Configurar e ativar políticas de risco
Há dois tipos de políticas de risco no Acesso Condicional do Microsoft Entra que você pode configurar. Você pode usar essas políticas para automatizar a resposta aos riscos, permitindo que os usuários se autocorrijam quando o risco for detetado:
Escolha os níveis de risco aceitáveis
As organizações devem decidir o nível de risco que desejam exigir controle de acesso para equilibrar a experiência do usuário e a postura de segurança.
Optar por aplicar o controle de acesso em um nível de alto risco reduz o número de vezes que uma política é acionada e minimiza o atrito para os usuários. No entanto, exclui riscos Baixos e Médios da política, que pode não bloquear um invasor de explorar uma identidade comprometida. Selecionar um nível de baixo risco para exigir controle de acesso introduz mais interrupções do usuário.
Os locais de rede confiáveis configurados são usados pela Proteção de ID do Microsoft Entra em algumas deteções de risco para reduzir falsos positivos.
As configurações de política a seguir incluem o controle de sessão de frequência de entrada que exige uma reautenticação para usuários e entradas arriscados.
Recomendação da Microsoft
A Microsoft recomenda as seguintes configurações de política de risco para proteger sua organização:
- Política de risco do utilizador
- Exija uma alteração de senha segura quando o nível de risco do usuário for alto. A autenticação multifator do Microsoft Entra é necessária antes que o usuário possa criar uma nova senha com write-back de senha para corrigir seu risco.
- Política de risco de início de sessão
- Exija a autenticação multifator do Microsoft Entra quando o nível de risco de entrada for Médio ou Alto, permitindo que os usuários provem que são eles usando um de seus métodos de autenticação registrados, corrigindo o risco de entrada.
Exigir controle de acesso quando o nível de risco é baixo introduz mais atrito e interrupções do usuário do que médio ou alto. Optar por bloquear o acesso em vez de permitir opções de auto-correção, como alteração segura de senha e autenticação multifator, afeta ainda mais seus usuários e administradores. Pese essas opções ao configurar suas políticas.
Remediação de riscos
As organizações podem optar por bloquear o acesso quando o risco é detetado. O bloqueio às vezes impede que os usuários legítimos façam o que precisam. Uma solução melhor é configurar políticas de Acesso Condicional baseadas em risco e de entrada do usuário que permitam que os usuários se autocorrijam.
Aviso
Os usuários devem se registrar para a autenticação multifator do Microsoft Entra antes de enfrentarem uma situação que exija correção. Para usuários híbridos sincronizados localmente, o write-back de senha deve ser habilitado. Os utilizadores não registados são bloqueados e requerem a intervenção do administrador.
A alteração de senha (eu sei minha senha e quero alterá-la para algo novo) fora do fluxo de correção de política de usuário arriscado não atende ao requisito de alteração segura de senha.
Ativar políticas
As organizações podem optar por implantar políticas baseadas em risco no Acesso Condicional usando as etapas a seguir ou usar modelos de Acesso Condicional.
Antes que as organizações habilitem essas políticas, elas devem tomar medidas para investigar e remediar quaisquer riscos ativos.
Exclusões de políticas
As políticas de Acesso Condicional são ferramentas poderosas, recomendamos excluir as seguintes contas das suas políticas:
- Acesso de emergência ou contas de quebra-vidro para evitar o bloqueio devido à configuração incorreta da política. No cenário improvável de todos os administradores estarem bloqueados, sua conta administrativa de acesso de emergência pode ser usada para fazer login e tomar medidas para recuperar o acesso.
- Mais informações podem ser encontradas no artigo Gerenciar contas de acesso de emergência no Microsoft Entra ID.
- Contas de serviço e entidades de serviço, como a Conta de Sincronização do Microsoft Entra Connect. As contas de serviço são contas não interativas que não estão vinculadas a nenhum utilizador em particular. Normalmente, são usadas por serviços de back-end que permitem acesso programático a aplicações, mas também são usadas para iniciar sessão em sistemas para fins administrativos. As chamadas feitas por principais de serviço não serão bloqueadas pelas políticas de Acesso Condicional com âmbito definido para os utilizadores. Use o Acesso Condicional para identidades de carga de trabalho para definir políticas direcionadas para principais de serviço.
- Se sua organização tiver essas contas em uso em scripts ou código, considere substituí-las por identidades gerenciadas.
Política de risco do usuário no Acesso Condicional
- Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.
- Navegue até Acesso condicional de proteção>.
- Selecione Nova política.
- Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
- Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
- Em Incluir, selecione Todos os usuários.
- Em Excluir, selecione Usuários e grupos e escolha as contas de acesso de emergência ou de quebra-vidro da sua organização.
- Selecionar Concluído.
- Em Aplicações ou ações>na nuvem Incluir, selecione Todos os recursos (anteriormente "Todas as aplicações na nuvem").
- Em Condições>Risco do usuário, defina Configurar como Sim.
