Acesso condicional: bloquear o acesso
Para organizações com uma abordagem conservadora de migração para a nuvem, a política de bloqueio total é uma opção que pode ser usada.
Atenção
A configuração incorreta de uma política de bloqueio pode levar ao bloqueio das organizações.
Políticas como estas podem ter efeitos secundários não intencionais. Testes e validação adequados são vitais antes de habilitar. Os administradores devem utilizar ferramentas como o modo somente relatório de Acesso Condicional e a ferramenta E Se no Acesso Condicional ao fazer alterações.
Exclusões de utilizadores
As políticas de Acesso Condicional são ferramentas poderosas, recomendamos excluir as seguintes contas das suas políticas:
- Acesso de emergência ou contas quebra-vidro para evitar o bloqueio de contas em todo o inquilino. No cenário improvável de todos os administradores serem bloqueados do seu inquilino, a sua conta administrativa de acesso de emergência pode ser utilizada para iniciar sessão no inquilino e tomar medidas para recuperar o acesso.
- Mais informações podem ser encontradas no artigo Gerenciar contas de acesso de emergência no Microsoft Entra ID.
- Contas de serviço e entidades de serviço, como a Conta de Sincronização do Microsoft Entra Connect. As contas de serviço são contas não interativas que não estão vinculadas a nenhum usuário em particular. Eles são normalmente usados por serviços back-end que permitem acesso programático a aplicativos, mas também são usados para entrar em sistemas para fins administrativos. Contas de serviço como essas devem ser excluídas, pois o MFA não pode ser concluído programaticamente. As chamadas feitas por entidades de serviço não serão bloqueadas pelas políticas de Acesso Condicional com escopo para os usuários. Use o Acesso Condicional para identidades de carga de trabalho para definir políticas direcionadas a entidades de serviço.
- Se sua organização tiver essas contas em uso em scripts ou código, considere substituí-las por identidades gerenciadas. Como solução temporária, você pode excluir essas contas específicas da política de linha de base.
Criar uma política de Acesso Condicional
As etapas a seguir ajudarão a criar políticas de Acesso Condicional para bloquear o acesso a todos os aplicativos, exceto ao Office 365 , se os usuários não estiverem em uma rede confiável. Essas políticas são colocadas no modo somente relatório para iniciar para que os administradores possam determinar o impacto que terão nos usuários existentes. Quando os administradores se sentirem confortáveis com o facto de as políticas se aplicarem como pretendem, podem mudá-las para Ativado.
A primeira política bloqueia o acesso a todos os aplicativos, exceto os aplicativos do Microsoft 365, se não estiver em um local confiável.
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.
- Navegue até Acesso condicional de proteção>.
- Selecione Criar nova política.
- Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
- Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
- Em Incluir, selecione Todos os usuários.
- Em Excluir, selecione Usuários e grupos e escolha as contas de acesso de emergência ou de quebra-vidro da sua organização.
- Em Recursos de destino>Aplicações na nuvem, selecione as seguintes opções:
- Em Incluir, selecione Todas as aplicações na nuvem.
- Em Excluir, selecione Office 365, selecione Selecionar.
- Sob Condições:
- Sob condições>de localização.
- Definir Configurar como Sim
- Em Incluir, selecione Qualquer local.
- Em Excluir, selecione Todos os locais confiáveis.
- Em Aplicativos cliente, defina Configurar como Sim e selecione Concluído.
- Sob condições>de localização.
- Em Conceder controlos>de acesso, selecione Bloquear acesso e, em seguida, selecione Selecionar.
- Confirme suas configurações e defina Habilitar política como Somente relatório.
- Selecione Criar para criar para habilitar sua política.
Depois que os administradores confirmarem as configurações usando o modo somente relatório, eles poderão mover a alternância Habilitar política de Somente relatório para Ativado.
Uma segunda política é criada abaixo para exigir autenticação multifator ou um dispositivo compatível para usuários do Microsoft 365.
- Selecione Criar nova política.
- Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
- Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
- Em Incluir, selecione Todos os usuários.
- Em Excluir, selecione Usuários e grupos e escolha as contas de acesso de emergência ou de quebra-vidro da sua organização.
- Em Recursos de destino>Aplicações>na nuvem Incluir Selecionar>aplicações, escolha Office 365 e selecione Selecionar.
- Em Conceder controles>de acesso, selecione Conceder acesso.
- Selecione Exigir autenticação multifator e Exigir que o dispositivo seja marcado como compatível , selecione Selecionar.
- Verifique se a opção Exigir que um dos controles selecionados esteja selecionada.
- Selecione Selecionar.
- Confirme suas configurações e defina Habilitar política como Somente relatório.
- Selecione Criar para criar para habilitar sua política.
Depois que os administradores confirmarem as configurações usando o modo somente relatório, eles poderão mover a alternância Habilitar política de Somente relatório para Ativado.
Nota
As políticas de Acesso Condicional são aplicadas após a conclusão da autenticação de primeiro fator. O Acesso Condicional não se destina a ser a primeira linha de defesa de uma organização para cenários como ataques de negação de serviço (DoS), mas pode usar sinais desses eventos para determinar o acesso.
Próximos passos
Determinar o efeito usando o modo somente relatório de Acesso Condicional