Acesso condicional: recursos de destino

Os recursos de destino (anteriormente aplicativos na nuvem, ações e contexto de autenticação) são sinais-chave em uma política de Acesso Condicional. As políticas de Acesso Condicional permitem que os administradores atribuam controles a aplicativos, serviços, ações ou contexto de autenticação específicos.

• Os administradores podem escolher a partir da lista de aplicações ou serviços que incluem aplicações Microsoft incorporadas e quaisquer aplicações integradas do Microsoft Entra, incluindo aplicações de galeria, não galeria e aplicações publicadas através do Proxy de Aplicações.
• Os administradores podem optar por definir a política não com base em um aplicativo de nuvem, mas em uma ação do usuário, como Registrar informações de segurança ou Registrar ou ingressar dispositivos, permitindo que o Acesso Condicional imponha controles em torno dessas ações.
• Os administradores podem direcionar perfis de encaminhamento de tráfego do Global Secure Access para obter funcionalidade aprimorada.
• Os administradores podem usar o contexto de autenticação para fornecer uma camada extra de segurança nos aplicativos.

Aplicações na nuvem da Microsoft

Muitas das aplicações cloud existentes da Microsoft estão incluídas na lista de aplicações de entre as quais pode selecionar.

Os administradores podem atribuir uma política de Acesso Condicional às seguintes aplicações na nuvem da Microsoft. Algumas aplicações como o Office 365 e a API de Gestão do Serviço do Microsoft Azure incluem várias aplicações ou serviços subordinados relacionados. Adicionamos continuamente mais aplicações, pelo que a lista seguinte não é exaustiva e está sujeita a alterações.

• Office 365
• Azure Analysis Services
• Azure DevOps
• Azure Data Explorer
• Hubs de Eventos do Azure
• Azure Service Bus
• Banco de Dados SQL do Azure e Azure Synapse Analytics
• Common Data Service
• Análise do Microsoft Application Insights
• Proteção de Informações do Microsoft Azure
• API de Gerenciamento de Serviços do Windows Azure
• Microsoft Defender for Cloud Apps
• Portal de Controle de Acesso das Ferramentas do Microsoft Commerce
• Serviço de Autenticação de Ferramentas de Comércio da Microsoft
• Microsoft Forms
• Microsoft Intune
• Inscrição no Microsoft Intune
• Microsoft Planner
• Microsoft Power Apps
• Microsoft Power Automate
• Pesquisa da Microsoft no Bing
• Microsoft StaffHub
• Microsoft Stream
• Microsoft Teams
• Exchange Online
• SharePoint
• Yammer
• Office Delve
• Escritório Sway
• Grupos do Outlook
• Serviço Power BI
• Project Online
• Skype para Empresas Online
• Rede Privada Virtual (VPN)
• Windows Defender ATP

Importante

Os aplicativos que estão disponíveis para Acesso Condicional passaram por um processo de integração e validação. Esta lista não inclui todos os aplicativos da Microsoft, pois muitos são serviços de back-end e não se destinam a ter uma política aplicada diretamente a eles. Se você estiver procurando por um aplicativo que está faltando, você pode entrar em contato com a equipe específica do aplicativo ou fazer uma solicitação no UserVoice.

Office 365

O Microsoft 365 fornece serviços de produtividade e colaboração baseados na nuvem, como Exchange, SharePoint e Microsoft Teams. Os serviços de nuvem do Microsoft 365 são profundamente integrados para garantir experiências suaves e colaborativas. Essa integração pode causar confusão ao criar políticas, pois alguns aplicativos, como o Microsoft Teams, têm dependências de outros, como o SharePoint ou o Exchange.

O conjunto de aplicações do Office 365 permite visar estes serviços de uma só vez. Recomendamos usar o novo pacote do Office 365, em vez de direcionar aplicativos de nuvem individuais para evitar problemas com dependências de serviço.

O direcionamento desse grupo de aplicativos ajuda a evitar problemas que podem surgir devido a políticas e dependências inconsistentes. Por exemplo: o aplicativo Exchange Online está vinculado a dados tradicionais do Exchange Online, como email, calendário e informações de contato. Os metadados relacionados podem ser expostos através de diferentes recursos, como a pesquisa. Para garantir que todos os metadados sejam protegidos conforme pretendido, os administradores devem atribuir políticas ao aplicativo do Office 365.

