Criar uma política de Acesso Condicional

Conforme explicado no artigo O que é Acesso Condicional, uma política de Acesso Condicional é uma instrução if-then de Atribuições e controles de Acesso. Uma política de Acesso Condicional reúne sinais, para tomar decisões e aplicar políticas organizacionais.

Como uma organização cria essas políticas? O que é necessário? Como são aplicados?

Conditional Access (Signals + Decisions + Enforcement = Policies)

Várias políticas de Acesso Condicional podem ser aplicadas a um usuário individual a qualquer momento. Neste caso, todas as políticas que se aplicam devem ser satisfeitas. Por exemplo, se uma política requer autenticação multifator e outra requer um dispositivo compatível, você deve concluir a MFA e usar um dispositivo compatível. Todas as atribuições são logicamente ANDed. Se você tiver mais de uma atribuição configurada, todas as atribuições deverão ser satisfeitas para acionar uma política.

Se uma política em que "Exigir um dos controles selecionados" estiver selecionada, solicitaremos na ordem definida, assim que os requisitos da política forem satisfeitos, o acesso será concedido.

Todas as políticas são aplicadas em duas fases:

Atribuições

A parte de atribuições controla quem, o quê e onde da política de Acesso Condicional.

Utilizadores e grupos

Usuários e grupos atribuem quem a política incluirá ou excluirá. Essa atribuição pode incluir todos os usuários, grupos específicos de usuários, funções de diretório ou usuários convidados externos.

Aplicações na app ou ações

As aplicações ou ações na nuvem podem incluir ou excluir aplicações na nuvem, ações do utilizador ou contextos de autenticação que serão sujeitos à política.

Condições

Uma política pode conter várias condições.

Risco de início de sessão

Para organizações com a Proteção de ID do Microsoft Entra, as deteções de risco geradas podem influenciar suas políticas de Acesso Condicional.

Plataformas de dispositivos

As organizações com várias plataformas de sistema operacional de dispositivo podem querer aplicar políticas específicas em diferentes plataformas.

As informações usadas para calcular a plataforma do dispositivo vêm de fontes não verificadas, como cadeias de caracteres do agente do usuário que podem ser alteradas.

Localizações

Os locais conectam endereços IP, regiões geográficas e a rede compatível com o Acesso Seguro Global às decisões da política de Acesso Condicional. Os administradores podem optar por definir locais e marcar alguns como confiáveis, como aqueles para os locais de rede principais de sua organização.

Aplicações do cliente

O software que o usuário está empregando para acessar o aplicativo em nuvem. Por exemplo, 'Navegador' e 'Aplicativos móveis e clientes de desktop'. Por padrão, todas as políticas de Acesso Condicional recém-criadas serão aplicadas a todos os tipos de aplicativos cliente, mesmo que a condição de aplicativos cliente não esteja configurada.

O comportamento da condição de aplicativos cliente foi atualizado em agosto de 2020. Se você tiver políticas de Acesso Condicional existentes, elas permanecerão inalteradas. No entanto, se você selecionar uma política existente, a alternância de configuração foi removida e os aplicativos cliente aos quais a política se aplica serão selecionados.

Filtrar dispositivos

Esse controle permite segmentar dispositivos específicos com base em seus atributos em uma política.

Controlos de acesso

A parte de controles de acesso da política de Acesso Condicional controla como uma política é imposta.

Conceder

O Grant fornece aos administradores um meio de aplicação de políticas onde eles podem bloquear ou conceder acesso.

Bloquear o acesso

Bloquear acesso faz exatamente isso, ele vai bloquear o acesso sob as atribuições especificadas. O controle de bloco é poderoso e deve ser manuseado com o conhecimento apropriado.

Conceder acesso

O controlo das subvenções pode desencadear a execução de um ou mais controlos.

  • Exigir autenticação multifator
  • Exigir que o dispositivo seja marcado como compatível (Intune)
  • Exigir dispositivo associado híbrido Microsoft Entra
  • Exigir aplicação cliente aprovada
  • Pedir uma política de proteção de aplicações
  • Exigir alteração da palavra-passe
  • Pedir os termos de utilização

Os administradores podem optar por exigir um dos controles anteriores ou todos os controles selecionados usando as seguintes opções. O padrão para vários controles é exigir todos.

  • Requer todos os controles selecionados (controle e controle)
  • Exigir um dos controles selecionados (controle ou controle)

Sessão

Os controles de sessão podem limitar a experiência

  • Usar restrições impostas pelo aplicativo
    • Atualmente funciona apenas com o Exchange Online e o SharePoint Online.
    • Passa as informações do dispositivo para permitir o controle da experiência, concedendo acesso total ou limitado.
  • Usar o Controle de Aplicativo de Acesso Condicional
    • Usa sinais do Microsoft Defender for Cloud Apps para fazer coisas como:
      • Bloqueie o download, corte, cópia e impressão de documentos confidenciais.
      • Monitore o comportamento de risco da sessão.
      • Exigir a rotulagem de arquivos confidenciais.
  • Frequência de início de sessão
    • Capacidade de alterar a frequência de entrada padrão para autenticação moderna.
  • Sessão persistente do navegador
    • Permite que os usuários permaneçam conectados depois de fechar e reabrir a janela do navegador.
  • Personalizar a avaliação contínua de acesso
  • Desativar padrões de resiliência

Políticas simples

Uma política de Acesso Condicional deve conter, no mínimo, o seguinte a ser imposto:

  • Nome da política.
  • Atribuições
    • Usuários e/ou grupos aos quais aplicar a política.
    • Aplicações na nuvem ou ações às quais aplicar a política.
  • Controlos de acesso
    • Controles Grant ou Block

Blank Conditional Access policy

O artigo Políticas comuns de acesso condicional inclui algumas políticas que achamos que seriam úteis para a maioria das organizações.

Próximos passos

Criar uma política de Acesso Condicional

Use o modo somente relatório para Acesso Condicional para determinar os resultados de novas decisões de política.

Planejando uma implantação de autenticação multifator do Microsoft Entra baseada em nuvem

Gerir a conformidade do dispositivo com o Intune

Microsoft Defender para aplicativos na nuvem e acesso condicional