Avaliação Contínua de Acesso Universal (Versão Prévia)
A Avaliação Contínua de Acesso Universal (CAE) é um recurso de plataforma do Acesso Seguro Global (GSA) que funciona em conjunto com o Microsoft Entra ID para garantir que o acesso à borda da GSA seja validado a cada vez que uma conexão com um novo recurso de aplicativo é estabelecida. A CAE Universal protege os tokens de acesso da GSA contra roubo e replay. A CAE Universal revoga e revalida o acesso à rede quase em tempo real sempre que o Entra ID detecta alterações na identidade. A CAE do Entra ID tradicional requer que cada carga de trabalho adote bibliotecas especiais e se limite apenas a aplicativos do próprio fabricante. A CAE Universal amplia os benefícios da CAE para incluir qualquer aplicativo acessado com o Acesso Seguro Global, sem requerer que o aplicativo tenha conhecimento da CAE.
Benefícios da CAE Universal
Abaixo temos alguns exemplos de como a CAE Universal beneficia sua organização quando o Entra ID detecta uma alteração de identidade e dispara a CAE quase em tempo real:
- Acesso Privado: a sessão do usuário por meio da Área de Trabalho Remota, o acesso a servidores de arquivos e o acesso a todos os recursos privados protegidos pelo Acesso Privado são interrompidos, reduzindo o risco de exfiltração de dados por um funcionário que foi demitido ou uma atividade de insider mal-intencionado.
- Acesso à Internet: o acesso do usuário a todos os recursos da internet é interrompido, incluindo serviços que podem conter dados da empresa, como serviços de compartilhamento de arquivos que não são da Microsoft e ferramentas de colaboração da empresa, reduzindo o risco de exfiltração de dados por um funcionário que foi demitido.
- Serviços da Microsoft: embora muitos serviços da Microsoft já usem a CAE nativamente, existem alguns aplicativos que não o fazem. Com a CAE Universal, o acesso do usuário aos aplicativos da Microsoft é interrompido, independentemente de o aplicativo ter conhecimento da CAE.
- Você pode requerer que os usuários estejam em redes específicas antes que possam se conectar aos serviços com o GSA, impedindo a mudança para uma rede diferente mesmo após a autenticação do túnel inicial. Nesse cenário, quando o usuário muda de rede o acesso à rede por GSA é reautenticado e as políticas de Acesso Condicional baseadas em local são reavaliadas.
- O modo opcional de Imposição Estrita, configurado no Acesso Condicional, protege os tokens de acesso GSA contra roubo/replay de tokens. Se houver uma tentativa de replay de token proveniente de um endereço IP diferente do endereço IP original usado durante a autenticação, o acesso à rede será bloqueado.
Como ele funciona
O Acesso Seguro Global depende de tokens de acesso do Entra ID para se autenticar nos túneis de serviço (tráfego da Microsoft, acesso à internet e perfis de encaminhamento de tráfego de acesso privado). Os tokens de acesso têm validade entre 60 e 90 minutos. Antes da expiração do token de acesso, o cliente de GSA usa o token de atualização do Entra ID para obter um novo token de acesso.
De acordo com a especificação do OAuth2, os tokens de acesso são válidos até expirarem. Por exemplo, quando você desabilita uma conta de usuário, o Entra ID invalida refresh tokens imediatamente, mas pode levar até 90 minutos para que os tokens de acesso do GSA expirem.
Com a CAE Universal, as alterações na identidade do usuário são comunicadas ao Acesso Seguro Global quase em tempo real. Embora o token de acesso continue válido, o Acesso Seguro Global envia um desafio de reivindicações especiais para o usuário final, requerendo que o usuário se autentique novamente. Se o usuário não conseguir concluir o desafio de autenticação do Entra ID, o acesso à rede por GSA será bloqueado. A CAE Universal reduz a janela de tempo entre a alteração do estado da conta do Entra ID e a necessidade de o usuário se reautenticar, reduzindo o risco de exfiltração de dados por um funcionário que foi demitido.
Sinais do Microsoft Entra ID que disparam a reautenticação da CAE Universal
O Acesso Seguro Global é habilitado para receber sinais do Entra ID quase em tempo real para os seguintes eventos:
- A conta de usuário foi excluída ou desabilitada
- A senha de um usuário é alterada ou redefinida
- A autenticação multifator está habilitada para o usuário
- O administrador revoga explicitamente todos os tokens de atualização para um usuário
- Alto risco de usuário detectado pelo Microsoft Entra ID Protection
Ao receber o evento de segurança, o cliente do Acesso Seguro Global solicitará que o usuário se autentique novamente. Se a autenticação for bem-sucedida, a conectividade de rede do usuário com recursos protegidos pelo Acesso Seguro Global será restaurada.
Imposição Estrita
Com o modo de Imposição Estrita, a CAE Universal interromperá imediatamente o acesso se o endereço IP detectado pelo provedor de recursos não for permitido pela política de Acesso Condicional. Essa opção é a modalidade de segurança mais alta da imposição de localização de CAE e exige que os administradores entendam o roteamento de solicitações de autenticação e acesso em seu ambiente de rede. Quando a aplicação estrita está ativada, o acesso aos serviços do Global Secure Access só é possível quando os usuários estão se conectando ao serviço GSA a partir de intervalos de endereços IP autorizados pela sua organização.
Como desabilitar a CAE Universal
O Acesso Condicional do Entra ID pode ser usado para controlar o comportamento da CAE no seu locatário. Por padrão, a CAE é ativada para todos os aplicativos que são compatíveis com o recurso. Você pode desabilitar a CAE no seu locatário do Entra ID, o que desabilitará a CAE para todos os serviços, incluindo o Acesso Seguro Global. Para desabilitar a CAE no seu locatário, siga as etapas incluídas na documentação do Acesso Condicional
Observação
A CAE universal é oportunista, a menos que o modo opcional de Imposição Estrita esteja habilitado no Acesso Condicional e aplicado às identidades de carga de trabalho com GSA. Por padrão, os clientes de Acesso Seguro Global com suporte tentarão obter um token de acesso de CAE no Entra ID. Se o token da CAE não puder ser obtido no Entra ID (por exemplo, devido à versão do cliente sem suporte), um token de acesso normal será emitido. Com o comportamento de fallback, você não deverá ter necessidade de desabilitar a CAE Universal.
Limitações conhecidas
Esse recurso tem uma ou mais limitações conhecidas. Para obter informações mais detalhadas sobre os problemas conhecidos e as limitações deste recurso, consulte Limitações Conhecidas para o Acesso Seguro Global .