Os administradores podem excluir todo o pacote do Office 365 ou aplicativos específicos da nuvem do Office 365 da política de Acesso Condicional.

Está disponível no artigo Aplicações incluídas no conjunto de aplicações do Office 365 no Acesso Condicional uma lista completa de todos os serviços incluídos.

API de Gestão do Serviço do Microsoft Azure

Quando visa a API de Gestão do Serviço do Microsoft Azure, a política é imposta para tokens emitidos para um conjunto de serviços intimamente vinculados ao portal. Este agrupamento inclui os IDs de aplicação de:

• Azure Resource Manager
• Portal do Azure, que também cobre o Centro de Administração do Microsoft Entra
• Azure Data Lake
• API do Application Insights
• API do Log Analytics

Como a política é aplicada ao portal de gerenciamento do Azure e à API, os serviços ou clientes com uma dependência de serviço de API do Azure podem ser afetados indiretamente. Por exemplo:

• CLI do Azure
• Portal do Azure Data Factory
• Azure DevOps
• Hubs de Eventos do Azure
• Azure PowerShell
• Azure Service Bus
• Base de Dados SQL do Azure
• Azure Synapse
• APIs de modelo de implantação clássico
• Centro de administração do Microsoft 365
• Microsoft IoT Central
• Instância Gerida do SQL
• Portal do administrador de assinaturas do Visual Studio

Nota

O aplicativo de API de Gerenciamento de Serviços do Windows Azure se aplica ao Azure PowerShell, que chama a API do Azure Resource Manager. Ele não se aplica ao Microsoft Graph PowerShell, que chama a API do Microsoft Graph.

Para obter mais informações sobre como configurar uma política de exemplo para a API de Gestão do Serviço do Microsoft Azure, veja Acesso Condicional: Exigir a MFA para a gestão do Azure.

Gorjeta

Para o Azure Government, você deve direcionar o aplicativo da API de Gerenciamento de Nuvem do Azure Government.

Portais de Administração da Microsoft

Quando uma política de Acesso Condicional visa a aplicação cloud Portais de Administração da Microsoft, a política é imposta para tokens emitidos para IDs de aplicação dos seguintes portais administrativos da Microsoft:

• Portal do Azure
• Centro de administração do Exchange
• Centro de administração do Microsoft 365
• Portal do Microsoft 365 Defender
• Centro de administração do Microsoft Entra
• Centro de administração do Microsoft Intune
• Portal de conformidade do Microsoft Purview
• Centro de administração do Microsoft Teams

Estamos continuamente a adicionar mais portais administrativos à lista.

Nota

A aplicação Portais de Administração da Microsoft aplica-se apenas a entradas interativas nos portais de administração listados. As entradas nos recursos ou serviços subjacentes, como o Microsoft Graph ou as APIs do Azure Resource Manager, não são cobertas por este aplicativo. Esses recursos são protegidos pelo aplicativo de API de Gerenciamento de Serviços do Windows Azure. Isso permite que os clientes avancem na jornada de adoção de MFA para administradores sem afetar a automação que depende de APIs e PowerShell. Quando estiver pronto, a Microsoft recomenda o uso de uma política que exija que os administradores executem MFA sempre para proteção abrangente.

Outras aplicações

Os administradores podem adicionar qualquer aplicação registada do Microsoft Entra às políticas do Acesso Condicional. Essas aplicações podem incluir:

• Aplicações publicadas através do proxy de aplicações do Microsoft Entra
• Aplicações adicionadas a partir da galeria
• Aplicações personalizadas de fora da galeria
• Aplicações legadas publicadas através de controladores e redes de entrega de aplicações
• Aplicações que utilizam o início de sessão único baseado em palavra-passe

Nota

Uma vez que a política de Acesso Condicional define os requisitos para aceder a um serviço, não pode aplicá-la a uma aplicação de cliente (pública/nativa). Por outras palavras, a política não é definida diretamente numa aplicação cliente (pública/nativa), mas é aplicada quando um cliente chama um serviço. Por exemplo, um conjunto de políticas no serviço do SharePoint aplica-se a todos os clientes que chamam o SharePoint. Uma política definida no Exchange aplica-se à tentativa de aceder ao e-mail com o cliente Outlook. É por este motivo que as aplicações cliente (públicas/nativas) não estão disponíveis para seleção no seletor de Aplicações na Cloud e que a opção Acesso Condicional não está disponível nas definições de aplicações da aplicação cliente (pública/nativa) registada no seu inquilino.

