Compartilhar via

Habilitar a verificação de rede em conformidade com o Acesso Condicional

As organizações que usam o Acesso Condicional juntamente com o Acesso Seguro Global podem impedir o acesso mal-intencionado a aplicativos da Microsoft, aplicativos SaaS de terceiros e aplicativos de linha de negócios privados (LoB) usando várias condições para fornecer defesa detalhada. Essas condições podem incluir autenticação de fator forte, conformidade do dispositivo, localização e outros. Habilitar essas condições protege sua organização contra o comprometimento de identidade do usuário ou o roubo de token. O Acesso Global Seguro apresenta o conceito de uma rede compatível no Acesso condicional do Microsoft Entra ID. Essa verificação de rede compatível garante que os usuários se conectem por meio do serviço acesso seguro global para seu locatário específico e estejam em conformidade com as políticas de segurança impostas pelos administradores.

O cliente de Acesso Global Seguro instalado em dispositivos ou usuários por trás de redes remotas configuradas permite que os administradores protejam recursos atrás de uma rede em conformidade com controles avançados de Acesso condicional. Esse recurso de rede compatível torna mais fácil para os administradores gerenciar políticas de acesso, sem precisar manter uma lista de endereços IP de saída e remove o requisito de cabear o tráfego por meio da VPN da organização, a fim de manter a ancoragem de IP de origem e aplicar políticas de Acesso Condicional baseadas em IP. Para saber mais sobre o Acesso Condicional, confira o que é acesso condicional?

Imposição de verificação de rede em conformidade

A aplicação de regras de rede compatíveis reduz o risco de ataques de roubo/reprodução de token. A imposição do plano de autenticação é executada pelo Microsoft Entra ID no momento da autenticação do usuário. Se um adversário tiver roubado um token de sessão e tentar reproduzi-lo de um dispositivo que não esteja conectado à rede compatível da sua organização (por exemplo, solicitando um token de acesso com um token de atualização roubado), o ID do Entra negará imediatamente a solicitação e o acesso adicional será bloqueado. A imposição do plano de dados funciona com serviços integrados ao Acesso Seguro Global e que dão suporte à CAE (Avaliação de Acesso Contínuo) – atualmente, Microsoft Graph. Com aplicativos que dão suporte a CAE, os tokens de acesso roubados que são reproduzidos fora da rede compatível do locatário serão rejeitados pelo aplicativo quase em tempo real. Sem CAE, um token de acesso roubado durará até seu tempo de vida completo (o padrão é entre 60 e 90 minutos).

Essa verificação de rede em conformidade é específica para o locatário no qual ela está configurada. Por exemplo, se você definir uma política de Acesso Condicional que exija uma rede compatível em contoso.com, somente os usuários com o Acesso Seguro Global ou com a configuração de Rede Remota poderão passar esse controle. Um usuário de fabrikam.com não poderá atender à política de rede de conformidade de contoso.com.

A rede em conformidade é diferente de IPv4, IPv6 ou localizações geográficas que você pode configurar no Microsoft Entra. Os administradores não são obrigados a examinar e manter os intervalos/endereços IP de rede compatíveis, fortalecendo a postura de segurança e minimizando a sobrecarga administrativa.

Pré-requisitos

Limitações conhecidas

Para obter informações detalhadas sobre problemas e limitações conhecidos, consulte limitações conhecidas para acesso seguro global.

Habilitar a sinalização de Acesso Seguro Global para Acesso Condicional

Para habilitar a configuração necessária para permitir a verificação de rede em conformidade, um administrador deve seguir as etapas a seguir.

  1. Entre no centro de administração do Microsoft Entra com uma conta que tenha a função Administrador de Acesso Seguro Global e Administrador de Acesso Condicional ativada.
  2. Navegue até Acesso Global Seguro>Configurações>Gerenciamento de sessão>Acesso adaptável.
  3. Selecione a alternância para Habilitar a sinalização de AC para o Entra ID (abrangendo todos os aplicativos de nuvem).
  4. Navegue até Entra ID>Acesso Condicional>Localizações Nomeadas.
    1. Confirme se você tem um local chamado Todos os locais de rede em conformidade com o tipo de local Acesso de Rede. Opcionalmente, as organizações podem marcar esse local como confiável.

Captura de tela mostrando a alternância para habilitar a sinalização no Acesso Condicional.

Cuidado

Se sua organização tiver políticas de Acesso Condicional ativas com base na verificação de rede em conformidade e você desabilitar a sinalização de Acesso Seguro Global no Acesso Condicional, você poderá bloquear involuntariamente os usuários finais direcionados de serem capazes de acessar os recursos. Se você precisar desabilitar esse recurso, primeiro exclua as políticas de Acesso Condicional correspondentes.

