Acesso condicional: recursos de destino
Os recursos de destino (anteriormente, aplicativos de nuvem, ações e contexto de autenticação) são sinais chave em uma política de Acesso Condicional. As políticas de Acesso Condicional permitem que os administradores atribuam controles a aplicativos, serviços, ações ou contexto de autenticação específicos.
- Os administradores podem escolher na lista de aplicativos ou serviços que incluem aplicativos integrados da Microsoft e quaisquer aplicativos integrados ao Microsoft Entra, incluindo da galeria, que não são da galeria e aplicativos publicados por meio do Application Proxy.
- Os administradores podem optar por definir a política não com base em um aplicativo de nuvem, mas em uma ação de usuário como Registrar informações de segurança ou Registrar ou ingressar dispositivos, permitindo que o Acesso Condicional imponha controles em torno dessas ações.
- Os administradores podem direcionar perfis de encaminhamento de tráfego do Acesso Seguro Global para funcionalidade aprimorada.
- Os administradores podem usar o contexto de autenticação para fornecer uma camada extra de segurança nos aplicativos.
Aplicativos em nuvem da Microsoft
Muitos aplicativos de nuvem da Microsoft existentes estão incluídos na lista de aplicativos entre os quais você pode selecionar.
Os administradores podem atribuir uma política de Acesso Condicional aos aplicativos de nuvem da Microsoft a seguir. Alguns aplicativos, como o Office 365 e a API de Gerenciamento de Serviços do Windows Azure incluem vários aplicativos ou serviços filho relacionados. Nós adicionamos continuamente mais aplicativos, portanto, a lista a seguir não é completa e está sujeita a alterações.
- Office 365
- Azure Analysis Services
- Azure DevOps
- Azure Data Explorer
- Hubs de Eventos do Azure
- Barramento de Serviço do Azure
- Banco de Dados SQL do Azure e Azure Synapse Analytics
- Common Data Service
- Análise do Microsoft Application Insights
- Proteção de Informações do Microsoft Azure
- API de Gerenciamento de Serviços do Microsoft Azure
- Microsoft Defender for Cloud Apps
- Portal de Controle de Acesso de Ferramentas do Microsoft Commerce
- Serviço de Autenticação de Ferramentas do Microsoft Commerce
- Microsoft Forms
- Microsoft Intune
- Registro do Microsoft Intune
- Microsoft Planner
- Microsoft Power Apps
- Microsoft Power Automate
- Pesquisa da Microsoft no Bing
- Microsoft StaffHub
- Microsoft Stream
- Microsoft Teams
- Exchange Online
- SharePoint
- Yammer
- Office Delve
- Office Sway
- Outlook Groups
- Serviço do Power BI
- Project Online
- Skype for Business Online
- VPN (Rede Privada Virtual)
- Windows Defender ATP
Importante
Os aplicativos que estão disponíveis para acesso condicional passaram por uma integração e um processo de validação. Essa lista não inclui todos os aplicativos da Microsoft, pois muitos são serviços de back-end e não devem ter uma política aplicada diretamente a eles. Se você está procurando por um aplicativo que está ausente, você pode entrar em contato com a equipe desse aplicativo específico ou fazer uma solicitação no UserVoice.
Office 365
O Microsoft 365 fornece serviços de produtividade e colaboração baseados em nuvem, como o Exchange, SharePoint e Microsoft Teams. Os serviços de nuvem do Microsoft 365 são profundamente integrados para que haja experiências contínuas e colaborativas. Essa integração pode causar confusão ao criar políticas, pois alguns aplicativos como o Microsoft Teams têm dependências de outros como SharePoint ou Exchange.
O pacote do Office 365 torna possível direcionar todos esses serviços de uma só vez. Recomendamos usar o novo pacote do Office 365 em vez de direcionar aplicativos de nuvem individuais para evitar problemas com dependências de serviço.
Direcionar esse grupo de aplicativos ajuda a evitar problemas que podem surgir devido a políticas e dependências inconsistentes. Por exemplo: o aplicativo Exchange Online está vinculado a dados tradicionais do Exchange Online, como e-mail, calendário e informações de contato. Metadados relacionados podem ser expostos por meio de recursos diferentes, como pesquisa. Para garantir que todos os metadados sejam protegidos conforme o esperado, os administradores devem atribuir políticas ao aplicativo Office 365.
