Maneiras comuns de usar o Acesso Condicional com o Intune
Há dois tipos de políticas de Acesso Condicional que você pode utilizar com o Intune: Acesso Condicional baseado em dispositivos e Acesso Condicional baseado em aplicativos. Para suportar a cada uma delas, você precisará configurar as políticas do Intune relacionadas. Quando as políticas do Intune estiverem em vigor e implantadas, você poderá usar o Acesso Condicional para permitir ou bloquear o acesso ao Exchange, controlar o acesso à sua rede ou integrar-se a uma solução de Defesa contra Ameaças Móveis.
As informações deste artigo podem ajudá-lo a entender como usar os recursos de conformidade de dispositivo móvel do Intune e os recursos de MAM (gerenciamento de aplicativo móvel) do Intune.
Observação
O Acesso Condicional é uma capacidade do Microsoft Entra incluída com uma licença P1 ou P2 do Microsoft Entra ID. O Intune aprimora esse recurso adicionando conformidade de dispositivo móvel e gerenciamento de aplicativo móvel à solução. O nó Acesso Condicional acedido a partir do Intune é o mesmo nó ao qual acedeu a partir do Microsoft Entra ID.
Acesso Condicional baseado no dispositivo
O Intune e o Microsoft Entra ID trabalham em conjunto para garantir que apenas os dispositivos geridos e conformes podem aceder ao e-mail da sua organização, aos serviços do Microsoft 365, às aplicações Software como serviço (SaaS) e às aplicações no local. Além disso, pode definir uma política no Microsoft Entra ID para ativar apenas os computadores associados a um domínio ou dispositivos móveis inscritos no Intune para aceder aos serviços do Microsoft 365.
Com o Intune, você implanta políticas de conformidade de dispositivos para determinar se um dispositivo atende aos requisitos de configuração e segurança esperados. A avaliação da política de conformidade determina o estado de conformidade do dispositivo, que é comunicado ao Intune e ao Microsoft Entra ID. É no Microsoft Entra ID que as políticas de Acesso Condicional podem utilizar o estado de conformidade de um dispositivo para tomar decisões sobre se deve permitir ou bloquear o acesso aos recursos da sua organização a partir desse dispositivo.
As políticas de Acesso Condicional baseadas em dispositivos para o Exchange online e outros produtos do Microsoft 365 são configuradas através do centro de administração do Microsoft Intune.
Saiba mais sobre Exigir dispositivos geridos com Acesso Condicional no Microsoft Entra ID.
Saiba mais sobre Conformidade de dispositivo do Intune.
Saiba mais sobre Browsers suportados com Acesso Condicional no Microsoft Entra ID.
Observação
Quando você habilita o Acesso Baseado em Dispositivo para o conteúdo que os usuários acessam de aplicativos de navegador em seus dispositivos Android com perfil de trabalho de propriedade pessoal, usuários registrados antes de janeiro de 2021 precisam habilitar o acesso ao navegador da seguinte maneira:
- Inicie o aplicativo do Portal da Empresa.
- No menu, vá até a página Configurações.
- Na seção Habilitar Acesso do Navegador, toque no botão HABILITAR.
- Feche e reinicie o aplicativo de navegador.
Isso permite o acesso em aplicativos do navegador, mas não aos WebViews do navegador que são abertos dentro de aplicativos.
Aplicativos disponíveis no Acesso Condicional para controlar o Microsoft Intune
Ao configurar o Acesso Condicional no centro de administração do Microsoft Entra, tem duas aplicações à escolha:
- Microsoft Intune – esta aplicação controla o acesso ao centro de administração e às origens de dados do Microsoft Intune. Configure concessões/controlos nesta aplicação quando pretender direcionar o centro de administração e as origens de dados do Microsoft Intune.
- Registro do Microsoft Intune - esse aplicativo controla o fluxo de trabalho de registro. Configure concessões/controles nesse aplicativo quando tiver como meta o processo de registro. Para obter mais informações, confira Exigir autenticação multifator para registros de dispositivos do Intune.
Acesso Condicional baseado em controle de acesso à rede
O Intune integra-se a parceiros, como Cisco ISE, Aruba Clear Pass e Citrix NetScaler, para fornecer controles de acesso baseados no registro do Intune e no estado de conformidade do dispositivo.
Os usuários podem ter o acesso permitido ou negado ao tentar acessar os recursos corporativos de Wi-Fi ou VPN, dependendo se o dispositivo é gerenciado e está em conformidade com as políticas de conformidade do dispositivo do Intune.
- Saiba mais sobre a integração de NAC com o Intune.
Acesso Condicional baseado nos riscos do dispositivo
O Intune tem parceria com fornecedores de Defesa contra Ameaças Móveis que fornecem uma solução de segurança para detectar malware, cavalos de Tróia e outras ameaças em dispositivos móveis.
Como funciona a integração entre o Intune e a Defesa contra Ameaças Móveis
Quando os dispositivos móveis têm o agente de Defesa contra Ameaças Móveis instalado, o agente envia mensagens sobre o estado de conformidade novamente para o Intune, relatando se há uma ameaça no próprio dispositivo móvel.
