Política de Acesso Condicional Comum: proteger o registro de informações de segurança

  • Artigo

A proteção de quando e como os usuários se registram para a autenticação multifator do Microsoft Entra e a redefinição de senha por autoatendimento é possível por meio de ações do usuário em uma Política de Acesso Condicional. Esse recurso está disponível para as organizações que habilitaram o registro combinado. Essa funcionalidade permite que as organizações tratem o processo de registro como qualquer aplicativo em uma política de acesso condicional e usem todo o poder do acesso condicional para proteger a experiência. Os usuários que entram no aplicativo Microsoft Authenticator ou habilitam a conexão por telefone sem senha estão sujeitos a essa política.

Algumas organizações no passado podem ter usado a localização de rede confiável ou a conformidade do dispositivo como um meio de proteger a experiência de registro. Com a adição da Senha de Acesso Temporária no Microsoft Entra ID, os administradores podem fornecer credenciais com limite de tempo aos usuários que permitem que eles se registrem em qualquer dispositivo ou local. Credenciais de Senha de Acesso Temporária atendem aos requisitos de acesso condicional para autenticação multifator.

Implantação de modelo

As organizações podem optar por implantar essa política usando as etapas descritas abaixo ou usando os Modelos de Acesso Condicional.

Criar uma política para proteger o registro

A política a seguir se aplica aos usuários selecionados que tentam se registrar usando a experiência de registro combinado. A política exige que os usuários estejam em um local de rede confiável, façam a autenticação multifator ou usem credenciais de Senha de Acesso Temporária.

  1. Entre no centro de administração do Microsoft Entra como pelo menos Administrador de acesso condicional.
  2. Navegue até Proteção>Acesso Condicional.
  3. Selecione Criar nova política.
  4. No campo Nome, digite um nome para esta política. Por exemplo, o Registro de Informações de Segurança Combinado com TAP.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.

    1. Em Incluir, selecione Todos os usuários.

      Aviso

      Os usuários devem estar habilitados para o registro combinado.

    2. Em Excluir.

      1. Selecione Todos os usuários convidados e externos.

        Observação

        A Senha de Acesso Temporária não funciona para usuários convidados.

      2. Selecione Usuários e grupos e escolha o acesso de emergência ou as contas de interrupção da sua organização.

  6. Em Recursos de destino>Ações do usuário, marque Registrar informações de segurança.
  7. Em Condições>Locais.
    1. Defina Configurar como Sim.
      1. Inclua Qualquer localização.
      2. Excluir Todos os locais confiáveis.
  8. Em Controles de acesso>Conceder.
    1. Selecione Conceder acesso, Exigir autenticação multifator.
    2. Selecione Selecionar.
  9. Confirme suas configurações e defina Habilitar política com Somente relatório.
  10. Selecione Criar para criar e habilitar sua política.

Depois que os administradores confirmarem as configurações com o modo somente relatório, eles poderão alternar a opção Habilitar política de Somente relatório para Ativado.

Agora, os administradores precisarão emitir credenciais de Senha de Acesso Temporária para novos usuários para que possam atender aos requisitos de autenticação multifator para se registrar. As etapas para realizar essa tarefa são encontradas na seção Criar uma Senha de Acesso Temporária no centro de administração do Microsoft Entra.

As organizações podem optar por exigir outros controles de concessão junto com Exigir autenticação multifator ou para substitui-lo na etapa 8a. Ao optar por vários controles, selecione o botão de opção apropriado para exigir todos ou um dos controles selecionados ao fazer essa alteração.

Registro de usuário convidado

Para usuários convidados que precisam se registrar para autenticação multifator no seu diretório, você pode optar por bloquear o registro de fora dos locais de rede confiáveis usando o guia a seguir.

  1. Entre no centro de administração do Microsoft Entra como pelo menos Administrador de acesso condicional.
  2. Navegue até Proteção>Acesso Condicional.
  3. Selecione Criar nova política.
  4. No campo Nome, digite um nome para esta política. Por exemplo, Registro combinado de informações de segurança em redes confiáveis.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione Todos os usuários convidados e externos.
  6. Em Recursos de destino>Ações do usuário, marque Registrar informações de segurança.
  7. Em Condições>Locais.
    1. Configure Sim.
    2. Inclua Qualquer localização.
    3. Excluir Todos os locais confiáveis.
  8. Em Controles de acesso>Conceder.
    1. Seleione Bloquear acesso.
    2. Em seguida, clique em Selecionar.
  9. Confirme suas configurações e defina Habilitar política com Somente relatório.
  10. Selecione Criar para criar e habilitar sua política.

Depois que os administradores confirmarem as configurações com o modo somente relatório, eles poderão alternar a opção Habilitar política de Somente relatório para Ativado.

Conteúdo relacionado