Acesso condicional: aplicativos de nuvem, ações e contexto de autenticação

  • Artigo

Aplicativos de nuvem, ações e contexto de autenticação são sinais de chave em uma política de Acesso Condicional. Políticas de Acesso Condicional permitem que administradores atribuam controles a aplicativos ações ou contexto de autenticação específicos.

  • Os administradores podem escolher na lista de aplicativos que incluem aplicativos da Microsoft internos e aplicativos integrados do Azure AD incluindo aplicativos da galeria, que não são da galeria e os publicados por meio do Proxy de Aplicativo.
  • Os administradores podem optar por definir a política não com base em um aplicativo de nuvem, mas em uma ação do usuário, como Registrar informações de segurança ou Registrar ou adicionar dispositivos, permitindo o Acesso Condicional para impor controles em relação a essas ações.
  • Os administradores podem usar o contexto de autenticação para fornecer uma camada extra de segurança nos aplicativos.

Definir uma política de Acesso Condicional e especificar aplicativos de nuvem

Aplicativos em nuvem da Microsoft

Muitos aplicativos de nuvem da Microsoft existentes estão incluídos na lista de aplicativos entre os quais você pode selecionar.

Os administradores podem atribuir uma política de Acesso Condicional aos aplicativos de nuvem da Microsoft a seguir. Alguns aplicativos como o Office 365 e o Gerenciamento do Microsoft Azure incluem vários aplicativos ou serviços filho relacionados. Nós adicionamos continuamente mais aplicativos, portanto, a lista a seguir não é completa e está sujeita a alterações.

Importante

Os aplicativos que estão disponíveis para acesso condicional passaram por uma integração e um processo de validação. Essa lista não inclui todos os aplicativos da Microsoft, pois muitos são serviços de back-end e não devem ter uma política aplicada diretamente a eles. Se você está procurando por um aplicativo que está ausente, você pode entrar em contato com a equipe desse aplicativo específico ou fazer uma solicitação no UserVoice.

Office 365

O Microsoft 365 fornece serviços de produtividade e colaboração baseados em nuvem, como o Exchange, SharePoint e Microsoft Teams. Os serviços de nuvem do Microsoft 365 são profundamente integrados para que haja experiências contínuas e colaborativas. Essa integração pode causar confusão ao criar políticas, pois alguns aplicativos como o Microsoft Teams têm dependências de outros como SharePoint ou Exchange.

O pacote do Office 365 torna possível direcionar todos esses serviços de uma só vez. Recomendamos usar o novo pacote do Office 365 em vez de direcionar aplicativos de nuvem individuais para evitar problemas com dependências de serviço.

Direcionar esse grupo de aplicativos ajuda a evitar problemas que possam surgir devido a políticas e dependências inconsistentes. Por exemplo: o aplicativo Exchange Online está vinculado a dados tradicionais do Exchange Online, como e-mail, calendário e informações de contato. Os metadados relacionados podem ser expostos por meio de recursos diferentes, como a pesquisa. Para garantir que todos os metadados sejam protegidos conforme o esperado, os administradores devem atribuir políticas ao aplicativo Office 365.

Os administradores podem excluir todo o conjunto do Office 365 ou aplicativos de nuvem específicos do Office 365 da política de Acesso Condicional.

Os principais aplicativos abaixo são afetados pelo aplicativo de nuvem Office 365:

  • Exchange Online
  • Serviço de Pesquisa do Microsoft 365
  • Microsoft Forms
  • Microsoft Planner (ProjectWorkManagement)
  • Microsoft Stream
  • Microsoft Teams
  • Microsoft To-Do
  • Microsoft Flow
  • Portal do Microsoft Office 365
  • Aplicativo cliente do Microsoft Office
  • Microsoft To-Do WebApp
  • Microsoft Whiteboard Services
  • Office Delve
  • Office Online
  • OneDrive
  • Power Apps
  • Power Automate
  • Portal de conformidade e segurança
  • SharePoint online
  • Skype for Business Online
  • API do Administrador de Locatário do Skype e do Teams
  • Sway
  • Yammer

Uma lista completa de todos os serviços incluídos pode ser encontrada no artigo Aplicativos incluídos no pacote de aplicativos do Office 365 de Acesso Condicional.

Gerenciamento do Microsoft Azure

Quando a política de acesso condicional é direcionada ao aplicativo de gerenciamento do Microsoft Azure, dentro do seletor de aplicativos de política de acesso condicional, a política será imposta para tokens emitidos para IDs de aplicativo de um conjunto de serviços intimamente associados ao portal.

