Políticas de acesso baseadas em risco

As políticas de controle de acesso baseadas em risco podem ser aplicadas para proteger as organizações quando uma entrada ou usuário é detectado como em risco.

O Microsoft Entra Conditional Access oferece duas condições de risco específicas do usuário alimentadas por sinais da Proteção de ID do Microsoft Entra: risco de entrada e risco do usuário. As organizações podem criar políticas de Acesso Condicional baseadas em risco, configurando essas duas condições de risco e escolhendo um método de controle de acesso. Durante cada entrada, a Proteção de ID envia os níveis de risco detectados para o Acesso Condicional, e as políticas baseadas em risco são aplicadas se as condições da política forem atendidas.

Você pode exigir autenticação multifator quando o nível de risco de entrada for médio ou alto. Os usuários são somente avisados nesse nível.

O exemplo anterior também demonstra um benefício principal de uma política baseada em risco: correção automática de risco. Quando um usuário conclui com êxito o controle de acesso necessário, como uma alteração de senha segura, o risco é corrigido. Essa sessão de entrada e a conta de usuário não estão mais em risco e nenhuma ação é necessária do administrador.

Permitir que os usuários se auto-remediarem usando esse processo reduz significativamente a carga de investigação e correção de risco sobre os administradores, protegendo sua organização contra comprometimentos de segurança. Mais informações sobre correção de risco podem ser encontradas no artigo Corrigir riscos e desbloquear usuários.

Política de Acesso Condicional baseada em risco de usuário

O ID Protection analisa sinais sobre contas de usuário e calcula uma pontuação de risco com base na probabilidade de o usuário estar comprometido. Se um usuário tiver um comportamento de entrada de usuário arriscado ou suas credenciais tiverem sido vazadas, a Proteção de ID usará esses sinais para calcular o nível de risco do usuário. Os administradores podem configurar políticas de Acesso Condicional baseadas em risco para impor controles de acesso com base no risco do usuário, incluindo requisitos como:

1. Exigir correção de risco (versão preliminar): a Proteção de Identidade gerencia o fluxo de correção apropriado para todos os métodos de autenticação.
2. Exigir alteração de senha: a Proteção contra ID bloqueia o acesso até que o usuário conclua uma alteração de senha segura.
3. Bloquear o acesso: a Proteção contra ID bloqueia o usuário até que o risco seja resolvido.

As políticas que exigem a opção #1 ou #2 forçam os usuários finais a corrigirem seu risco de usuário e se desbloquearem.

Exigir correção de risco com correção gerenciada pela Microsoft (versão prévia)

A política de Acesso Condicional baseada em risco de correção gerenciada pela Microsoft permite criar uma política de risco que acomode todos os métodos de autenticação, incluindo baseado em senha e sem senha. Isso significa que quando você seleciona "Exigir correção de risco" nos controles de concessão da política, o Microsoft Entra ID Protection gerencia o fluxo de correção apropriado com base na ameaça observada e no método de autenticação do usuário. Para obter etapas detalhadas sobre como habilitar a correção gerenciada pela Microsoft, consulte Configurar políticas de risco.

• Autenticação de senha: o usuário arriscado tem uma detecção de risco ativa, como uma credencial vazada, pulverização de senha ou histórico de sessão envolvendo uma senha comprometida. O usuário é solicitado a executar uma alteração de senha segura e, quando concluída, suas sessões anteriores são revogadas.
• Autenticação sem senha: o usuário arriscado tem uma detecção de risco ativa, mas não envolve uma senha comprometida. As possíveis detecções de risco incluem token anômalo, viagem impossível ou propriedades de login desconhecidas. As sessões do usuário são revogadas e elas são solicitadas a entrar novamente.

Considerações especiais

• O Microsoft Entra ID P2 é necessário para usar a política de correção gerenciada pela Microsoft.
• A configuração Exigir Correção de Risco corrige o risco do usuário, não o risco de entrada.
• Se um usuário for atribuído a uma política com Exigir Correção de Risco e outra política com Exigir Alteração de Senha ou Bloquear um conflito ocorrerá, fazendo com que o usuário seja forçado por todas as políticas ou bloqueado. Verifique se cada usuário está atribuído a apenas uma dessas políticas por vez.
• Exigir força de autenticação e frequência de entrada no sistema – toda vez são aplicados automaticamente à política por dois motivos:
  • Os usuários precisam ser solicitados a se autenticar novamente depois que suas sessões forem revogadas.
  • Exigir força de autenticação garante que usuários baseados em senha e sem senha sejam cobertos pela política.
• Não há suporte para a ID de carga de trabalho arriscada.
• Usuários externos e convidados devem continuar a auto-remediar por meio da redefinição de senha segura, pois o Microsoft Entra ID não dá suporte à revogação de sessão para usuários externos e convidados.

Política de Acesso Condicional baseada em risco de entrada

Durante cada entrada, o ID Protection analisa centenas de sinais em tempo real e calcula um nível de risco de entrada que representa a probabilidade de que a determinada solicitação de autenticação não esteja autorizada. Esse nível de risco é enviado para o Acesso Condicional, em que as políticas configuradas da organização são avaliadas. Os administradores podem configurar políticas de Acesso Condicional baseadas em risco de entrada, para impor controles de acesso com base no risco de entrada, incluindo requisitos como:

• Acesso bloqueado
• Permitir o acesso
• Exigir autenticação multifator
• Exigir reautenticação (frequência de login)

Se forem detectados riscos em uma entrada, os usuários poderão executar o controle de acesso necessário, como a autenticação multifator, para corrigir e fechar o evento de entrada suspeita, a fim de evitar ruídos desnecessários para administradores.

Observação

Os usuários devem ter registrado um método de autenticação que possa satisfazer a autenticação multifator do Microsoft Entra antes de iniciar uma política de risco de entrada.

Migrar políticas de risco de Proteção de ID para o Acesso Condicional

Se você tiver a política de risco de usuário herdada ou a política de risco de entrada habilitada na Proteção de ID (antigo Identity Protection), migre-as para o Acesso Condicional.

Aviso

As políticas de risco herdadas configuradas no Microsoft Entra ID Protection serão desativadas em 1º de outubro de 2026.

A configuração de políticas de risco no Acesso Condicional oferece benefícios como a capacidade de:

• Gerenciamento de políticas de acesso em um único local.
• Usar o modo somente relatório e as APIs do Graph.
• Aplicar a frequência de entrada para exigir reautenticação todas as vezes.
• Fornecer controle de acesso granular combinando risco com outras condições, como localização.
• Aprimorar a segurança com várias políticas baseadas em risco direcionadas a diferentes grupos de usuários ou níveis de risco.
• Aprimore a experiência de diagnóstico detalhando qual política baseada em risco foi aplicada nos Logs de entrada.
• Suporte ao sistema de autenticação de backup.

Habilitar o registro da autenticação multifator do Microsoft Entra

O ID Protection ajuda as organizações a implantar a autenticação multifator do Microsoft Entra usando uma política que exige o registro na entrada. Habilitar essa política garante que novos usuários em sua organização se registrem no MFA no primeiro dia. A autenticação multifator é um dos métodos de autocorreção para eventos de risco no ID Protection. A autocorreção permite que os usuários tomem providências por conta própria para reduzir o volume de chamadas para assistência técnica.

Saiba mais sobre a autenticação multifator do Microsoft Entra no artigo, Como ela funciona: autenticação multifator do Microsoft Entra.

Conteúdo relacionado

• Habilitar a política de registro de autenticação multifator Microsoft Entra
• Habilitar as políticas de risco com usuários e entradas