Utilizar a condição de localização numa política de Acesso Condicional

As políticas de Acesso Condicional são, em sua forma mais básica, uma instrução if-then que combina sinais, para tomar decisões e aplicar políticas da organização. Um desses sinais é a localização.

Como mencionado na postagem do blog IPv6 está chegando ao Microsoft Entra ID, agora suportamos IPv6 nos serviços Microsoft Entra.

As organizações podem usar esses locais para tarefas comuns, como:

• Exigir autenticação multifator para usuários que acessam um serviço quando estão fora da rede corporativa.
• Bloquear o acesso de utilizadores que acedem a um serviço de países ou regiões específicos a partir dos quais a sua organização nunca opera.

O local é encontrado usando o endereço IP público que um cliente fornece ao Microsoft Entra ID ou coordenadas GPS fornecidas pelo aplicativo Microsoft Authenticator. Por padrão, as políticas de acesso condicional aplicam-se a todos os endereços IPv4 e IPv6. Para obter mais informações sobre o suporte a IPv6, consulte o artigo Suporte a IPv6 no Microsoft Entra ID.

Gorjeta

As políticas de Acesso Condicional são aplicadas após a conclusão da autenticação de primeiro fator. O Acesso Condicional não se destina a ser a primeira linha de defesa de uma organização para cenários como ataques de negação de serviço (DoS), mas pode usar sinais desses eventos para determinar o acesso.

Localizações com nome

Os locais existem em Locais nomeados de Acesso>Condicional de Proteção>. Esses locais de rede nomeados podem incluir locais como os intervalos de rede da sede de uma organização, intervalos de rede VPN ou intervalos que você deseja bloquear. Os locais nomeados são definidos por intervalos de endereços IPv4 e IPv6 ou por países/regiões.

Intervalos de endereços IPv4 e IPv6

Para definir um local nomeado por intervalos de endereços IPv4/IPv6, você precisa fornecer:

• Um nome para o local.
• Um ou mais intervalos de IP.
• Opcionalmente, Marque como local confiável.

Os locais nomeados definidos por intervalos de endereços IPv4/IPv6 estão sujeitos às seguintes limitações:

• Configure até 195 locais nomeados.
• Configure até 2000 intervalos de IP por local nomeado.
• Ambos os intervalos IPv4 e IPv6 são suportados.
• O número de endereços IP contidos num intervalo é limitado. Somente máscaras CIDR maiores que /8 são permitidas ao definir um intervalo de IP.

Locais confiáveis

Locais como os intervalos de rede pública da sua organização podem ser marcados como confiáveis. Esta marcação é utilizada pelas características de várias formas.

• As políticas de Acesso Condicional podem incluir ou excluir esses locais.
• As entradas a partir de localizações nomeadas fidedignas melhoram a precisão do cálculo de risco do Microsoft Entra ID Protection, reduzindo o risco de início de sessão de um utilizador quando este se autentica a partir de uma localização marcada como fidedigna.
• Os locais marcados como confiáveis não podem ser excluídos. Remova a designação confiável antes de tentar excluir.

Aviso

Mesmo que você conheça a rede e a marque como confiável, isso não significa que você deva excluí-la das políticas que estão sendo aplicadas. Verificar explicitamente é um princípio fundamental de uma arquitetura Zero Trust. Para saber mais sobre o Zero Trust e outras formas de alinhar a sua organização aos princípios orientadores, consulte o Centro de Orientação Zero Trust.

Países/regiões

As organizações podem determinar a localização do país/região por endereço IP ou coordenadas GPS.

Para definir um local nomeado por país/região, você precisa fornecer:

• Um nome para o local.
• Escolha determinar a localização por endereço IP ou coordenadas GPS.
• Adicione um ou mais países/regiões.
• Opcionalmente, escolha Incluir países/regiões desconhecidos.

Se você selecionar Determinar local por endereço IP, o sistema coletará o endereço IP do dispositivo no qual o usuário está entrando. Quando um usuário entra, a ID do Microsoft Entra resolve o endereço IPv4 ou IPv6 do usuário (a partir de 3 de abril de 2023) para um país ou região e o mapeamento é atualizado periodicamente. As organizações podem usar locais nomeados definidos por países/regiões para bloquear o tráfego de países/regiões onde não fazem negócios.

Se você selecionar Determinar localização por coordenadas GPS, o usuário precisará ter o aplicativo Microsoft Authenticator instalado em seu dispositivo móvel. A cada hora, o sistema entra em contato com o aplicativo Microsoft Authenticator do usuário para coletar a localização GPS do dispositivo móvel do usuário.

Na primeira vez que o usuário deve compartilhar sua localização do aplicativo Microsoft Authenticator, o usuário recebe uma notificação no aplicativo. O usuário precisa abrir o aplicativo e conceder permissões de localização. Nas próximas 24 horas, se o usuário ainda estiver acessando o recurso e tiver permissão para o aplicativo ser executado em segundo plano, a localização do dispositivo será compartilhada silenciosamente uma vez por hora.

