Descrever o acesso condicional

  • 6 minutos

O Acesso Condicional é um recurso do Microsoft Entra ID que fornece uma camada extra de segurança antes de permitir que usuários autenticados acessem dados ou outros ativos. O Acesso Condicional é implementado através de políticas que são criadas e geridas no Microsoft Entra ID. Uma política de Acesso Condicional analisa sinais, incluindo usuário, localização, dispositivo, aplicativo e risco para automatizar decisões de autorização de acesso a recursos (aplicativos e dados).

Captura de ecrã a mostrar o fluxo da política de Acesso Condicional. Os sinais são usados para decidir se permitem ou bloqueiam o acesso a aplicativos e dados.

As políticas de Acesso Condicional em sua forma mais simples são instruções if-then. Por exemplo, uma política de Acesso Condicional pode indicar que , se um usuário pertencer a um determinado grupo, ele precisará fornecer autenticação multifator para entrar em um aplicativo.

Importante

As políticas de Acesso Condicional são aplicadas após a conclusão da autenticação de primeiro fator. O Acesso Condicional não se destina a ser a primeira linha de defesa de uma organização para cenários como ataques de negação de serviço (DoS), mas pode usar sinais desses eventos para determinar o acesso.

Componentes da política de acesso condicional

Uma política de acesso condicional no Microsoft Entra ID consiste em dois componentes, atribuições e controles de acesso.

Captura de tela mostrando os dois componentes de uma política de acesso condicional, as atribuições e os controles de acesso.

Atribuições

Ao criar uma política de acesso condicional, os administradores podem determinar quais sinais usar por meio de atribuições. A parte de atribuições da política controla quem, o quê, onde e quando da política de Acesso Condicional. Todas as atribuições são logicamente ANDed. Se você tiver mais de uma atribuição configurada, todas as atribuições deverão ser satisfeitas para acionar uma política. Algumas das atribuições incluem:

  • Os usuários atribuem quem a política incluirá ou excluirá. Essa atribuição pode incluir todos os usuários no diretório, usuários e grupos específicos, funções de diretório, convidados externos e identidades de carga de trabalho.
  • Os recursos de destino incluem aplicativos ou serviços, ações do usuário, Acesso Seguro Global (visualização) ou contexto de autenticação.
    • Aplicativos na nuvem - Os administradores podem escolher na lista de aplicativos ou serviços que incluem aplicativos internos da Microsoft, incluindo aplicativos do Microsoft Cloud, Office 365, a API de Gerenciamento de Serviços do Windows Azure, portais de administração da Microsoft e quaisquer aplicativos registrados do Microsoft Entra.
    • Ações do usuário - Os administradores podem optar por definir a política não com base em um aplicativo na nuvem, mas em uma ação do usuário, como Registrar informações de segurança ou Registrar ou ingressar dispositivos, permitindo que o Acesso Condicional imponha controles em torno dessas ações.
    • Acesso Seguro Global (visualização) - Os administradores podem usar políticas de Acesso condicional para proteger o tráfego que passa pelo serviço Acesso Seguro Global. Isso é feito definindo perfis de tráfego no Acesso Seguro Global. As políticas de Acesso Condicional podem então ser atribuídas ao perfil de tráfego de Acesso Seguro Global.
    • Contexto de autenticação - O contexto de autenticação pode ser usado para proteger ainda mais dados e ações em aplicativos. Por exemplo, os usuários que têm acesso a conteúdo específico em um site do SharePoint podem ser obrigados a acessar esse conteúdo por meio de um dispositivo gerenciado ou concordar com termos de uso específicos.
  • Rede permite controlar o acesso do usuário com base na rede ou localização física do usuário. Você pode incluir qualquer rede ou local, locais marcados como redes confiáveis ou intervalos de endereços IP confiáveis ou locais nomeados. Você também pode identificar redes compatíveis que são compostas por usuários e dispositivos que estão em conformidade com as políticas de segurança da sua organização.
  • As condições definem onde e quando a política será aplicada. Várias condições podem ser combinadas para criar políticas de Acesso Condicional refinadas e específicas. Algumas das condições incluem:
    • Risco de início de sessão e risco de utilizador. A integração com o Microsoft Entra ID Protection permite que as políticas de Acesso Condicional identifiquem ações suspeitas relacionadas a contas de usuário no diretório e acionem uma política. O risco de início de sessão é a probabilidade de um determinado início de sessão, ou pedido de autenticação, não ser autorizado pelo proprietário da identidade. O risco do usuário é a probabilidade de que uma determinada identidade ou conta seja comprometida.
    • Risco de iniciado. Os administradores com acesso à proteção adaptável do Microsoft Purview podem incorporar sinais de risco do Microsoft Purview nas decisões de política de Acesso Condicional. O risco interno leva em consideração a governança de dados, a segurança dos dados e as configurações de risco e conformidade do Microsoft Purview.
    • Plataforma de dispositivos. A plataforma de dispositivo, que é caracterizada pelo sistema operacional executado em um dispositivo, pode ser usada ao aplicar políticas de Acesso Condicional.
    • Aplicativos cliente. Aplicativos cliente, o software que o usuário está empregando para acessar o aplicativo em nuvem, incluindo navegadores, aplicativos móveis, clientes de desktop, também podem ser usados na decisão de política de acesso.
    • Filtros para dispositivos. As organizações podem impor políticas com base nas propriedades do dispositivo, usando a opção filtros para dispositivos. Como exemplo, essa opção pode ser usada para direcionar políticas para dispositivos específicos, como estações de trabalho de acesso privilegiado.

Em essência, a parte de atribuições controla quem, o quê e onde da política de Acesso Condicional.

Controlos de acesso

Quando a política de Acesso Condicional é aplicada, é tomada uma decisão informada sobre bloquear o acesso, conceder acesso, conceder acesso com verificação extra ou aplicar um controlo de sessão para permitir uma experiência limitada. A decisão é referida como a parte de controles de acesso da política de Acesso Condicional e define como uma política é imposta. As decisões comuns são:

  • Bloquear acesso
  • Conceder acesso. Os administradores podem conceder acesso sem qualquer controlo adicional ou podem optar por impor um ou mais controlos ao conceder acesso. Exemplos de controles usados para conceder acesso incluem exigir que os usuários executem autenticação multifator, exigir métodos de autenticação específicos para acessar um recurso, exigir que os dispositivos atendam a requisitos específicos de política de conformidade, exigir uma alteração de senha e muito mais. Para obter uma lista completa, consulte Conceder controles na política de Acesso Condicional.
  • Sessão. Dentro de uma política de Acesso Condicional, um administrador pode usar controles de sessão para habilitar experiências limitadas em aplicativos de nuvem específicos. Como exemplo, o Controle de Aplicativo de Acesso Condicional usa sinais do Microsoft Defender for Cloud Apps para bloquear os recursos de download, corte, cópia e impressão de documentos confidenciais ou para exigir a rotulagem de arquivos confidenciais. Outros controles de sessão incluem frequência de entrada e restrições impostas pelo aplicativo que, para aplicativos selecionados, usam as informações do dispositivo para fornecer aos usuários uma experiência limitada ou completa, dependendo do estado do dispositivo. Para obter uma lista completa, consulte Controles de sessão na política de acesso condicional.

Em resumo, a parte de atribuições controla quem, o quê e onde da política de Acesso Condicional, enquanto a parte de controles de acesso controla como uma política é imposta.