Definir políticas de acesso condicional

O Acesso Condicional é a proteção do conteúdo regulamentado em um sistema, exigindo que determinados critérios sejam atendidos antes de conceder acesso ao conteúdo. As políticas de Acesso Condicional em suas instruções mais simples são afirmações do tipo se-então. Se um usuário quiser acessar um recurso, então ele deverá concluir uma ação. Por exemplo, um gerente de folha de pagamento deseja acessar o aplicativo de folha de pagamento e é necessário executar a MFA (autenticação multifator) para fazê-lo.

Usando o Acesso Condicional, você pode atingir dois objetivos principais:

• Capacite os usuários a serem produtivos em qualquer lugar e a qualquer momento.
• Proteger os ativos da sua organização.

Usando políticas de acesso condicional, você pode aplicar os controles de acesso corretos quando necessário para manter sua organização segura e ficar fora do caminho do usuário quando não for necessário.

A frequência com que um usuário é solicitado a reauthenticar depende Microsoft Entra configuração de tempo de vida da sessão. Embora lembrar credenciais seja conveniente, ele também pode tornar as implantações para cenários enterprise usando dispositivos pessoais menos seguros. Para proteger seus usuários, você pode garantir que o cliente peça Microsoft Entra credenciais de autenticação multifator com mais frequência. Você pode usar a frequência de entrada do Acesso Condicional para configurar esse comportamento.

Atribuir uma política de Acesso Condicional para PCs na nuvem

As políticas de Acesso Condicional não são definidas para seu locatário por padrão. Você pode direcionar as políticas de AC ao aplicativo interno do PC na nuvem usando uma das seguintes plataformas:

• Azure. Para obter mais informações, consulte Microsoft Entra Acesso Condicional.
• Microsoft Intune. As etapas a seguir explicam esse processo. Para obter mais informações, confira Saiba mais sobre o Acesso Condicional e o Intune.

Não importa qual método você usa, as políticas serão impostas no portal do Usuário Final do PC na nuvem e na conexão com o PC na nuvem.

1. Entre no centro de administração Microsoft Intune, selecioneAcesso> condicional de segurança> do pontode extremidade Criar nova política.

2. Forneça um Nome para sua política de Acesso Condicional específica.

3. Em Usuários, selecione 0 usuários e grupos selecionados.

4. Na guia Incluir, selecione Selecionar usuários e grupos> marcar Usuários e grupos> em Selecionar, escolha 0 usuários e grupos selecionados.

5. No novo painel que é aberto, pesquise e selecione o usuário ou grupo específico que você deseja direcionar com a política de AC e escolha Selecionar.

6. Em Recursos de destino, selecione Nenhum recurso de destino selecionado.

7. Na guia Incluir , escolha Selecionar aplicativos> em Selecionar, escolha Nenhum.

8. No painel Selecionar , pesquise e selecione os seguintes aplicativos com base nos recursos que você está tentando proteger:

   • Windows 365 (ID do aplicativo 0af06dc6-e4b5-4f28-818e-e78e62d137a5). Você também pode pesquisar por "nuvem" para encontrar este aplicativo. Esse aplicativo é usado ao recuperar a lista de recursos para o usuário e quando os usuários iniciam ações em seu COMPUTADOR na Nuvem, como Reiniciar.
   • Área de Trabalho Virtual do Azure (ID do aplicativo 9cdead84-a844-4324-93f2-b2e6bb768d07). Esse aplicativo também pode aparecer como Área de Trabalho Virtual do Windows. Esse aplicativo é usado para autenticar no Gateway de Área de Trabalho Virtual do Azure durante a conexão e quando o cliente envia informações de diagnóstico para o serviço.
   • Área de Trabalho Remota da Microsoft (ID do aplicativo a4a365df-50f1-4397-bc59-1a1564b8bb9c) e Windows Cloud Login (ID do aplicativo 270efc09-cd0d-444b-a71f-39af4910ec45). Esses aplicativos só são necessários quando você configura o logon único em uma política de provisionamento. Esses aplicativos são usados para autenticar usuários no PC na Nuvem.

   É recomendável corresponder às políticas de acesso condicional entre esses aplicativos. Isso garante que a política se aplique ao portal do usuário final do CLOUD PC, à conexão com o Gateway e o PC na Nuvem para uma experiência consistente. Se você quiser excluir aplicativos, você também deve escolher todos esses aplicativos.

   Importante

   Com o SSO habilitado, a autenticação para o PC na Nuvem usa o aplicativo Área de Trabalho Remota da Microsoft Entra ID hoje. Uma alteração futura fará a transição da autenticação para o aplicativo Windows Cloud Login Entra ID. Para garantir uma transição suave, você precisa adicionar ambos os aplicativos entra ID às suas políticas de AC.

