Acesso condicional: filtro para aplicativos

  • Artigo

Atualmente, as políticas de Acesso Condicional podem ser aplicadas a todos os aplicativos ou a aplicativos individuais. As organizações com um grande número de aplicativos podem achar esse processo difícil de gerenciar em várias políticas de Acesso Condicional.

Os filtros de aplicativo para Acesso Condicional permitem que as organizações marquem entidades de serviço com atributos personalizados. Esses atributos personalizados são adicionados às suas políticas de Acesso Condicional. Os filtros para aplicativos são avaliados no tempo de execução de emissão de token, uma pergunta comum é se os aplicativos são atribuídos em tempo de execução ou tempo de configuração.

Neste documento, você cria um conjunto de atributos personalizados, atribui um atributo de segurança personalizado ao seu aplicativo e cria uma política de Acesso Condicional para proteger o aplicativo.

Atribuir funções

Os atributos de segurança personalizados são sensíveis à segurança e só podem ser gerenciados por usuários delegados. Mesmo os Administradores Globais não têm permissões padrão para atributos de segurança personalizados. Uma ou mais das seguintes funções devem ser atribuídas aos usuários que gerenciam ou relatam esses atributos.

Nome da função Description
Administrador de Atribuição de Atributos Atribua chaves e valores de atributos de segurança personalizados a objetos do Microsoft Entra suportados.
Leitor de atribuição de atributos Leia chaves e valores de atributos de segurança personalizados para objetos do Microsoft Entra suportados.
Administrador de Definição de Atributo Definir e gerenciar a definição de atributos de segurança personalizados.
Leitor de definição de atributo Leia a definição de atributos de segurança personalizados.

Atribua a função apropriada aos usuários que gerenciam ou relatam esses atributos no escopo do diretório. Para obter etapas detalhadas, consulte Atribuir uma função.

Criar atributos de segurança personalizados

Siga as instruções no artigo, Adicionar ou desativar atributos de segurança personalizados no Microsoft Entra ID para adicionar o seguinte conjunto de atributos e Novos atributos.

  • Crie um conjunto de atributos chamado ConditionalAccessTest.
  • Crie novos atributos chamados policyRequirement que permitem a atribuição de vários valores e permitem apenas a atribuição de valores predefinidos. Adicionamos os seguintes valores predefinidos:
    • legacyAuthAllowed
    • blockGuestUsers
    • exigirAMF
    • requireCompliantDevice
    • requireHybridJoinedDevice
    • requireCompliantApp

Uma captura de tela mostrando o atributo de segurança personalizado e valores predefinidos no Microsoft Entra ID.

Nota

Os filtros de acesso condicional para aplicativos só funcionam com atributos de segurança personalizados do tipo "string". Os Atributos de Segurança Personalizados suportam a criação do tipo de dados booleano, mas a Política de Acesso Condicional suporta apenas "string".

Criar uma política de Acesso Condicional

Uma captura de tela mostrando uma política de Acesso Condicional com a janela de filtro de edição mostrando um atributo de require MFA.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional e Leitor de Definição de Atributo.
  2. Navegue até Acesso condicional de proteção>.
  3. Selecione Nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione Todos os usuários.
    2. Em Excluir, selecione Usuários e grupos e escolha as contas de acesso de emergência ou de quebra-vidro da sua organização.
    3. Selecionar Concluído.
  6. Em Recursos de destino, selecione as seguintes opções:
    1. Selecione o que esta política se aplica às aplicações na nuvem.
    2. Incluir aplicativos selecionados.
    3. Selecione Editar filtro.
    4. Defina Configurar como Sim.
    5. Selecione o Atributo que criamos anteriormente chamado policyRequirement.
    6. Defina Operador como Contém.
    7. Defina Value como requireMFA.
    8. Selecionar Concluído.
  7. Em Conceder controles>de acesso, selecione Conceder acesso, Exigir autenticação multifator e selecione Selecionar.
  8. Confirme suas configurações e defina Habilitar política como Somente relatório.
  9. Selecione Criar para criar para habilitar sua política.

Depois que os administradores confirmarem as configurações usando o modo somente relatório, eles poderão mover a alternância Habilitar política de Somente relatório para Ativado.

Configurar atributos personalizados

Etapa 1: Configurar um aplicativo de exemplo

Se você já tiver um aplicativo de teste que usa uma entidade de serviço, poderá ignorar esta etapa.

Configure um aplicativo de exemplo que demonstre como um trabalho ou um serviço do Windows pode ser executado com uma identidade de aplicativo, em vez da identidade de um usuário. Siga as instruções no artigo Guia de início rápido: obter um token e chamar a API do Microsoft Graph usando a identidade de um aplicativo de console para criar esse aplicativo.

Etapa 2: Atribuir um atributo de segurança personalizado a um aplicativo

Quando você não tem uma entidade de serviço listada em seu locatário, ela não pode ser direcionada. O pacote do Office 365 é um exemplo de uma dessas entidades de serviço.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional e Administrador de Atribuição de Atributos.
  2. Navegue até Aplicativos de identidade>>Aplicativos corporativos.
  3. Selecione a entidade de serviço à qual deseja aplicar um atributo de segurança personalizado.
  4. Em Gerenciar>atributos de segurança personalizados, selecione Adicionar atribuição.
  5. Em Conjunto de atributos, selecione ConditionalAccessTest.
  6. Em Nome do atributo, selecione policyRequirement.
  7. Em Valores atribuídos, selecione Adicionar valores, selecione requireMFA na lista e, em seguida, selecione Concluído.
  8. Selecione Guardar.

Etapa 3: Testar a política

Entre como um usuário ao qual a política se aplicaria e teste para ver se o MFA é necessário ao acessar o aplicativo.

Outros cenários

  • Bloqueando a autenticação herdada
  • Bloquear o acesso externo às aplicações
  • Exigir políticas de proteção de dispositivo ou aplicativo do Intune compatíveis
  • Impondo controles de frequência de entrada para aplicativos específicos
  • Exigindo uma estação de trabalho de acesso privilegiado para aplicativos específicos
  • Exigir controles de sessão para usuários de alto risco e aplicativos específicos

Conteúdos relacionados

Modelos de Acesso Condicional

Determinar o efeito usando o modo somente relatório de Acesso Condicional

Use o modo somente relatório para Acesso Condicional para determinar os resultados de novas decisões de política.