Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Dentro de uma política de Acesso Condicional, um administrador pode usar um ou mais sinais para aprimorar suas decisões de política.
Várias condições podem ser combinadas para criar políticas de Acesso condicional específicas e refinadas.
Quando os usuários acessam um aplicativo confidencial, um administrador pode considerar várias condições em suas decisões de acesso, como:
- Informações de risco de login do ID Protection
- Local da rede
- Informações do dispositivo
Risco do usuário
Os administradores com acesso ao ID Protection podem avaliar o risco do usuário como parte de uma política de Acesso Condicional. O risco do usuário representa a probabilidade de que determinada identidade ou conta seja comprometida. Mais informações sobre o risco do usuário são encontradas nos artigos O que é risco e como configurar e habilitar políticas de risco.
Risco de entrada
Os administradores com acesso ao ID Protection podem avaliar o risco de entrada como parte de uma política de Acesso Condicional. O risco de login representa a probabilidade de uma determinada solicitação de autenticação não ter sido autorizada pelo proprietário da identidade. Mais informações sobre o risco de entrada são encontradas nos artigos O que é risco e como configurar e habilitar políticas de risco.
Risco interno
Administradores com acesso à Proteção adaptável do Microsoft Purview podem incorporar sinais de risco do Microsoft Purview em decisões de política de Acesso Condicional. O risco interno considera a governança de dados, a segurança de dados e as configurações de risco e conformidade do Microsoft Purview. Esses sinais são baseados em fatores contextuais como:
- Comportamento do usuário
- Padrões históricos
- Detecção de anomalias
Essa condição permite que os administradores usem políticas de Acesso Condicional para executar ações como bloquear o acesso, exigir métodos de autenticação mais fortes ou exigir aceitação de termos de uso.
Essa funcionalidade envolve a incorporação de parâmetros que abordam especificamente os riscos potenciais decorrentes de dentro de uma organização. Ao configurar o Acesso Condicional para considerar o Risco Interno, os administradores podem adaptar permissões de acesso com base em fatores contextuais, como comportamento do usuário, padrões históricos e detecção de anomalias.
Para obter mais informações, consulte o artigo Configurar e habilitar uma política baseada em risco interno.
Plataformas de dispositivo
O Acesso Condicional identifica a plataforma do dispositivo usando informações fornecidas pelo dispositivo, como, por exemplo, a cadeia de caracteres do agente do usuário. Como as cadeias de caracteres do agente do usuário podem ser modificadas, essas informações não são verificadas. O uso da plataforma de dispositivo deve ser pareado com as políticas de conformidade do dispositivo do Microsoft Intune ou como parte de uma declaração de bloqueio. O padrão é aplicar a todas as plataformas de dispositivo.
O Acesso condicional é compatível com as seguintes plataformas de dispositivos:
- Andróide
- Ios
- Windows
- macOS
- Linux
Se você bloquear a autenticação herdada usando a condição de Outros clientes, também poderá definir a condição da plataforma do dispositivo.
Não há suporte para a seleção de plataformas de dispositivo macOS ou Linux ao selecionar Exigir aplicativo cliente aprovado ou Exigir política de proteção de aplicativo como os únicos controles de concessão ou quando você escolher Exigir todos os controles selecionados.
Importante
A Microsoft recomenda ter uma política de Acesso Condicional para plataformas de dispositivo sem suporte. Por exemplo, para bloquear o acesso aos recursos corporativos do sistema operacional Chrome ou de qualquer outro cliente sem suporte, configure uma política com uma condição de plataformas de dispositivo que inclua qualquer dispositivo e exclua plataformas de dispositivo compatíveis e conceda o controle definido como Bloquear acesso.
Locais
Aplicativos cliente
Por padrão, todas as políticas de Acesso Condicional recém-criadas serão aplicadas a todos os tipos de aplicativos clientes, mesmo que a condição dos aplicativos clientes não esteja configurada.
Observação
O comportamento da condição de aplicativos cliente foi atualizado em agosto de 2020. Se você tiver políticas de Acesso Condicional existentes, elas permanecerão inalteradas. No entanto, se você selecionar uma política existente, a alternância Configurar será removida e os aplicativos cliente aos quais a política se aplica serão selecionados.
