Criar uma política de Acesso Condicional
Conforme explicado no artigo O que é Acesso Condicional, uma política de Acesso Condicional é uma instrução if-then de Atribuições e controles de Acesso. Uma política de Acesso Condicional reúne sinais, para tomar decisões e aplicar políticas organizacionais.
Como uma organização cria essas políticas? O que é necessário? Como são aplicados?
Várias políticas de Acesso Condicional podem ser aplicadas a um usuário individual a qualquer momento. Neste caso, todas as políticas que se aplicam devem ser satisfeitas. Por exemplo, se uma política requer autenticação multifator e outra requer um dispositivo compatível, você deve concluir a MFA e usar um dispositivo compatível. Todas as atribuições são logicamente ANDed. Se você tiver mais de uma atribuição configurada, todas as atribuições deverão ser satisfeitas para acionar uma política.
Se uma política em que "Exigir um dos controles selecionados" estiver selecionada, solicitaremos na ordem definida, assim que os requisitos da política forem satisfeitos, o acesso será concedido.
Todas as políticas são aplicadas em duas fases:
- Fase 1: Coletar detalhes da sessão
- Reúna detalhes da sessão, como local de rede e identidade do dispositivo, que serão necessários para a avaliação da política.
- A fase 1 da avaliação de políticas ocorre para políticas habilitadas e políticas no modo somente relatório.
- Fase 2: Execução
- Use os detalhes da sessão reunidos na fase 1 para identificar quaisquer requisitos que não tenham sido atendidos.
- Se houver uma política configurada para bloquear o acesso, com o controle de concessão de bloqueio, a aplicação será interrompida aqui e o usuário será bloqueado.
- O usuário será solicitado a concluir mais requisitos de controle de concessão que não foram satisfeitos durante a fase 1 na seguinte ordem, até que a política seja satisfeita:
- Depois que todos os controles de concessão tiverem sido satisfeitos, aplique controles de sessão (App Enforced, Microsoft Defender for Cloud Apps e token Lifetime)
- A fase 2 da avaliação de políticas ocorre para todas as políticas habilitadas.
Atribuições
A parte de atribuições controla quem, o quê e onde da política de Acesso Condicional.
Utilizadores e grupos
Usuários e grupos atribuem quem a política incluirá ou excluirá. Essa atribuição pode incluir todos os usuários, grupos específicos de usuários, funções de diretório ou usuários convidados externos.
Aplicações na app ou ações
As aplicações ou ações na nuvem podem incluir ou excluir aplicações na nuvem, ações do utilizador ou contextos de autenticação que serão sujeitos à política.
Condições
Uma política pode conter várias condições.
Risco de início de sessão
Para organizações com a Proteção de ID do Microsoft Entra, as deteções de risco geradas podem influenciar suas políticas de Acesso Condicional.
Plataformas de dispositivos
As organizações com várias plataformas de sistema operacional de dispositivo podem querer aplicar políticas específicas em diferentes plataformas.
As informações usadas para calcular a plataforma do dispositivo vêm de fontes não verificadas, como cadeias de caracteres do agente do usuário que podem ser alteradas.
Localizações
Os locais conectam endereços IP, regiões geográficas e a rede compatível com o Acesso Seguro Global às decisões da política de Acesso Condicional. Os administradores podem optar por definir locais e marcar alguns como confiáveis, como aqueles para os locais de rede principais de sua organização.
Aplicações do cliente
O software que o usuário está empregando para acessar o aplicativo em nuvem. Por exemplo, 'Navegador' e 'Aplicativos móveis e clientes de desktop'. Por padrão, todas as políticas de Acesso Condicional recém-criadas serão aplicadas a todos os tipos de aplicativos cliente, mesmo que a condição de aplicativos cliente não esteja configurada.
O comportamento da condição de aplicativos cliente foi atualizado em agosto de 2020. Se você tiver políticas de Acesso Condicional existentes, elas permanecerão inalteradas. No entanto, se você selecionar uma política existente, a alternância de configuração foi removida e os aplicativos cliente aos quais a política se aplica serão selecionados.
Filtrar dispositivos
Esse controle permite segmentar dispositivos específicos com base em seus atributos em uma política.
Controlos de acesso
A parte de controles de acesso da política de Acesso Condicional controla como uma política é imposta.
Conceder
O Grant fornece aos administradores um meio de aplicação de políticas onde eles podem bloquear ou conceder acesso.
Bloquear o acesso
Bloquear acesso faz exatamente isso, ele vai bloquear o acesso sob as atribuições especificadas. O controle de bloco é poderoso e deve ser manuseado com o conhecimento apropriado.
Conceder acesso
O controlo das subvenções pode desencadear a execução de um ou mais controlos.
- Exigir autenticação multifator
- Exigir que o dispositivo seja marcado como compatível (Intune)
- Exigir dispositivo associado híbrido Microsoft Entra
- Exigir aplicação cliente aprovada
- Pedir uma política de proteção de aplicações
- Exigir alteração da palavra-passe
- Pedir os termos de utilização
Os administradores podem optar por exigir um dos controles anteriores ou todos os controles selecionados usando as seguintes opções. O padrão para vários controles é exigir todos.
- Requer todos os controles selecionados (controle e controle)
- Exigir um dos controles selecionados (controle ou controle)
Sessão
Os controles de sessão podem limitar a experiência
- Usar restrições impostas pelo aplicativo
- Atualmente funciona apenas com o Exchange Online e o SharePoint Online.
- Passa as informações do dispositivo para permitir o controle da experiência, concedendo acesso total ou limitado.
- Usar o Controle de Aplicativo de Acesso Condicional
- Usa sinais do Microsoft Defender for Cloud Apps para fazer coisas como:
- Bloqueie o download, corte, cópia e impressão de documentos confidenciais.
- Monitore o comportamento de risco da sessão.
- Exigir a rotulagem de arquivos confidenciais.
- Usa sinais do Microsoft Defender for Cloud Apps para fazer coisas como:
- Frequência de início de sessão
- Capacidade de alterar a frequência de entrada padrão para autenticação moderna.
- Sessão persistente do navegador
- Permite que os usuários permaneçam conectados depois de fechar e reabrir a janela do navegador.
- Personalizar a avaliação contínua de acesso
- Desativar padrões de resiliência
Políticas simples
Uma política de Acesso Condicional deve conter, no mínimo, o seguinte a ser imposto:
- Nome da política.
- Atribuições
- Usuários e/ou grupos aos quais aplicar a política.
- Aplicações na nuvem ou ações às quais aplicar a política.
- Controlos de acesso
- Controles Grant ou Block
O artigo Políticas comuns de acesso condicional inclui algumas políticas que achamos que seriam úteis para a maioria das organizações.
Próximos passos
Criar uma política de Acesso Condicional
Planejando uma implantação de autenticação multifator do Microsoft Entra baseada em nuvem
Gerir a conformidade do dispositivo com o Intune
Microsoft Defender para aplicativos na nuvem e acesso condicional