Acesso Condicional: Sessão

Em uma política de acesso condicional, um administrador pode usar controles de sessão para habilitar experiências limitadas em aplicativos de nuvem específicos.

Conditional Access policy with a grant control requiring multi-factor authentication

Restrições impostas pelo aplicativo

As organizações podem usar o controle para exigir que o Azure AD passe informações sobre o dispositivo para os aplicativos na nuvem selecionados. As informações do dispositivo permitem que os aplicativos em nuvem saibam se uma conexão é de um dispositivo compatível ou conectado ao domínio e atualizem a experiência da sessão. Esse controle suporta apenas Office 365, o SharePoint Online e o Exchange Online como aplicativos de nuvem selecionados. Quando selecionado, o aplicativo em nuvem usa as informações do dispositivo para fornecer aos usuários uma experiência limitada ou completa. Ela será limitada se o dispositivo não for gerenciado ou não estiver compatível e será completa se ele for gerenciado e estiver compatível.

Para saber mais sobre o uso e a configuração de restrições impostas pelo aplicativo, consulte os seguintes artigos:

Controle de aplicativo de Acesso Condicional

O Controle de Aplicativos de Acesso Condicional usa uma arquitetura de proxy reverso e é exclusivamente integrado ao Acesso Condicional do Azure AD. O acesso condicional do Azure AD permite que você imponha controles de acesso aos aplicativos da sua organização de acordo com determinadas condições. As condições definem a quais usuários ou grupos de usuários, aplicativos de nuvem, locais e redes uma política de acesso condicional se aplica. Depois de determinar as condições, é possível encaminhar os usuários ao Microsoft Defender para Aplicativos de Nuvem para proteger dados com o Controle de Aplicativos de Acesso Condicional, aplicando controles de acesso e de sessão.

O Controle de Aplicativo de Acesso Condicional permite o monitoramento e controle em tempo real do acesso e das sessões do aplicativo com base nas políticas de acesso e de sessão. As políticas de acesso e sessão são usadas no portal do Defender for Cloud Apps para refinar filtros e definir ações a serem realizadas. Com as políticas de acesso e de sessão, é possível:

  • Impedir a exfiltração dos dados: você pode bloquear o download, o recorte, a cópia e a impressão de documentos confidenciais em dispositivos não gerenciados, por exemplo.
  • Proteger no download: em vez de bloquear o download de documentos confidenciais, você pode exigir que os documentos sejam rotulados e protegidos com a Proteção de Informações do Azure. Essa ação garante que o documento esteja protegido e o acesso do usuário seja restrito em uma sessão potencialmente arriscada.
  • Impedir o carregamento de arquivos sem rótulo: antes de um arquivo confidencial ser carregado, distribuído e usado por outros, é importante se certificar de que o arquivo tem o rótulo e a proteção corretos. Você pode garantir que arquivos sem rótulo com conteúdo confidencial sejam impedidos de serem carregados até que o usuário classifique o conteúdo.
  • Monitorar a conformidade das sessões de usuário (versão prévia): usuários suspeitos são monitorados quando entram em aplicativos e suas ações são registradas dentro da sessão. É possível investigar e analisar o comportamento do usuário para compreender onde e sob quais condições as políticas de sessão deverão ser aplicadas no futuro.
  • Bloquear o acesso (versão prévia): você pode bloquear o acesso de maneira granular para aplicativos e usuários específicos, dependendo de vários fatores de risco. Por exemplo, você poderá bloqueá-los se eles estiverem usando os certificados do cliente como uma forma de gerenciamento de dispositivo.
  • Bloquear atividades personalizadas: alguns aplicativos têm cenários exclusivos que trazem risco, por exemplo, enviar mensagens com conteúdo confidencial em aplicativos como o Microsoft Teams ou o Slack. Nesses cenários, você pode examinar o conteúdo confidencial das mensagens e bloqueá-los em tempo real.

Para obter mais informações, confira o artigo Implantar Controle de Aplicativos de Acesso Condicional para aplicativos em destaque.

Frequência de entrada

A frequência de entrada define o período de tempo antes que um usuário seja solicitado a entrar novamente ao tentar acessar um recurso. Os administradores podem selecionar um período de tempo (horas ou dias) ou optar por exigir reautenticação sempre.

A configuração de frequência de entrada funciona com aplicativos que implementaram os protocolos OAUTH2 ou OIDC de acordo com os padrões. A maioria dos aplicativos nativos da Microsoft para Windows, Mac e dispositivo móvel, incluindo os aplicativos Web a seguir, seguem a configuração.

  • Word, Excel, PowerPoint Online
  • OneNote Online
  • Office.com
  • Portal de administração do Microsoft 365
  • Exchange Online
  • SharePoint e OneDrive
  • Cliente Web do Teams
  • Dynamics CRM Online
  • Portal do Azure

Para saber mais, confira o artigo Configurar o gerenciamento da sessão de autenticação com o Acesso Condicional.

Sessão persistente do navegador

Uma sessão persistente do navegador permite que os usuários permaneçam conectados depois de fechar e reabrir a janela do navegador.

Para saber mais, confira o artigo Configurar o gerenciamento da sessão de autenticação com o Acesso Condicional.

Personalizar a avaliação contínua de acesso

A avaliação de acesso contínuo é habilitada automaticamente como parte das políticas de Acesso Condicional de uma organização. Para organizações que desejam desabilitar a avaliação de acesso contínuo, essa configuração agora é uma opção no controle de sessão no Acesso Condicional. As políticas de avaliação de acesso contínuo podem ter escopo para todos os usuários ou grupos e usuários específicos. Os administradores podem fazer a seleção a seguir ao criar uma nova política ou editar uma política de acesso condicional existente.

  • Desabilitar só funciona quando Todos os aplicativos de nuvem são selecionados, nenhuma condição é selecionada e Desabilitar é selecionado em Sessão>Personalizar avaliação de acesso contínuo em uma política de Acesso Condicional. Você pode optar por desabilitar todos os usuários ou usuários e grupos específicos.

CAE Settings in a new Conditional Access policy in the Azure portal.

Desabilitar padrões de resiliência (versão prévia)

Durante uma interrupção, o Azure AD estenderá o acesso às sessões existentes ao impor políticas de Acesso Condicional. Se uma política não puder ser avaliada, o acesso será determinado pelas configurações de resiliência.

Se os padrões de resiliência estiverem desabilitados, o acesso será negado depois que as sessões existentes expirarem. Para obter mais informações, confira o artigo Acesso Condicional: padrões de resiliência.

Próximas etapas