Partilhar via


Habilite a verificação de rede compatível com Acesso Condicional

As organizações que usam o Acesso Condicional, juntamente com o Acesso Seguro Global, podem impedir o acesso mal-intencionado a aplicativos da Microsoft, aplicativos SaaS de terceiros e aplicativos de linha de negócios (LoB) privados usando várias condições para fornecer defesa detalhada. Essas condições podem incluir conformidade do dispositivo, localização e muito mais para fornecer proteção contra a identidade do usuário ou roubo de token. O Global Secure Access introduz o conceito de uma rede compatível no Microsoft Entra ID Conditional Access. Esta verificação de rede em conformidade garante que os utilizadores se ligam a partir de um modelo de conectividade de rede verificado para o inquilino específico e estão em conformidade com as políticas de segurança impostas pelos administradores.

O Global Secure Access Client instalado em dispositivos ou usuários por trás de redes remotas configuradas permite que os administradores protejam recursos por trás de uma rede compatível com controles avançados de Acesso Condicional. Esse recurso de rede compatível torna mais fácil para os administradores gerenciar políticas de acesso, sem ter que manter uma lista de endereços IP de saída. Isso elimina a necessidade de reduzir o tráfego através da VPN da organização.

Aplicação de verificação de rede compatível

A aplicação de rede compatível reduz o risco de ataques de roubo/reprodução de tokens. A imposição de rede compatível acontece no plano de autenticação (geralmente disponível) e no plano de dados (visualização). A imposição do plano de autenticação é executada pela ID do Microsoft Entra no momento da autenticação do usuário. Se um adversário tiver roubado um token de sessão e tentar reproduzi-lo de um dispositivo que não esteja conectado à rede compatível da sua organização (por exemplo, solicitando um token de acesso com um token de atualização roubado), o Entra ID negará imediatamente a solicitação e o acesso adicional será bloqueado. A imposição do plano de dados funciona com serviços que oferecem suporte à Avaliação de Acesso Contínuo (CAE) - atualmente, apenas o SharePoint Online. Com aplicativos que suportam CAE, os tokens de acesso roubados que são reproduzidos fora da rede compatível do seu locatário serão rejeitados pelo aplicativo quase em tempo real. Sem CAE, um token de acesso roubado durará até sua vida útil completa (padrão de 60 a 90 minutos).

Essa verificação de rede compatível é específica para cada locatário.

  • Usando essa verificação, você pode garantir que outras organizações que usam os serviços de Acesso Seguro Global da Microsoft não possam acessar seus recursos.
    • Por exemplo: a Contoso pode proteger seus serviços, como o Exchange Online e o SharePoint Online, por trás de sua verificação de rede compatível para garantir que apenas os usuários da Contoso possam acessar esses recursos.
    • Se outra organização, como a Fabrikam, estivesse usando uma verificação de rede compatível, ela não passaria na verificação de rede compatível da Contoso.

A rede compatível é diferente do IPv4, IPv6 ou localizações geográficas que você pode configurar no Microsoft Entra. Os administradores não são obrigados a revisar e manter endereços/intervalos IP de rede compatíveis, fortalecendo a postura de segurança e minimizando a sobrecarga administrativa contínua.

Pré-requisitos

Limitações conhecidas

  • A imposição do plano de dados de verificação de rede compatível (visualização) com Avaliação de Acesso Contínuo é suportada para o SharePoint Online e o Exchange Online.
  • A habilitação da sinalização de Acesso Condicional de Acesso Seguro Global habilita a sinalização para o plano de autenticação (ID do Microsoft Entra) e a sinalização do plano de dados (visualização). Atualmente, não é possível ativar essas configurações separadamente.
  • Atualmente, a verificação de rede compatível não é suportada para aplicativos de acesso privado.

Habilitar a sinalização de Acesso Seguro Global para Acesso Condicional

Para ativar a definição necessária para permitir a verificação de rede em conformidade, um administrador tem de realizar os seguintes passos:

  1. Entre no centro de administração do Microsoft Entra como um Administrador de Acesso Seguro Global.
  2. Navegue até Configurações>Globais de Acesso>Seguro Gerenciamento de sessão>Acesso adaptável.
  3. Selecione a alternância para Ativar sinalização de CA para ID do Entra (abrangendo todos os aplicativos na nuvem). Isso habilitará automaticamente a sinalização CAE para o Office 365 (visualização).
  4. Navegue até Locais nomeados de acesso>condicional de proteção.>
    1. Confirme que tem uma localização denominada Todas as localizações de rede em conformidade com o tipo de localização Acesso à Rede. Opcionalmente, as organizações podem marcar esta localização como fidedigna.

Captura de ecrã a mostrar a alternância para ativar a sinalização no Acesso Condicional.

