Proteger o registro de informações de segurança com política de Acesso Condicional

A proteção de quando e como os usuários se registram para a autenticação multifator do Microsoft Entra e a redefinição de senha por autoatendimento é possível por meio de ações do usuário em uma Política de Acesso condicional. Esse recurso está disponível para organizações que permitem o registro combinado. Essa funcionalidade permite que as organizações tratem o processo de registro como qualquer aplicativo em uma política de acesso condicional e usem todo o poder do acesso condicional para proteger a experiência. Os usuários que entram no aplicativo Microsoft Authenticator ou habilitam a conexão por telefone sem senha estão sujeitos a essa política.

Algumas organizações no passado podem ter usado a localização de rede confiável ou a conformidade do dispositivo como um meio de proteger a experiência de registro. Com a adição da Senha de Acesso Temporária no Microsoft Entra ID, os administradores podem fornecer credenciais com limite de tempo aos usuários que permitem que eles se registrem em qualquer dispositivo ou local. Credenciais de Passe de Acesso Temporário atendem aos requisitos de Acesso Condicional para autenticação multifator.

Exclusões de usuário

As políticas de Acesso Condicional são ferramentas avançadas. É recomendável excluir as seguintes contas de suas políticas:

• Contas de acesso de emergência ou break-glass para evitar bloqueio devido a configuração incorreta de política. No cenário improvável em que todos os administradores estão bloqueados, sua conta administrativa de acesso de emergência pode ser usada para entrar e recuperar o acesso.
  • Mais informações podem ser encontradas no artigo Gerenciar contas de acesso de emergência no Microsoft Entra ID.
• Contas de serviço e entidades de serviço, como a conta de sincronização do Microsoft Entra Connect. As contas de serviço são contas não interativas que não estão vinculadas a nenhum usuário específico. Normalmente, eles são usados por serviços de back-end para permitir acesso programático a aplicativos, mas também são usados para entrar em sistemas para fins administrativos. As chamadas feitas por entidades de serviço não são bloqueadas pelas políticas de Acesso Condicional com escopo para os usuários. Use o Acesso Condicional para identidades de carga de trabalho para definir políticas direcionadas às entidades de serviço.
  • Se sua organização usar essas contas em scripts ou código, substitua-as por identidades gerenciadas.

Implantação de modelo

As organizações podem implantar essa política seguindo as etapas descritas abaixo ou usando os modelos de Acesso Condicional.

Criar uma política para proteger o registro

A política a seguir se aplica aos usuários selecionados que tentam se registrar usando a experiência de registro combinado. A política exige que os usuários que não estão em uma rede confiável façam autenticação multifator. Os usuários de redes confiáveis são excluídos dessa política.

Aviso

Se você usar métodos de autenticação externa, eles atualmente serão incompatíveis com a força de autenticação e você deverá usar o controle de concessão Exigir autenticação multifator.

1. Entre no centro de administração do Microsoft Entra como pelo menos Administrador de acesso condicional.
2. Navegue até Entra ID>Acesso Condicional>Políticas.
3. Selecione Nova política.
4. No campo Nome, digite um nome para esta política. Por exemplo, o Registro de Informações de Segurança Combinado com TAP.
5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.

   1. Em Incluir, selecione Todos os usuários.

      Aviso

      Os usuários devem estar habilitados para o registro combinado.

   2. Em Excluir.

      1. Selecione Todos os usuários convidados e externos.

         Observação

         A Senha de Acesso Temporária não funciona para usuários convidados.

      2. Selecione Usuários e grupos e escolha o acesso de emergência ou de break-glass da sua organização.

6. Em Recursos de destino>Ações do usuário, marque Registrar informações de segurança.
7. Em Condições>Locais.
   1. Defina Configurar como Sim.
      1. Inclua Qualquer localização.
      2. Excluir Todos os locais confiáveis.
8. Em Controles de acesso>Conceder, selecione Conceder acesso.
   1. Selecione Exigir força de autenticação e selecione a força de autenticação interna ou personalizada apropriada na lista.
   2. Selecione Selecionar.
9. Confirme suas configurações e defina Habilitar política como Somente relatório.
10. Selecione Criar para criar e habilitar sua política.

Depois de confirmar suas configurações usando o impacto da política ou o modo somente relatório, mova a alternância habilitar a política de somente relatório para Ativar.

Os administradores precisam emitir credenciais de Senha de Acesso Temporária para novos usuários para que eles possam atender aos requisitos de autenticação multifator para se registrar. As etapas para realizar essa tarefa são encontradas na seção Criar uma Senha de Acesso Temporária no centro de administração do Microsoft Entra.

As organizações podem optar por exigir outros controles de concessão junto com ou no lugar de Exigir autenticação multifator na etapa 8a. Ao optar por vários controles, selecione o botão de opção apropriado para exigir todos ou um dos controles selecionados ao fazer essa alteração.

Registro de usuário convidado

Para usuários convidados que precisam se registrar para autenticação multifator no seu diretório, você pode optar por bloquear o registro de fora dos locais de rede confiáveis usando o guia a seguir.

1. Entre no centro de administração do Microsoft Entra como pelo menos Administrador de acesso condicional.
2. Navegue até Entra ID>Acesso Condicional>Políticas.
3. Selecione Nova política.
4. No campo Nome, digite um nome para esta política. Por exemplo, Registro combinado de informações de segurança em redes confiáveis.
5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
   1. Em Incluir, selecione Todos os usuários convidados e externos.
6. Em Recursos de destino>Ações do usuário, marque Registrar informações de segurança.
7. Em Condições>Locais.
   1. Configure Sim.
   2. Inclua Qualquer localização.
   3. Excluir Todos os locais confiáveis.
8. Em Controles de acesso>Conceder.
   1. Selecione Bloquear acesso.
   2. Em seguida, escolha Selecionar.
9. Confirme suas configurações e defina Habilitar política como Somente relatório.
10. Selecione Criar para criar e habilitar sua política.

Depois de confirmar suas configurações usando o impacto da política ou o modo somente relatório, mova a alternância habilitar a política de somente relatório para Ativar.

Conteúdo relacionado

• Funções integradas do Microsoft Entra
• Modelos de acesso condicional
• Exigir que os usuários reconfirmem informações de autenticação