O que é o Acesso Condicional?

  • Artigo
  • 4 minutos para ler

O perímetro de segurança moderno estende-se agora para além da rede de uma organização para incluir a identidade do utilizador e do dispositivo. As organizações podem utilizar sinais orientados por identidade como parte das suas decisões de controlo de acesso.

O Acesso Condicional reúne sinais para tomar decisões e impor políticas organizacionais. Azure AD Acesso Condicional está no centro do novo plano de controlo orientado por identidades.

Sinal condicional conceptual mais decisão para obter imposição

As políticas de Acesso Condicional mais simples são instruções if-then, se um utilizador quiser aceder a um recurso, tem de concluir uma ação. Exemplo: um gestor de folha de pagamentos quer aceder à aplicação folha de pagamentos e é necessário fazer a autenticação multifator para aceder à mesma.

Os administradores são confrontados com dois objetivos principais:

  • Capacitar os utilizadores a ser produtivos em qualquer local e em qualquer momento
  • Proteger os recursos da organização

Utilize políticas de Acesso Condicional para aplicar os controlos de acesso corretos quando necessário para manter a sua organização segura.

Fluxo de processo de Acesso Condicional conceptual

Importante

As políticas de Acesso Condicional são impostas após a conclusão da autenticação do primeiro fator. O Acesso Condicional não se destina a ser a primeira linha de defesa de uma organização para cenários como ataques denial-of-service (DoS), mas pode utilizar sinais destes eventos para determinar o acesso.

Sinais comuns

Os sinais comuns que o Acesso Condicional pode ter em conta ao tomar uma decisão de política incluem os seguintes sinais:

  • Associação de utilizadores ou grupos
    • As políticas podem ser direcionadas para utilizadores e grupos específicos que dão aos administradores um controlo detalhado sobre o acesso.
  • Informações da Localização do IP
    • As organizações podem criar intervalos de endereços IP fidedignos que podem ser utilizados ao tomar decisões de política.
    • Os administradores podem especificar intervalos de IP de países/regiões inteiros para bloquear ou permitir o tráfego.
  • Dispositivo
    • Os utilizadores com dispositivos de plataformas específicas ou marcados com um estado específico podem ser utilizados ao impor políticas de Acesso Condicional.
    • Utilize filtros para dispositivos para direcionar políticas para dispositivos específicos, como estações de trabalho de acesso privilegiado.
  • Aplicação
    • Os utilizadores que tentam aceder a aplicações específicas podem acionar diferentes políticas de Acesso Condicional.
  • Deteção de riscos calculados e em tempo real
    • A integração de sinais com o Azure AD Identity Protection permite que as políticas de Acesso Condicional identifiquem comportamentos de início de sessão de risco. As políticas podem, em seguida, forçar os utilizadores a alterar a palavra-passe, fazer a autenticação multifator para reduzir o nível de risco ou bloquear o acesso até que um administrador tome medidas manuais.
  • Microsoft Defender for Cloud Apps
    • Permite que o acesso e as sessões da aplicação do utilizador sejam monitorizados e controlados em tempo real, aumentando a visibilidade e o controlo sobre o acesso e as atividades realizadas no seu ambiente na cloud.

Decisões comuns

  • Bloquear o acesso
    • Decisão mais restritiva
  • Conceder acesso
    • Uma decisão menos restritiva ainda pode exigir uma ou mais das seguintes opções:
      • Exigir autenticação multifator
      • Exigir que o dispositivo seja marcado como conforme
      • Exigir dispositivo associado a Azure AD Híbrido
      • Exigir aplicação cliente aprovada
      • Exigir política de proteção de aplicações (pré-visualização)

Políticas geralmente aplicadas

Muitas organizações têm preocupações de acesso comuns com as quais as políticas de Acesso Condicional podem ajudar, tais como:

  • Exigir autenticação multifator para utilizadores com funções administrativas
  • Exigir autenticação multifator para tarefas de gestão do Azure
  • Bloquear inícios de sessão para utilizadores que tentam utilizar protocolos de autenticação legados
  • Exigir localizações fidedignas para Azure AD registo de Autenticação Multifator
  • Bloquear ou conceder acesso a partir de localizações específicas
  • Bloquear comportamentos de início de sessão de risco
  • Exigir dispositivos geridos pela organização para aplicações específicas

Requisitos de licença

A utilização desta funcionalidade requer licenças de Azure AD Premium P1. Para encontrar a licença certa para os requisitos, veja Comparar as funcionalidades geralmente disponíveis do Azure Active Directory.

Os clientes com Licenças do Microsoft 365 Empresas Premium, também têm acesso às funcionalidades de Acesso Condicional.

As políticas baseadas em riscos requerem acesso ao Identity Protection, que é uma funcionalidade Azure AD P2.

Outros produtos e funcionalidades que possam interagir com as políticas de Acesso Condicional exigem licenças adequadas para esses produtos e funcionalidades.

Quando as licenças necessárias para o Acesso Condicional expiram, as políticas não são automaticamente desativadas ou eliminadas para que os clientes possam migrar para fora das políticas de Acesso Condicional sem uma alteração súbita na sua postura de segurança. As políticas restantes podem ser visualizadas e eliminadas, mas já não são atualizadas.

As predefinições de segurança ajudam a proteger contra ataques relacionados com a identidade e estão disponíveis para todos os clientes.

Confiança Zero

Esta funcionalidade ajuda as organizações a alinhar as suas identidades com os três princípios de orientação de uma arquitetura Confiança Zero:

  • Verificar explicitamente
  • Utilizar menos privilégios
  • Assumir violação

Para saber mais sobre Confiança Zero e outras formas de alinhar a sua organização com os princípios de orientação, consulte o Centro de Orientação do Confiança Zero.

Passos seguintes