   Observação

   Se você não vir o aplicativo de Logon na Nuvem do Windows ao configurar sua política de acesso condicional, use as etapas abaixo para criar o aplicativo. Você deve ter permissões de Proprietário ou Colaborador na assinatura para fazer estas alterações:

   1. Entre no Portal do Azure.
   2. Selecione Assinaturas na lista de Serviços do Azure.
   3. Selecione o nome da assinatura.
   4. Selecione Provedores de recursos e selecione Microsoft.DesktopVirtualization.
   5. Selecione Registrar na parte superior.

   Depois que o provedor de recursos é registrado, o aplicativo de Logon na Nuvem do Windows aparece na configuração da política de acesso condicional ao selecionar aplicativos para aplicar a política. Se você não estiver usando a Área de Trabalho Virtual do Azure, poderá cancelar o registro do provedor de recursos Microsoft.DesktopVirtualization depois que o aplicativo de Logon na Nuvem do Windows estiver disponível.

9. Se você quiser ajustar sua política, em Grant, escolha 0 controles selecionados.

10. No painel Conceder , escolha as opções de concessão ou bloqueio de acesso que você deseja aplicar a todos os objetos atribuídos a essa política >Selecione.

11. Se você quiser testar sua política primeiro, em Habilitar política, selecioneSomente Relatório. Se você definir como Ativado, a política será aplicada assim que você a criar.

12. Selecionar Criar para criar a política.

Você pode ver sua lista de políticas ativas e inativas na exibição de Políticas da interface do usuário de Acesso Condicional.

Configurar a frequência de entrada

As políticas de frequência de entrada permitem definir o período de tempo após o qual um usuário deve provar sua identidade novamente ao acessar recursos baseados em Microsoft Entra. Isso pode ajudar a proteger seu ambiente e é especialmente importante para dispositivos pessoais, em que o sistema operacional local pode não exigir MFA ou não ser bloqueado automaticamente após a inatividade.

As políticas de frequência de entrada resultam em um comportamento diferente com base no aplicativo Microsoft Entra selecionado:

Nome do aplicativo	ID do aplicativo	Comportamento
Windows 365	0af06dc6-e4b5-4f28-818e-e78e62d137a5	Impõe a autenticação novamente quando um usuário recupera sua lista de PCs na Nuvem e quando os usuários iniciam ações em seu COMPUTADOR na Nuvem, como Reiniciar.
Área de Trabalho Virtual do Azure	9cdead84-a844-4324-93f2-b2e6bb768d07	Impõe a autenticação novamente quando um usuário se autentica no Gateway de Área de Trabalho Virtual do Azure durante uma conexão.
Área de Trabalho Remota da Microsoft Logon na Nuvem do Windows	a4a365df-50f1-4397-bc59-1a1564b8bb9c 270efc09-cd0d-444b-a71f-39af4910ec45	Impõe a autenticação novamente quando um usuário entra no PC de Nuvem quando o logon único está habilitado. Ambos os aplicativos devem ser configurados juntos, pois os clientes em breve mudarão de usar o aplicativo Área de Trabalho Remota da Microsoft para o aplicativo de Logon na Nuvem do Windows para se autenticar no PC na Nuvem.

Para configurar o período de tempo após o qual um usuário é solicitado a entrar novamente:

1. Abra a política que você criou anteriormente.
2. Em Sessão, selecione 0 controles selecionados.
3. No painel Sessão , selecione Frequência de entrada.
4. Selecione Reauthenticação periódica ou Sempre.
   • Se você selecionar reauthenticação periódica, defina o valor para o período de tempo após o qual um usuário será solicitado a entrar novamente >Selecione. Por exemplo, definir o valor como 1 e a unidade como Horas requer autenticação multifator se uma conexão for iniciada mais de uma hora após a última.
   • A opção Every time está atualmente disponível em versão prévia pública e só tem suporte quando aplicada aos aplicativos Área de Trabalho Remota da Microsoft e Logon na Nuvem do Windows quando o logon único está habilitado para seus PCs na Nuvem. Se você selecionar Todas as vezes, os usuários serão solicitados a se autenticar novamente após um período de 10 a 15 minutos após a última vez que eles se autenticaram para os aplicativos Área de Trabalho Remota da Microsoft e Logon da Nuvem do Windows.
5. Na parte inferior da página, selecione Salvar.

Observação

• A autenticação nova só acontece quando um usuário deve se autenticar em um recurso. Depois que uma conexão é estabelecida, os usuários não são solicitados mesmo que a conexão dure mais do que a frequência de entrada configurada.
• Os usuários devem se autenticar novamente se houver uma interrupção de rede que force a sessão a ser restabelecida após a frequência de entrada. Isso pode levar a solicitações de autenticação mais frequentes em redes instáveis.

Próximas etapas

Gerenciar redirecionamentos de dispositivo RDP