• Após 24 horas, o usuário deve abrir o aplicativo e aprovar a notificação.
• Os usuários que têm correspondência de números ou contexto adicional habilitado no aplicativo Microsoft Authenticator não receberão notificações silenciosamente e devem abrir o aplicativo para aprovar notificações.

Toda vez que o usuário compartilha sua localização GPS, o aplicativo faz a deteção de jailbreak (usando a mesma lógica do SDK do MAM do Intune). Se o dispositivo estiver com jailbreak, a localização não é considerada válida e o acesso não é concedido ao utilizador. O aplicativo Microsoft Authenticator no Android usa a API de integridade do Google Play para facilitar a deteção de jailbreak. Se a API de integridade do Google Play não estiver disponível, a solicitação será negada e o usuário não poderá acessar o recurso solicitado, a menos que a política de acesso condicional esteja desativada. Para obter mais informações sobre o aplicativo Microsoft Authenticator, consulte o artigo Perguntas comuns sobre o aplicativo Microsoft Authenticator.

Nota

Uma política de Acesso Condicional com localizações nomeadas baseadas em GPS no modo apenas de relatório solicita que os utilizadores partilhem a sua localização GPS, mesmo que não estejam impedidos de iniciar sessão.

A localização GPS não funciona com métodos de autenticação sem senha.

Várias políticas de Acesso Condicional podem solicitar aos usuários sua localização GPS antes que todas sejam aplicadas. Devido à forma como as políticas de Acesso Condicional são aplicadas, o acesso pode ser negado a um utilizador se passar na verificação de localização, mas falhar noutra política. Para obter mais informações sobre a imposição de políticas, consulte o artigo Criando uma política de acesso condicional.

Importante

Os usuários podem receber solicitações a cada hora informando que o Microsoft Entra ID está verificando sua localização no aplicativo Authenticator. A visualização só deve ser usada para proteger aplicativos muito confidenciais onde esse comportamento é aceitável ou onde o acesso precisa ser restrito a um país/região específico.

Negar solicitações com local modificado

Os usuários podem modificar a localização relatada por dispositivos iOS e Android. Como resultado, o Microsoft Authenticator está atualizando sua linha de base de segurança para políticas de Acesso Condicional baseadas em local. O Autenticador nega autenticações em que o usuário pode estar usando um local diferente do local GPS real do dispositivo móvel onde o Autenticador foi instalado.

Na versão de novembro de 2023 do Authenticator, os usuários que modificam a localização de seus dispositivos recebem uma mensagem de negação no Authenticator quando tentam a autenticação baseada em localização. A partir de janeiro de 2024, todos os usuários que executam versões mais antigas do Authenticator serão bloqueados da autenticação baseada em local:

• Autenticador versão 6.2309.6329 ou anterior no Android
• Autenticador versão 6.7.16 ou anterior no iOS

Para localizar quais usuários executam versões mais antigas do Authenticator, use as APIs do Microsoft Graph.

Incluir países/regiões desconhecidos

Alguns endereços IP não são mapeados para um país ou região específica. Para capturar esses locais IP, marque a caixa Incluir países/regiões desconhecidos ao definir uma localização geográfica. Esta opção permite que você escolha se esses endereços IP devem ser incluídos no local nomeado. Use essa configuração quando a política que usa o local nomeado for aplicada a locais desconhecidos.

Configurar IPs confiáveis de MFA

Você também pode configurar intervalos de endereços IP que representam a intranet local da sua organização nas configurações do serviço de autenticação multifator. Esta funcionalidade permite-lhe configurar até 50 intervalos de endereços IP. Os intervalos de endereços IP estão no formato CIDR. Para obter mais informações, veja IPs Fidedignos.

Se tiver IPs Fidedignos configurados, estes serão apresentados como IPs Fidedignos de MFA na lista de localizações para a condição de localização.

Ignorando a autenticação multifator

Na página Configurações do serviço de autenticação multifator, você pode identificar usuários da intranet corporativa selecionando Ignorar autenticação multifator para solicitações de usuários federados na minha intranet. Essa configuração indica que a declaração de rede corporativa interna, emitida pelo AD FS, deve ser confiável e usada para identificar o usuário como estando na rede corporativa. Para obter mais informações, consulte Habilitar o recurso IPs confiáveis usando o Acesso Condicional.

Depois de marcar essa opção, incluindo o local nomeado, os IPs confiáveis do MFA serão aplicados a todas as políticas com essa opção selecionada.

