Criar uma política de acesso condicional baseada em dispositivos

  • Artigo

Com o Intune, melhore o Acesso Condicional em Azure Ative Directory adicionando a conformidade do dispositivo móvel aos controlos de acesso. Com a política de conformidade intune que define os requisitos para que os dispositivos sejam compatíveis, pode utilizar o estado de conformidade de um dispositivo para permitir ou bloquear o acesso às suas apps e serviços. Pode fazê-lo criando uma política de Acesso Condicional que utiliza a definição Requer que o dispositivo seja marcado como conforme.

Uma política de Acesso Condicional especifica a app ou serviços que pretende proteger, as condições em que as aplicações ou serviços podem ser acedidos, e os utilizadores a que a política se aplica. Embora o Acesso Condicional seja uma funcionalidade premium Azure AD, o nó de Acesso Condicional a que acede a partir do Intune é o mesmo nó acedido a partir de Azure AD.

Importante

Antes de configurar o Acesso Condicional, terá de configurar políticas de conformidade do dispositivo Intune para avaliar os dispositivos com base no facto de cumprirem requisitos específicos. Ver Começar com as políticas de conformidade do dispositivo no Intune.

Criar política de acesso condicional

  1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.

  2. Selecione Políticas de acesso condicional de segurança endpoint > > > nova política. Criar uma nova política de acesso condicional

  3. Em Atribuições, selecione Utilizadores e grupos.

  4. No separador Incluir, identifique os utilizadores ou grupos a que esta política de Acesso Condicional se aplica. Depois de ter escolhido grupos ou utilizadores para incluir, utilize o separador Excluir se houver utilizadores, funções ou grupos que pretenda excluir desta política.

    • Todos os utilizadores: Selecione esta opção para aplicar a política a todos os utilizadores e grupos, incluindo utilizadores internos e convidados.

    • Selecione utilizadores e grupos: Selecione esta opção e especifique uma ou mais das seguintes opções:

      1. Todos os utilizadores convidados: Selecione esta opção para incluir ou excluir utilizadores externos de hóspedes (por exemplo, parceiros, colaboradores externos)

      2. Funções de diretório: Selecione uma ou mais funções AD Azure para incluir ou excluir utilizadores que lhes sejam atribuídas estas funções.

      3. Utilizadores e grupos: Selecione esta opção para procurar e selecionar utilizadores ou grupos individuais que pretenda incluir ou excluir.

        Dica

        Teste a política contra um grupo menor de utilizadores para se certificar de que funciona como esperado.

  5. Selecione Concluído.

  6. Em Atribuições, selecione aplicativos cloud ou ações.

  7. No separador Incluir, utilize as opções disponíveis para identificar as aplicações e serviços que pretende proteger com esta política de Acesso Condicional. Em seguida, pode utilizar o separador Excluir se houver alguma aplicação ou serviço que pretenda excluir desta política.

    • Todas as aplicações em nuvem: Selecione esta opção para aplicar a política a todas as aplicações.

      Importante

      A aplicação Microsoft Azure Management para acesso ao portal Azure, e a aplicação Microsoft Intune estão incluídas nesta lista. Certifique-se de que utiliza o separador Excluir aqui ou nas opções de Utilizadores e grupos para se certificar de que você (ou os utilizadores ou grupos que designa) são capazes de iniciar sação no portal Azure ou Microsoft Endpoint Manager centro de administração.

    • Selecione aplicações: Selecione esta opção, escolha Select e, em seguida, use a lista de aplicações para procurar e selecione as aplicações ou serviços que pretende proteger.

    Quando estiver pronto, selecione Fazer.

  8. Em Atribuições, selecione Condições.

    • Risco de inscrição: Selecione Sim para utilizar a deteção de risco de proteção de identidade Azure AD com esta política e, em seguida, escolha os níveis de risco de inscrição a que a política deve aplicar.

    • Plataformas do dispositivo: No separador Incluir, identifique as plataformas do dispositivo a que pretende aplicar esta política de Acesso Condicional. Utilize o separador Excluir para excluir plataformas desta política.

    • Localizações: No separador Incluir, especificar se a apólice se aplica a:

      • Qualquer localização
      • Localizações de rede fidedignas que estão sob o controlo do seu departamento de TI
      • Localizações específicas da rede.

      Utilize o separador Excluir para excluir as localizações da rede desta política.

    • Aplicativos para clientes: Selecione Sim para especificar se a política deve aplicar-se a aplicações de navegador, aplicações móveis e clientes de desktop.

    • Estado do dispositivo: A política de acesso condicional aplicar-se-á a todos os estados do dispositivo a menos que escolha Sim e exclua especificamente os estados AD híbrido do dispositivo ad ou dispositivo marcado como conforme (ou ambos).

      Dica

      Se pretender proteger tanto os clientes de autenticação moderna como Exchange ActiveSync clientes, crie duas políticas separadas de Acesso Condicional, uma para cada tipo de cliente. Embora Exchange ActiveSync suporte a autenticação moderna, a única condição que é suportada por Exchange ActiveSync é a plataforma. Outras condições, incluindo a autenticação de vários fatores, não são suportadas. Para proteger eficazmente o acesso a Exchange Online de Exchange ActiveSync, crie uma política de Acesso Condicional que especifique a aplicação na nuvem Microsoft 365 Exchange Online e a aplicação do cliente Exchange ActiveSync com a política Apply apenas para plataformas suportadas selecionadas.

  9. Selecione Concluído.

  10. Em Controlos de acesso, selecione Concessão. Confige o que acontece com base nas condições que estabeleceu. Pode selecionar entre as seguintes opções:

    • Acesso ao bloco: Os utilizadores especificados nesta política serão impedidos de aceder às apps nas condições especificadas.

    • Acesso a subvenções: Os utilizadores especificados nesta política terão acesso, mas pode exigir qualquer uma das seguintes ações adicionais:

      • Requerem autenticação multi-factor: O utilizador terá de preencher requisitos de segurança adicionais, como uma chamada telefónica ou texto.
      • Exigir que o dispositivo seja marcado como conforme: O aparelho deve estar em conformidade com o Intune. Se o dispositivo não for conforme, será dada ao utilizador a opção de inscrever o dispositivo no Intune.
      • Requer dispositivo de ad híbrido Azure: Os dispositivos devem ser híbridos Azure AD unidos.
      • Requerer uma aplicação de cliente aprovada: O dispositivo deve utilizar aplicações de clientes aprovadas.
      • Para vários controlos: Selecione Exigir todos os controlos selecionados para que todos os requisitos sejam aplicados quando um dispositivo tenta aceder à aplicação.

      Controlos de acesso Definições de subvenção

  11. Em Ativar política, selecione Ativado.

  12. Selecione Criar.

Passos seguintes

Acesso Condicional baseado em aplicativos com Intune

Resolução de problemas Acesso Condicional Intune