Ativar o Acesso Condicional para proteger melhor os utilizadores, dispositivos e dados

  • Artigo

Aplica-se a:

Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

O Acesso Condicional é uma capacidade que o ajuda a proteger melhor os seus utilizadores e informações empresariais ao garantir que apenas os dispositivos seguros têm acesso às aplicações.

Com o Acesso Condicional, pode controlar o acesso às informações empresariais com base no nível de risco de um dispositivo. Isto ajuda a manter os utilizadores fidedignos em dispositivos fidedignos através de aplicações fidedignas.

Pode definir condições de segurança nas quais os dispositivos e aplicações podem executar e aceder a informações da sua rede ao impor políticas para impedir que as aplicações sejam executadas até que um dispositivo regresse a um estado de conformidade.

A implementação do Acesso Condicional no Defender para Ponto Final baseia-se em políticas de conformidade de dispositivos Microsoft Intune (Intune) e Microsoft Entra políticas de Acesso Condicional.

A política de conformidade é utilizada com o Acesso Condicional para permitir que apenas os dispositivos que cumpram uma ou mais regras de política de conformidade de dispositivos acedam às aplicações.

Compreender o fluxo de Acesso Condicional

O Acesso Condicional é implementado para que, quando uma ameaça é vista num dispositivo, o acesso a conteúdos confidenciais seja bloqueado até que a ameaça seja remediada.

O fluxo começa com os dispositivos a serem vistos como tendo um risco baixo, médio ou elevado. Estas determinações de risco são então enviadas para Intune.

Consoante a forma como configura as políticas no Intune, o Acesso Condicional pode ser configurado para que, quando determinadas condições forem cumpridas, a política seja aplicada.

Por exemplo, pode configurar Intune para aplicar o Acesso Condicional em dispositivos com um risco elevado.

No Intune, é utilizada uma política de conformidade de dispositivos com Microsoft Entra Acesso Condicional para bloquear o acesso às aplicações. Em paralelo, é iniciado um processo de investigação e remediação automatizado.

Um utilizador ainda pode utilizar o dispositivo enquanto a investigação e a remediação automatizadas estão a decorrer, mas o acesso aos dados empresariais é bloqueado até que a ameaça seja totalmente remediada.

Para resolver o risco encontrado num dispositivo, tem de devolver o dispositivo a um estado de conformidade. Um dispositivo regressa a um estado de conformidade quando não existe qualquer risco.

Existem três formas de resolver um risco:

  1. Utilize a remediação manual ou automatizada.
  2. Resolver alertas ativos no dispositivo. Esta ação remove o risco do dispositivo.
  3. Pode remover o dispositivo das políticas ativas e, consequentemente, o Acesso Condicional não será aplicado no dispositivo.

A remediação manual requer que um administrador de secops investigue um alerta e resolva o risco observado no dispositivo. A remediação automatizada é configurada através das definições de configuração fornecidas na secção seguinte, Configurar Acesso Condicional.

Quando o risco é removido através de uma remediação manual ou automatizada, o dispositivo regressa a um estado de conformidade e é concedido acesso às aplicações.

A seguinte sequência de eventos de exemplo explica o Acesso Condicional em ação:

  1. Um utilizador abre um ficheiro malicioso e o Defender para Endpoint sinaliza o dispositivo como de alto risco.
  2. A avaliação de alto risco é transmitida para Intune. Em paralelo, é iniciada uma investigação automatizada para remediar a ameaça identificada. Também pode ser feita uma remediação manual para remediar a ameaça identificada.
  3. Com base na política criada no Intune, o dispositivo é marcado como não conforme. Em seguida, a avaliação é comunicada aos Microsoft Entra ID pela política de Acesso Condicional Intune. No Microsoft Entra ID, a política correspondente é aplicada para bloquear o acesso às aplicações.
  4. A investigação manual ou automatizada e a remediação são concluídas e a ameaça é removida. O Defender para Endpoint vê que não existe nenhum risco no dispositivo e Intune avalia que o dispositivo está num estado de conformidade. Microsoft Entra ID aplica a política, que permite o acesso às aplicações.
  5. Os utilizadores podem agora aceder às aplicações.

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.