Acesso Condicional: condições
Em uma política de acesso condicional, um administrador pode usar um ou mais sinais para aprimorar as decisões de política dele.
Várias condições podem ser combinadas para criar políticas de Acesso condicional específicas e refinadas.
Quando os usuários acessam um aplicativo confidencial, um administrador pode levar em contar diversas condições ao tomar suas decisões de acesso, como, por exemplo:
- Informações de risco de login do ID Protection
- Local da rede
- Informações do dispositivo
Risco do usuário
Os administradores com acesso ao ID Protection podem avaliar o risco do usuário como parte de uma política de Acesso Condicional. O risco do usuário representa a probabilidade de que determinada identidade ou conta seja comprometida. Mais informações sobre o risco de entrada podem ser encontradas nos artigos, O que é risco e Como configurar e habilitar políticas de risco.
Risco de entrada
Os administradores com acesso ao ID Protection podem avaliar o risco de login como parte de uma política de Acesso Condicional. O risco de login representa a probabilidade de uma determinada solicitação de autenticação não ter sido autorizada pelo proprietário da identidade. Mais informações sobre o risco de entrada podem ser encontradas nos artigos, O que é risco e Como configurar e habilitar políticas de risco.
Risco interno (Versão prévia)
Administradores com acesso à Proteção adaptável do Microsoft Purview podem incorporar sinais de risco do Microsoft Purview em decisões de política de Acesso Condicional. O risco interno considera a governança de dados, a segurança de dados e as configurações de risco e conformidade do Microsoft Purview. Esses sinais são baseados em fatores contextuais como:
- Comportamento do usuário
- Padrões históricos
- Detecção de anomalias
Essa condição permite que os administradores usem políticas de Acesso Condicional para executar ações como bloquear o acesso, exigir métodos de autenticação mais fortes ou exigir aceitação de termos de uso.
Essa funcionalidade envolve a incorporação de parâmetros que abordam especificamente os riscos potenciais decorrentes de dentro de uma organização. Ao configurar o Acesso Condicional para considerar o Risco Interno, os administradores podem adaptar permissões de acesso com base em fatores contextuais, como comportamento do usuário, padrões históricos e detecção de anomalias.
Para obter mais informações, consulte o artigo Configurar e habilitar uma política baseada em risco interno.
Plataformas de dispositivo
O Acesso Condicional identifica a plataforma do dispositivo usando informações fornecidas pelo dispositivo, como, por exemplo, a cadeia de caracteres do agente do usuário. Como as cadeias de caracteres do agente do usuário podem ser modificadas, essas informações não são verificadas. A plataforma do dispositivo deve ser usada em conjunto com as políticas de conformidade de dispositivos do Microsoft Intune ou como parte de uma instrução de bloco. O padrão é aplicar a todas as plataformas de dispositivo.
O Acesso condicional é compatível com as seguintes plataformas de dispositivos:
- Android
- iOS
- Windows
- macOS
- Linux
Se você bloquear a autenticação herdada usando a condição de Outros clientes, também poderá definir a condição da plataforma do dispositivo.
Não damos suporte à seleção de plataformas de dispositivo macOS ou Linux ao selecionar Exigir aplicativo cliente aprovado ou Exigir política de proteção de aplicativo como os únicos controles de concessão ou quando você escolher Exigir todos os controles selecionados.
Importante
A Microsoft recomenda uma política de Acesso condicional para plataformas de dispositivos sem suporte. Por exemplo, se você quiser bloquear o acesso aos seus recursos corporativos do Chrome OS, ou de qualquer outro cliente não compatível, configure uma política com uma condição de Plataformas de Dispositivo que inclua qualquer dispositivo e exclua plataformas de dispositivos com suporte e Controle de concessão definido como Bloquear acesso.
Locais
Ao configurar o local como uma condição, os administradores podem optar por incluir ou excluir locais. Esses locais nomeados podem incluir informações de rede pública IPv4 ou IPv6, país ou região, áreas desconhecidas que não são mapeadas para países/regiões específicas e de rede compatível com o Acesso Seguro Global.
Ao incluir qualquer local, essa opção inclui qualquer endereço IP na Internet não apenas os locais nomeados configurados. Ao selecionar qualquer local, os administradores podem optar por excluir todos os locais confiáveis ou locais selecionados.
Os administradores podem criar políticas direcionadas a locais específicos, juntamente com outras condições. Encontre mais informações sobre locais no artigo O que é a condição de localização no Acesso Condicional do Microsoft Entra.
