Aplicar políticas de Acesso Condicional a aplicativos do Acesso Privado

A aplicação de políticas de Acesso Condicional aos seus aplicativos do Acesso Privado do Microsoft Entra é uma maneira poderosa de impor políticas de segurança para seus recursos internos e privados. Você pode aplicar políticas de Acesso Condicional aos seus aplicativos de Acesso Rápido e Acesso Privado do Acesso Seguro Global (versão prévia).

Este artigo descreve como aplicar políticas de Acesso Condicional aos seus aplicativos de Acesso Rápido e Acesso Privado.

Pré-requisitos

• Os administradores que interagem com os recursos da versão prévia do Acesso Global Seguro devem ter uma ou mais das seguintes atribuições de função, dependendo das tarefas que estão executando.
  • A função Administrador do Acesso Seguro Global para gerenciar a versão prévia do recurso Acesso Seguro Global.
  • O Administrador de acesso condicional para criar e interagir com políticas de acesso condicional.
• É necessário ter configurado o Acesso Rápido ou o Acesso Privado.
• A versão prévia requer uma licença P1 do Microsoft Entra ID. Se necessário, você pode adquirir licenças ou obter licenças de avaliação.

Limitações conhecidas

• No momento, a conexão por meio do Cliente do Acesso Seguro Global é necessária para adquirir o tráfego de Acesso Privado.

Acesso Condicional e Acesso Seguro Global

É possível criar uma política de Acesso Condicional para seus aplicativos de Acesso Rápido ou Acesso Privado do Acesso Seguro Global. Iniciar o processo do Acesso Seguro Global adiciona automaticamente o aplicativo selecionado como o Recurso de destino para a política. Tudo o que você precisa fazer é definir as configurações de política.

1. Entre no centro de administração do Microsoft Entra como pelo menos Administrador de acesso condicional.

2. Navegue até Acesso Seguro Global (versão prévia)>Aplicativos>Aplicativos empresariais.

3. Selecione um aplicativo na lista.

   

4. Selecione Acesso Condicional no menu lateral. Todas as políticas de Acesso Condicional existentes aparecem em uma lista.

   

5. Selecione Criar nova política. O aplicativo selecionado aparece nos detalhes dos Recursos de destino.

   

6. Configure as condições, controles de acesso e atribua usuários e grupos conforme necessário.

É possível também aplicar políticas de Acesso Condicional a um grupo de aplicativos com base em atributos personalizados. Para saber mais, vá para Filtro para aplicativos na política de Acesso Condicional (versão prévia).

Exemplo de Atribuições e Controles de acesso

Ajuste os detalhes da política a seguir para criar uma política de Acesso Condicional que exige autenticação multifator, conformidade do dispositivo ou um dispositivo ingressado híbrido do Microsoft Entra para seu aplicativo de Acesso Rápido. As atribuições de usuário garantem que o acesso ou contas de emergência da sua organização sejam excluídos da política.

1. Em Atribuições, selecione Usuários:
   1. Em Incluir, selecione Todos os usuários.
   2. Em Excluir, selecione Usuários e grupos e escolha o acesso de emergência ou as contas de interrupção da sua organização.
2. Em Controles de acesso>Conceder:
   1. Selecione Exigir autenticação multifator, Exigir que o dispositivo seja marcado como em conformidade e Exigir um dispositivo ingressado de forma híbrida no Microsoft Entra
3. Confirme suas configurações e defina Habilitar política com Somente relatório.

Depois que os administradores confirmarem as configurações da política usando o modo somente relatório, um administrador poderá mover a alternância Habilitar política de Somente relatório para Ativado.

Exclusões de usuário

As políticas de Acesso Condicional são ferramentas avançadas, recomendamos excluir as seguintes contas das suas políticas:

• Contas de acesso de emergência ou de interrupção para impedir o bloqueio de conta em todo o locatário. No cenário improvável de todos os administradores serem bloqueados de seu locatário, sua conta administrativa de acesso de emergência poderá ser usada para fazer logon no locatário para seguir as etapas de recuperação do acesso.
  • Mais informações podem ser encontradas no artigo Gerenciar contas de acesso de emergência no Microsoft Entra ID.
• Contas de serviço e entidades de serviço, como a conta de sincronização do Microsoft Entra Connect. As contas de serviço são contas não interativas que não estão ligadas a nenhum usuário específico. Normalmente, elas são usadas por serviços de back-end que permitem acesso programático a aplicativos, mas também são usadas para entrar em sistemas para fins administrativos. Contas de serviço como essas devem ser excluídas, pois a MFA não pode ser concluída programaticamente. As chamadas feitas pelas entidades de serviço não serão bloqueadas pelas políticas de Acesso Condicional com um escopo que inclua os usuários. Use o Acesso Condicional a identidades de carga de trabalho para definir políticas direcionadas a entidades de serviço.
  • Se a sua organização tiver essas contas em uso em scripts ou código, considere substituí-las por identidades gerenciadas. Como solução temporária, você pode excluir essas contas específicas da política de linha de base.

Próximas etapas

• Habilitar o perfil de encaminhamento de tráfego do Acesso Privado
• Habilitar a restauração de IP de origem