Implementar controlos e atribuições de políticas de acesso condicional

Concluído

O Visual Studio App Center suporta Azure AD Acesso Condicional, uma funcionalidade avançada de Azure AD que lhe permite especificar políticas detalhadas que controlam quem pode aceder aos seus recursos. Utilizando o Acesso Condicional, pode proteger as suas aplicações limitando o acesso dos utilizadores com base em coisas como grupo, tipo de dispositivo, localização e função.

Criação de Acesso Condicional

Este é um guia abreviado para a criação do Acesso Condicional. A documentação completa está disponível no What is Conditional Access?.

No portal do Azure, abra o seu inquilino Ative Directory, abra as definições de Segurança e selecione Acesso Condicional.

Nas definições de Acesso Condicional , selecione Nova política para criar uma política.

Screenshot do ecrã de acesso condicional do Diretório Ativo Azure, listando políticas que existem atualmente.

Em novas definições de políticas , selecione aplicações ou ações cloud e selecione Visual Studio App Center como alvo da política. Em seguida, selecione as outras condições que pretende aplicar, ative a política e selecione Criar para guardá-la.

Screenshot do Azure A D Acesso Condicional: aplicativos cloud ou página de ações para configuração.

Acesso Condicional baseado no risco do início de sessão

A maioria dos utilizadores tem um comportamento normal que pode ser rastreado. Quando caem fora desta norma, pode ser arriscado permitir que se inscrevam. Pode querer bloquear esse utilizador ou talvez apenas pedir-lhes para realizar a autenticação multifactor para provar que são realmente quem dizem ser.

Um risco de início de sessão representa a probabilidade de um determinado pedido de autenticação não ser autorizado pelo proprietário da identidade. Organizações com licenças Azure AD Premium P2 podem criar políticas de acesso condicional incorporando deteções de risco de Azure AD proteção de identidade.

Esta política pode ser atribuída através do próprio Acesso Condicional ou através da Azure AD Proteção de Identidade. As organizações devem escolher uma de duas opções para permitir uma política de acesso condicional baseada no risco de entrada que exija uma alteração segura da palavra-passe.

Acesso Condicional baseado no risco do utilizador

A Microsoft trabalha com investigadores, aplicação da lei, várias equipas de segurança na Microsoft, e outras fontes fidedignas para encontrar o nome de utilizador vazado e os pares de palavras-passe. Organizações com licenças Azure AD Premium P2 podem criar políticas de acesso condicional que incorporam deteções de risco de Azure AD Proteção de Identidade.

Tal como o acesso condicional baseado no risco de inscrição, esta política pode ser atribuída através do acesso condicional ou através da Azure AD Proteção de Identidade.

Garantir o registo de informações de segurança

Garantir quando e como os utilizadores se registam para Azure AD a autenticação multi-factor e o reset da palavra-passe de autosserviço é agora possível com as ações do utilizador na política de Acesso Condicional. Esta funcionalidade de pré-visualização está disponível para organizações que permitiram a pré-visualização do registo combinado. Esta funcionalidade pode ser ativada em organizações onde pretendem utilizar condições como a localização de rede fidedigna para restringir o acesso ao registo de Azure AD a autenticação multi-factor e o reset da palavra-passe de autosserviço (SSPR).

Criar uma política para exigir o registo a partir de um local de confiança

A seguinte política aplica-se a todos os utilizadores selecionados que tentam registar-se utilizando a experiência de registo combinado, e bloqueia o acesso a menos que estejam a ligar-se a partir de um local marcado como uma rede de confiança.

  1. No portal do Azure, navegue pelo Diretório Ativo Azure, depois segurança e, em seguida, acesso condicional.

  2. Selecione Nova política.

  3. Em Nome, Insira um Nome para esta política. Por exemplo, Registo combinado de informações de segurança em redes fidedignas.

  4. Em Atribuições, selecione Utilizadores e grupos e selecione os utilizadores e grupos a que pretende que esta política se aplique.

    1. Em 'Excluir', selecione Utilizadores e grupos e escolha as contas de acesso de emergência ou break-glass da sua organização.
    2. Selecione Concluído.
  5. Em aplicativos ou ações cloud, selecione as ações do Utilizador, consulte as informações de segurança do Registo.

  6. Em Condições, selecione Localizações.

    1. Configutura Sim.
    2. Incluir qualquer localização.
    3. Excluir todos os locais fidedignos.
    4. Selecione Feito no ecrã 'Localizações '.
    5. Selecione Feito no ecrã 'Condições '.
  7. Em Condições, em aplicativos do Cliente (Pré-visualização), definir configurar para Sim e selecionar Feito.

