Habilitar a verificação de rede em conformidade com o Acesso Condicional

  • Artigo

As organizações que usam o Acesso Condicional juntamente com a versão prévia do Acesso Seguro Global podem impedir o acesso mal-intencionado a aplicativos da Microsoft, aplicativos SaaS de terceiros e aplicativos de lob (linha de negócios privados) usando várias condições para fornecer defesa detalhada. Essas condições podem incluir a conformidade do dispositivo, a localização e muito mais para fornecer proteção contra o roubo de identidade do usuário ou de token. O Acesso Seguro Global apresenta o conceito de uma rede em conformidade no Acesso Condicional e na avaliação de acesso contínuo. Essa verificação de rede compatível garante que os usuários se conectem a partir de um modelo de conectividade de rede verificado para seu locatário específico e estejam em conformidade com as políticas de segurança impostas pelos administradores.

O cliente de Acesso Global Seguro instalado em dispositivos ou usuários por trás de redes remotas configuradas permite que os administradores protejam recursos atrás de uma rede em conformidade com controles avançados de Acesso condicional. Esse recurso de rede compatível facilita o gerenciamento e a manutenção para os administradores, sem exigir a manutenção de uma lista de todos os endereços IP de localização de uma organização. Os administradores não precisam controlar o tráfego por meio dos pontos de saída vpn de sua organização para garantir a segurança.

A CAE (Avaliação contínua de acesso) com o recurso de rede compatível é atualmente suportada pelo SharePoint Online. Com a CAE, você pode reforçar a defesa em profundidade com a proteção contra repetição de roubo de token.

Essa verificação de rede em conformidade é específica para cada locatário.

  • Usando essa verificação, você pode garantir que outras organizações que usam os serviços de Acesso Seguro Global da Microsoft não possam acessar seus recursos.
    • Por exemplo: a Contoso pode proteger seus serviços como o Exchange Online e o SharePoint Online por trás de sua verificação de rede compatível para garantir que somente os usuários da Contoso possam acessar esses recursos.
    • Se outra organização como a Fabrikam estivesse usando uma verificação de rede compatível, ela não passaria na verificação de rede compatível da Contoso.

A rede em conformidade é diferente de IPv4, IPv6 ou localizações geográficas que você pode configurar no Microsoft Entra ID. Nenhuma manutenção de administrador é necessária.

Pré-requisitos

  • Os administradores que interagem com os recursos da versão prévia do Acesso Seguro Global devem ter uma ou mais das seguintes atribuições de função, dependendo das tarefas que estão executando.
  • A versão prévia requer uma licença P1 do Microsoft Entra ID. Se necessário, você pode comprar licenças ou obter licenças de avaliação.
  • Para usar o perfil de encaminhamento de tráfego do Microsoft 365, recomenda-se uma licença do Microsoft 365 E3.

Limitações conhecidas

  • A verificação de rede em conformidade com avaliação contínua de acesso já é compatível com o SharePoint Online.
  • Atualmente, não há suporte para verificação de rede compatível para aplicativos de acesso privado.
  • A condição de localização de rede compatível não é suportada para dispositivos que não estão inscritos na gestão de dispositivos móveis (MDM). Se configurar uma política de Acesso Condicional utilizando a condição de localização de rede compatível, os utilizadores com dispositivos que ainda não estão inscritos no MDM poderão ser afetados. Os utilizadores nestes dispositivos podem falhar na verificação da política de acesso condicional e ser bloqueados.
    • Certifique-se de excluir os usuários ou dispositivos afetados ao usar a condição de local de rede compatível.

Habilitar a sinalização de Acesso Seguro Global para Acesso Condicional

Para habilitar a configuração necessária para permitir a verificação de rede em conformidade, um administrador deve seguir as etapas a seguir.

  1. Entre no centro de administração do Microsoft Entra como um Administrador do Acesso Seguro Global.
  2. Navegue até Acesso Seguro Global (versão prévia)>Configurações globais>Gerenciamento de sessãoAcesso adaptável.
  3. Selecione a alternância para habilitar a sinalização de Acesso Seguro Global no Acesso Condicional.
  4. Navegue até Proteção>Acesso condicional>Localizações nomeadas.
    1. Confirme se você tem um local chamado Todos os locais de rede em conformidade com o tipo de local Acesso de Rede. Opcionalmente, as organizações podem marcar esse local como confiável.

Captura de tela mostrando a alternância para habilitar a sinalização no Acesso Condicional.

Cuidado

Se sua organização tiver políticas de Acesso Condicional ativas com base na verificação de rede em conformidade e você desabilitar a sinalização de Acesso Seguro Global no Acesso Condicional, poderá impedir involuntariamente que os usuários finais direcionados possam acessar os recursos. Se você precisar desabilitar esse recurso, primeiro exclua as políticas de Acesso Condicional correspondentes.

Proteger seus recursos por trás da rede compatível

É possível usar a política de acesso condicional de rede compatível para proteger o Microsoft 365 e recursos de terceiros.