Proteja seus recursos por trás da rede compatível

A política de acesso condicional de rede compatível pode ser usada para proteger seus aplicativos da Microsoft e de terceiros integrados ao logon único da ID do Entra. Uma política típica terá uma concessão de "Bloquear" para todos os locais de rede, exceto rede em conformidade. O exemplo a seguir demonstra as etapas para configurar esse tipo de política:

  1. Entre no centro de administração do Microsoft Entra como pelo menos Administrador de acesso condicional.
  2. Acesse Entra ID>Acesso Condicional.
  3. Selecione Criar nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione Todos os usuários.
    2. Em Excluir, selecione Usuários e grupos e escolha o acesso de emergência ou as contas de interrupção da sua organização.
  6. Em Recursos de destino>Incluire selecionar Todos os recursos (anteriormente “Todos os aplicativos de nuvem”).
    1. Se sua organização estiver registrando dispositivos em Microsoft Intune, é recomendável excluir os aplicativos Microsoft Intune Enrollment e Microsoft Intune de sua política de Acesso Condicional para evitar uma dependência circular.
  7. Em Rede.
    1. Defina Configurar como Sim.
    2. Em Incluir, selecione Qualquer local.
    3. Em Excluir, selecione o local Todos os locais de rede em conformidade.
  8. Em Controles de acesso:
    1. Conceder, selecione Bloquear Acesso e selecione Selecionar.
  9. Confirme suas configurações e defina Habilitar política como Ativado.
  10. Selecione o botão Criar para criar e habilitar a política.

Observação

Use o Acesso Global Seguro juntamente com políticas de Acesso Condicional que exigem uma rede compatível para Todos os recursos.

Os recursos de Acesso Global Seguro são automaticamente excluídos da política de Acesso Condicional quando Rede em Conformidade está habilitada na política. Não é necessário excluir explicitamente nenhum recurso. Essas exclusões automáticas são necessárias para garantir que o cliente do Acesso Global Seguro não seja impedido de acessar os recursos necessários. Os recursos de Acesso Global Seguro são:

  • Perfis de tráfego de Acesso Global Seguro
  • Serviço de Política de Acesso Global Seguro (serviço interno)

Os eventos de entrada para autenticação de recursos de Acesso Global Seguro excluídos aparecem nos logs de entrada do Microsoft Entra ID como:

  • Os recursos da Internet com Acesso Global Seguro
  • Aplicativos da Microsoft com Acesso Seguro Global
  • Todos os recursos privados com Acesso Seguro Global
  • Serviço de Política ZTNA

Exclusões de usuários

As políticas de Acesso Condicional são ferramentas avançadas, recomendamos excluir as seguintes contas das suas políticas:

  • Contas de acesso de emergência ou break-glass para evitar bloqueio devido a configuração incorreta de política. No cenário improvável de todos os administradores serem bloqueados, sua conta administrativa de acesso de emergência poderá ser usada para fazer logon e seguir as etapas para recuperar o acesso.
  • Contas de serviço e entidades de serviço, como a conta de sincronização do Microsoft Entra Connect. As contas de serviço são contas não interativas que não estão ligadas a nenhum usuário específico. Normalmente, elas são usadas por serviços de back-end que permitem acesso programático a aplicativos, mas também são usadas para entrar em sistemas para fins administrativos. As chamadas feitas pelas entidades de serviço não serão bloqueadas pelas políticas de acesso condicional com um escopo que inclua os usuários. Use o Acesso condicional para identidades de carga de trabalho para definir políticas que segmentam os principais de serviço.
    • Se a sua organização tiver essas contas em uso em scripts ou código, considere substituí-las por identidades gerenciadas.

Experimente sua política de rede compatível

  1. Em um dispositivo de usuário final com o cliente de Acesso Seguro Global instalado e em execução, navegue até https://myapps.microsoft.com ou qualquer outro aplicativo que use o logon único do Entra ID em seu locatário.
  2. Pause o cliente de Acesso Seguro Global clicando com o botão direito do mouse no aplicativo na bandeja do Windows e selecionando Desabilitar.
  3. Depois de desabilitar o cliente de Acesso Seguro Global, acesse outro aplicativo integrado ao logon único da ID do Entra. Por exemplo, você pode tentar entrar no portal do Azure. Seu acesso deve ser bloqueado pelo Acesso Condicional do Entra ID.

Observação

Se você já estiver conectado a um aplicativo, o acesso não será interrompido. A condição de rede em conformidade é avaliada pela ID do Entra e, se você já estiver conectado, poderá ter uma sessão existente com o aplicativo. Nesse cenário, a verificação de conformidade da rede será reavaliada na próxima vez que o login com o Entra ID for necessário, quando a sessão do aplicativo tiver expirado.

Captura de tela mostrando mensagem de erro na janela do navegador Você não pode acessar isso no momento.

Próximas etapas

Restrições de locatário universal