  8. Em Controlos de acesso, selecione Concessão.

    1. Selecione o acesso ao Bloco.
    2. Em seguida, utilize a opção Seleção .
  9. Defina Ativar política como Ativado.

  10. Em seguida, selecione Guardar.

No 6...00m desta política, as organizações têm escolhas que podem fazer. A política acima requer registo a partir de uma localização de rede fidedigna. As organizações podem optar por utilizar quaisquer condições disponíveis no lugar das Localizações. Lembre-se que esta política é uma política de blocos, por isso tudo incluído está bloqueado.

Alguns podem optar por utilizar o estado do dispositivo em vez da localização no passo 6 acima:

  1. Em Condições, selecione Estado do Dispositivo (Pré-visualização).
  2. Configutura Sim.
  3. Inclua todo o estado do dispositivo.
  4. Exclua o dispositivo Híbrido Azure AD unidos e/ou dispositivo marcado como conforme.
  5. Selecione Feito no ecrã 'Localizações '.
  6. Selecione Feito no ecrã 'Condições '.

Bloquear acesso por localização

Com a condição de localização no Acesso Condicional, pode controlar o acesso às aplicações na cloud com base na localização da rede de um utilizador. A condição de localização é comumente usada para bloquear o acesso de países/regiões de onde a sua organização sabe que o tráfego não deve vir.

Definir localizações

  1. Inscreva-se no portal do Azure como Administrador Global, Administrador de Segurança ou Administrador de Acesso Condicional.

  2. Navegue pelo Diretório Ativo Azure, depois segurança, depois acesso condicional e, em seguida, localizações nomeadas.

  3. Escolha nova localização.

  4. Dê um nome à sua localização.

  5. Escolha as gamas IP se conhecer as gamas específicas de endereços IPv4 acessíveis externamente que compõem essa localização ou Países/Regiões.

    1. Forneça as gamas IP ou selecione os Países/Regiões para a localização que está a especificar.
    • Se escolher Países/Regiões, pode optar opcionalmente por incluir áreas desconhecidas.
  6. Escolha Guardar.

Criar uma política de acesso condicional

  1. Inscreva-se no portal do Azure como Administrador Global, Administrador de Segurança ou Administrador de Acesso Condicional.

  2. Navegue pelo Diretório Ativo Azure, depois segurança e, em seguida, acesso condicional.

  3. Selecione Nova política.

  4. Dê um nome à sua apólice. Recomendamos que as organizações criem um padrão significativo para os nomes das suas políticas.

  5. Em Atribuições, selecione Utilizadores e grupos.

    1. Em Incluir, selecione Todos os utilizadores.
    2. Em 'Excluir', selecione Utilizadores e grupos e escolha as contas de acesso de emergência ou break-glass da sua organização.
    3. Selecione Concluído.
  6. Em aplicativos ou ações cloud, em seguida, incluir e selecionar todas as aplicações em nuvem.

  7. Em condições, em seguida , localização.

    1. Desconfigure para Sim.
    2. Em Incluir, selecione locais selecionados.
    3. Selecione o local bloqueado que criou para a sua organização.
    4. Escolha Selecionar.
  8. Sob os controlos de Acesso, em seguida, selecione 'Bloquear', e selecione Select.

  9. Confirme as suas definições e defina Ativar a política para on.

  10. Selecione Criar para criar a Política de Acesso Condicional.

Exigir dispositivos em conformidade

As organizações que implementaram Microsoft Intune podem utilizar a informação devolvida dos seus dispositivos para identificar dispositivos que satisfaçam os requisitos de conformidade, tais como:

  • Exigindo um PIN para desbloquear.
  • Requerendo encriptação do dispositivo.
  • Requerendo uma versão do sistema operativo mínimo ou máximo.
  • Exigir um dispositivo não é quebrado ou enraizado.

Esta informação de conformidade de política é reencaminhada para Azure AD onde o Acesso Condicional pode tomar decisões para conceder ou bloquear o acesso aos recursos.

Criar uma política de acesso condicional

As seguintes medidas ajudarão a criar uma política de Acesso Condicional para exigir que os dispositivos que acedam aos recursos sejam marcados como conformes com as políticas de conformidade Intune da sua organização.

  1. Inscreva-se no portal do Azure como Administrador Global, Administrador de Segurança ou Administrador de Acesso Condicional.

  2. Navegue pelo Diretório Ativo Azure, depois segurança e, em seguida, acesso condicional.

  3. Selecione Nova política.

  4. Dê um nome à sua apólice. Recomendamos que as organizações criem um padrão significativo para os nomes das suas políticas.

  5. Em Atribuições, selecione Utilizadores e grupos.

    1. Em Incluir, selecione Todos os utilizadores.
    2. Em 'Excluir', selecione Utilizadores e grupos e escolha as contas de acesso de emergência ou break-glass da sua organização.
    3. Selecione Concluído.
  6. Em aplicativos ou ações cloud, em seguida, incluir e selecionar todas as aplicações em nuvem.

