Configurar e ativar políticas de risco

  • Artigo

Como aprendemos no artigo anterior, Políticas de acesso baseadas em risco, há dois tipos de políticas de risco no Acesso Condicional do Microsoft Entra que você pode configurar. Você pode usar essas políticas para automatizar a resposta aos riscos, permitindo que os usuários se autocorrijam quando o risco for detetado:

  • Política de risco do início de sessão
  • Política de risco do utilizador

Screenshot of a Conditional Access policy showing risk as conditions.

Escolha os níveis de risco aceitáveis

As organizações devem decidir o nível de risco que desejam exigir controle de acesso para equilibrar a experiência do usuário e a postura de segurança.

Optar por aplicar o controle de acesso em um nível de alto risco reduz o número de vezes que uma política é acionada e minimiza o atrito para os usuários. No entanto, exclui riscos Baixos e Médiosda política, que pode não bloquear um invasor de explorar uma identidade comprometida. Selecionar um nível de baixo risco para exigir controle de acesso introduz mais interrupções do usuário.

Os locais de rede confiáveis configurados são usados pela Proteção de Identidade em algumas deteções de risco para reduzir falsos positivos.

As configurações de política a seguir incluem o controle de sessão de frequência de entrada que exige uma reautenticação para usuários e entradas arriscados.

Remediação de riscos

As organizações podem optar por bloquear o acesso quando o risco é detetado. O bloqueio às vezes impede que os usuários legítimos façam o que precisam. Uma solução melhor é permitir a auto-correção usando a autenticação multifator Microsoft Entra e a alteração segura de senha.

Aviso

Os usuários devem se registrar para a autenticação multifator do Microsoft Entra antes de enfrentarem uma situação que exija correção. Para usuários híbridos sincronizados do local para a nuvem, o write-back de senha deve ter sido habilitado neles. Os utilizadores não registados são bloqueados e requerem a intervenção do administrador.

A alteração de senha (eu sei minha senha e quero alterá-la para algo novo) fora do fluxo de correção de política de usuário arriscado não atende ao requisito de alteração segura de senha.

Recomendação da Microsoft

A Microsoft recomenda as seguintes configurações de política de risco para proteger sua organização:

  • Política de risco do utilizador
    • Exija uma alteração de senha segura quando o nível de risco do usuário for alto. A autenticação multifator do Microsoft Entra é necessária antes que o usuário possa criar uma nova senha com write-back de senha para corrigir seu risco.
  • Política de risco de início de sessão
    • Exija a autenticação multifator do Microsoft Entra quando o nível de risco de entrada for Médio ou Alto, permitindo que os usuários provem que são eles usando um de seus métodos de autenticação registrados, corrigindo o risco de entrada.

Exigir controle de acesso quando o nível de risco é baixo introduz mais atrito e interrupções do usuário do que médio ou alto. Optar por bloquear o acesso em vez de permitir opções de auto-correção, como alteração segura de senha e autenticação multifator, afeta ainda mais seus usuários e administradores. Pese essas opções ao configurar suas políticas.

Exclusões

As políticas permitem excluir usuários, como suas contas de administrador de acesso de emergência ou quebra-vidro. As organizações podem precisar excluir outras contas de políticas específicas com base na maneira como as contas são usadas. As exclusões devem ser revistas regularmente para ver se ainda são aplicáveis.

Ativar políticas

As organizações podem optar por implantar políticas baseadas em risco no Acesso Condicional usando as etapas a seguir ou usando modelos de Acesso Condicional.

Antes de habilitar políticas de correção, as organizações devem investigar e remediar quaisquer riscos ativos.

