Acesso condicional: filtro para dispositivos

Ao criar políticas de Acesso Condicional, os administradores solicitaram a capacidade de direcionar ou excluir dispositivos específicos em seu ambiente. O filtro de condição para dispositivos oferece aos administradores essa capacidade. Agora você pode direcionar dispositivos específicos usando as operadores e propriedades com suporte para filtros de dispositivos e outras condições de atribuição disponíveis em suas políticas de Acesso Condicional.

Creating a filter for device in Conditional Access policy conditions

Cenários comuns

Há diversos cenários que as organizações podem habilitar usando filtro para a condição dos dispositivos. Os cenários a seguir fornecem exemplos de como usar essa nova condição.

  • Restringir o acesso a recursos privilegiados. Para este exemplo, suponhamos que você queira permitir acesso à API de Gerenciamento de Serviços do Windows Azure de um usuário que tenha uma função com privilégios de Administrador Global atribuída, e que passou pela autenticação multifator e acessa de um dispositivo privilegiado ou estações de trabalho de administrador seguras e foi atestado como em conformidade. Para esse cenário, as organizações criariam duas políticas de Acesso Condicional:
    • Política 1: todos os usuários com a função do diretório do Administrador global que acessam o aplicativo de nuvem API de Gerenciamento de Serviços do Windows Azure e para Controles de acesso, Conceder acesso, mas exigir autenticação multifator e que o dispositivo seja marcado como em conformidade.
    • Política 2: todos os usuários com a função do diretório do Administrador global, que acessam o aplicativo de nuvem da API de Gerenciamento de Serviços do Windwos Azure, excluindo um filtro para dispositivos usando a expressão de regra device.extensionAttribute1 igual a SAW e para Controles de acesso, Bloquear. Saiba como atualizar extensionAttributes em um objeto de dispositivo do Microsoft Entra.
  • Bloquear o acesso a recursos da organização de dispositivos que executam uma versão do Sistema Operacional sem suporte. Para este exemplo, vamos supor que você deseja bloquear o acesso a recursos de Windows de uma versão do sistema operacional mais antiga do que o Windows 10. Para esse cenário, as organizações criariam a seguinte política de Acesso Condicional:
    • Todos os usuários, que acessam todos os aplicativos de nuvem, excluindo um filtro para dispositivos que usam a expressão de regra device.operatingSystem e device.operatingSystemVersion startsWith "10.0" e para Controles de acesso, Bloquear.
  • Não exigir autenticação multifator de contas específicas em dispositivos específicos. Para este exemplo, digamos que você não queira exigir autenticação multifator ao usar contas de serviço em dispositivos específicos, como telefones Teams ou dispositivos Surface Hub. Para esse cenário, as organizações criarão as duas políticas de Acesso Condicional abaixo:
    • Política 1: todos os usuários excluindo contas de serviço, acessando todos os aplicativos de nuvem e para Controles de acesso, Conceder acesso, mas exigem autenticação multifator.
    • Política 2: selecione usuários e grupos e inclua o grupo que contém apenas contas de serviço, acessando todos os aplicativos de nuvem, excluindo um filtro para dispositivos que usem a expressão de regra device.extensionAttribute2 não é igual a TeamsPhoneDevice e para Controles de acesso, Bloquear.

Observação

O Microsoft Entra ID usa a autenticação do dispositivo para avaliar as regras de filtro de dispositivo. Para um dispositivo que não está registrado com o Microsoft Entra ID todas as propriedades do dispositivo são consideradas como valores nulos e os atributos do dispositivo não podem ser determinados, pois o dispositivo não existe no diretório. A melhor maneira de direcionar políticas para dispositivos não registrados é usar o operador negativo, pois a regra de filtro configurada se aplicaria. Se você usa um operador positivo, a regra de filtro só se aplica quando um dispositivo existe no diretório e a regra configurada corresponde ao atributo no dispositivo.

Criar uma política de Acesso Condicional

O filtro para dispositivos é um controle opcional ao criar uma política de acesso condicional.

As etapas a seguir ajudarão a criar duas políticas de Acesso Condicional para dar suporte ao primeiro cenário em Cenários comuns.

