Acesso Condicional: Aplicações na cloud, ações e contexto de autenticação

Aplicações em nuvem, ações e contexto de autenticação são sinais-chave numa política de Acesso Condicional. As políticas de Acesso Condicional permitem aos administradores atribuir controlos a aplicações, ações ou contextos de autenticação específicos.

  • Os administradores podem escolher de entre a lista de aplicações, que incluem aplicações incorporadas da Microsoft e quaisquer aplicações integradas do Azure AD, incluindo aplicações da galeria e de fora da galeria e aplicações publicadas através de Proxy de Aplicações.
  • Os administradores podem optar por definir a política não com base numa aplicação na nuvem, mas numa ação do utilizador como registar informações de segurança ou registar ou aderir a dispositivos, permitindo que o Acesso Condicional aplique controlos em torno dessas ações.
  • Os administradores podem usar o contexto de autenticação para fornecer uma camada extra de segurança nas aplicações.

Defina uma política de acesso condicional e especifique aplicações na nuvem

Aplicações em nuvem da Microsoft

Muitas das aplicações em nuvem da Microsoft existentes estão incluídas na lista de aplicações a partir das quais pode selecionar.

Os administradores podem atribuir uma política de acesso condicional às seguintes aplicações na nuvem da Microsoft. Algumas aplicações como Office 365 e Microsoft Azure Management incluem várias aplicações ou serviços subordinados relacionados. Adicionamos continuamente mais aplicações, pelo que a seguinte lista não é exaustiva e está sujeita a alterações.

  • Office 365
  • Azure Analysis Services
  • Azure DevOps
  • Azure Data Explorer
  • Hubs de Eventos do Azure
  • Azure Service Bus
  • SQL do Azure Database and Azure Synapse Analytics
  • Common Data Service
  • Microsoft Application Insights Analytics
  • Microsoft Azure Information Protection
  • Gestão do Microsoft Azure
  • Microsoft Azure Gestão de Subscrições
  • Microsoft Defender for Cloud Apps
  • Portal Controlo de Acesso ferramentas de comércio da Microsoft
  • Serviço de Autenticação de Ferramentas de Comércio do Microsoft
  • Microsoft Forms
  • Microsoft Intune
  • Inscrição Microsoft Intune
  • Microsoft Planner
  • Microsoft Power Apps
  • Microsoft Power Automate
  • Pesquisa da Microsoft em Bing
  • Microsoft StaffHub
  • Microsoft Stream
  • Microsoft Stream
  • Exchange Online
  • SharePoint
  • Yammer
  • Office Delve
  • Sway de escritório
  • Grupos do Outlook
  • Serviço Power BI
  • Project Online
  • Skype para Empresas Online
  • Rede Privada Virtual (VPN)
  • Windows Defender ATP

Importante

As aplicações que estão disponíveis para Acesso Condicional passaram por um processo de embarque e validação. Esta lista não inclui todas as aplicações da Microsoft, uma vez que muitas são serviços de backend e não pretendem ter uma política diretamente aplicada às suas. Se estiver à procura de uma aplicação que esteja em falta, pode contactar a equipa de aplicação específica ou fazer um pedido no UserVoice.

Office 365

O Microsoft 365 fornece serviços de produtividade e colaboração baseados na nuvem, como Exchange, SharePoint e Microsoft Teams. Os serviços em nuvem da Microsoft 365 estão profundamente integrados para garantir experiências suaves e colaborativas. Esta integração pode causar confusão ao criar políticas, uma vez que algumas aplicações como as Microsoft Teams têm dependências de outras, como o SharePoint ou o Exchange.

A suíte Office 365 permite direcionar estes serviços de uma só vez. Recomendamos a utilização da nova suite Office 365, em vez de direcionar as aplicações individuais para a nuvem para evitar problemas com dependências de serviços.

Direcionar este grupo de aplicações ajuda a evitar problemas que possam surgir devido a políticas e dependências inconsistentes. Por exemplo: A aplicação Exchange Online está ligada aos dados tradicionais Exchange Online como correio, calendário e informações de contacto. Os metadados relacionados podem ser expostos através de diferentes recursos, como a pesquisa. Para garantir que todos os metadados estão protegidos conforme pretendido, os administradores devem atribuir políticas à aplicação Office 365.

Os administradores podem excluir toda a Office 365 suite ou aplicações específicas de Office 365 na nuvem da política de Acesso Condicional.