A integração do Intune e da defesa contra ameaças móveis desempenha um fator nas decisões de Acesso Condicional baseado no risco do dispositivo.
- Saiba mais sobre a Defesa contra ameaças móveis do Intune.
Acesso Condicional para computadores Windows
O Acesso Condicional para PCs fornece funcionalidades semelhantes as disponíveis para dispositivos móveis. Vamos falar sobre as maneiras pelas quais você pode utilizar o Acesso Condicional ao gerenciar PCs com o Intune.
De propriedade corporativa
Microsoft Entra híbrido associado: Esta opção é normalmente utilizada por organizações que estão razoavelmente confortáveis com a forma como já estão a gerir os seus PCs através de políticas de grupo do AD ou do Configuration Manager.
A associação a um domínio do Microsoft Entra e a gestão do Intune: Este cenário destina-se a organizações que pretendem ser cloud-first (ou seja, utilizar principalmente serviços cloud, com o objetivo de reduzir a utilização de uma infraestrutura no local) ou apenas na cloud (sem infraestrutura no local). A associação do Microsoft Entra funciona bem num ambiente híbrido, permitindo o acesso a aplicações e recursos na cloud e no local. O dispositivo é associado ao ID do Microsoft Entra e é inscrito no Intune, que pode ser utilizado como critério de Acesso Condicional ao aceder aos recursos empresariais.
BYOD (Traga seu próprio dispositivo)
- Ingresso no local de trabalho e gerenciamento do Intune: com essa opção, o usuário pode ingressar seus dispositivos pessoais para acessar recursos e serviços corporativos. Você pode usar o ingresso no Workplace e registrar dispositivos no Intune MDM para receber políticas no nível do dispositivo, que são outras opções para avaliar os critérios de Acesso Condicional.
Saiba mais sobre a Gestão de Dispositivos no Microsoft Entra ID.
Acesso Condicional baseado em Aplicativos
O Intune e o Microsoft Entra ID trabalham juntos para garantir que apenas os aplicativos gerenciados possam acessar o email corporativo ou outros serviços do Microsoft 365.
- Saiba mais sobre o Acesso Condicional baseado em aplicativos com o Intune.
Acesso Condicional do Intune para o Exchange local
O Acesso Condicional pode ser usado para permitir ou bloquear o acesso ao Exchange local com base nas políticas de conformidade e no estado de registro do dispositivo. Quando o Acesso Condicional é usado em combinação com uma política de conformidade do dispositivo, apenas os dispositivos em conformidade têm acesso ao Exchange no local.
Você pode definir configurações avançadas no Acesso Condicional para um controle mais granular, como:
Permitir ou bloquear algumas plataformas.
Bloquear imediatamente dispositivos que não são gerenciados pelo Intune.
Qualquer dispositivo usado para acessar o Exchange local é verificado quanto à conformidade quando as políticas de Acesso Condicional e a conformidade do dispositivo são aplicadas.
Quando os dispositivos não atendem às condições definidas, o usuário final é guiado pelo processo de registro do dispositivo para corrigir o problema que está tornando o dispositivo incompatível.
Observação
Em julho de 2020, o suporte para o Exchange Connector foi preterido e substituído pela HMA (autenticação moderna híbrida) do Exchange. O uso da HMA não requer que o Intune configure e use o Exchange Connector. Com esta alteração, a IU para configurar e gerir o Exchange Connector para Intune foi removida do centro de administração do Microsoft Intune, a menos que já utilize um conector do Exchange com a sua subscrição.
Se você tiver um Exchange Connector configurado no seu ambiente, o locatário do Intune permanecerá dando suporte para o uso e você continuará tendo acesso à interface do usuário que dá suporte à configuração. Para obter mais informações, confira Instalar o conector do Exchange local. Continue usando o conector ou configure a HMA e, em seguida, desinstale o conector.
A Autenticação Moderna híbrida fornece funcionalidade que era fornecida anteriormente pelo Conector do Exchange para Intune: mapeamento de uma identidade de dispositivo para seu registro do Exchange. Agora, esse mapeamento ocorre fora de uma configuração que você faz no Intune ou do requisito do conector do Intune para ligar o Intune e o Exchange. Com a HMA, o requisito de usar a configuração específica (o conector) do 'Intune' foi removido.
O que é a função do Intune?
O Intune avalia e gerencia o estado do dispositivo.
O que é a função de servidor Exchange?
O servidor Exchange fornece a API e a infraestrutura para mover os dispositivos para a quarentena.
Importante
Lembre-se de que o usuário que está usando o dispositivo deve ter um perfil de conformidade e uma licença do Intune atribuídos a ele para que o dispositivo possa ser avaliado quanto à conformidade. Se nenhuma política de conformidade for implantada para o usuário, o dispositivo será tratado como em conformidade e nenhuma restrição de acesso será aplicada.
Próximas etapas
Como configurar o Acesso Condicional no ID do Microsoft Entra
Configurar políticas de Acesso Condicional baseadas em aplicativos
Como criar uma política de Acesso Condicional para o Exchange Local