Política 1: todos os usuários com a função do diretório do Administrador global que acessam o aplicativo de nuvem API de Gerenciamento de Serviços do Windows Azure e para Controles de acesso, Conceder acesso, mas exigir autenticação multifator e que o dispositivo seja marcado como em conformidade.

  1. Entre no centro de administração do Microsoft Entra como pelo menos Administrador de acesso condicional.
  2. Navegue até Proteção>Acesso Condicional.
  3. Selecione Criar nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione Funções do diretório e escolha Administrador global.

      Aviso

      As políticas de acesso condicional dão suporte às funções internas. As políticas de Acesso Condicional não são impostas para outros tipos de função, incluindo funções personalizadas ou no escopo da unidade administrativa.

    2. Em Excluir, selecione Usuários e grupos e escolha o acesso de emergência ou as contas de interrupção da sua organização.

    3. Selecione Concluído.

  6. Em Recursos de destino>Aplicativos de nuvem>Incluir>Selecionar aplicativos, escolha API de Gerenciamento de Serviços do Windows Azure e selecione Selecionar.
  7. Em Controles de acesso>Conceder, selecione Conceder acesso, Solicitar a autenticação multifator e Solicitar que o dispositivo seja marcado como em conformidade, e, então, selecione Selecionar.
  8. Confirme suas configurações e defina Habilitar política como Ativado.
  9. Selecione Criar para criar e habilitar sua política.

Política 2: todos os usuários com a função do diretório do Administrador global, que acessam o aplicativo de nuvem da API de Gerenciamento de Serviços do Windwos Azure, excluindo um filtro para dispositivos usando a expressão de regra device.extensionAttribute1 igual a SAW e para Controles de acesso, Bloquear.

  1. Selecione Criar nova política.
  2. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  3. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione Funções do diretório e escolha Administrador global.

      Aviso

      As políticas de acesso condicional dão suporte às funções internas. As políticas de Acesso Condicional não são impostas para outros tipos de função, incluindo funções personalizadas ou no escopo da unidade administrativa.

    2. Em Excluir, selecione Usuários e grupos e escolha o acesso de emergência ou as contas de interrupção da sua organização.

    3. Selecione Concluído.

  4. Em Recursos de destino>Aplicativos de nuvem>Incluir>Selecionar aplicativos, escolha API de Gerenciamento de Serviços do Windows Azure e selecione Selecionar.
  5. Em Condições, Filtro para dispositivos.
    1. Alterne Configurar para Sim.
    2. Configure os Dispositivos que correspondem à regra como Excluir os dispositivos filtrados da política.
    3. Defina a propriedade como ExtensionAttribute1, o operador como Equals e o valor como SAW.
    4. Selecione Concluído.
  6. Em Controles de acesso>Conceder, selecione Bloquear acesso e depois Selecionar.
  7. Confirme suas configurações e defina Habilitar política como Ativado.
  8. Selecione Criar para criar e habilitar sua política.

Aviso

As políticas que exigem dispositivos compatíveis podem solicitar que os usuários de Mac, iOS e Android selecionem um certificado de dispositivo durante a avaliação da política, mesmo que a conformidade do dispositivo não seja imposta. Esses prompts podem ser repetidos até que o dispositivo esteja em conformidade.

Definindo valores de atributo

A definição de atributos de extensão é possibilitada por meio da API do Graph. Para obter mais informações sobre como configurar atributos de dispositivo, confira o artigo Atualizar dispositivo.

Filtro para dispositivos API do Graph

O filtro para dispositivos de API está disponível no ponto de extremidade do Microsoft Graph versão v1.0, e podem ser acessados usando o ponto de extremidade https://graph.microsoft.com/v1.0/identity/conditionalaccess/policies/. Você pode configurar um filtro para dispositivos ao criar uma nova política de Acesso Condicional ou pode atualizar uma política existente para configurar o filtro para a condição dos dispositivos. Para atualizar uma política existente, você pode fazer uma chamada de patch no ponto de extremidade do Microsoft Graph versão v1.0, acrescentando a ID de política de uma política existente e executando o corpo da solicitação a seguir. Este exemplo mostra a configuração de um filtro para a condição dos dispositivos excluindo os dispositivos que não estão marcados como dispositivos SAW. A sintaxe da regra pode ser composta por mais de uma única expressão. Para saber mais sobre a sintaxe, consulte Regras de associação dinâmica para grupos no Microsoft Entra ID.

