Ativar o Acesso Condicional para proteger melhor os utilizadores, dispositivos e dados
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender XDR
Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
O Acesso Condicional é uma capacidade que o ajuda a proteger melhor os seus utilizadores e informações empresariais ao garantir que apenas os dispositivos seguros têm acesso às aplicações.
Com o Acesso Condicional, pode controlar o acesso às informações empresariais com base no nível de risco de um dispositivo. Isto ajuda a manter os utilizadores fidedignos em dispositivos fidedignos através de aplicações fidedignas.
Pode definir condições de segurança nas quais os dispositivos e aplicações podem executar e aceder a informações da sua rede ao impor políticas para impedir que as aplicações sejam executadas até que um dispositivo regresse a um estado de conformidade.
A implementação do Acesso Condicional no Defender para Ponto Final baseia-se em políticas de conformidade de dispositivos Microsoft Intune (Intune) e Microsoft Entra políticas de Acesso Condicional.
A política de conformidade é utilizada com o Acesso Condicional para permitir que apenas os dispositivos que cumpram uma ou mais regras de política de conformidade de dispositivos acedam às aplicações.
Compreender o fluxo de Acesso Condicional
O Acesso Condicional é implementado para que, quando uma ameaça é vista num dispositivo, o acesso a conteúdos confidenciais seja bloqueado até que a ameaça seja remediada.
O fluxo começa com os dispositivos a serem vistos como tendo um risco baixo, médio ou elevado. Estas determinações de risco são então enviadas para Intune.
Consoante a forma como configura as políticas no Intune, o Acesso Condicional pode ser configurado para que, quando determinadas condições forem cumpridas, a política seja aplicada.
Por exemplo, pode configurar Intune para aplicar o Acesso Condicional em dispositivos com um risco elevado.
No Intune, é utilizada uma política de conformidade de dispositivos com Microsoft Entra Acesso Condicional para bloquear o acesso às aplicações. Em paralelo, é iniciado um processo de investigação e remediação automatizado.
Um utilizador ainda pode utilizar o dispositivo enquanto a investigação e a remediação automatizadas estão a decorrer, mas o acesso aos dados empresariais é bloqueado até que a ameaça seja totalmente remediada.
Para resolver o risco encontrado num dispositivo, tem de devolver o dispositivo a um estado de conformidade. Um dispositivo regressa a um estado de conformidade quando não existe qualquer risco.
Existem três formas de resolver um risco:
- Utilize a remediação manual ou automatizada.
- Resolver alertas ativos no dispositivo. Esta ação remove o risco do dispositivo.
- Pode remover o dispositivo das políticas ativas e, consequentemente, o Acesso Condicional não será aplicado no dispositivo.
A remediação manual requer que um administrador de secops investigue um alerta e resolva o risco observado no dispositivo. A remediação automatizada é configurada através das definições de configuração fornecidas na secção seguinte, Configurar Acesso Condicional.
Quando o risco é removido através de uma remediação manual ou automatizada, o dispositivo regressa a um estado de conformidade e é concedido acesso às aplicações.
A seguinte sequência de eventos de exemplo explica o Acesso Condicional em ação:
- Um utilizador abre um ficheiro malicioso e o Defender para Endpoint sinaliza o dispositivo como de alto risco.
- A avaliação de alto risco é transmitida para Intune. Em paralelo, é iniciada uma investigação automatizada para remediar a ameaça identificada. Também pode ser feita uma remediação manual para remediar a ameaça identificada.
- Com base na política criada no Intune, o dispositivo é marcado como não conforme. Em seguida, a avaliação é comunicada aos Microsoft Entra ID pela política de Acesso Condicional Intune. No Microsoft Entra ID, a política correspondente é aplicada para bloquear o acesso às aplicações.
- A investigação manual ou automatizada e a remediação são concluídas e a ameaça é removida. O Defender para Endpoint vê que não existe nenhum risco no dispositivo e Intune avalia que o dispositivo está num estado de conformidade. Microsoft Entra ID aplica a política, que permite o acesso às aplicações.
- Os utilizadores podem agora aceder às aplicações.
Tópico relacionado
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.