  • Azure Resource Manager
  • Portal do Azure, que também abrange o Centro de Administração do Microsoft Entra
  • Azure Data Lake
  • API do Application Insights
  • API do Log Analytics

Como a política é aplicada ao Portal de Gerenciamento do Azure e a API, os serviços ou os clientes com uma dependência do serviço de API do Azure podem ser afetados indiretamente. Por exemplo:

  • APIs de modelo de implantação clássico
  • Azure PowerShell
  • CLI do Azure
  • Azure DevOps
  • Portal do Azure Data Factory
  • Hubs de eventos do Azure
  • Barramento de Serviço do Azure
  • Banco de Dados SQL do Azure
  • Instância Gerenciada de SQL
  • Azure Synapse
  • Portal do administrador de assinaturas do Visual Studio
  • Central IoT da Microsoft

Observação

O aplicativo de Gerenciamento do Microsoft Azure se aplica ao Azure PowerShell, que chama a API do Azure Resource Manager. Ele não se aplica ao PowerShell do Azure AD, que chama a API do Microsoft Graph.

Para obter mais informações de como configurar uma política de exemplo para o Gerenciamento de Microsoft Azure, confira acesso condicional: exigir a MFA para o Gerenciamento do Azure.

Dica

Para o Azure Government, você deve ter como destino o aplicativo API de Gerenciamento de Nuvem do Azure Government.

Outros aplicativos

Os administradores podem adicionar qualquer aplicativo registrado no Azure AD a políticas de Acesso Condicional. Estes aplicativos podem incluir:

Observação

Como a política de acesso condicional define os requisitos para acessar um serviço, você não pode aplicá-lo a um aplicativo de cliente (público/nativo). Em outras palavras, a política não é definida diretamente em um aplicativo cliente (público/nativo), mas é aplicada quando um cliente chama um serviço. Por exemplo, uma política definida no serviço SharePoint se aplica aos clientes que chamam o SharePoint. Uma política definida no Exchange se aplica à tentativa de acessar o email usando o cliente do Outlook. É por isso que aplicativos cliente (públicos/nativos) não estão disponíveis para seleção no seletor de Aplicativos de Nuvem e a opção de Acesso Condicional não está disponível nas configurações do aplicativo para o aplicativo cliente (público/nativo) registrado em seu locatário.

Alguns aplicativos não aparecem no seletor. A única maneira de incluir esses aplicativos em uma política de acesso condicional é incluir Todos os aplicativos de nuvem.

Todos os aplicativos em nuvem

A aplicação de uma política de acesso condicional a Todos os aplicativos de nuvem resultará na imposição da política para todos os tokens emitidos para sites e serviços da Web. Essa opção inclui aplicativos que não podem ser direcionados individualmente na política de acesso condicional, como o Azure Active Directory.

Em alguns casos, uma política de Todos os aplicativos de nuvem poderia bloquear inadvertidamente o acesso do usuário. Esses casos são excluídos da imposição da política e incluem:

  • Serviços necessários para alcançar a postura de segurança desejada. Por exemplo, as chamadas de registro de dispositivo são excluídas da política de dispositivo em conformidade direcionada a todos os aplicativos de nuvem.

  • Chamadas para o Azure AD Graph e MS Graph, para acessar o perfil do usuário, a associação de grupo e as informações de relação que são comumente usadas por aplicativos excluídos da política. Os escopos excluídos são listados abaixo. O consentimento ainda é necessário para que os aplicativos usem essas permissões.

    • Para clientes nativos:
      • Azure AD Graph: email, offline_access, openid, perfil, User.read
      • MS Graph: User.read, People.read e UserProfile.read
    • Para clientes confidenciais/autenticados:
      • Azure AD Graph: email, offline_access, openid, perfil, User.read, User.read.all e User.readbasic.all
      • MS Graph: User.read,User.read.all, User.read.All People.read, People.read.all, GroupMember.Read.All, Member.Read.Hidden e UserProfile.read

Ações do usuário

As ações do usuário são tarefas que podem ser executadas por um usuário. Atualmente, o acesso condicional dá suporte a duas ações do usuário:

  • Registrar informações de segurança: essa ação do usuário permite que a política de acesso condicional se imponha quando os usuários habilitados para registro combinado tentarem registrar as informações de segurança deles. Mais informações podem ser encontradas no artigo Registro de informações de segurança combinadas.