Importante
As tentativas de entrada de clientes de autenticação herdada não dão suporte à autenticação multifator (MFA) e não transmitem informações sobre o estado do dispositivo, por isso são bloqueadas por regras de concessão de Acesso Condicional, como a exigência de MFA ou dispositivos compatíveis. Se tiver contas que devem usar autenticação herdada, deverá excluir essas contas da política ou configurar a política para que seja aplicada somente aos clientes de autenticação modernos.
Quando a opção Configurar alternância estiver definida como Sim ela se aplicará a itens marcados. Quando definida como Não, ela se aplicará a todos os aplicativos cliente, incluindo clientes de autenticação modernos e herdados. Essa alternância não é exibida nas políticas criadas antes de agosto de 2020.
- Clientes de autenticação moderna
- Navegador
- Isso inclui aplicativos baseados na Web que usam protocolos como SAML, WS-Federation, OpenID Connect ou serviços registrados como um cliente confidencial do OAuth.
- Aplicativos móveis e clientes de desktop
- Essa opção inclui aplicativos como os aplicativos de área de trabalho e de telefone do Office.
- Navegador
- Clientes de autenticação herdada
- Clientes do Exchange ActiveSync
- Essa seleção inclui todo o uso do protocolo EAS (Exchange Active Sync). Quando a política bloqueia o uso do Exchange ActiveSync, o usuário afetado recebe um único email de quarentena. Este email fornece informações sobre por que eles estão bloqueados e inclui instruções de correção, se possível.
- Os administradores podem aplicar a política somente a plataformas com suporte (como iOS, Android e Windows) por meio da API do Microsoft Graph de acesso condicional.
- Outros clientes
- Essa opção inclui os clientes que usam protocolos de autenticação básica/herdada que não dão suporte à autenticação moderna.
- SMTP - Usado por clientes POP e IMAP para enviar mensagens de email.
- Descoberta automática - usada pelos clientes do Outlook e do EAS para localizar e conectar-se às caixas de correio no Exchange Online.
- Exchange Online PowerShell - usado para se conectar ao Exchange Online com o PowerShell remoto. Se você bloquear a autenticação básica para o Exchange Online PowerShell, será necessário usar o módulo do PowerShell do Exchange Online para se conectar. Para obter instruções, confira Conectar ao PowerShell do Exchange Online usando a autenticação multifator.
- Serviços Web do Exchange (EWS) – uma interface de programação usada pelo Outlook, pelo Outlook para Mac e por aplicativos de terceiros.
- IMAP4 – usado por clientes de email IMAP.
- MAPI sobre HTTP (MAPI/HTTP) – usado pelo Outlook 2010 e posterior.
- OAB (catálogo de endereços offline) – uma cópia das coleções de listas de endereços que são baixadas e usadas pelo Outlook.
- Outlook em Qualquer Lugar (RPC por HTTP) - usado pelo Outlook 2016 e anterior.
- Serviço do Outlook – usado pelo aplicativo de email e calendário para Windows 10.
- POP3 - usado por clientes de email POP.
- Serviços Web de relatórios - usados para recuperar dados de relatório no Exchange Online.
- Essa opção inclui os clientes que usam protocolos de autenticação básica/herdada que não dão suporte à autenticação moderna.
- Clientes do Exchange ActiveSync
Essas condições costumam ser usadas para:
- Exigir um dispositivo gerenciado
- Bloquear a autenticação herdada
- Bloquear aplicativos web, mas permitir aplicativos móveis ou de área de trabalho
Navegadores com suporte
Essa configuração funciona com todos os navegadores. No entanto, para atender a uma política de dispositivo, como um requisito de conformidade do dispositivo, há suporte para os sistemas operacionais e os navegadores a seguir. Os sistemas operacionais e os navegadores sem suporte base não aparecem nesta lista:
| Sistemas operacionais | Navegadores |
|---|---|
| Windows 10 e posterior | Microsoft Edge, Chrome, Firefox 91 e posterior |
| Windows Server 2022 | Microsoft Edge, Chrome |
| Windows Server 2019 | Microsoft Edge, Chrome |
| Ios | Microsoft Edge, Safari (confira as observações) |
| Andróide | Microsoft Edge, Chrome |
| macOS | Microsoft Edge, Chrome, Firefox 133+, Safari |
| Área de Trabalho do Linux | Microsoft Edge |
Esses navegadores dão suporte à autenticação de dispositivo, permitindo que o dispositivo seja identificado e validado em relação a uma política. A verificação do dispositivo falhará caso o navegador esteja sendo executado em modo privado ou se os cookies estiverem desabilitados.