Para aplicativos móveis e de desktop, que têm longos tempos de vida de sessão, o Acesso Condicional é reavaliado periodicamente. O padrão é uma vez por hora. Quando a declaração de rede corporativa interna é emitida apenas no momento da autenticação inicial, talvez não tenhamos uma lista de intervalos de IP confiáveis. Nesse caso, é mais difícil determinar se o usuário ainda está na rede corporativa:

1. Verifique se o endereço IP do usuário está em um dos intervalos de IP confiáveis.
2. Verifique se os três primeiros octetos do endereço IP do utilizador correspondem aos três primeiros octetos do endereço IP da autenticação inicial. O endereço IP é comparado com a autenticação inicial quando a declaração dentro da rede corporativa foi emitida originalmente e o local do usuário foi validado.

Se ambas as etapas falharem, um usuário será considerado como não estando mais em um IP confiável.

Definir localizações

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.
2. Navegue até Locais nomeados de acesso>condicional de proteção>.
3. Escolha Nova localização.
4. Dê um nome à sua localização.
5. Escolha intervalos de IP se souber os intervalos de endereços IPv4 específicos acessíveis externamente que compõem esse local ou Países/Regiões.
   1. Forneça os intervalos de IP ou selecione os Países/Regiões para o local que você está especificando.
      • Se escolher Países/Regiões, pode opcionalmente optar por incluir áreas desconhecidas.
6. Escolha Salvar

Condição de localização na política

Ao configurar a condição de localização, pode distinguir entre:

• Qualquer localização
• Todas as localizações fidedignas
• Todos os locais de rede compatíveis
• Localizações selecionadas

Qualquer localização

Por padrão, selecionar Qualquer local faz com que uma política seja aplicada a todos os endereços IP, o que significa qualquer endereço na Internet. Essa configuração não está limitada aos endereços IP que você configurou como local nomeado. Ao selecionar Qualquer local, você ainda pode excluir locais específicos de uma política. Por exemplo, você pode aplicar uma política a todos os locais, exceto locais confiáveis, para definir o escopo para todos os locais, exceto a rede corporativa.

Todas as localizações fidedignas

Esta opção aplica-se a:

• Todos os locais marcados como locais confiáveis.
• IPs confiáveis MFA, se configurados.

IPs confiáveis de autenticação multifator

O uso da seção IPs confiáveis das configurações de serviço da autenticação multifator não é mais recomendado. Esse controle só aceita endereços IPv4 e só deve ser usado para cenários específicos abordados no artigo Configurar configurações de autenticação multifator do Microsoft Entra

Se você tiver esses IPs confiáveis configurados, eles aparecerão como IPs confiáveis MFA na lista de locais para a condição de local.

Todos os locais de rede compatíveis

As organizações com acesso aos recursos de visualização do Global Secure Access têm outro local listado que é composto por usuários e dispositivos que estão em conformidade com as políticas de segurança da sua organização. Para obter mais informações, consulte a seção Habilitar sinalização de acesso seguro global para acesso condicional. Ele pode ser usado com políticas de Acesso Condicional para executar uma verificação de rede compatível para acesso a recursos.

Localizações selecionadas

Com essa opção, você pode selecionar um ou mais locais nomeados. Para que uma política com essa configuração seja aplicada, um usuário precisa se conectar de qualquer um dos locais selecionados. Quando você seleciona o controle de seleção de rede nomeado que mostra a lista de redes nomeadas é aberto. A lista também mostra se o local de rede está marcado como confiável.

Tráfego IPv6

As políticas de Acesso Condicional aplicam-se a todo o tráfego IPv4 eIPv6 (a partir de 3 de abril de 2023).

Identificando o tráfego IPv6 com os relatórios de atividade de entrada do Microsoft Entra

Você pode descobrir o tráfego IPv6 em seu locatário acessando os relatórios de atividade de entrada do Microsoft Entra. Depois de abrir o relatório de atividades, adicione a coluna "Endereço IP" e adicione dois pontos (:) ao campo. Este filtro ajuda a distinguir o tráfego IPv6 do tráfego IPv4.

Você também pode encontrar o IP do cliente clicando em uma linha no relatório e, em seguida, indo para a guia "Local" nos detalhes da atividade de login.

Nota

Os endereços IPv6 dos pontos de extremidade de serviço podem aparecer nos logs de entrada com falhas devido à maneira como eles lidam com o tráfego. É importante observar que os pontos de extremidade de serviço não são suportados. Se os usuários estiverem vendo esses endereços IPv6, remova o ponto de extremidade de serviço de sua configuração de sub-rede de rede virtual.

O que deve saber

Proxies e VPNs na nuvem

Quando você usa um proxy hospedado na nuvem ou uma solução VPN, o endereço IP que o ID do Microsoft Entra usa ao avaliar uma política é o endereço IP do proxy. O cabeçalho X-Forwarded-For (XFF) que contém o endereço IP público do usuário não é usado porque não há validação de que ele vem de uma fonte confiável, portanto, apresentaria um método para falsificar um endereço IP.