Os administradores podem excluir todo o conjunto do Office 365 ou aplicativos de nuvem específicos do Office 365 da política de Acesso Condicional.
Uma lista completa de todos os serviços incluídos pode ser encontrada no artigo Aplicativos incluídos no pacote de aplicativos do Office 365 de Acesso Condicional.
API de Gerenciamento de Serviços do Microsoft Azure
Quando você foca no aplicativo API de Gerenciamento de Serviços do Windows Azure, a política é imposta para tokens emitidos para um conjunto de serviços intimamente associados ao portal. Esse agrupamento inclui as IDs do aplicativo de:
- Azure Resource Manager
- Portal do Azure, que também abrange o Centro de Administração do Microsoft Entra
- Azure Data Lake
- API do Application Insights
- API do Log Analytics
Como a política é aplicada ao Portal de Gerenciamento do Azure e a API, os serviços ou os clientes com uma dependência do serviço de API do Azure podem ser afetados indiretamente. Por exemplo:
- CLI do Azure
- Portal do Azure Data Factory
- Azure DevOps
- Hubs de eventos do Azure
- PowerShell do Azure
- Barramento de Serviço do Azure
- Banco de Dados SQL do Azure
- Azure Synapse
- APIs de modelo de implantação clássico
- Centro de administração Microsoft 365
- Central IoT da Microsoft
- Instância Gerenciada de SQL
- Portal do administrador de assinaturas do Visual Studio
Observação
O aplicativo API de Gerenciamento de Serviços do Windows Azure se aplica ao Azure PowerShell, que chama a API do Azure Resource Manager. Ele não se aplica ao PowerShell do Microsoft Graph, que chama a API do Microsoft Graph.
Para obter mais informações de como configurar uma política de exemplo para a API de Gerenciamento de Serviços do Windows Azure, consulte Acesso condicional: exigir MFA para o gerenciamento do Azure.
Dica
Para o Azure Government, você deve ter como destino o aplicativo API de Gerenciamento de Nuvem do Azure Government.
Portais de Administração da Microsoft
Quando uma política de Acesso condicional tem como alvo o aplicativo de nuvem do Portais de Administração da Microsoft, a política é imposta para tokens emitidos para IDs de aplicativos dos seguintes portais administrativos da Microsoft:
- Portal do Azure
- Centro de Administração do Exchange
- Centro de administração do Microsoft 365
- Portal do Microsoft 365 Defender
- Centro de administração Microsoft Entra
- Centro de administração do Microsoft Intune
- Portal de conformidade do Microsoft Purview
- Centro de administração do Microsoft Teams
Estamos continuamente adicionando mais portais administrativos à lista.
Observação
O aplicativo Portais de Administração da Microsoft aplica-se somente a entradas interativas nos portais de administração listados. As entradas nos recursos ou serviços subjacentes, como as APIs do Microsoft Graph ou do Azure Resource Manager, não são cobertas por esse aplicativo. Esses recursos são protegidos pelo aplicativo API de Gerenciamento de Serviços do Windows Azure. Isso permite que os clientes avancem na jornada de adoção do MFA para administradores sem afetar a automação que depende de APIs e do PowerShell. Quando estiver pronto, a Microsoft recomenda o uso de uma política que exija que os administradores executem MFA sempre para proteção abrangente.
Outros aplicativos
Os administradores podem adicionar qualquer aplicativo registrado do Microsoft Entra às políticas de acesso condicional. Esses aplicativos podem incluir:
- Aplicativos publicados por meio do proxy de aplicativo do Microsoft Entra
- Aplicativos adicionados da galeria
- Os aplicativos personalizados não estão na galeria
- Aplicativos herdados publicados por meio de redes e controladores de entrega de aplicativos
- Aplicativos que usam logon único baseado em senha
Observação
Como a política de acesso condicional define os requisitos para acessar um serviço, você não pode aplicá-lo a um aplicativo de cliente (público/nativo). Em outras palavras, a política não é definida diretamente em um aplicativo cliente (público/nativo), mas é aplicada quando um cliente chama um serviço. Por exemplo, uma política definida no serviço SharePoint se aplica a todos os clientes que chamam o SharePoint. Uma política definida no Exchange se aplica à tentativa de acessar o email usando o cliente do Outlook. É por isso que aplicativos cliente (públicos/nativos) não estão disponíveis para seleção no seletor de Aplicativos de Nuvem e a opção de Acesso Condicional não está disponível nas configurações do aplicativo para o aplicativo cliente (público/nativo) registrado em seu locatário.