{
    "conditions": {
        "devices": {
            "deviceFilter": {
                "mode": "exclude",
                "rule": "device.extensionAttribute1 -ne \"SAW\""
            }
        }
    }
}

Operadores e propriedades de dispositivo com suporte para filtros

Os seguintes atributos do dispositivo podem ser usados com o filtro para a condição do dispositivo no Acesso Condicional.

Observação

O Microsoft Entra ID usa a autenticação do dispositivo para avaliar as regras de filtro de dispositivo. Para um dispositivo que não está registrado com o Microsoft Entra ID todas as propriedades do dispositivo são consideradas como valores nulos e os atributos do dispositivo não podem ser determinados, pois o dispositivo não existe no diretório. A melhor maneira de direcionar políticas para dispositivos não registrados é usar o operador negativo, pois a regra de filtro configurada se aplicaria. Se você usa um operador positivo, a regra de filtro só se aplica quando um dispositivo existe no diretório e a regra configurada corresponde ao atributo no dispositivo.

Atributos de dispositivo com suporte Operadores com suporte Valores com suporte Exemplo
deviceId Equals, NotEquals, In, NotIn Um deviceId válido que é um GUID (device.deviceid -eq "498c4de7-1aee-4ded-8d5d-000000000000")
displayName Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Qualquer cadeia de caracteres (device.displayName -contains “ABC”)
deviceOwnership Equals, NotEquals Os valores com suporte são "Pessoal" para traga seus próprios dispositivos e "Empresa" para dispositivos corporativos (device.deviceOwnership -eq "Company")
isCompliant Equals, NotEquals Os valores com suporte são "True" para dispositivos compatíveis e "False" para dispositivos não compatíveis (device.isCompliant -eq "True")
fabricante Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Qualquer cadeia de caracteres (device.manufacturer -startsWith "Microsoft")
mdmAppId Equals, NotEquals, In, NotIn Uma ID de aplicativo MDM válida (device.mdmAppId -in ["0000000a-0000-0000-c000-000000000000"]
modelo Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Qualquer cadeia de caracteres (device.model -notContains "Surface")
operatingSystem Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Um sistema operacional válido (como Windows, iOS ou Android) (device.operatingSystem -eq "Windows")
operatingSystemVersion Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Uma versão válida do sistema operacional (como 6.1 para Windows 7, 6.2 para Windows 8 ou 10.0 para Windows 10 e 11) (device.operatingSystemVersion -in ["10.0.18363", "10.0.19041", "10.0.19042", "10.0.22000"])
physicalIds Contains, NotContains Por exemplo, todos os dispositivos do Windows Autopilot armazenam ZTDId (um valor exclusivo atribuído a todos os dispositivos do Windows Autopilot importados) na propriedade physicalIds do dispositivo. (device.physicalIds -contains "[ZTDId]:value")
profileType Equals, NotEquals Um tipo de perfil válido definido para um dispositivo. Os valores com suporte são: RegisteredDevice (padrão), SecureVM (usado para VMs Windows no Azure habilitado com entrada no Microsoft Entra), Printer (usado para impressoras), Shared (usada paro dispositivos compartilhados), IoT (usado para dispositivos IoT) (device.profileType -eq "Printer")
systemLabels Contains, NotContains Lista de rótulos aplicados ao dispositivo pelo sistema. Alguns dos valores com suporte são: AzureResource (usado para VMs Windows no Azure habilitadas com entrada no Microsoft Entra), M365Managed (usado para dispositivos gerenciados usando a Área de Trabalho Gerenciada da Microsoft), MultiUser (usado para dispositivos compartilhados) (device.systemLabels -contains "M365Managed")
trustType Equals, NotEquals Um estado registrado válido para dispositivos. Os valores com suporte são: AzureAD (usado para dispositivos ingressados no Microsoft Entra), ServerAD (usado para dispositivos ingressados de forma híbrida no Microsoft Entra), Workplace (usado para dispositivos registrados no Microsoft Entra) (device.trustType -eq "ServerAD")
extensionAttribute1-15 Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn extensionAttributes1-15 são atributos que os clientes podem usar para objetos de dispositivo. Os clientes podem atualizar quaisquer extensionAttributes1 a 15 com valores personalizados, e usá-los no filtro para a condição do dispositivo no Acesso Condicional. Qualquer valor de cadeia de caracteres pode ser usado. (device.extensionAttribute1 -eq "SAW")