    1. Se tiver de excluir aplicações específicas da sua política, pode selecioná-las no separador Excluir em Aplicações de nuvem excluídas e escolher Select.
    2. Selecione Concluído.
  7. Em Condições, em seguida, aplicativos cliente (Pré-visualização), em seguida, Selecione as aplicações do cliente a que esta política se aplicará, deixe todos os predefinidos selecionados e selecione Feito.

  8. Sob os controlos de Acesso, em seguida, Grant, selecione Exigir que o dispositivo seja marcado como conforme.

    1. Selecione Selecionar.
  9. Confirme as suas definições e defina Ativar a política para on.

  10. Selecione Criar para criar para ativar a sua política.

    Nota

    Pode inscrever os seus novos dispositivos para Intune mesmo que selecione O dispositivo Requerer que seja marcado como conforme para todos os utilizadores e todas as aplicações em nuvem utilizando os passos acima. Exigir que o dispositivo seja marcado como controlo conforme não bloqueia Intune inscrição.

Comportamento conhecido

No Windows 7, iOS, Android, macOS e alguns navegadores web de terceiros, Azure AD identifica o dispositivo usando um certificado de cliente que é a provisionado quando o dispositivo está registado com Azure AD. Quando um utilizador entra pela primeira vez através do navegador, o utilizador é solicitado a selecionar o certificado. O utilizador final deve selecionar este certificado antes de poder continuar a utilizar o navegador.

Bloquear o acesso

Para organizações com uma abordagem conservadora de migração em nuvem, a política do bloco é uma opção que pode ser usada.

Aviso

A má configuração de uma política de blocos pode levar a que as organizações sejam bloqueadas do portal do Azure.

Políticas como estas podem ter efeitos colaterais indesejados. Os testes e validações adequados são vitais antes de permitir. Os administradores devem utilizar ferramentas como o modo de relatório de acesso condicional e a ferramenta What If in Conditional Access.

Exclusões de utilizadores

As políticas de acesso condicional são ferramentas poderosas. Recomendamos excluir as seguintes contas da sua política:

  • Acesso de emergência ou contas de break-glass para evitar o bloqueio de conta em todo o inquilino. No cenário improvável de todos os administradores estarem bloqueados fora do seu inquilino, a sua conta administrativa de acesso de emergência pode ser usada para assinar no inquilino e tomar medidas para recuperar o acesso.

  • Contas de serviço e principais de serviço, como a conta de Azure AD Connect Sync. As contas de serviço são contas não interativas que não estão ligadas a nenhum utilizador em particular. Normalmente são utilizados por serviços back-end que permitem o acesso programático a aplicações, mas também são usados para iniciar seduções em sistemas para fins administrativos. Contas de serviço como estas devem ser excluídas, uma vez que o MFA não pode ser concluído programáticamente. As chamadas efetuadas pelos principais serviços não são bloqueadas pelo Acesso Condicional.

    • Se a sua organização tiver estas contas em uso em scripts ou código, considere substituí-las por identidades geridas. Como solução temporária, pode excluir estas contas específicas da política de base.

Termos de Utilização Condicional (TOU)

Screenshot do diálogo de governação de identidade para criar novos Termos de Utilização para as suas soluções em nuvem.

Pode criar Termos de Utilização (TOU) para o seu site nas ferramentas de Governação de Identidade. Lance a aplicação de governação de identidade e escolha termos de uso no menu. Tem de fornecer e ficheiro PDF com os termos para o utilizador. Pode configurar várias regras, como quando os termos expirarão ou se o utilizador tem de as abrir antes de aceitar. Uma vez criado, pode construir uma regra condicional personalizada na governação de identidade. Ou pode guardar os termos e usar o Acesso Condicional em Azure AD. Para criar novos Termos de utilização preenche o diálogo acima.

Screenshot da página de configuração de acesso condicional AZure A D que mostra a adição de regras de Termos de Uso para poder aceder a recursos.

A ligação do consentimento (aceitar termos antes do acesso) e o acesso condicional está a obter cada vez mais tração. As organizações têm a capacidade de impor a um utilizador o consentimento aos termos de uso. Além disso, as organizações podem expirar o consentimento dado ou alterar os termos de uso, e solicitar ao utilizador que ateste novamente.

Antes de aceder a determinadas aplicações em nuvem no seu ambiente, poderá querer obter o consentimento dos utilizadores na forma de aceitar os seus termos de utilização (ToU). O Azure Ative Directory (Azure AD) Conditional Access fornece-lhe:

  • Um método simples para configurar a ToU
  • A opção de exigir a aceitação dos seus termos de uso através de uma política de acesso condicional