Quando um proxy de nuvem está em vigor, uma política que requer um dispositivo híbrido associado ou compatível com o Microsoft Entra pode ser mais fácil de gerenciar. Manter uma lista de endereços IP usados pelo seu proxy hospedado na nuvem ou solução VPN atualizada pode ser quase impossível.

Recomendamos que as organizações utilizem o Acesso Seguro Global para habilitar a restauração do IP de origem para evitar essa alteração no endereço e simplificar o gerenciamento.

Quando é avaliado um local?

As políticas de Acesso Condicional são avaliadas quando:

• Inicialmente, um utilizador inicia sessão numa aplicação Web, numa aplicação móvel ou numa aplicação de ambiente de trabalho.
• Um aplicativo móvel ou de desktop que usa autenticação moderna usa um token de atualização para adquirir um novo token de acesso. Por padrão, essa verificação é uma vez por hora.

Essa verificação significa que, para aplicativos móveis e de desktop que usam autenticação moderna, uma alteração no local é detetada dentro de uma hora após a alteração do local da rede. Para aplicativos móveis e de desktop que não usam autenticação moderna, a política se aplica a cada solicitação de token. A frequência do pedido pode variar em função da aplicação. Da mesma forma, para aplicativos Web, as políticas se aplicam no início de sessão e são boas para o tempo de vida da sessão no aplicativo Web. Devido às diferenças nos tempos de vida das sessões entre aplicativos, o tempo entre a avaliação da política varia. Sempre que o aplicativo solicita um novo token de entrada, a política é aplicada.

Por padrão, o Microsoft Entra ID emite um token por hora. Depois que os usuários saem da rede corporativa, dentro de uma hora a política é aplicada para aplicativos que usam autenticação moderna.

Endereço IP do utilizador

O endereço IP usado na avaliação da política é o endereço IPv4 ou IPv6 público do usuário. Para dispositivos em uma rede privada, esse endereço IP não é o IP do cliente do dispositivo do usuário na intranet, é o endereço usado pela rede para se conectar à Internet pública.

Quando você pode bloquear locais?

Uma política que usa a condição de localização para bloquear o acesso é considerada restritiva e deve ser feita com cuidado após testes minuciosos. Alguns exemplos de uso da condição de local para bloquear a autenticação podem incluir:

• Bloquear países/regiões onde a sua organização nunca faz negócios.
• Bloqueando intervalos de IP específicos como:
  • IPs mal-intencionados conhecidos antes que uma política de firewall possa ser alterada.
  • Para ações altamente sensíveis ou privilegiadas e aplicações na nuvem.
  • Com base no intervalo de IP específico do usuário, como acesso a aplicativos de contabilidade ou folha de pagamento.

Exclusões de utilizadores

As políticas de Acesso Condicional são ferramentas poderosas, recomendamos excluir as seguintes contas das suas políticas:

• Acesso de emergência ou contas quebra-vidro para evitar o bloqueio de contas em todo o inquilino. No cenário improvável de todos os administradores serem bloqueados do seu inquilino, a sua conta administrativa de acesso de emergência pode ser utilizada para iniciar sessão no inquilino e tomar medidas para recuperar o acesso.
  • Mais informações podem ser encontradas no artigo Gerenciar contas de acesso de emergência no Microsoft Entra ID.
• Contas de serviço e entidades de serviço, como a Conta de Sincronização do Microsoft Entra Connect. As contas de serviço são contas não interativas que não estão vinculadas a nenhum usuário em particular. Eles são normalmente usados por serviços back-end que permitem acesso programático a aplicativos, mas também são usados para entrar em sistemas para fins administrativos. Contas de serviço como essas devem ser excluídas, pois o MFA não pode ser concluído programaticamente. As chamadas feitas por entidades de serviço não serão bloqueadas pelas políticas de Acesso Condicional com escopo para os usuários. Use o Acesso Condicional para identidades de carga de trabalho para definir políticas direcionadas a entidades de serviço.
  • Se sua organização tiver essas contas em uso em scripts ou código, considere substituí-las por identidades gerenciadas. Como solução temporária, você pode excluir essas contas específicas da política de linha de base.

Upload e download em massa de locais nomeados

Ao criar ou atualizar locais nomeados, para atualizações em massa, você pode carregar ou baixar um arquivo CSV com os intervalos de IP. Um upload substitui os intervalos de IP na lista por esses intervalos do arquivo. Cada linha do arquivo contém um intervalo de endereços IP no formato CIDR.

Suporte a API e PowerShell

Uma versão de visualização da API do Graph para locais nomeados está disponível, para obter mais informações, consulte a API namedLocation.

Próximos passos

• Configure um exemplo de política de Acesso Condicional usando o local, consulte o artigo Acesso condicional: bloquear o acesso por local.