Observação

Ao criar regras complexas ou usar muitos identificadores individuais, como deviceid para identidades de dispositivo, tenha em mente que "O comprimento máximo da regra de filtro é de 3.072 caracteres".

Observação

Os operadores Contains e NotContains funcionam de maneira diferente, dependendo dos tipos de atributo. Para atributos de cadeia de caracteres, como operatingSystem e model, o operador Contains indica se uma subcadeia especificada ocorre dentro do atributo. Para atributos de coleção de cadeia de caracteres, como physicalIds e systemLabels, o operador Contains indica se uma cadeia de caracteres especificada corresponde a uma das cadeias de caracteres inteiras na coleção.

Aviso

Os dispositivos devem ser gerenciados pelo Microsoft Intune, estar em conformidade ou ter ingressado no Microsoft Entra híbrido para que um valor esteja disponível em extensionAttributes1-15 no momento da avaliação da Política de Acesso Condicional.

Comportamento da política com filtro para dispositivos

O filtro para a condição dos dispositivos no Acesso Condicional avalia a política com base nos atributos do dispositivo de um dispositivo registrado no Microsoft Entra ID e, portanto, é importante reconhecer em quais circunstâncias a política será aplicada ou não. A tabela a seguir ilustra o comportamento quando um filtro para a condição dos dispositivos é configurado.

Filtro para condição dos dispositivos Estado de registro do dispositivo Filtro de dispositivo Aplicado
Modo de inclusão/exclusão com operadores positivos (Equals, StartsWith, EndsWith, Contains, In) e uso de quaisquer atributos Dispositivo não registrado Não
Modo de inclusão/exclusão com operadores positivos (Equals, StartsWith, EndsWith, Contains, In) e uso de atributos, excluindo extensionAttributes1-15 Dispositivo registrado Sim, se os critérios forem atendidos
Modo de inclusão/exclusão com operadores positivos (Equals, StartsWith, EndsWith, Contains, In) e uso de atributos, incluindo extensionAttributes1-15 Dispositivo registrado gerenciado pelo Intune Sim, se os critérios forem atendidos
Modo de inclusão/exclusão com operadores positivos (Equals, StartsWith, EndsWith, Contains, In) e uso de atributos, incluindo extensionAttributes1-15 Dispositivo registrado não gerenciado pelo Intune Sim, se os critérios forem atendidos. Quando extensionAttributes1-15 for usado, a política será aplicada se o dispositivo estiver em conformidade ou ingressado no Microsoft Entra híbrido
Modo de inclusão/exclusão com operadores negativos (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) e uso de quaisquer atributos Dispositivo não registrado Sim
Modo de inclusão/exclusão com operadores negativos (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) e uso de quaisquer atributos, exceto extensionAttributes1-15 Dispositivo registrado Sim, se os critérios forem atendidos
Modo de inclusão/exclusão com operadores negativos (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) e uso de quaisquer atributos, inclusive extensionAttributes1-15 Dispositivo registrado gerenciado pelo Intune Sim, se os critérios forem atendidos
Modo de inclusão/exclusão com operadores negativos (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) e uso de quaisquer atributos, inclusive extensionAttributes1-15 Dispositivo registrado não gerenciado pelo Intune Sim, se os critérios forem atendidos. Quando extensionAttributes1-15 for usado, a política será aplicada se o dispositivo estiver em conformidade ou ingressado no Microsoft Entra híbrido

Próximas etapas