Alguns aplicativos não aparecem no seletor. A única maneira de incluir esses aplicativos em uma política de acesso condicional é incluir Todos os recursos (anteriormente "Todos os aplicativos de nuvem").
Todos os recursos
A aplicação de uma política de acesso condicional a Todos os recursos (anteriormente "Todos os aplicativos de nuvem") resulta na imposição da política para todos os tokens emitidos para sites e serviços, incluindo Perfis de encaminhamento de tráfego do Acesso Global Seguro. Esta opção inclui aplicações que não podem ser direcionadas individualmente na política de acesso condicional, como o Microsoft Entra ID.
Em alguns casos, uma política Todos os recursos (anteriormente "Todos os aplicativos de nuvem") poderia bloquear inadvertidamente o acesso do usuário. Esses casos são excluídos da imposição da política e incluem:
Serviços necessários para alcançar a postura de segurança desejada. Por exemplo, as chamadas de registro de dispositivo são excluídas da política de dispositivo em conformidade direcionada a Todos os recursos.
Chamadas para Azure AD Graph e Microsoft Graph, para aceder ao perfil do utilizador, à adesão ao grupo e às informações de relacionamento que são normalmente utilizadas por aplicações excluídas da política. Os escopos excluídos são listados da seguinte maneira. O consentimento ainda é necessário para que os aplicativos usem essas permissões.
- Para clientes nativos:
- Azure AD Graph: email, offline_access, openid, perfil, User.Read
- Microsoft Graph: email, offline_access, openid, profile, User.Read, People.Read
- Para clientes confidenciais/autenticados:
- Azure AD Graph: email, offline_access, openid, profile, User.Read, User.Read.All, and User.ReadBasic.All
- Microsoft Graph: email, offline_access, openid, profile, User.Read, User.Read.All, User.ReadBasic.All, People.Read, People.Read.All, GroupMember.Read.All, Member.Read.Hidden
- Para clientes nativos:
Todos os recursos da Internet com Acesso Seguro Global
A opção Todos os recursos da Internet com Acesso Global Seguro permite que os administradores direcionem o perfil de encaminhamento de tráfego de acesso à Internet do Acesso à Internet do Microsoft Entra.
Esses perfis no Acesso Global Seguro permitem que os administradores definam e controlem como o tráfego é roteado por meio do Acesso à Internet do Microsoft Entra e do Acesso privado do Microsoft Entra. Os perfis de encaminhamento de tráfego podem ser atribuídos a dispositivos e redes remotas. Para obter um exemplo de como aplicar uma política de acesso condicional a esses perfis de tráfego, confira o artigo Como aplicar políticas de acesso condicional ao perfil de tráfego do Microsoft 365.
Para obter mais informações sobre esses perfis, consulte o artigo Perfis de encaminhamento de tráfego de Acesso Seguro Global.
Ações do usuário
As ações do usuário são tarefas executadas por um usuário. Atualmente, o acesso condicional dá suporte a duas ações do usuário:
- Registrar informações de segurança: essa ação do usuário permite que a política de acesso condicional se imponha quando os usuários habilitados para registro combinado tentarem registrar as informações de segurança deles. Mais informações podem ser encontradas no artigo Registro de informações de segurança combinadas.
Observação
Ao aplicar uma política direcionada a ações do usuário para registrar informações de segurança, se a conta de usuário for um convidado da conta pessoal Microsoft (MSA), usar o controle "Exigir autenticação multifator", exigirá que o usuário da MSA registre informações de segurança na organização. Se o usuário convidado for de outro provedor, como o Google, o acesso será bloqueado.
- Registrar ou ingressar dispositivos: essa ação do usuário permite que os administradores imponham a política de acesso condicional quando os usuários registrarem ou ingressarem em dispositivos no Microsoft Entra ID Isso fornece granularidade na configuração da autenticação multifator para registrar ou ingressar dispositivos, em vez de uma política de todo o locatário atualmente existente. Há três considerações importantes com essa ação do usuário:
Require multifactor authentication
é o único controle de acesso disponível para essa ação do usuário e todos os outros estão desabilitados. Essa restrição impede conflitos com controles de acesso que dependem do registro de dispositivo do Microsoft Entra ou que não se aplicam ao registro de dispositivos do Microsoft Entra.Client apps
,Filters for devices
, eDevice state
as condições não estão disponíveis com esta ação do usuário, pois dependem do registro do dispositivo Microsoft Entra para impor políticas de acesso condicional.