- Em Configurar níveis de risco do usuário necessários para que a política seja imposta, selecione Alto. Estas orientações baseiam-se nas recomendações da Microsoft e podem ser diferentes para cada organização
- Selecionar Concluído.
- Em Conceder controles>de acesso, selecione Conceder acesso.
- Selecione Exigir força de autenticação e, em seguida, selecione a força de autenticação multifator integrada na lista.
- Selecione Exigir alteração de senha.
- Selecione Selecionar.
- Em sessão.
- Selecione Frequência de início de sessão.
- Certifique-se de que cada vez está selecionado.
- Selecione Selecionar.
- Confirme suas configurações e defina Habilitar política como Somente relatório.
- Selecione Criar para criar para habilitar sua política.
Depois que os administradores confirmarem as configurações usando o modo somente relatório, eles poderão mover a alternância Habilitar política de Somente relatório para Ativado.
Cenários sem senha
Para organizações que adotam métodos de autenticação sem senha, faça as seguintes alterações:
Atualize sua política de risco de usuário sem senha
- Em Utilizadores:
- Inclua, selecione Usuários e grupos e segmente seus usuários sem senha.
- Em Controles>de acesso Bloquear o acesso de usuários sem senha.
Gorjeta
Talvez seja necessário ter duas políticas por um período de tempo ao implantar métodos sem senha.
- Um que permite a auto-remediação para aqueles que não usam métodos sem senha.
- Outro que bloqueia usuários sem senha em alto risco.
Corrija e desbloqueie o risco do usuário sem senha
- Exigir investigação do administrador e remediação de qualquer risco.
- Desbloqueie o usuário.
Política de risco de início de sessão no Acesso Condicional
- Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.
- Navegue até Acesso condicional de proteção>.
- Selecione Nova política.
- Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
- Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
- Em Incluir, selecione Todos os usuários.
- Em Excluir, selecione Usuários e grupos e escolha as contas de acesso de emergência ou de quebra-vidro da sua organização.
- Selecionar Concluído.
- Em Aplicações ou ações>na nuvem Incluir, selecione Todos os recursos (anteriormente "Todas as aplicações na nuvem").
- Em Condições>Risco de início de sessão, defina Configurar como Sim.
- Em Selecione o nível de risco de início de sessão ao qual esta política se aplicará, selecione Alto e Médio. Estas orientações baseiam-se nas recomendações da Microsoft e podem ser diferentes para cada organização
- Selecionar Concluído.
- Em Conceder controles>de acesso, selecione Conceder acesso.
- Selecione Exigir força de autenticação e, em seguida, selecione a força de autenticação multifator integrada na lista.
- Selecione Selecionar.
- Em sessão.
- Selecione Frequência de início de sessão.
- Certifique-se de que cada vez está selecionado.
- Selecione Selecionar.
- Confirme suas configurações e defina Habilitar política como Somente relatório.
- Selecione Criar para criar para habilitar sua política.
Depois que os administradores confirmarem as configurações usando o modo somente relatório, eles poderão mover a alternância Habilitar política de Somente relatório para Ativado.
Cenários sem senha
Para organizações que adotam métodos de autenticação sem senha, faça as seguintes alterações:
Atualize a sua política de risco de início de sessão sem palavra-passe
- Em Utilizadores:
- Inclua, selecione Usuários e grupos e segmente seus usuários sem senha.
- Em Selecione o nível de risco de início de sessão ao qual esta política se aplicará, selecione Elevado.
- Em Controles>de acesso Bloquear o acesso de usuários sem senha.
Gorjeta
Talvez seja necessário ter duas políticas por um período de tempo ao implantar métodos sem senha.
- Um que permite a auto-remediação para aqueles que não usam métodos sem senha.
- Outro que bloqueia usuários sem senha em alto risco.
Corrija e desbloqueie o risco de início de sessão sem palavra-passe
- Exigir investigação do administrador e remediação de qualquer risco.
- Desbloqueie o usuário.
Migrar políticas de risco para Acesso Condicional
Se você tiver políticas de risco herdadas habilitadas na Proteção de ID do Microsoft Entra, planeje migrá-las para o Acesso Condicional:
Aviso
As políticas de risco herdadas configuradas na Proteção de ID do Microsoft Entra serão desativadas em 1º de outubro de 2026.
Migrar para acesso condicional
- Crie políticas equivalentes baseadas no risco do usuário e no risco de entrada no Acesso Condicional no modo somente relatório. Você pode criar uma política com as etapas anteriores ou usando modelos de Acesso Condicional com base nas recomendações da Microsoft e em seus requisitos organizacionais.
- Depois que os administradores confirmarem as configurações usando o modo somente relatório, eles poderão mover a alternância Habilitar política de Somente relatório para Ativado.
- Desative as políticas de risco antigas na Proteção de ID.
- Navegue até Proteção>de identidade Selecione> a política Risco de usuário ou Risco de entrada.
- Defina Impor política como Desativado.
- Crie outras políticas de risco, se necessário, no Acesso Condicional.