Observação
O Microsoft Edge 85+ exige que o usuário entre no navegador para passar corretamente a identidade do dispositivo. Caso contrário, ele se comporta como o Chrome sem a extensão Microsoft Single Sign On Esse login pode não ocorrer automaticamente em um cenário de ingresso de dispositivo híbrido.
O Safari tem suporte para acesso condicional com base em dispositivo em um dispositivo gerenciado, mas não pode satisfazer as condições Exigir um aplicativo cliente aprovado ou Exigir política de proteção do aplicativo. Um navegador gerenciado como o Microsoft Edge atende aos requisitos de aplicativos cliente aprovados e de políticas de proteção de aplicativos. No iOS com soluções de MDM que não são da Microsoft, somente o navegador Microsoft Edge dá suporte à política de dispositivo.
Há suporte ao Firefox 91+ para Acesso Condicional baseado em dispositivo, mas é preciso habilitar "Permitir logon único no Windows para contas Microsoft, corporativa e de estudante".
O Chrome 111+ tem suporte para o acesso condicional baseado em dispositivo, mas a opção "CloudApAuthEnabled" precisa estar habilitada.
Os dispositivos macOS que usam o plug-in Enterprise SSO exigem a extensão Microsoft Single Sign On para dar suporte ao SSO e ao acesso condicional baseado em dispositivo no Google Chrome.
Os dispositivos macOS que usam o navegador Firefox devem estar executando o macOS versão 10.15 ou mais recente e ter o plug-in SSO do Microsoft Enterprise instalado e configurado adequadamente.
Por que vejo um prompt de certificado no navegador
No Windows 7, no iOS, no Android e no macOS, os dispositivos são identificados usando um certificado do cliente. Esse certificado é provisionado quando o dispositivo é registrado. Quando um usuário entra pela primeira vez pelo navegador, é solicitado que o usuário selecione o certificado. O usuário deve selecionar esse certificado antes de poder usar o navegador.
Suporte ao Chrome
Windows
Para obter suporte do Chrome no Windows 10 Creators Update (versão 1703) ou posterior, instale a extensão Microsoft Single Sign On ou habilite o Chrome CloudAPAuthEnabled. Essas configurações são necessárias quando uma política de acesso condicional requisita detalhes específicos do dispositivo para plataformas Windows.
Para habilitar automaticamente a política CloudAPAuthEnabled no Chrome, crie a seguinte chave do registro:
- Caminho:
HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome - Nome:
CloudAPAuthEnabled - Valor:
0x00000001 - TipoDePropriedade:
DWORD
Para implantar automaticamente a extensão Microsoft Single Sign On em navegadores Chrome, crie a seguinte chave de registro usando a política ExtensionInstallForcelist no Chrome:
- Caminho:
HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist - Nome:
1 - Digite:
REG_SZ (String) - Dados:
ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crx
Para obter suporte ao Chrome no Windows 8.1 e 7, crie a seguinte chave do registro:
- Caminho:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls - Nome:
1 - Digite:
REG_SZ (String) - Dados:
{"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}
macOS
Os dispositivos macOS que usam o plug-in Enterprise SSO exigem a extensão Microsoft Single Sign On para dar suporte ao SSO e ao acesso condicional baseado em dispositivo no Google Chrome.
Para implantações baseadas em MDM do Google Chrome e gerenciamento de extensões, consulte Configurar o navegador Chrome no Mac e ExtensionInstallForcelist.
Aplicativos móveis e cliente de área de trabalho com suporte
Os administradores podem selecionar Aplicativos móveis e clientes de desktop como um aplicativo cliente.
