Gerenciar o acesso externo a recursos com políticas de acesso condicional

O acesso condicional interpreta sinais, impõe políticas e determina se um usuário recebe acesso aos recursos. Neste artigo, saiba como aplicar políticas de acesso condicional a usuários externos. O artigo considera que talvez você não tenha acesso ao gerenciamento de direitos, um recurso que pode ser usado com o acesso condicional.

Saiba mais:

• O que é Acesso Condicional?
• Planejar uma implantação de Acesso condicional
• O que é gerenciamento de direitos?

O diagrama a seguir ilustra sinais para o acesso condicional que disparam processos de acesso.

Antes de começar

Este artigo é o número 7 em uma série de 10 artigos. Recomendamos que você revise os artigos na ordem. Vá para a seção Próximas etapas para ver toda a série.

Alinhar um plano de segurança com as políticas de acesso condicional

No terceiro artigo, no conjunto de dez artigos, há diretrizes para criar um plano de segurança. Use esse plano para criar políticas de acesso condicional de acesso externo. Parte do plano de segurança inclui:

• Aplicativos e recursos agrupados para acesso simplificado
• Requisitos de entrada para usuários externos

Importante

Crie contas de usuário interno e externo antes de aplicá-las.

Confira o artigo três, Criar um plano de segurança para acesso externo a recursos

Políticas de acesso condicional para usuários externos

As seções a seguir mostram as práticas recomendadas para controle de acesso externo com políticas de acesso condicional.

Gerenciamento de direitos ou grupos

Se você não puder usar organizações conectadas no gerenciamento de direitos, crie um grupo de segurança do Microsoft Entra ou um grupo do Microsoft 365 para organizações parceiras. Atribua todos os usuários desse parceiro ao grupo. Você pode usar os grupos nas políticas de acesso condicional.

Saiba mais:

• O que é gerenciamento de direitos?
• Gerenciar grupos e associações de grupos do Microsoft Entra
• Visão geral dos Grupos do Microsoft 365 para administradores

Criação de política de acesso condicional

Crie o menor número possível de políticas de acesso condicional. Para aplicativos que têm as mesmas necessidades de acesso, adicione todos eles à mesma política.

Cada política de acesso condicional pode ser aplicada a no máximo 250 aplicativos. Se mais de 250 aplicativos tiverem os mesmos requisitos de acesso, crie políticas duplicadas. Por exemplo, a Política A se aplica aos aplicativos 1 a 250, a Política B se aplica aos aplicativos 251 a 500 e assim por diante.

Convenção de nomenclatura

Use uma convenção de nomenclatura que esclareça a finalidade da política. Exemplos de acesso externo são:

• ExternalAccess_actiontaken_AppGroup
• ExternalAccess_Block_FinanceApps

Permitir o acesso externo a usuários externos específicos

Há cenários em que é necessário permitir o acesso a um grupo pequeno e específico.

Antes de começar, recomendamos que você crie um grupo de segurança contendo os usuários externos que acessam recursos. Confira Guia de Início Rápido: criar um grupo com membros e exibir todos os grupos e membros no Microsoft Entra ID.

1. Entre no centro de administração do Microsoft Entra como pelo menos Administrador de acesso condicional.
2. Navegue até Proteção>Acesso Condicional.
3. Selecione Criar nova política.
4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
   1. Em Incluir, selecione Todos os usuários convidados e externos.
   2. Em Excluir, selecione Usuários e grupos e escolha as contas de emergência ou de acesso de emergência são necessárias e o grupo de segurança de usuários externos.
6. Em Recursos de destino>(anteriormente aplicativos de nuvem), selecione as seguintes opções:
   1. Em Incluir, selecione Todos os recursos (anteriormente "Todos os aplicativos de nuvem")
   2. Em Excluir, selecione os aplicativos que você deseja excluir.
7. Em Controles de acesso>Conceder, selecione Bloquear acesso e depois Selecionar.
8. Selecione Criar para criar e habilitar sua política.

Observação

Depois que os administradores confirmarem as configurações com o modo somente relatório, eles poderão alternar a opção Habilitar política de Somente relatório para Ativado.

Saiba mais: gerenciar contas de acesso de emergência no Microsoft Entra ID

Acesso ao provedor de serviços

As políticas de acesso condicional para usuários externos podem interferir no acesso do provedor de serviços, por exemplo, privilégios administrativos delegados granulares.

Saiba mais: Introdução aos GDAP (privilégios administrativos delegados granulares)

Modelos de acesso condicional

Os modelos de acesso condicional são um método conveniente para implantar novas políticas alinhadas com as recomendações da Microsoft. Esses modelos oferecem proteção alinhada com políticas comuns usadas em vários tipos de clientes e locais.

Saiba mais: Modelos de acesso condicional (versão prévia)

Próximas etapas

Confira os artigos a seguir para saber mais sobre como proteger o acesso externo aos recursos. Recomendamos que você siga a ordem listada.

1. Determine sua postura de segurança para acesso externo com a ID do Microsoft Entra

2. Descubra o estado atual de colaboração externa na sua organização

3. Criar um plano de segurança para acesso externo a recursos

4. Proteger o acesso externo com grupos na ID do Microsoft Entra e no Microsoft 365

5. Transição para colaboração governada com colaboração B2B do Microsoft Entra

6. Gerenciar o acesso externo com o gerenciamento de direitos do Microsoft Entra

7. Gerenciar o acesso externo a recursos com políticas de acesso condicional (Você está aqui)

8. Controlar acesso externo aos recursos no Microsoft Entra ID com rótulos de confidencialidade

9. Proteger o acesso externo ao Microsoft Teams, SharePoint e OneDrive for Business com o Microsoft Entra ID

10. Converter contas de convidado locais nas contas de convidado B2B do Microsoft Entra