As seguintes aplicações-chave são afetadas pela aplicação cloud Office 365:

  • Exchange Online
  • Serviço de Pesquisa Microsoft 365
  • Microsoft Forms
  • Microsoft Planner (ProjectWorkManagement)
  • Microsoft Stream
  • Microsoft Stream
  • Microsoft To-Do
  • Microsoft Flow
  • Portal Microsoft Office 365
  • Aplicação ao cliente do Microsoft Office
  • Microsoft Stream
  • Microsoft To-Do WebApp
  • Serviços microsoft whiteboard
  • Office Delve
  • Office Online
  • OneDrive
  • Power Apps
  • Power Automate
  • Portal de & conformidade de segurança
  • SharePoint Online
  • Skype para Empresas Online
  • Skype e equipas inquilino Administração API
  • Sway
  • Yammer

Está disponível no artigo Aplicações incluídas no conjunto de aplicações do Office 365 no Acesso Condicional uma lista completa de todos os serviços incluídos.

Gestão do Microsoft Azure

Quando a política de Acesso Condicional for direcionada para a aplicação Microsoft Azure Management, dentro do seletor de aplicações de política de Acesso Condicional, a política será aplicada a tokens emitidos para IDs de aplicação de um conjunto de serviços intimamente ligados ao portal.

  • Azure Resource Manager
  • Portal do Azure, que também cobre o Centro de Administração do Microsoft Entra
  • Azure Data Lake
  • API do Application Insights
  • API do Log Analytics

Uma vez que a política é aplicada ao portal de gestão Azure e a API, os serviços ou clientes com uma dependência de serviço API Azure podem ser indiretamente impactados. Por exemplo:

  • APIs modelo de implementação clássico
  • Azure PowerShell
  • CLI do Azure
  • Azure DevOps
  • Portal Azure Data Factory
  • Hubs de Eventos do Azure
  • Azure Service Bus
  • Base de Dados SQL do Azure
  • Instância Gerida do SQL
  • Azure Synapse
  • Portal de administrador de subscrições de Estúdio Visual
  • Centro de IoT da Microsoft

Nota

A aplicação Microsoft Azure Management aplica-se a Azure PowerShell, que chama a API Resource Manager AZure. Não se aplica a Azure AD PowerShell, que chama a Microsoft Graph API.

Para obter mais informações sobre como configurar uma política de exemplo para o Microsoft Azure Management, veja Acesso Condicional: Exigir a MFA para a gestão do Azure.

Dica

Para Azure Government, deverá direcionar a aplicação API de gestão de Azure Government nuvem.

Outras aplicações

Os administradores podem adicionar qualquer aplicação registada do Azure AD às políticas do Acesso Condicional. Estas aplicações podem incluir:

Nota

Uma vez que a política de Acesso Condicional define os requisitos para aceder a um serviço, não pode aplicá-la a uma aplicação de cliente (pública/nativa). Por outras palavras, a política não é definida diretamente numa aplicação cliente (pública/nativa), mas é aplicada quando um cliente chama um serviço. Por exemplo, uma política definida no serviço SharePoint aplica-se aos clientes que chamam o SharePoint. Uma política definida no Exchange aplica-se à tentativa de aceder ao e-mail com o cliente Outlook. É por este motivo que as aplicações cliente (públicas/nativas) não estão disponíveis para seleção no seletor de Aplicações na Cloud e que a opção Acesso Condicional não está disponível nas definições de aplicações da aplicação cliente (pública/nativa) registada no seu inquilino.

Algumas aplicações não aparecem no selecionador. A única forma de incluir essas aplicações numa política de Acesso Condicional é incluir Todas as aplicações na cloud.

Todas as aplicações em nuvem

A aplicação de uma política de acesso condicional a todas as aplicações na nuvem resultará na aplicação da política para todos os tokens emitidos para sites e serviços web. Esta opção inclui aplicações que não são individualmente visadas na política de Acesso Condicional, como o Azure Active Directory.

Em alguns casos, uma política de aplicações em nuvem poderia inadvertidamente bloquear o acesso dos utilizadores. Estes casos estão excluídos da aplicação das políticas e incluem:

  • Serviços necessários para alcançar a desejada postura de segurança. Por exemplo, as chamadas de inscrição de dispositivos estão excluídas da política de dispositivos compatíveis direcionadas a todas as aplicações na nuvem.

  • Chamadas para Azure AD Gráfico e Gráfico de MS, para aceder ao perfil do utilizador, à filiação do grupo e às informações de relacionamento que são normalmente utilizadas por aplicações excluídas da política. Os âmbitos excluídos são listados abaixo. O consentimento ainda é necessário para que as aplicações utilizem estas permissões.

    • Para clientes nativos:
      • Azure AD Gráfico: e-mail, offline_access, openid, perfil, User.read
      • MS Graph: User.read, Pessoas.read, and UserProfile.read
    • Para clientes confidenciais/autenticados:
      • Azure AD Gráfico: e-mail, offline_access, openid, perfil, User.read, User.read.all e User.readbasic.all
      • MS Graph: User.read,User.read.all, User.read.All Pessoas.read, Pessoas.read.all, GroupMember.Read.All, Member.Read.Hidden, and UserProfile.read

Ações do utilizador

As ações do utilizador são tarefas que podem ser executadas por um utilizador. Atualmente, o Acesso Condicional suporta duas ações do utilizador:

  • Informações de segurança do registo: Esta ação do utilizador permite que a política de acesso condicional seja executada quando os utilizadores habilitados para o registo combinado tentam registar as suas informações de segurança. Mais informações podem ser encontradas no artigo, registo combinado de informações de segurança.

