Habilitar a verificação de rede em conformidade com o Acesso Condicional

As organizações que usam o Acesso Condicional, juntamente com o Acesso Seguro Global, podem impedir o acesso mal-intencionado a aplicativos da Microsoft, aplicativos SaaS de terceiros e aplicativos de LoB (linha de negócios privados) usando várias condições para fornecer defesa detalhada. Essas condições podem incluir a conformidade do dispositivo, a localização e muito mais para fornecer proteção contra o roubo de identidade do usuário ou de token. O Acesso Global Seguro apresenta o conceito de uma rede compatível no Acesso condicional do Microsoft Entra ID. Essa verificação de rede compatível garante que os usuários se conectem a partir de um modelo de conectividade de rede verificado para seu locatário específico e estejam em conformidade com as políticas de segurança impostas pelos administradores.

O cliente de Acesso Global Seguro instalado em dispositivos ou usuários por trás de redes remotas configuradas permite que os administradores protejam recursos atrás de uma rede em conformidade com controles avançados de Acesso condicional. Esse recurso de rede compatível torna mais fácil para os administradores gerenciar políticas de acesso, sem precisar manter uma lista de endereços IP de saída. Isso remove o requisito de afixar o tráfego por meio da VPN da organização.

Imposição de verificação de rede em conformidade

A imposição de rede em conformidade ocorre no plano de autenticação (geralmente disponível) e no plano de dados (versão prévia). A imposição do plano de autenticação é executada pelo Microsoft Entra ID no momento da autenticação do usuário. A imposição do plano de dados funciona com serviços que dão suporte à CAE (Avaliação de Acesso Contínuo) – atualmente, Exchange Online e SharePoint Online. Com a CAE, você pode reforçar a defesa em profundidade com a proteção contra repetição de roubo de token.

Essa verificação de rede em conformidade é específica para cada locatário.

• Usando essa verificação, você pode garantir que outras organizações que usam os serviços de Acesso Seguro Global da Microsoft não possam acessar seus recursos.
  • Por exemplo: a Contoso pode proteger seus serviços como o Exchange Online e o SharePoint Online por trás de sua verificação de rede compatível para garantir que somente os usuários da Contoso possam acessar esses recursos.
  • Se outra organização como a Fabrikam estivesse usando uma verificação de rede compatível, ela não passaria na verificação de rede compatível da Contoso.

A rede em conformidade é diferente de IPv4, IPv6 ou localizações geográficas que você pode configurar no Microsoft Entra. Os administradores não são obrigados a revisar e manter os intervalos/endereços IP de rede em conformidade, fortalecendo a postura de segurança e minimizando a sobrecarga administrativa contínua.

Pré-requisitos

• Os administradores que interagem com recursos de Acesso Global Seguro devem ter uma ou mais das seguintes atribuições de função, dependendo das tarefas que estiverem executando.
  • A função Administrador do Acesso Global Seguro permite gerenciar os recursos de Acesso Global Seguro.
  • Administrador de acesso condicional para criar e interagir com políticas de acesso condicional e locais nomeados.
• O produto requer licenciamento. Para obter detalhes, consulte a seção de licenciamento de O que é Acesso Global Seguro. Se necessário, você pode adquirir licenças ou obter licenças de avaliação.
• Para usar o perfil de encaminhamento de tráfego da Microsoft, recomendamos uma licença do Microsoft 365 E3.

Limitações conhecidas

• A imposição do plano de dados de verificação de rede em conformidade (versão prévia) com a Avaliação Contínua de Acesso é compatível com o SharePoint Online e o Exchange Online.
• Habilitar a sinalização de Acesso Condicional de Acesso Global Seguro habilita a sinalização para o plano de autenticação (ID do Microsoft Entra) e para a sinalização do plano de dados (versão prévia). No momento, não é possível habilitar essas configurações separadamente.
• No momento, não há suporte para verificação de rede compatível com aplicativos de Acesso Privado.
• A condição de localização de rede compatível não é suportada para dispositivos que não estão inscritos na gestão de dispositivos móveis (MDM). Se configurar uma política de Acesso Condicional utilizando a condição de localização de rede compatível, os utilizadores com dispositivos que ainda não estão inscritos no MDM poderão ser afetados. Os utilizadores nestes dispositivos podem falhar na verificação da política de acesso condicional e ser bloqueados.
  • Certifique-se de excluir os usuários ou dispositivos afetados ao usar a condição de local de rede compatível.

Habilitar a sinalização de Acesso Seguro Global para Acesso Condicional

Para habilitar a configuração necessária para permitir a verificação de rede em conformidade, um administrador deve seguir as etapas a seguir.

1. Entre no centro de administração do Microsoft Entra como um Administrador do Acesso Seguro Global.
2. Navegue até Acesso Global Seguro>Configurações globais>Gerenciamento de sessão Acesso adaptável.
3. Selecione a alternância para Habilitar a sinalização de AC para a ID do Entra (abrangendo todos os aplicativos de nuvem). Isso habilitará automaticamente a sinalização do CAE para o Office 365 (versão prévia).
4. Navegue até Proteção>Acesso condicional>Localizações nomeadas.
   1. Confirme se você tem um local chamado Todos os locais de rede em conformidade com o tipo de local Acesso de Rede. Opcionalmente, as organizações podem marcar esse local como confiável.