Aplicativos cliente
Por padrão, todas as políticas de Acesso Condicional recém-criadas serão aplicadas a todos os tipos de aplicativos clientes, mesmo que a condição dos aplicativos clientes não esteja configurada.
Observação
O comportamento da condição de aplicativos cliente foi atualizado em agosto de 2020. Se já existirem políticas de Acesso condicional, elas permanecerão inalteradas. No entanto, se clicar em uma política existente, a alternância Configurar foi removida e os aplicativos cliente aos quais a política se aplica serão selecionados.
Importante
Logins de clientes de autenticação herdados não são compatíveis com a autenticação multifator (MFA) e não transmitem informações do estado do dispositivo. Portanto, serão bloqueados pelos controles de concessão de Acesso Condicional, como, por exemplo, a exigência de MFA ou dispositivos em conformidade. Se tiver contas que devem usar autenticação herdada, deverá excluir essas contas da política ou configurar a política para que seja aplicada somente aos clientes de autenticação modernos.
Quando a opção Configurar alternância estiver definida como Sim ela se aplicará a itens marcados. Quando definida como Não, ela se aplicará a todos os aplicativos cliente, incluindo clientes de autenticação modernos e herdados. Essa alternância não é exibida nas políticas criadas antes de agosto de 2020.
- Clientes de autenticação moderna
- Navegador
- Isso inclui aplicativos baseados na Web que usam protocolos como SAML, WS-Federation, OpenID Connect ou serviços registrados como um cliente confidencial do OAuth.
- Aplicativos móveis e clientes de desktop
- Essa opção inclui aplicativos como os aplicativos de área de trabalho e de telefone do Office.
- Navegador
- Clientes de autenticação herdada
- Clientes do Exchange ActiveSync
- Essa seleção inclui todo o uso do protocolo EAS (Exchange Active Sync).
- Quando a política bloqueia o uso do Exchange ActiveSync, o usuário afetado receberá um único email de quarentena. Este email fornecerá informações sobre o motivo do bloqueio e incluirá instruções de correção, se possível.
- Os administradores podem aplicar a política somente a plataformas com suporte (como iOS, Android e Windows) por meio da API do Microsoft Graph de acesso condicional.
- Outros clientes
- Essa opção inclui os clientes que usam protocolos de autenticação básica/herdada que não dão suporte à autenticação moderna.
- SMTP - Usado por clientes POP e IMAP para enviar mensagens de email.
- Descoberta automática - usada pelos clientes do Outlook e do EAS para localizar e conectar-se às caixas de correio no Exchange Online.
- Exchange Online PowerShell - usado para se conectar ao Exchange Online com o PowerShell remoto. Se você bloquear a autenticação básica para o Exchange Online PowerShell, será necessário usar o módulo do PowerShell do Exchange Online para se conectar. Para obter instruções, confira Conectar ao PowerShell do Exchange Online usando a autenticação multifator.
- Serviços Web do Exchange (EWS) – uma interface de programação usada pelo Outlook, pelo Outlook para Mac e por aplicativos de terceiros.
- IMAP4 – usado por clientes de email IMAP.
- MAPI sobre HTTP (MAPI/HTTP) – usado pelo Outlook 2010 e posterior.
- OAB (catálogo de endereços offline) – uma cópia das coleções de listas de endereços que são baixadas e usadas pelo Outlook.
- Outlook em Qualquer Lugar (RPC por HTTP) - usado pelo Outlook 2016 e anterior.
- Serviço do Outlook – usado pelo aplicativo de email e calendário para Windows 10.
- POP3 - usado por clientes de email POP.
- Serviços Web de relatórios - usados para recuperar dados de relatório no Exchange Online.
- Essa opção inclui os clientes que usam protocolos de autenticação básica/herdada que não dão suporte à autenticação moderna.
