Política de Acesso Condicional Comum: proteger o registro de informações de segurança

A proteção de quando e como os usuários se registram para a autenticação multifator do Azure AD e a redefinição de senha por autoatendimento é possível por meio de ações do usuário em uma política de acesso condicional. Esse recurso está disponível para as organizações que habilitaram o registro combinado. Essa funcionalidade permite que as organizações tratem o processo de registro como qualquer aplicativo em uma política de acesso condicional e usem todo o poder do acesso condicional para proteger a experiência. Os usuários que entram no aplicativo Microsoft Authenticator ou habilitam a conexão por telefone sem senha estão sujeitos a essa política.

Algumas organizações no passado podem ter usado a localização de rede confiável ou a conformidade do dispositivo como um meio de proteger a experiência de registro. Com a adição da Senha de Acesso Temporária no Azure AD, os administradores podem fornecer credenciais com limite de tempo aos usuários que permitem que eles se registrem em qualquer dispositivo ou local. Credenciais de Senha de Acesso Temporária atendem aos requisitos de acesso condicional para autenticação multifator.

Implantação de modelo

As organizações podem optar por implantar esta política seguindo as etapas descritas abaixo ou usando os modelos de Acesso Condicional (versão prévia).

Criar uma política para proteger o registro

A política a seguir se aplica aos usuários selecionados que tentam se registrar usando a experiência de registro combinado. A política exige que os usuários estejam em um local de rede confiável, façam a autenticação multifator ou usem credenciais de Senha de Acesso Temporária.

  1. No Portal do Azure, navegue até Azure Active DirectorySegurançaAcesso Condicional.
  2. Selecione Nova política.
  3. No campo Nome, digite um nome para esta política. Por exemplo, o Registro de Informações de Segurança Combinado com TAP.
  4. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione Todos os usuários.

      Aviso

      Os usuários devem estar habilitados para o registro combinado.

    2. Em Excluir.

      1. Selecione Todos os usuários convidados e externos.

      2. Selecione Funções do diretório e escolha Administrador global

        Observação

        A Senha de Acesso Temporária não funciona para usuários convidados.

      3. Selecione Usuários e grupos e escolha o acesso de emergência ou as contas de interrupção da sua organização.

  5. Em Aplicativos de nuvem ou ações, selecione Ações do usuário e marque Registrar informações de segurança.
  6. Em CondiçõesLocais.
    1. Defina Configurar como Sim.
      1. Inclua Qualquer localização.
      2. Excluir Todos os locais confiáveis.
  7. Em Controles de acesso>Conceder.
    1. Selecione Conceder acesso, Exigir autenticação multifator.
    2. Selecione Selecionar.
  8. Confirme suas configurações e defina Habilitar política com Somente relatório.
  9. Selecione Criar para criar e habilitar sua política.

Depois que você confirmar suas configurações com o modo somente relatório, um administrador poderá alternar a opção Habilitar política de Somente relatório para Ativado.

Agora, os administradores precisarão emitir credenciais de Senha de Acesso Temporária para novos usuários para que possam atender aos requisitos de autenticação multifator para se registrar. As etapas para realizar essa tarefa são encontradas na seção Criar uma Senha de Acesso Temporária no portal do Azure AD.

As organizações podem optar por exigir outros controles de concessão com Exigir autenticação multifator (ou no lugar dele) na etapa 6b. Ao optar por vários controles, selecione o botão de opção apropriado para exigir todos ou um dos controles selecionados ao fazer essa alteração.

Registro de usuário convidado

Para usuários convidados que precisam se registrar para autenticação multifator no seu diretório, você pode optar por bloquear o registro de fora dos locais de rede confiáveis usando o guia a seguir.

  1. No Portal do Azure, navegue até Azure Active DirectorySegurançaAcesso Condicional.
  2. Selecione Nova política.
  3. No campo Nome, digite um nome para esta política. Por exemplo, Registro combinado de informações de segurança em redes confiáveis.
  4. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione Todos os usuários convidados e externos.
  5. Em Aplicativos de nuvem ou ações, selecione Ações do usuário e marque Registrar informações de segurança.
  6. Em CondiçõesLocais.
    1. Configure Sim.
    2. Inclua Qualquer localização.
    3. Excluir Todos os locais confiáveis.
  7. Em Controles de acesso>Conceder.
    1. Seleione Bloquear acesso.
    2. Em seguida, clique em Selecionar.
  8. Confirme suas configurações e defina Habilitar política com Somente relatório.
  9. Selecione Criar para criar e habilitar sua política.

Depois que você confirmar suas configurações com o modo somente relatório, um administrador poderá alternar a opção Habilitar política de Somente relatório para Ativado.

Próximas etapas

Políticas comuns de Acesso Condicional

Determinar o impacto usando o modo somente relatório de Acesso Condicional

Simular comportamento de entrada usando a ferramenta What If de Acesso Condicional

Exigir que os usuários reconfirmem informações de autenticação