O que é Acesso Condicional?

O perímetro de segurança moderno agora se estende para além da rede de uma organização para incluir a identidade do usuário e do dispositivo. As organizações podem usar esses sinais de identidade como parte de suas decisões de controle de acesso.

O acesso condicional reúne sinais para tomar decisões e impor políticas organizacionais. O Acesso Condicional do Azure Active Directory está no centro do novo plano de controle controlado por identidade.

Sinal condicional conceitual mais decisão para obter a imposição

Em sua definição mais simples, as políticas de acesso condicional são instruções if-then, se um usuário quiser acessar um recurso, então ele deverá concluir uma ação. Exemplo: um gerente de folha de pagamento deseja acessar o aplicativo de folha de pagamento e deve a fazer autenticação multifator para acessá-lo.

Os administradores enfrentam dois objetivos principais:

  • Capacitar os usuários para serem produtivos sempre e em qualquer lugar
  • Proteger os ativos da organização

Use as políticas de Acesso Condicional, para aplicar os controles de acesso certos, quando necessário, para manter sua organização segura.

Fluxo do processo de acesso condicional conceitual

Importante

As políticas de Acesso Condicional são impostas após a conclusão do primeiro fator de autenticação. O Acesso Condicional não se destina à primeira linha de defesa de uma organização para cenários como ataques de DoS (negação de serviço), mas pode usar sinais desses eventos para determinar o acesso.

Sinais comuns

Os sinais comuns que o acesso condicional pode levar em conta ao tomar uma decisão sobre política incluem os seguintes sinais:

  • Associação de usuário ou grupo
    • As políticas podem ser direcionadas a usuários e grupos específicos, proporcionando aos administradores um controle refinado sobre o acesso.
  • Informações de localização de IP
    • As organizações podem criar intervalos de endereços IP confiáveis que podem ser usados ao tomar decisões sobre política.
    • Os administradores podem especificar intervalos de IP para bloquear ou permitir o tráfego proveniente de países/regiões inteiros.
  • Dispositivo
    • Os usuários com dispositivos de plataformas específicas ou marcados com um estado específico podem ser usados ao impor políticas de acesso condicional.
    • Use filtros para dispositivos para direcionar políticas para dispositivos específicos, como estações de trabalho de acesso privilegiado.
  • Aplicativo
    • Os usuários que tentam acessar aplicativos específicos podem disparar diferentes políticas de acesso condicional.
  • Detecção de risco calculado e em tempo real
    • A integração de sinais ao Azure AD Identity Protection permite que as políticas de Acesso Condicional identifiquem comportamentos de entrada suspeita. As políticas podem então forçar os usuários a alterar sua senha, fazer autenticação multifator para reduzir seu nível de risco ou bloquear o acesso até que um administrador tome uma ação manual.
  • Microsoft Defender for Cloud Apps
    • Permite que o acesso e as sessões do aplicativo do usuário sejam monitorados e controlados em tempo real, aumentando a visibilidade e o controle sobre o acesso e as atividades realizadas no ambiente de nuvem.

Decisões comuns

  • Acesso bloqueado
    • Decisão mais restritiva
  • Conceder acesso
    • Decisão menos restritiva; ainda pode exigir uma ou mais das seguintes opções:
      • Exigir autenticação multifator
      • Exigir que o dispositivo seja marcado como em conformidade
      • Exigir um dispositivo ingressado no Azure AD Híbrido
      • Exigir um aplicativo cliente aprovado
      • Exigir uma política de proteção do aplicativo (versão prévia)

Políticas comumente aplicadas

Muitas organizações têm preocupações comuns sobre o acesso, com as quais as políticas de Acesso Condicional podem ajudar, como:

  • Exigir a autenticação multifator para usuários com funções administrativas
  • Exigir a autenticação multifator para tarefas de gerenciamento do Azure
  • Bloquear entradas de usuários que tentam usar protocolos de autenticação herdados
  • Exigir localizações confiáveis para o registro da Autenticação Multifator do Azure AD
  • Bloquear ou permitir acesso em localizações específicas
  • Bloquear comportamentos de entrada de risco
  • Exigir dispositivos gerenciados pela organização para aplicativos específicos

Requisitos de licença

O uso desse recurso exige licenças do Azure AD Premium P1. Para localizar a licença correta para os requisitos, confira Comparar os recursos geralmente disponíveis do Azure Active Directory.

Os clientes com licenças do Microsoft 365 Business Premium também têm acesso aos recursos do acesso condicional.

As políticas baseadas em risco exigem acesso ao Identity Protection, que é um recurso do Azure AD P2.

Outros produtos e recursos que podem interagir com as políticas de Acesso Condicional exigem licenciamento apropriado para esses produtos e recursos.

Quando as licenças necessárias para o Acesso Condicional expiram, as políticas não são desabilitadas ou excluídas automaticamente, assim os clientes possam migrar para fora das políticas de Acesso Condicional sem uma alteração repentina em sua postura de segurança. As políticas restantes podem ser exibidas e excluídas, mas não são mais atualizadas.

Os padrões de segurança ajudam na proteção contra ataques relacionados à identidade e estão disponíveis para todos os clientes.

Próximas etapas