- Clientes do Exchange ActiveSync
Essas condições costumam ser usadas para:
- Exigir um dispositivo gerenciado
- Bloquear a autenticação herdada
- Bloquear aplicativos web, mas permitir aplicativos móveis ou de área de trabalho
Navegadores com suporte
Essa configuração funciona com todos os navegadores. No entanto, para atender a uma política de dispositivo, como um requisito de conformidade do dispositivo, há suporte para os sistemas operacionais e os navegadores a seguir. Os sistemas operacionais e os navegadores sem suporte base não aparecem nesta lista:
| Sistemas operacionais | Navegadores |
|---|---|
| Windows 10 e posterior | Microsoft Edge, Chrome, Firefox 91 e posterior |
| Windows Server 2022 | Microsoft Edge, Chrome |
| Windows Server 2019 | Microsoft Edge, Chrome |
| iOS | Microsoft Edge, Safari (confira as observações) |
| Android | Microsoft Edge, Chrome |
| macOS | Microsoft Edge, Chrome, Safari |
| Área de Trabalho do Linux | Microsoft Edge |
Esses navegadores dão suporte à autenticação de dispositivo, permitindo que o dispositivo seja identificado e validado em relação a uma política. A verificação do dispositivo falhará caso o navegador esteja sendo executado em modo privado ou se os cookies estiverem desabilitados.
Observação
O Microsoft Edge 85+ exige que o usuário tenha entrado no navegador para passar corretamente a identidade do dispositivo. Caso contrário, ele se comportará como o Chrome sem a extensão de contas. Esse login pode não ocorrer automaticamente em um cenário de ingresso de dispositivo híbrido.
O Safari tem suporte para acesso condicional com base em dispositivo, mas não pode satisfazer as condições Exigir um aplicativo cliente aprovado ou Exigir política de proteção do aplicativo. Um navegador gerenciado como o Microsoft Edge atende aos requisitos de aplicativo cliente aprovado e política de proteção do aplicativo. No iOS com a solução MDM de terceiros, somente o navegador Microsoft Edge dá suporte à política de dispositivo.
Há suporte ao Firefox 91+ para Acesso Condicional baseado em dispositivo, mas é preciso habilitar "Permitir logon único no Windows para contas Microsoft, corporativa e de estudante".
O Chrome 111+ tem suporte para o acesso condicional baseado em dispositivo, mas a opção "CloudApAuthEnabled" precisa estar habilitada.
Por que vejo um prompt de certificado no navegador
No Windows 7, no iOS, no Android e no macOS, os dispositivos são identificados usando um certificado do cliente. Esse certificado é provisionado quando o dispositivo é registrado. Quando um usuário entra pela primeira vez pelo navegador, é solicitado que o usuário selecione o certificado. O usuário deve selecionar esse certificado antes de poder usar o navegador.
Suporte ao Chrome
Para obter suporte do Chrome no Windows 10 Creators Update (versão 1703) ou posterior, instale a extensão Contas do Windows ou ative CloudAPAuthEnabled do Chrome. Essas configurações são necessárias quando uma política de acesso condicional requisita detalhes específicos do dispositivo para plataformas Windows.
Para habilitar automaticamente a política CloudAPAuthEnabled no Chrome, crie a seguinte chave do registro:
- Caminho:
HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome - Nome:
CloudAPAuthEnabled - Valor:
0x00000001 - PropertyType:
DWORD
Para implantar automaticamente a extensão Conta do Windows nos navegadores Chrome, crie a seguinte chave do registro:
- Caminho:
HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist - Nome:
1 - Digite:
REG_SZ (String) - Dados:
ppnbnpeolgkicgegkbkbjmhlideopiji;https\://clients2.google.com/service/update2/crx
Para obter suporte ao Chrome no Windows 8.1 e 7, crie a seguinte chave do registro:
- Caminho:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls - Nome:
1 - Digite:
REG_SZ (String) - Dados:
{"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}
Aplicativos móveis e cliente de área de trabalho com suporte
Os administradores podem selecionar Aplicativos móveis e clientes de desktop como um aplicativo cliente.