Cuidado

Se sua organização tiver políticas de Acesso Condicional ativas com base na verificação de rede em conformidade e você desabilitar a sinalização de Acesso Seguro Global no Acesso Condicional, poderá impedir involuntariamente que os usuários finais direcionados possam acessar os recursos. Se você precisar desabilitar esse recurso, primeiro exclua as políticas de Acesso Condicional correspondentes.

Proteger seus recursos por trás da rede compatível

A política de acesso condicional de rede compatível pode ser usada para proteger seus aplicativos da Microsoft e de terceiros. Uma política típica terá uma concessão de "Bloquear" para todos os locais de rede, exceto rede em conformidade. O exemplo a seguir demonstra as etapas para configurar esse tipo de política:

1. Entre no centro de administração do Microsoft Entra como pelo menos Administrador de acesso condicional.
2. Navegue até Proteção>Acesso Condicional.
3. Selecione Criar nova política.
4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
   1. Em Incluir, selecione Todos os usuários.
   2. Em Excluir, selecione Usuários e grupos e escolha o acesso de emergência ou as contas de interrupção da sua organização.
6. Em Recursos de destino>Incluir e selecione Selecionar aplicativos.
   1. Escolha Office 365 Exchange Online e/ou Office 365 SharePoint Online e/ou qualquer um dos seus aplicativos SaaS de terceiros.
   2. Atualmente, NÃO há suporte para o aplicativo na nuvem específico do Office 365 no seletor de aplicativos, portanto, não selecione esse aplicativo na nuvem.
7. Em Condições>Localização.
   1. Defina Configurar como Sim.
   2. Em Incluir, selecione Qualquer local.
   3. Em Excluir, selecione Locais selecionados.
      1. Selecione o local Todos os locais de rede em conformidade.
   4. Escolha Selecionar.
8. Em Controles de acesso:
   1. Conceder, selecione Bloquear Acesso e selecione Selecionar.
9. Confirme suas configurações e defina Habilitar política como Ativado.
10. Selecione o botão Criar para criar e habilitar a política.

Observação

Você pode usar perfis de tráfego do Acesso Seguro Global juntamente com uma política de acesso condicional que exija uma rede em conformidade para Todos os aplicativos de nuvem. Não é necessária nenhuma exclusão ao configurar uma política usando o local Todos os locais de rede compatível e Todos os aplicativos de nuvem.

A autenticação para perfis de tráfego de Acesso Global Seguro é excluída automaticamente da imposição de Acesso Condicional quando uma rede em conformidade é necessária. Essa exclusão permite que o cliente do Acesso Global Seguro acesse os recursos necessários para iniciar e autenticar o usuário.

Os eventos de entrada para autenticação de perfis de tráfego do Acesso Global Seguro excluídos aparecem nos logs de entrada do Microsoft Entra ID como "Perfil de Tráfego de Acesso à Rede ZTNA".

Exclusões de usuário

As políticas de Acesso Condicional são ferramentas avançadas, recomendamos excluir as seguintes contas das suas políticas:

• Contas de acesso de emergência ou de interrupção para impedir o bloqueio de conta em todo o locatário. No cenário improvável de todos os administradores serem bloqueados de seu locatário, sua conta administrativa de acesso de emergência poderá ser usada para fazer logon no locatário para seguir as etapas de recuperação do acesso.
  • Mais informações podem ser encontradas no artigo Gerenciar contas de acesso de emergência no Microsoft Entra ID.
• Contas de serviço e entidades de serviço, como a conta de sincronização do Microsoft Entra Connect. As contas de serviço são contas não interativas que não estão ligadas a nenhum usuário específico. Normalmente, elas são usadas por serviços de back-end que permitem acesso programático a aplicativos, mas também são usadas para entrar em sistemas para fins administrativos. Contas de serviço como essas devem ser excluídas, pois a MFA não pode ser concluída programaticamente. As chamadas feitas pelas entidades de serviço não serão bloqueadas pelas políticas de Acesso Condicional com um escopo que inclua os usuários. Use o Acesso Condicional a identidades de carga de trabalho para definir políticas direcionadas a entidades de serviço.
  • Se a sua organização tiver essas contas em uso em scripts ou código, considere substituí-las por identidades gerenciadas. Como solução temporária, você pode excluir essas contas específicas da política de linha de base.

Experimente sua política de rede compatível

1. Em um dispositivo de usuário final com o cliente de Acesso Global Seguro instalado e em execução, navegue até https://outlook.office.com/mail/ ou https://yourcompanyname.sharepoint.com/, você tem acesso a recursos.
2. Pause o cliente do Acesso Global Seguro clicando com o botão direito do mouse no aplicativo na bandeja do Windows e selecionando Pausar.
3. Navegue até https://outlook.office.com/mail/ ou https://yourcompanyname.sharepoint.com/, você está impedido de acessar recursos com uma mensagem de erro informando que Você não pode acessar isso agora.

Solução de problemas

Verifique se a localização nomeada foi criada automaticamente usando o Microsoft Graph.

GET https://graph.microsoft.com/beta/identity/conditionalAccess/namedLocations

Próximas etapas

Restrições de locatário universal