Atenção

Se a sua organização tiver políticas de Acesso Condicional ativas com base na verificação de rede compatível e você desabilitar a sinalização de Acesso Seguro Global no Acesso Condicional, poderá bloquear involuntariamente que os usuários finais visados possam acessar os recursos. Se você precisar desabilitar esse recurso, primeiro exclua todas as políticas de Acesso Condicional correspondentes.

Proteja seus recursos por trás da rede compatível

A política de Acesso Condicional de rede compatível pode ser usada para proteger seus aplicativos da Microsoft e de terceiros. Uma política típica terá uma concessão de "Bloco" para todos os locais de rede, exceto Rede Compatível. O exemplo a seguir demonstra as etapas para configurar esse tipo de política:

  1. Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.
  2. Navegue até Acesso condicional de proteção>.
  3. Selecione Criar nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione Todos os usuários.
    2. Em Excluir, selecione Usuários e grupos e escolha as contas de acesso de emergência ou de quebra-vidro da sua organização.
  6. Em Recursos de destino>Incluir e selecione Todos os recursos (anteriormente "Todos os aplicativos na nuvem").
    1. Se a sua organização estiver a inscrever dispositivos no Microsoft Intune, recomenda-se excluir as aplicações Microsoft Intune Enrollment e Microsoft Intune da sua política de Acesso Condicional para evitar uma dependência circular.
  7. Em Rede.
    1. Defina Configurar como Sim.
    2. Em Incluir, selecione Qualquer local.
    3. Em Excluir, selecione o local Todos os locais de rede compatíveis.
  8. Em Controles de acesso:
    1. Conceder, selecionar Bloquear Acesso e selecionar Selecionar.
  9. Confirme suas configurações e defina Ativar política como Ativado.
  10. Selecione o botão Criar a ser criado para habilitar sua política.

Nota

Use o Acesso Seguro Global juntamente com as políticas de Acesso Condicional que exigem uma Rede Compatível para Todos os Recursos.

Os recursos de Acesso Seguro Global são excluídos automaticamente da política de Acesso Condicional quando a Rede Compatível está habilitada na política. Não é necessária exclusão explícita de recursos. Essas exclusões automáticas são necessárias para garantir que o cliente Global Secure Access não seja impedido de acessar os recursos de que precisa. Os recursos de que o Global Secure Access necessita são:

  • Perfis de tráfego de acesso seguro global
  • Serviço de Política de Acesso Seguro Global (serviço interno)

Os eventos de entrada para autenticação de recursos excluídos do Global Secure Access aparecem nos logs de entrada do Microsoft Entra ID como:

  • Recursos da Internet com Acesso Seguro Global
  • Aplicativos da Microsoft com Acesso Seguro Global
  • Todos os recursos privados com Global Secure Access
  • Serviço de Políticas ZTNA

Exclusões de utilizadores

As políticas de Acesso Condicional são ferramentas poderosas, recomendamos excluir as seguintes contas das suas políticas:

  • Acesso de emergência ou contas de quebra-vidro para evitar o bloqueio devido à configuração incorreta da política. No cenário improvável de todos os administradores estarem bloqueados, sua conta administrativa de acesso de emergência pode ser usada para fazer login e tomar medidas para recuperar o acesso.
  • Contas de serviço e entidades de serviço, como a Conta de Sincronização do Microsoft Entra Connect. As contas de serviço são contas não interativas que não estão vinculadas a nenhum utilizador em particular. Normalmente, são usadas por serviços de back-end que permitem acesso programático a aplicações, mas também são usadas para iniciar sessão em sistemas para fins administrativos. As chamadas feitas por principais de serviço não serão bloqueadas pelas políticas de Acesso Condicional com âmbito definido para os utilizadores. Use o Acesso Condicional para identidades de carga de trabalho para definir políticas direcionadas para principais de serviço.
    • Se sua organização tiver essas contas em uso em scripts ou código, considere substituí-las por identidades gerenciadas.

Experimente a sua política de rede compatível

  1. Em um dispositivo de usuário final com o cliente Global Secure Access instalado e em execução, navegue até https://outlook.office.com/mail/ ou https://yourcompanyname.sharepoint.com/, você tem acesso aos recursos.
  2. Pause o cliente Global Secure Access clicando com o botão direito do mouse no aplicativo na bandeja do Windows e selecionando Pausar.
  3. Navegue até https://outlook.office.com/mail/ ou , você está impedido de acessar recursos com uma mensagem de erro que diz Você não pode acessar isso agorahttps://yourcompanyname.sharepoint.com/.

Captura de tela mostrando mensagem de erro na janela do navegador Você não pode acessar isso no momento.

Resolução de Problemas

Verifique se o novo local nomeado foi criado automaticamente usando o Microsoft Graph.

GET https://graph.microsoft.com/beta/identity/conditionalAccess/namedLocations

Captura de ecrã a mostrar os resultados da consulta do Graph Explorer

Próximos passos

Restrições universais de locatários