• Exigir um dos controles selecionados (controle ou controle)

Session

Controles de sessão podem limitar a experiência

• Usar restrições de aplicativo impostas
  • Atualmente, funciona somente com o Exchange Online e o SharePoint Online.
  • Passa informações do dispositivo para permitir o controle da experiência que concede acesso completo ou limitado.
• Usar o Controle de Aplicativos de Acesso Condicional
  • Usa sinais do Microsoft Defender for Cloud Apps a fim de fazer coisas como:
    • Bloquear download, cortar, copiar e imprimir documentos confidenciais.
    • Monitore o comportamento de sessão arriscada.
    • Exigir rotulagem de arquivos confidenciais.
• Frequência de entrada
  • Capacidade de alterar a frequência de entrada padrão para autenticação moderna.
• Sessão persistente do navegador
  • Permite que os usuários permaneçam conectados depois de fechar e reabrir a janela do navegador.
• Personalizar a avaliação contínua de acesso
• Desabilitar padrões de resiliência

Políticas simples

Uma política de acesso condicional deve conter, no mínimo, o seguinte para ser aplicado:

• Nome da política.
• Atribuições
  • Usuários e/ou grupos aos quais aplicar a política.
  • Aplicativos de nuvem ou ações às quais aplicar a política.
• Controles de acesso
  • Conceder ou Bloquear controles

O artigo políticas de acesso condicional comum inclui algumas políticas que achamos que seriam úteis para a maioria das organizações.

Próximas etapas

Criar uma política de Acesso Condicional

Usar o modo somente relatórios para acesso condicional a fim de determinar os resultados de decisões sobre políticas novas.

Planejar a implantação da autenticação multifator do Microsoft Entra baseada em nuvem

Gerenciando a conformidade do dispositivo com o Intune

Microsoft Defender for Cloud Apps e Acesso Condicional