Política de risco do usuário no Acesso Condicional

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.
  2. Navegue até Acesso condicional de proteção>.
  3. Selecione Nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione Todos os usuários.
    2. Em Excluir, selecione Usuários e grupos e escolha as contas de acesso de emergência ou de quebra-vidro da sua organização.
    3. Selecione Concluído.
  6. Em Aplicações ou ações>na nuvem Incluir, selecione Todas as aplicações na nuvem.
  7. Em Condições>Risco do usuário, defina Configurar como Sim.
    1. Em Configurar níveis de risco do usuário necessários para que a política seja imposta, selecione Alto. (Esta orientação baseia-se nas recomendações da Microsoft e pode ser diferente para cada organização)
    2. Selecione Concluído.
  8. Em Conceder controles>de acesso.
    1. Selecione Conceder acesso, Exigir autenticação multifator e Exigir alteração de senha.
    2. Selecione Selecionar.
  9. Em sessão.
    1. Selecione Frequência de início de sessão.
    2. Certifique-se de que cada vez está selecionado.
    3. Selecione Selecionar.
  10. Confirme suas configurações e defina Habilitar política como Somente relatório.
  11. Selecione Criar para criar para habilitar sua política.

Depois que os administradores confirmarem as configurações usando o modo somente relatório, eles poderão mover a alternância Habilitar política de Somente relatório para Ativado.

Política de risco de início de sessão no Acesso Condicional

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.
  2. Navegue até Acesso condicional de proteção>.
  3. Selecione Nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione Todos os usuários.
    2. Em Excluir, selecione Usuários e grupos e escolha as contas de acesso de emergência ou de quebra-vidro da sua organização.
    3. Selecione Concluído.
  6. Em Aplicações ou ações>na nuvem Incluir, selecione Todas as aplicações na nuvem.
  7. Em Condições>Risco de início de sessão, defina Configurar como Sim. Em Selecione o nível de risco de início de sessão ao qual esta política se aplicará. (Esta orientação baseia-se nas recomendações da Microsoft e pode ser diferente para cada organização)
    1. Selecione Alto e Médio.
    2. Selecione Concluído.
  8. Em Conceder controles>de acesso.
    1. Selecione Conceder acesso, Exigir autenticação multifator.
    2. Selecione Selecionar.
  9. Em sessão.
    1. Selecione Frequência de início de sessão.
    2. Certifique-se de que cada vez está selecionado.
    3. Selecione Selecionar.
  10. Confirme suas configurações e defina Habilitar política como Somente relatório.
  11. Selecione Criar para criar para habilitar sua política.

Depois que os administradores confirmarem as configurações usando o modo somente relatório, eles poderão mover a alternância Habilitar política de Somente relatório para Ativado.

Migrar políticas de risco para Acesso Condicional

Aviso

As políticas de risco herdadas configuradas na Proteção de ID do Microsoft Entra serão desativadas em 1º de outubro de 2026.

Se você tiver políticas de risco habilitadas no Microsoft Entra ID, planeje migrá-las para o Acesso Condicional:

Screenshots showing the migration of a sign-in risk policy to Conditional Access.

Migrando para acesso condicional

  1. Crie uma política equivalentebaseada no risco do usuário e no risco de entrada no Acesso Condicional no modo somente relatório. Você pode criar uma política com as etapas anteriores ou usando modelos de Acesso Condicional com base nas recomendações da Microsoft e em seus requisitos organizacionais.
    1. Certifique-se de que a nova política de risco de Acesso Condicional funcione conforme o esperado, testando-a no modo somente relatório.
  2. Habilite a nova política de risco de Acesso Condicional. Você pode optar por ter ambas as políticas em execução lado a lado para confirmar que as novas políticas estão funcionando conforme o esperado antes de desativar as políticas de risco da Proteção de ID.
    1. Navegue novamente para Acesso Condicional de Proteção>.
    2. Selecione esta nova política para editá-la.
    3. Defina Ativar política como Ativado para habilitar a política
  3. Desative as políticas de risco antigas na Proteção de ID.
    1. Navegue até Proteção>de identidade Selecione> a política Risco de usuário ou Risco de entrada.
    2. Definir Impor política como Desativado
  4. Crie outras políticas de risco, se necessário, no Acesso Condicional.

Próximos passos