Algumas aplicações não aparecem de todo no seletor. A única maneira de incluir esses aplicativos em uma política de Acesso Condicional é incluir Todos os recursos (anteriormente "Todos os aplicativos na nuvem").

Todos os recursos

A aplicação de uma política de Acesso Condicional a Todos os recursos (anteriormente "Todos os aplicativos na nuvem") resulta na aplicação da política para todos os tokens emitidos para sites e serviços, incluindo perfis de encaminhamento de tráfego de Acesso Seguro Global. Esta opção inclui aplicações que não são individualmente visadas na política de Acesso Condicional, como o Microsoft Entra ID.

Em alguns casos, uma política Todos os recursos (anteriormente "Todos os aplicativos na nuvem") pode bloquear inadvertidamente o acesso do usuário. Esses casos são excluídos da aplicação da política e incluem:

• Serviços necessários para alcançar a postura de segurança desejada. Por exemplo, as chamadas de registro de dispositivo são excluídas da política de dispositivo compatível direcionada a Todos os recursos.

• Chamadas para o Azure AD Graph e o Microsoft Graph, para acessar informações de perfil de usuário, associação de grupo e relacionamento que são comumente usadas por aplicativos excluídos da política. Os escopos excluídos estão listados a seguir. O consentimento ainda é necessário para que os aplicativos usem essas permissões.

  • Para clientes nativos:
    • Azure AD Graph: email, offline_access, openid, perfil, User.Read
    • Microsoft Graph: e-mail, offline_access, openid, perfil, User.Read, People.Read
  • Para clientes confidenciais / autenticados:
    • Azure AD Graph: email, offline_access, openid, perfil, User.Read, User.Read.All e User.ReadBasic.All
    • Microsoft Graph: e-mail, offline_access, openid, perfil, User.Read, User.Read.All, User.ReadBasic.All, People.Read, People.Read.All, GroupMember.Read.All, Member.Read.Hidden

Todos os recursos da Internet com Global Secure Access

A opção Todos os recursos da Internet com Acesso Seguro Global permite que os administradores direcionem o perfil de encaminhamento de tráfego de acesso à Internet a partir do Microsoft Entra Internet Access.

Esses perfis no Global Secure Access permitem que os administradores definam e controlem como o tráfego é roteado através do Microsoft Entra Internet Access e do Microsoft Entra Private Access. Os perfis de encaminhamento de tráfego podem ser atribuídos a dispositivos e redes remotas. Para obter um exemplo de como aplicar uma política de Acesso Condicional a esses perfis de tráfego, consulte o artigo Como aplicar políticas de Acesso Condicional ao perfil de tráfego do Microsoft 365.

Para obter mais informações sobre esses perfis, consulte o artigo Global Secure Access traffic forwarding profiles.

Ações do utilizador

As ações do usuário são tarefas que um usuário executa. Atualmente, o Acesso Condicional suporta duas ações do usuário:

• Registrar informações de segurança: esta ação do usuário permite que a política de Acesso Condicional seja imposta quando os usuários habilitados para registro combinado tentarem registrar suas informações de segurança. Mais informações podem ser encontradas no artigo, Registro combinado de informações de segurança.

Nota

Ao aplicar uma política direcionada a ações do usuário para registrar informações de segurança, se a conta de usuário for um convidado da conta pessoal da Microsoft (MSA), usando o controle 'Exigir autenticação multifator', exigirá que o usuário do MSA registre informações de segurança com a organização. Se o usuário convidado for de outro provedor, como o Google, o acesso será bloqueado.

• Registrar ou ingressar dispositivos: esta ação do usuário permite que os administradores apliquem a política de Acesso Condicional quando os usuários se registram ou ingressam dispositivos na ID do Microsoft Entra. Ele fornece granularidade na configuração da autenticação multifator para registrar ou ingressar dispositivos em vez de uma política de todo o locatário que existe atualmente. Há três considerações principais com esta ação do usuário:
  • Require multifactor authentication é o único controle de acesso disponível com esta ação do usuário e todos os outros estão desativados. Essa restrição evita conflitos com controles de acesso que dependem do registro do dispositivo Microsoft Entra ou não são aplicáveis ao registro do dispositivo Microsoft Entra.
  • Client apps, e Device state as condições não estão disponíveis com esta ação do utilizador, Filters for devicesuma vez que dependem do registo do dispositivo Microsoft Entra para aplicar políticas de Acesso Condicional.

