Aplicar políticas de Acesso Condicional a aplicações de Acesso Privado

Aplicar políticas de Acesso Condicional aos seus aplicativos de Acesso Privado do Microsoft Entra é uma maneira poderosa de aplicar políticas de segurança para seus recursos internos e privados. Pode aplicar políticas de Acesso Condicional às suas aplicações de Acesso Rápido e Acesso Privado a partir do Acesso Seguro Global (pré-visualização).

Este artigo descreve como aplicar políticas de Acesso Condicional às suas aplicações de Acesso Rápido e Acesso Privado.

Pré-requisitos

• Os administradores que interagem com os recursos de visualização do Global Secure Access devem ter uma ou mais das seguintes atribuições de função, dependendo das tarefas que estão executando.
  • A função de Administrador de Acesso Seguro Global para gerenciar os recursos de visualização do Acesso Seguro Global.
  • O Administrador de Acesso Condicional para criar e interagir com políticas de Acesso Condicional.
• Você precisa ter configurado o Acesso Rápido ou o Acesso Privado.
• A pré-visualização requer uma licença Microsoft Entra ID P1. Se necessário, você pode comprar licenças ou obter licenças de avaliação.

Limitações conhecidas

• Neste momento, a ligação através do Global Secure Access Client é necessária para adquirir tráfego de Acesso Privado.

Acesso condicional e acesso seguro global

Pode criar uma política de Acesso Condicional para as suas aplicações de Acesso Rápido ou Acesso Privado a partir do Acesso Seguro Global. Iniciar o processo a partir do Acesso Seguro Global adiciona automaticamente o aplicativo selecionado como o recurso de destino para a política. Tudo o que você precisa fazer é definir as configurações de política.

1. Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.

2. Navegue até Acesso Seguro Global (visualização)>Aplicativos>Corporativos.

3. Selecione uma aplicação na lista.

   

4. Selecione Acesso condicional no menu lateral. Todas as políticas de Acesso Condicional existentes aparecem numa lista.

   

5. Selecione Criar nova política. O aplicativo selecionado aparece nos detalhes dos recursos de destino.

   

6. Configure as condições, controles de acesso e atribua usuários e grupos conforme necessário.

Você também pode aplicar políticas de Acesso Condicional a um grupo de aplicativos com base em atributos personalizados. Para saber mais, vá para Filtrar aplicativos na política de Acesso Condicional (Visualização).

Exemplo de atribuições e controles de acesso

Ajuste os seguintes detalhes da política para criar uma política de Acesso Condicional que exija autenticação multifator, conformidade de dispositivo ou um dispositivo associado híbrido Microsoft Entra para seu aplicativo de Acesso Rápido. As atribuições de usuário garantem que as contas de acesso de emergência ou de quebra-vidro da sua organização sejam excluídas da política.

1. Em Atribuições, selecione Usuários:
   1. Em Incluir, selecione Todos os usuários.
   2. Em Excluir, selecione Usuários e grupos e escolha as contas de acesso de emergência ou de quebra-vidro da sua organização.
2. Em Controles>de acesso Conceder:
   1. Selecione Exigir autenticação multifator, Exigir que o dispositivo seja marcado como compatível e Exigir que o dispositivo híbrido ingressado no Microsoft Entra
3. Confirme suas configurações e defina Habilitar política como Somente relatório.

Depois que os administradores confirmarem as configurações de política usando o modo somente relatório, um administrador poderá mover a alternância Habilitar política de Somente relatório para Ativado.

Exclusões de utilizadores

As políticas de Acesso Condicional são ferramentas poderosas, recomendamos excluir as seguintes contas das suas políticas:

• Acesso de emergência ou contas quebra-vidro para evitar o bloqueio de contas em todo o inquilino. No cenário improvável de todos os administradores serem bloqueados do seu inquilino, a sua conta administrativa de acesso de emergência pode ser utilizada para iniciar sessão no inquilino e tomar medidas para recuperar o acesso.
  • Mais informações podem ser encontradas no artigo Gerenciar contas de acesso de emergência no Microsoft Entra ID.
• Contas de serviço e entidades de serviço, como a Conta de Sincronização do Microsoft Entra Connect. As contas de serviço são contas não interativas que não estão vinculadas a nenhum utilizador em particular. Normalmente, são usadas por serviços de back-end que permitem acesso programático a aplicações, mas também são usadas para iniciar sessão em sistemas para fins administrativos. Estes tipos de contas de serviço devem ser excluídas, pois a MFA não pode ser concluída programaticamente. As chamadas feitas por principais de serviço não serão bloqueadas pelas políticas de Acesso Condicional com âmbito definido para os utilizadores. Use o Acesso Condicional para identidades de carga de trabalho para definir políticas direcionadas para principais de serviço.
  • Se sua organização tiver essas contas em uso em scripts ou código, considere substituí-las por identidades gerenciadas. Como solução temporária, você pode excluir essas contas específicas da política de linha de base.

Próximos passos

• Habilitar o perfil de encaminhamento de tráfego de Acesso Privado
• Habilitar a restauração do IP de origem