Essa configuração exerce um impacto sobre as tentativas de acesso feitas a partir dos seguintes aplicativos móveis e clientes de desktop:
| Aplicativos cliente | Serviço de Destino | Plataforma |
|---|---|---|
| Aplicativo Dynamics CRM | Dynamics CRM | Windows 10, Windows 8.1, iOS e Android |
| Aplicativo de Calendário/Email/Pessoas, Outlook 2016 Outlook 2013 (com autenticação moderna) | Exchange Online | Windows 10 |
| Política de localização e MFA para aplicativos. Não há suporte para políticas baseadas em dispositivo. | Qualquer serviço de aplicativo de Meus Aplicativos | Android e iOS |
| Microsoft Teams Services: esse aplicativo cliente controla todos os serviços que dão suporte ao Microsoft Teams e todos os seus aplicativos cliente – Windows Desktop, iOS, Android, WP e cliente da Web | Microsoft Teams | Windows 10, Windows 8.1, Windows 7, iOS, Android e macOS |
| Aplicativos do Office 2016, Office 2013 (com autenticação moderna), cliente de sincronização do OneDrive | SharePoint | Windows 8.1, Windows 7 |
| Aplicativos do Office 2016, Office 2013 (com autenticação moderna), cliente de sincronização do OneDrive | SharePoint online | Windows 10 |
| Office 2016 (somente Word, Excel, PowerPoint, OneNote). | SharePoint | macOS |
| Office 2019 | SharePoint | Windows 10, macOS |
| Aplicativos móveis do Office | SharePoint | Android, iOS |
| Aplicativo Office Yammer | Yammer | Windows 10, iOS, Android |
| Outlook 2019 | SharePoint | Windows 10, macOS |
| Outlook 2016 (Office para macOS) | Exchange Online | macOS |
| Outlook 2016, Outlook 2013 (com autenticação moderna), Skype for Business (com autenticação moderna) | Exchange Online | Windows 8.1, Windows 7 |
| Aplicativo Outlook Mobile | Exchange Online | Android, iOS |
| Aplicativo do Power BI | Serviço do Power BI | Windows 10, Windows 8.1, Windows 7, Android e iOS |
| Skype for Business | Exchange Online | Android, iOS |
| Aplicativo do Azure DevOps Services (antigo Visual Studio Team Services, ou VSTS) | Azure DevOps Services (antigo Visual Studio Team Services, ou VSTS) | Windows 10, Windows 8.1, Windows 7, iOS e Android |
Clientes do Exchange ActiveSync
- Os administradores só podem selecionar clientes do Exchange ActiveSync quando atribuírem uma política a usuários ou grupos. Selecionar Todos os usuários, Todos os usuários convidados e externos ou Funções de diretório fará com que todos os usuários fiquem sujeitos à política.
- Quando os administradores criam uma política atribuída aos clientes do Exchange ActiveSync, o Exchange Online deve ser o único aplicativo de nuvem atribuído à política.
- Os administradores podem restringir o escopo dessa política a plataformas específicas usando a condição Plataformas de dispositivos.
Se o controle de acesso atribuído à política usar Exigir aplicativo cliente aprovado, o usuário será direcionado para instalar e usar o cliente móvel do Outlook. Caso a Autenticação Multifator, Termos de uso ou controles personalizados sejam necessários, os usuários afetados são bloqueados, pois a autenticação básica não dá suporte a esses controles.
Para obter mais informações, confira os seguintes artigos:
- Bloquear autenticação herdada com Acesso Condicional
- Exigir aplicativos cliente aprovados com Acesso condicional
Outros clientes
Ao selecionar Outros clientes, é possível especificar uma condição que afeta os aplicativos que usam autenticação básica com protocolos de email, como IMAP, MAPI, POP, SMTP e aplicativos mais antigos do Office que não usam autenticação moderna.
Estado do dispositivo (preterido)
Essa condição foi preterida. Os clientes devem usar a condição Filtro para dispositivos na política de Acesso Condicional para satisfazer os cenários alcançados anteriormente usando a condição de estado do dispositivo.
Importante
O estado do dispositivo e os filtros para dispositivos não podem ser usados em conjunto na política de Acesso Condicional. Os filtros para dispositivos fornecem direcionamento mais granular, incluindo suporte para direcionamento de informações do estado do dispositivo através da propriedade trustType e isCompliant.
Filtro para dispositivos
Quando configuram os filtros para dispositivos como uma condição, os administradores podem incluir ou excluir dispositivos com base em um filtro usando uma expressão de regra nas propriedades do dispositivo. É possível criar a expressão de regra para filtros para dispositivos usando o construtor de regras ou a sintaxe de regra. Essa experiência é semelhante à usada em regras de associação dinâmica para grupos. Para saber mais, confira o artigo Acesso Condicional: Filtro para dispositivos.
Fluxos de autenticação (versão prévia)
Os fluxos de autenticação controlam como sua organização usa determinados protocolos e concessões de autenticação e autorização. Esses fluxos podem fornecer uma experiência ininterrupta para dispositivos que talvez não tenham dispositivos de entrada locais, como dispositivos compartilhados ou sinalização digital. Use esse controle para configurar métodos de transferência como fluxo de código do dispositivo ou transferência de autenticação.