Aviso

Quando uma política de Acesso Condicional é configurada com a ação de usuário Registrar ou ingressar em dispositivos, você deve definir Configurações do dispositivo - Require Multifactor Authentication to register or join devices with Microsoft Entra Visão geral>de dispositivos>de identidade>como Não. Caso contrário, as políticas de Acesso Condicional com essa ação do usuário não serão aplicadas corretamente. Mais informações sobre essa configuração de dispositivo podem ser encontradas em Configurar configurações do dispositivo.

Contexto de autenticação

O contexto de autenticação pode ser utilizado para dar ainda mais proteção aos dados e às ações nas aplicações. Estas aplicações podem ser as suas próprias aplicações personalizadas, aplicações de linha de negócio (LOB) personalizadas, aplicações como o SharePoint, ou aplicações protegidas pelo Microsoft Defender para a Cloud.

Por exemplo, uma organização pode manter arquivos em sites do SharePoint, como o menu de almoço ou sua receita secreta de molho BBQ. Todos podem ter acesso ao site do menu de almoço, mas os usuários que têm acesso ao site secreto de receitas de molho BBQ podem precisar acessar a partir de um dispositivo gerenciado e concordar com termos de uso específicos.

O contexto de autenticação funciona com usuários ou identidades de carga de trabalho, mas não na mesma política de Acesso Condicional.

Configurar contextos de autenticação

Os contextos de autenticação são gerenciados no contexto de Autenticação de Acesso>Condicional de Proteção>.

Crie novas definições de contexto de autenticação selecionando Novo contexto de autenticação. As organizações estão limitadas a um total de 99 definições de contexto de autenticação c1-c99. Configure os seguintes atributos:

• Nome para exibição é o nome usado para identificar o contexto de autenticação no ID do Microsoft Entra e entre aplicativos que consomem contextos de autenticação. Recomendamos nomes que possam ser usados entre recursos, como dispositivos confiáveis, para reduzir o número de contextos de autenticação necessários. Ter um conjunto reduzido limita o número de redirecionamentos e proporciona uma melhor experiência ao usuário final.
• Descrição fornece mais informações sobre as políticas, usadas por administradores e aqueles que aplicam contextos de autenticação a recursos.
• A caixa de seleção Publicar em aplicativos quando marcada, anuncia o contexto de autenticação para aplicativos e os disponibiliza para serem atribuídos. Se não for verificado, o contexto de autenticação não estará disponível para recursos downstream.
• O ID é somente leitura e usado em tokens e aplicativos para definições de contexto de autenticação específicas da solicitação. Listado aqui para solução de problemas e casos de uso de desenvolvimento.

Adicionar à política de Acesso Condicional

Os administradores podem selecionar contextos de autenticação publicados em suas políticas de Acesso Condicional em Atribuições,>aplicativos ou ações na nuvem e selecionar Contexto de autenticação no menu Selecione a que esta política se aplica.

Excluir um contexto de autenticação

Ao excluir um contexto de autenticação, verifique se nenhum aplicativo ainda o está usando. Caso contrário, o acesso aos dados do aplicativo não estará mais protegido. Você pode confirmar esse pré-requisito verificando os logs de entrada para casos em que as políticas de Acesso Condicional do contexto de autenticação estão sendo aplicadas.

Para excluir um contexto de autenticação, ele não deve ter políticas de Acesso Condicional atribuídas e não deve ser publicado em aplicativos. Esse requisito ajuda a evitar a exclusão acidental de um contexto de autenticação que ainda está em uso.

Marcar recursos com contextos de autenticação

Para obter mais informações sobre o uso do contexto de autenticação em aplicativos, consulte os artigos a seguir.

• Usar rótulos de sensibilidade para proteger conteúdo no Microsoft Teams, grupos do Microsoft 365 e sites do SharePoint
• Aplicativos do Microsoft Defender para Nuvem
• Aplicações personalizadas

Próximos passos

• Acesso Condicional: Condições
• Políticas comuns de acesso condicional
• Dependências do aplicativo cliente