Compartilhar via


Bloquear fluxos de autenticação com a política de acesso condicional

As etapas a seguir criam políticas de acesso condicional para restringir como o fluxo de código do dispositivo e a transferência de autenticação são usados em sua organização.

Políticas de fluxo de código do dispositivo

Observação

Para reforçar a postura de segurança, a Microsoft recomenda bloquear ou restringir o fluxo de código do dispositivo sempre que possível.

Você sempre deve começar configurando uma política no modo somente relatório para determinar o efeito potencial em sua organização.

Recomendamos que as organizações se aproximem o mais próximo possível de um bloco unilateral no fluxo de código do dispositivo. As organizações devem considerar a criação de uma política para auditar o uso existente do fluxo de código do dispositivo e determinar se ele ainda é necessário.

Para organizações que não têm o uso estabelecido do fluxo de código do dispositivo, o bloqueio pode ser feito com a seguinte política de acesso condicional:

  1. Entre no centro de administração do Microsoft Entra como pelo menos Administrador de acesso condicional.
  2. Navegar para Proteção> de acesso condicional de >Políticas.
  3. Selecione Nova política.
  4. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione os usuários que você deseja que estejam no escopo da política (é recomendado escolher todos os usuários).
    2. Em Excluir.
      1. Selecione Usuários e grupos e escolha as contas de acesso de emergência da sua organização e quaisquer outros usuários necessários, esta lista de exclusão deve ser auditada regularmente.
  5. Em Recursos de destino>Recursos (anteriormente aplicativos de nuvem)>Incluir, selecione os aplicativos que você deseja incluir no escopo da política (Todos os recursos (anteriormente "Todos os aplicativos de nuvem") é recomendado).
  6. Em Condições>Fluxos de Autenticação, defina Configurar como Sim.
    1. Selecione Fluxo de código do dispositivo.
    2. Selecione Concluído.
  7. Em Controles de acesso>Conceder, selecione Bloquear acesso.
    1. Selecione Selecionar.
  8. Confirme suas configurações e defina Habilitar política com Somente relatório.
  9. Selecione Criar para criar e habilitar sua política.

Depois que os administradores confirmarem as configurações com o modo somente relatório, eles poderão alternar a opção Habilitar política de Somente relatório para Ativado.

Políticas de transferência de autenticação

A capacidade de controlar a transferência de autenticação está em versão prévia, use a condição de Fluxos de autenticação no Acesso Condicional para gerenciar o recurso. Talvez você queira bloquear a transferência de autenticação se não quiser que os usuários transfiram a autenticação de seu computador para um dispositivo móvel. Por exemplo, se você não permitir que o Outlook seja usado em dispositivos pessoais por determinados grupos. O bloqueio da transferência de autenticação pode ser feito com a seguinte política de acesso condicional:

  1. Entre no centro de administração do Microsoft Entra como pelo menos Administrador de acesso condicional.
  2. Navegue até Proteção>Acesso Condicional.
  3. Selecione Criar nova política.
  4. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione Todos os usuários ou os grupos de usuários que você deseja bloquear para transferência de autenticação.
    2. Em Excluir.
      1. Selecione Usuários e grupos e escolha as contas de acesso de emergência da sua organização e quaisquer outros usuários necessários, esta lista de exclusão deve ser auditada regularmente.
  5. Em Recursos de destino>Recursos (anteriormente aplicativos de nuvem)>Incluir, selecione Todos os recursos (anteriormente "Todos os aplicativos de nuvem") ou aplicativos que você gostaria de bloquear para transferência de autenticação.
  6. Em Condições>Fluxos de Autenticação, defina Configurar como Sim
    1. Selecione Transferência de autenticação.
    2. Selecione Concluído.
  7. Em Controles de acesso>Conceder, selecione Bloquear acesso.
    1. Selecione Selecionar.
  8. Confirme as configurações e defina Habilitar política como Habilitado.
  9. Selecione Criar para criar e habilitar sua política.