  • Registrar ou ingressar dispositivos: essa ação do usuário permite que os administradores imponham a política de acesso condicional quando os usuários registrarem ou ingressarem em dispositivos no Azure AD. Isso fornece granularidade na configuração da autenticação multifator para registrar ou ingressar dispositivos, em vez de uma política de todo o locatário atualmente existente. Há três considerações importantes com essa ação do usuário:

    • Require multifactor authentication é o único controle de acesso disponível para essa ação do usuário e todos os outros estão desabilitados. Essa restrição impede conflitos com controles de acesso que dependem do registro de dispositivo do Azure AD ou que não se aplicam ao registro de dispositivos do Azure AD.
    • As condições Client apps, Filters for devices e Device state não estão disponíveis para essa ação do usuário, pois dependem do registro de dispositivo do Azure AD para impor as políticas de acesso condicional.
    • Quando uma política de acesso condicional é habilitada para essa ação do usuário, você precisa definir Azure Active Directory>Dispositivos>Configurações de Dispositivo - Devices to be Azure AD joined or Azure AD registered require Multifactor Authentication como Não. Caso contrário, a política de acesso condicional para essa ação do usuário não será imposta corretamente. Mais informações sobre essa configuração de dispositivo podem ser encontradas em Definir configurações do dispositivo.

Contexto de autenticação

O contexto de autenticação pode ser usado para proteger ainda mais dados e ações em aplicativos. Esses aplicativos podem ser seus próprios aplicativos personalizados, aplicativos de linha de negócios personalizados (LOB), aplicativos como o SharePoint ou aplicativos protegidos pelo Microsoft Defender para Aplicativos de Nuvem.

Por exemplo, uma organização pode manter arquivos em sites do SharePoint, como o menu de almoço ou sua receita de molho Barbecue secreta. Todos podem ter acesso ao site do menu de almoço, mas os usuários que têm acesso ao site de receita do molho Barbecue secreto podem precisar acessar de um dispositivo gerenciado e concordar com termos de uso específicos.

Configurar contextos de autenticação

Os contextos de autenticação são gerenciados no portal do Azure em Azure Active Directory>Segurança>Acesso Condicional>Contexto de autenticação.

Gerenciar o contexto de autenticação no portal do Azure

Crie novas definições de contexto de autenticação selecionando Novo contexto de autenticação no portal do Azure. As organizações estão limitadas a um total de 25 definições de contexto de autenticação. Configure os seguintes atributos:

  • Nome de exibição é o nome que é usado para identificar o contexto de autenticação no Azure AD e entre aplicativos que consomem contextos de autenticação. Recomendamos nomes que podem ser usados em todos os recursos, como "dispositivos confiáveis", para reduzir o número de contextos de autenticação necessários. Ter um conjunto reduzido limita o número de redirecionamentos e fornece uma experiência melhor para o usuário final.
  • Descrição fornece mais informações sobre as políticas que são usadas pelos administradores do Azure AD e aqueles que aplicam contextos de autenticação aos recursos.
  • A caixa de seleção Publicar nos aplicativos, quando marcada, anuncia o contexto de autenticação para aplicativos e os torna disponíveis para serem atribuídos. Se não tiver marcada, o contexto de autenticação não estará disponível para os recursos de downstream.
  • A ID é somente leitura e usada em tokens e aplicativos para definições de contexto de autenticação específicas da solicitação. Ela está listado aqui para solução de problemas e casos de uso de desenvolvimento.

Adicionar à política de Acesso Condicional

Os administradores podem selecionar contextos de autenticação publicados em suas políticas de Acesso Condicional em Atribuições>Aplicativos de nuvem ou ações e selecionar Contexto de autenticação no menu Selecione a que se aplica essa política.

Adicionando um contexto de autenticação de Acesso Condicional a uma política

Excluir um contexto de autenticação

Ao excluir um contexto de autenticação, verifique se nenhum aplicativo ainda o está usando. Caso contrário, o acesso aos dados do aplicativo não será mais protegido. Você pode confirmar esse pré-requisito verificando os logs de entrada para casos em que as políticas de acesso condicional de contexto de autenticação estão sendo aplicadas.

Para excluir um contexto de autenticação, ele não deve ter políticas de Acesso Condicional atribuídas e não deve ser publicado em aplicativos. Esse requisito ajuda a evitar a exclusão acidental de um contexto de autenticação que ainda está em uso.

Marcar recursos com contextos de autenticação

Para obter mais informações sobre o uso de contexto de autenticação em aplicativos, consulte os artigos a seguir.

Próximas etapas