Aviso
Quando uma política de Acesso Condicional é configurada com a ação de usuário Registrar ou adicionar dispositivos, você deve definirIdentidade>Dispositivos>Visão geral>Configurações do Dispositivo - Require Multifactor Authentication to register or join devices with Microsoft Entra
como Não. Caso contrário, as políticas de Acesso Condicional com essa ação de usuário não serão aplicadas corretamente. Mais informações sobre essa configuração de dispositivo podem ser encontradas em Definir configurações do dispositivo.
Contexto de autenticação
O contexto de autenticação pode ser usado para proteger ainda mais dados e ações em aplicativos. Esses aplicativos podem ser seus próprios aplicativos personalizados, aplicativos de linha de negócios personalizados (LOB), aplicativos como o SharePoint ou aplicativos protegidos pelo Microsoft Defender para Aplicativos de Nuvem.
Por exemplo, uma organização pode manter arquivos em sites do SharePoint, como o menu de almoço ou sua receita secreta de molho de churrasco. Todos podem ter acesso ao site de menu de almoço, mas os usuários que têm acesso ao site de receita de molho de churrasco secreto podem precisar acessar de um dispositivo gerenciado e concordar com termos específicos de uso.
O contexto de autenticação funciona com usuários ou identidades de carga de trabalho, mas não na mesma política de Acesso Condicional.
Configurar contextos de autenticação
Os contextos de autenticação são gerenciados em Proteção>Acesso Condicional>Contexto de autenticação.
Crie novas definições de contexto de autenticação selecionando Novo contexto de autenticação. As organizações estão limitadas a um total de 99 definições de contexto de autenticação c1-c99. Configure os seguintes atributos:
- O Nome de exibição é o nome que é usado para identificar o contexto de autenticação no Microsoft Entra ID e entre aplicativos que consomem contextos de autenticação. Recomendamos nomes que possam ser usados em recursos, como dispositivos confiáveis, para reduzir o número de contextos de autenticação necessários. Ter um conjunto reduzido limita o número de redirecionamentos e fornece uma experiência melhor para o usuário final.
- Descrição fornece mais informações sobre as políticas usadas pelos administradores e por aqueles que aplicam contextos de autenticação aos recursos.
- A caixa de seleção Publicar nos aplicativos, quando marcada, anuncia o contexto de autenticação para aplicativos e os torna disponíveis para serem atribuídos. Se não for verificado, o contexto de autenticação não estará disponível para recursos downstream.
- A ID é somente leitura e usada em tokens e aplicativos para definições de contexto de autenticação específicas da solicitação. Listado aqui para casos de uso de solução de problemas e desenvolvimento.
Adicionar à política de Acesso Condicional
Os administradores podem selecionar contextos de autenticação publicados em suas políticas de Acesso Condicional em Atribuições>Aplicativos de nuvem ou ações e selecionar Contexto de autenticação no menu Selecione a que se aplica essa política.
Excluir um contexto de autenticação
Ao excluir um contexto de autenticação, verifique se nenhum aplicativo ainda o está usando. Caso contrário, o acesso aos dados do aplicativo não está mais protegido. Você pode confirmar esse pré-requisito verificando os logs de entrada para casos em que as políticas de acesso condicional de contexto de autenticação estão sendo aplicadas.
Para excluir um contexto de autenticação, ele não deve ter políticas de Acesso Condicional atribuídas e não deve ser publicado em aplicativos. Esse requisito ajuda a evitar a exclusão acidental de um contexto de autenticação que ainda está em uso.
Marcar recursos com contextos de autenticação
Para obter mais informações sobre o uso de contexto de autenticação em aplicativos, consulte os artigos a seguir.
- Usar rótulos de confidencialidade para proteger o conteúdo no Microsoft Teams, grupos do Microsoft 365 e sites do SharePoint
- Microsoft Defender for Cloud Apps
- Aplicativos personalizados