  • Registar ou aderir a dispositivos: Esta ação do utilizador permite aos administradores aplicar a política de Acesso Condicional quando os utilizadores registam ou se juntam a dispositivos para Azure AD. Fornece granularidade na configuração da autenticação de vários fatores para o registo ou junção de dispositivos em vez de uma política de todo o arrendatário que existe atualmente. Existem três considerações fundamentais com esta ação do utilizador:

    • Require multi-factor authentication é o único controlo de acesso disponível com esta ação do utilizador e todos os outros estão desativados. Esta restrição impede conflitos com controlos de acesso que estejam dependentes Azure AD registo do dispositivo ou não sejam aplicáveis ao registo Azure AD do dispositivo.
    • Client apps, Filters for devices e as condições não estão Device state disponíveis com esta ação do utilizador, uma vez que estão dependentes do registo Azure AD dispositivo para impor as políticas de Acesso Condicional.
    • Quando uma política de acesso condicional estiver ativada com esta ação do utilizador,deve definiras definições - Devices to be Azure AD joined or Azure AD registered require Multi-Factor Authentication do dispositivo de diretório>> ativo Azure para Não. Caso contrário, a política de Acesso Condicional com esta ação do utilizador não é devidamente aplicada. Mais informações sobre esta definição do dispositivo podem ser encontradas nas definições do dispositivo Configure.

Contexto de autenticação

O contexto de autenticação pode ser utilizado para dar ainda mais proteção aos dados e às ações nas aplicações. Estas aplicações podem ser as suas próprias aplicações personalizadas, aplicações de linha de negócio (LOB) personalizadas, aplicações como o SharePoint, ou aplicações protegidas pelo Microsoft Defender para a Cloud.

Por exemplo, uma organização pode manter ficheiros em sites sharePoint como o menu de almoço ou a sua receita secreta de molho de churrasco. Todos podem ter acesso ao site do menu de almoço, mas os utilizadores que tenham acesso ao site secreto de receitas de molho de churrasco poderão precisar de ter acesso a partir de um dispositivo gerido e concordar com termos de utilização específicos.

Configurar contextos de autenticação

Os contextos de autenticação são geridos no portal do Azure no contexto Azure Ative Security>Conditional>Access>Authentication.

Gerir o contexto de autenticação no portal do Azure

Crie novas definições de contexto de autenticação selecionando novo contexto de autenticação no portal do Azure. As organizações estão limitadas a um total de 25 definições de contexto de autenticação. Configure os seguintes atributos:

  • Nome do visor é o nome que é usado para identificar o contexto de autenticação em Azure AD e em aplicações que consomem contextos de autenticação. Recomendamos nomes que possam ser usados em todos os recursos, como "dispositivos fidedignos", para reduzir o número de contextos de autenticação necessários. Ter um conjunto reduzido limita o número de redirecionamentos e proporciona um melhor fim à experiência do utilizador final.
  • A descrição fornece mais informações sobre as políticas que é usada por administradores Azure AD e aqueles que aplicam contextos de autenticação aos recursos.
  • Publique na caixa de verificação de aplicações quando verificada, anuncie o contexto de autenticação para apps e disponibiliza-as para serem atribuídas. Se não for verificado, o contexto de autenticação não estará disponível para recursos a jusante.
  • O ID é apenas de leitura e é usado em fichas e aplicativos para definições de contexto de autenticação específicas de pedido. Está listado aqui para resolução de problemas e casos de desenvolvimento.

Adicionar à política de acesso condicional

Os administradores podem selecionar os contextos de autenticação publicados nas suas políticas de Acesso Condicional ao abrigo de aplicações>ou ações cloud de atribuições e selecionar o contexto de autenticação a partir do Select o que esta política se aplica ao menu.

Adicionar um contexto de autenticação de acesso condicional a uma política

Excluir um contexto de autenticação

Quando eliminar um contexto de autenticação, certifique-se de que ainda não existem aplicações para a utilizar. Caso contrário, o acesso aos dados das aplicações deixará de ser protegido. Pode confirmar este pré-requisito verificando os registos de inscrição para os casos em que estão a ser aplicadas as políticas de Acesso Condicional do contexto de autenticação.

Para eliminar um contexto de autenticação, não deve ter políticas de Acesso Condicional atribuídas e não deve ser publicada em aplicações. Este requisito ajuda a prevenir a eliminação acidental de um contexto de autenticação que ainda está em uso.

Identificar recursos com contextos de autenticação

Para obter mais informações sobre a utilização do contexto de autenticação nas aplicações, consulte os seguintes artigos.

Passos seguintes