Acesso Condicional para Identidades de Cargas de Trabalho

Historicamente, as políticas de Acesso Condicional aplicam-se apenas aos utilizadores quando acedem a aplicações e serviços como o SharePoint Online. Estamos agora a alargar o suporte para políticas de Acesso Condicional, das quais podem ser aplicadas a entidades de serviço pertencentes à organização. A esta capacidade damos o nome Acesso Condicional para identidades de carga de trabalho.

Uma identidade de carga de trabalho é uma identidade que permite que uma aplicação ou entidade de serviço aceda a recursos, às vezes no contexto de um utilizador. Essas identidades de carga de trabalho diferem das contas de usuário tradicionais, pois são:

• Não é possível efetuar a autenticação multifator.
• Muitas vezes, não têm um processo formal de ciclo de vida.
• Precisam de armazenar as respetivas credenciais ou segredos em algum lugar.

Essas diferenças tornam as identidades de carga de trabalho mais difíceis de gerenciar e as colocam em maior risco de comprometimento.

Importante

As licenças de Identidades de Trabalho Premium são necessárias para criar ou modificar políticas de Acesso Condicional destinadas a principais de serviço. Em diretórios sem licenças apropriadas, as políticas de Acesso Condicional existentes para identidades de carga de trabalho continuam a funcionar, mas não podem ser modificadas. Para obter mais informações, consulte ID de carga de trabalho do Microsoft Entra.  

Nota

A política pode ser aplicada a entidades de serviço de inquilino único registadas no seu inquilino. SaaS de terceiros e aplicações em ambiente multi-tenant estão fora do escopo. As identidades gerenciadas não são cobertas pela política. Em vez disso, as identidades gerenciadas poderiam ser incluídas em uma revisão de acesso .

O Acesso Condicional para identidades de carga de trabalho permite bloquear entidades de serviço:

• Fora dos intervalos conhecidos de IP públicos.
• Com base no risco detetado pelo Microsoft Entra ID Protection.
• Em combinação com contextos de autenticação.

Implementação

Criar uma política de Acesso Condicional baseada em localização

Crie uma política de Acesso Condicional baseada em local que se aplique a entidades de serviço.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.
2. Navegue até Entra ID>Acesso Condicional>Políticas.
3. Selecione Nova política.
4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
   1. Em A que esta política se aplica?, selecione Identidades de carga de trabalho.
   2. Em Incluir, escolha Selecionar entidades de serviço e selecione as entidades de serviço apropriadas na lista.
6. Em Recursos de destino>Recursos (anteriormente aplicações na nuvem)>Incluir, selecione Todos os recursos (anteriormente "Todas as aplicações na nuvem"). A política se aplica somente quando uma entidade de serviço solicita um token.
7. Em Condições>Localizações, inclua Qualquer localização e exclua Localizações selecionadas onde pretende permitir o acesso.
8. Na opção de Conceder, Bloquear acesso é a única opção disponível. O acesso é bloqueado quando uma solicitação de token é feita fora do intervalo permitido.
9. Sua política pode ser salva no modo Somente relatório, permitindo que os administradores estimem os efeitos, ou a política é aplicada ao ser ativada.
10. Selecione Criar para concluir sua política.

Criar uma política de Acesso Condicional baseada em risco

Crie uma política de Acesso Condicional baseada em risco que se aplique a entidades de serviço.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.
2. Navegue até Entra ID>Acesso Condicional>Políticas.
3. Selecione Nova política.
4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
   1. Em A que esta política se aplica?, selecione Identidades de carga de trabalho.
   2. Em Incluir, escolha Selecionar entidades de serviço e selecione as entidades de serviço apropriadas na lista.
6. Em Recursos de destino>Recursos (anteriormente aplicações na nuvem)>Incluir, selecione Todos os recursos (anteriormente "Todas as aplicações na nuvem"). A política se aplica somente quando uma entidade de serviço solicita um token.
7. Sob Condições>Risco principal do serviço
   1. Defina a alternância Configurar como Sim.
   2. Selecione os níveis de risco em que você deseja que essa política seja acionada.
   3. Selecione Concluído.
8. Na opção de Conceder, Bloquear acesso é a única opção disponível. O acesso é bloqueado quando os níveis de risco especificados são vistos.
9. Sua política pode ser salva no modo Somente relatório, permitindo que os administradores estimem os efeitos, ou a política é aplicada ao ser ativada.
10. Selecione Criar para concluir sua política.

Reverter

Se desejar reverter esse recurso, você pode excluir ou desativar todas as políticas criadas.

Registos de início de sessão

Os registos de login são usados para analisar como a política é imposta para principais de serviço ou os efeitos esperados da política ao usar o modo apenas de relatório.

1. Navegue até Entra ID>Monitorização e saúde>Registos de entrada>inícios de sessão da entidade de serviço.
2. Selecione uma entrada de log e escolha a guia Acesso condicional para exibir as informações de avaliação.

Motivo da falha quando o Acesso Condicional bloqueia um Principal de Serviço: "O acesso foi bloqueado devido a políticas de Acesso Condicional."

Modo só de relatório

Para visualizar os resultados de uma política baseada na localização, vá para o separador Apenas relatório de eventos no Relatório de Início de Sessão ou utilize a pasta de trabalho Insights e Relatórios de Acesso Condicional.

Para visualizar os resultados de uma política baseada em risco, consulte o separador Apenas relatório de eventos no Relatório de entrada.

Referência

Localizar o ID do objeto

Você pode obter o objectID do principal de serviço nas Aplicações Empresariais do Microsoft Entra. A ID do objeto nos registros do aplicativo Microsoft Entra não pode ser usada. Esse identificador é a ID do objeto do registro do aplicativo, não da entidade de serviço.

1. Navegue até Entra ID>Enterprise apps, encontre o aplicativo que você registrou.
2. Na guia Visão geral , copie a ID do objeto do aplicativo. Esse identificador é exclusivo da entidade de serviço, usado pela política de Acesso Condicional para localizar o aplicativo de chamada.

Gráfico da Microsoft

Exemplo de JSON para configuração baseada na localização usando o endpoint beta do Microsoft Graph.

{
  "displayName": "Name",
  "state": "enabled OR disabled OR enabledForReportingButNotEnforced",
  "conditions": {
    "applications": {
      "includeApplications": [
        "All"
      ]
    },
    "clientApplications": {
      "includeServicePrincipals": [
        "[Service principal Object ID] OR ServicePrincipalsInMyTenant"
      ],
      "excludeServicePrincipals": [
        "[Service principal Object ID]"
      ]
    },
    "locations": {
      "includeLocations": [
        "All"
      ],
      "excludeLocations": [
        "[Named location ID] OR AllTrusted"
      ]
    }
  },
  "grantControls": {
    "operator": "and",
    "builtInControls": [
      "block"
    ]
  }
}

Próximos passos

• Usando o local de rede em uma política de Acesso Condicional
• O que é o Acesso Condicional em modo apenas de relatório?