Acesso condicional: Sessão

  • Artigo

Dentro de uma política de Acesso Condicional, um administrador pode usar controles de sessão para habilitar experiências limitadas em aplicativos de nuvem específicos.

Política de acesso condicional com um controle de concessão que requer autenticação multifator

Restrições impostas pela aplicação

As organizações podem utilizar este controlo para exigir que o Microsoft Entra ID transmita informações do dispositivo às as aplicações na cloud selecionadas. As informações do dispositivo permitem que as aplicações na cloud saibam se uma ligação é de um dispositivo em conformidade ou associado a domínio e atualizar a experiência da sessão. Quando selecionada, a aplicação na nuvem utiliza as informações do dispositivo para proporcionar aos utilizadores uma experiência limitada ou completa. Limitado quando o dispositivo não é gerenciado ou compatível e completo quando o dispositivo é gerenciado e compatível.

Para obter uma lista de aplicativos suportados e como configurar políticas, consulte os seguintes artigos:

Controle de aplicativo de acesso condicional

O Controle de Aplicativo de Acesso Condicional usa uma arquitetura de proxy reverso e é integrado exclusivamente ao Acesso Condicional do Microsoft Entra. O Acesso Condicional do Microsoft Entra permite-lhe impor controlos de acesso às aplicações da sua organização com base em determinadas condições. As condições definem a que utilizador ou grupo de utilizadores, aplicações na nuvem e localizações e redes se aplica uma política de Acesso Condicional. Depois de determinar as condições, você pode rotear os usuários para o Microsoft Defender for Cloud Apps , onde pode proteger os dados com o Controle de Aplicativo de Acesso Condicional aplicando controles de acesso e sessão.

O Controle de Aplicativo de Acesso Condicional permite que o acesso ao aplicativo e as sessões do usuário sejam monitorados e controlados em tempo real com base nas políticas de acesso e sessão. As políticas de acesso e sessão são usadas no portal do Defender for Cloud Apps para refinar filtros e definir ações a serem tomadas. Com as políticas de acesso e sessão, você pode:

  • Impedir a exfiltração de dados: você pode bloquear o download, cortar, copiar e imprimir documentos confidenciais em, por exemplo, dispositivos não gerenciados.
  • Proteger durante o download: em vez de bloquear o download de documentos confidenciais, você pode exigir que os documentos sejam rotulados e protegidos com a Proteção de Informações do Azure. Essa ação garante que o documento esteja protegido e o acesso do usuário seja restrito em uma sessão potencialmente arriscada.
  • Impedir o upload de arquivos sem rótulo: antes que um arquivo confidencial seja carregado, distribuído e usado, é importante garantir que o arquivo tenha o rótulo e a proteção corretos. Você pode garantir que arquivos sem rótulo com conteúdo confidencial sejam bloqueados de serem carregados até que o usuário classifique o conteúdo.
  • Monitorar sessões de usuário para conformidade (Visualização): usuários arriscados são monitorados quando entram em aplicativos e suas ações são registradas na sessão. Você pode investigar e analisar o comportamento do usuário para entender onde, e em que condições, as políticas de sessão devem ser aplicadas no futuro.
  • Bloquear acesso (Pré-visualização): pode bloquear granularmente o acesso a aplicações e utilizadores específicos, dependendo de vários fatores de risco. Por exemplo, você pode bloqueá-los se eles estiverem usando certificados de cliente como uma forma de gerenciamento de dispositivos.
  • Bloquear atividades personalizadas: alguns aplicativos têm cenários exclusivos que comportam riscos, por exemplo, o envio de mensagens com conteúdo confidencial em aplicativos como o Microsoft Teams ou o Slack. Nesses tipos de cenários, você pode verificar mensagens em busca de conteúdo confidencial e bloqueá-las em tempo real.

Para obter mais informações, consulte o artigo Implantar controle de aplicativo de acesso condicional para aplicativos em destaque.

Frequência de início de sessão

A frequência de início de sessão define o período de tempo antes de ser pedido a um utilizador que inicie sessão novamente quando tentar aceder a um recurso. Os administradores podem selecionar um período de tempo (horas ou dias) ou optar por exigir a reautenticação sempre.

A configuração de frequência de entrada funciona com aplicativos que implementam protocolos OAUTH2 ou OIDC de acordo com os padrões. A maioria dos aplicativos nativos da Microsoft para Windows, Mac e Mobile, incluindo os seguintes aplicativos Web, segue a configuração.

  • Word, Excel, PowerPoint Online
  • OneNote Online
  • Office.com
  • Portal de administração do Microsoft 365
  • Exchange Online
  • SharePoint e OneDrive
  • Cliente Web do Teams
  • Dynamics CRM Online
  • Portal do Azure

Para obter mais informações, consulte o artigo Configurar o gerenciamento de sessão de autenticação com acesso condicional.

Sessão de browser persistente

Uma sessão de browser persistente permite que os utilizadores mantenham a sessão iniciada depois de abrirem e fecharem a janela do browser.

Para obter mais informações, consulte o artigo Configurar o gerenciamento de sessão de autenticação com acesso condicional.

Personalizar a avaliação contínua de acesso

A avaliação de acesso contínuo é habilitada automaticamente como parte das políticas de Acesso Condicional de uma organização. Para as organizações que desejam desativar a avaliação contínua de acesso, esta configuração é agora uma opção dentro do controlo da sessão no Acesso Condicional. As políticas de avaliação contínua de acesso podem abranger todos os utilizadores ou utilizadores e grupos específicos. Os administradores podem fazer a seguinte seleção ao criar uma nova política ou ao editar uma política de Acesso Condicional existente.

  • Desativar o trabalho somente quando Todos os aplicativos na nuvem estiverem selecionados, nenhuma condição estiver selecionada e Desabilitar estiver selecionado em Personalizar>avaliação de acesso contínuo de sessão em uma política de Acesso Condicional. Você pode optar por desativar todos os usuários ou usuários e grupos específicos.

Uma captura de tela mostrando as Configurações do CAE em uma nova política de Acesso Condicional.

Desativar padrões de resiliência

Durante uma interrupção, o Microsoft Entra ID estende o acesso às sessões existentes enquanto impõe políticas de Acesso Condicional.

Se os padrões de resiliência estiverem desabilitados, o acesso será negado assim que as sessões existentes expirarem. Para obter mais informações, consulte o artigo Acesso condicional: padrões de resiliência.

Exigir proteção de token para sessões de entrada (visualização)

A proteção de token (às vezes referida como vinculação de token no setor) tenta reduzir os ataques usando roubo de token, garantindo que um token seja utilizável apenas a partir do dispositivo pretendido. Quando um invasor é capaz de roubar um token, sequestrando ou replay, ele pode se passar por sua vítima até que o token expire ou seja revogado. Acredita-se que o roubo de tokens seja um evento relativamente raro, mas os danos causados podem ser significativos.

A pré-visualização funciona apenas para cenários específicos. Para obter mais informações, consulte o artigo Acesso condicional: proteção de token (visualização).

Usar o perfil de segurança do Acesso Seguro Global (visualização)

O uso de um perfil de segurança com Acesso Condicional unifica os controles de identidade com a segurança de rede no produto Security Service Edge (SSE) da Microsoft, o Microsoft Entra Internet Access. Selecionar este controle de sessão permite que você traga reconhecimento de identidade e contexto para perfis de segurança, que são agrupamentos de várias políticas criadas e gerenciadas no Global Secure Access.

Próximos passos