Esse tipo de política é apresentado no exemplo abaixo. Além disso, a proteção contra repetição de roubo de token usando a CAE para SharePoint Online agora é compatível.

  1. Entre no centro de administração do Microsoft Entra como pelo menos Administrador de acesso condicional.
  2. Navegue até Proteção>Acesso Condicional.
  3. Selecione Criar nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione Todos os usuários.
    2. Em Excluir, selecione Usuários e grupos e escolha o acesso de emergência ou as contas de interrupção da sua organização.
  6. Em Recursos de destino>Incluir e selecione Selecionar aplicativos.
    1. Escolha Office 365 Exchange Online e/ou Office 365 SharePoint Online e/ou qualquer um dos seus aplicativos SaaS de terceiros.
    2. Atualmente, NÃO há suporte para o aplicativo na nuvem específico do Office 365 no seletor de aplicativos, portanto, não selecione esse aplicativo na nuvem.
  7. Em Condições>Localização.
    1. Defina Configurar como Sim.
    2. Em Incluir, selecione Qualquer local.
    3. Em Excluir, selecione Locais selecionados.
      1. Selecione o local Todos os locais de rede em conformidade.
    4. Escolha Selecionar.
  8. Em Controles de acesso:
    1. Conceder, selecione Bloquear Acesso e selecione Selecionar.
  9. Confirme suas configurações e defina Habilitar política como Ativado.
  10. Selecione o botão Criar para criar e habilitar a política.

Observação

Você pode usar perfis de tráfego do Acesso Seguro Global juntamente com uma política de acesso condicional que exija uma rede em conformidade para Todos os aplicativos de nuvem. Não é necessária nenhuma exclusão ao configurar uma política usando o local Todos os locais de rede compatível e Todos os aplicativos de nuvem.

Os perfis de tráfego são excluídos internamente da imposição de acesso condicional quando uma rede em conformidade é necessária. Essa exclusão permite que o cliente de Acesso Seguro Global acesse os recursos necessários.

O perfil de tráfego excluído aparece nos logs de entrada como o perfil de tráfego de acesso de rede ZTNA do aplicativo a seguir.

Exclusões de usuário

As políticas de Acesso Condicional são ferramentas avançadas, recomendamos excluir as seguintes contas das suas políticas:

  • Contas de acesso de emergência ou de interrupção para impedir o bloqueio de conta em todo o locatário. No cenário improvável de todos os administradores serem bloqueados de seu locatário, sua conta administrativa de acesso de emergência poderá ser usada para fazer logon no locatário para seguir as etapas de recuperação do acesso.
  • Contas de serviço e entidades de serviço, como a conta de sincronização do Microsoft Entra Connect. As contas de serviço são contas não interativas que não estão ligadas a nenhum usuário específico. Normalmente, elas são usadas por serviços de back-end que permitem acesso programático a aplicativos, mas também são usadas para entrar em sistemas para fins administrativos. Contas de serviço como essas devem ser excluídas, pois a MFA não pode ser concluída programaticamente. As chamadas feitas pelas entidades de serviço não serão bloqueadas pelas políticas de Acesso Condicional com um escopo que inclua os usuários. Use o Acesso Condicional a identidades de carga de trabalho para definir políticas direcionadas a entidades de serviço.
    • Se a sua organização tiver essas contas em uso em scripts ou código, considere substituí-las por identidades gerenciadas. Como solução temporária, você pode excluir essas contas específicas da política de linha de base.

Experimente sua política de rede compatível

  1. Em um dispositivo de usuário final com o cliente de Acesso Global Seguro instalado e em execução, navegue até https://outlook.office.com/mail/ ou https://yourcompanyname.sharepoint.com/, você tem acesso a recursos.
  2. Pause o cliente do Acesso Global Seguro clicando com o botão direito do mouse no aplicativo na bandeja do Windows e selecionando Pausar.
  3. Navegue até https://outlook.office.com/mail/ ou https://yourcompanyname.sharepoint.com/, você está impedido de acessar recursos com uma mensagem de erro informando que Você não pode acessar isso agora.

Captura de tela mostrando mensagem de erro na janela do navegador Você não pode acessar isso no momento.

Solução de problemas

Verifique se a localização nomeada foi criada automaticamente usando o Microsoft Graph.

GET https://graph.microsoft.com/beta/identity/conditionalAccess/namedLocations

Captura de tela mostrando os resultados da consulta do Graph Explorer

Termos de Uso

Seu uso do Acesso Privado do Microsoft Entra e Acesso à Internet do Microsoft Entra experiências e recursos de preview é regido pelos termos e condições de serviço online de preview dos contratos sob os quais você obteve os serviços. As prévias podem estar sujeitas a compromissos de segurança, conformidade e privacidade reduzidos ou diferentes, conforme explicado nos Termos de Licença Universais para Serviços Online e no Adendo de Proteção de Dados de Produtos e Serviços da Microsoft (“DPA”) e quaisquer outros avisos fornecidos com a preview.

Próximas etapas

O cliente de acesso seguro global para Windows (versão prévia)