Essa configuração exerce um impacto sobre as tentativas de acesso feitas a partir dos seguintes aplicativos móveis e clientes de desktop:
| Aplicativos cliente | Serviço de Destino | Plataforma |
|---|---|---|
| Aplicativo Dynamics CRM | Dynamics CRM | Windows 10, Windows 8.1, iOS e Android |
| Aplicativo de Calendário/Email/Pessoas, Outlook 2016 Outlook 2013 (com autenticação moderna) | Exchange Online | Windows 10 |
| Política de localização e MFA para aplicativos. Não há suporte para políticas baseadas em dispositivo. | Qualquer serviço de aplicativo de Meus Aplicativos | Android e iOS |
| Microsoft Teams Services: esse aplicativo cliente controla todos os serviços que dão suporte ao Microsoft Teams e todos os seus aplicativos cliente – Windows Desktop, iOS, Android, WP e cliente da Web | Equipes da Microsoft | Windows 10, Windows 8.1, Windows 7, iOS, Android e macOS |
| Aplicativos do Office 2016, Office 2013 (com autenticação moderna), cliente de sincronização do OneDrive | SharePoint | Windows 8.1, Windows 7 |
| Aplicativos do Office 2016, Office 2013 (com autenticação moderna), cliente de sincronização do OneDrive | SharePoint online | Windows 10 |
| Office 2016 (somente Word, Excel, PowerPoint, OneNote). | SharePoint | macOS |
| Escritório 2019 | SharePoint | Windows 10, macOS |
| Aplicativos móveis do Office | SharePoint | Android, iOS |
| Aplicativo Office Yammer | Yammer | Windows 10, iOS, Android |
| Perspectivas para 2019 | SharePoint | Windows 10, macOS |
| Outlook 2016 (Office para macOS) | Exchange Online | macOS |
| Outlook 2016, Outlook 2013 (com autenticação moderna), Skype for Business (com autenticação moderna) | Exchange Online | Windows 8.1, Windows 7 |
| Aplicativo Outlook Mobile | Exchange Online | Android, iOS |
| Aplicativo do Power BI | Serviço do Power BI | Windows 10, Windows 8.1, Windows 7, Android e iOS |
| Skype for Business | Exchange Online | Android, iOS |
| Aplicativo do Azure DevOps Services (antigo Visual Studio Team Services, ou VSTS) | Azure DevOps Services (antigo Visual Studio Team Services, ou VSTS) | Windows 10, Windows 8.1, Windows 7, iOS e Android |
Clientes do Exchange ActiveSync
- Os administradores só podem selecionar clientes do Exchange ActiveSync quando atribuírem uma política a usuários ou grupos. Selecionar Todos os usuários, Todos os usuários convidados e externos ou Funções de diretório fará com que todos os usuários fiquem sujeitos à política.
- Quando os administradores criam uma política atribuída aos clientes do Exchange ActiveSync, o Exchange Online deve ser o único aplicativo de nuvem atribuído à política.
- Os administradores podem restringir o escopo dessa política a plataformas específicas usando a condição Plataformas de dispositivos.
Se o controle de acesso atribuído à política usar Exigir aplicativo cliente aprovado, o usuário será direcionado para instalar e usar o cliente móvel do Outlook. Caso a Autenticação Multifator, Termos de uso ou controles personalizados sejam necessários, os usuários afetados são bloqueados, pois a autenticação básica não dá suporte a esses controles.
Para obter mais informações, confira os seguintes artigos:
- Bloquear autenticação herdada com Acesso Condicional
- Exigir aplicativos cliente aprovados com Acesso condicional
Outros clientes
Ao selecionar Outros clientes, é possível especificar uma condição que afeta os aplicativos que usam autenticação básica com protocolos de email, como IMAP, MAPI, POP, SMTP e aplicativos mais antigos do Office que não usam autenticação moderna.
Estado do dispositivo (preterido)
Essa condição foi preterida. Os clientes devem usar a condição Filtro para dispositivos na política de Acesso Condicional para satisfazer os cenários alcançados anteriormente usando a condição de estado do dispositivo.
Importante
O estado do dispositivo e os filtros para dispositivos não podem ser usados juntos na política de Acesso Condicional. Os filtros para dispositivos fornecem um direcionamento mais detalhado, incluindo suporte para direcionar informações de estado do dispositivo por meio das propriedades trustType e isCompliant.
Filtro para dispositivos
Quando os administradores configuram o filtro para dispositivos como uma condição, eles podem incluir ou excluir dispositivos com base em um filtro usando uma expressão de regra nas propriedades do dispositivo. É possível criar a expressão de regra para filtros para dispositivos usando o construtor de regras ou a sintaxe de regra. Essa experiência é semelhante à usada para regras para grupos de associação dinâmica. Para saber mais, confira o artigo Acesso Condicional: Filtro para dispositivos.
Fluxos de autenticação (versão prévia)
Os fluxos de autenticação controlam como sua organização usa determinados protocolos e concessões de autenticação e autorização. Esses fluxos podem fornecer uma experiência ininterrupta para dispositivos que talvez não tenham dispositivos de entrada locais, como dispositivos compartilhados ou sinalização digital. Use esse controle para configurar métodos de transferência como fluxo de código do dispositivo ou transferência de autenticação.