Acesso condicional: filtro para aplicativos

Atualmente, as políticas de Acesso Condicional podem ser aplicadas a todos os aplicativos ou a aplicativos individuais. Organizações com um número grande de aplicativos podem achar esse processo difícil de gerenciar em várias políticas de acesso condicional.

Os filtros de aplicativo para Acesso condicional permitem que as organizações marquem entidades de serviço com atributos personalizados. Esses atributos personalizados são adicionados às políticas de Acesso Condicional. Os filtros para aplicativos são avaliados no runtime de emissão de token, não na configuração.

Neste documento, você cria um conjunto de atributos personalizados, atribui um atributo de segurança personalizado ao aplicativo e cria uma política de Acesso Condicional para proteger o aplicativo.

Atribuir funções

Os atributos de segurança personalizados são sensíveis à segurança e só podem ser gerenciados por usuários delegados. Uma ou mais das funções a seguir devem ser atribuídas aos usuários que gerenciam ou relatam esses atributos.

Atribua a função apropriada aos usuários que gerenciam ou relatam esses atributos no escopo do diretório. Para obter etapas detalhadas, consulte Atribuir funções do Microsoft Entra.

Criar atributos de segurança personalizados

Siga as instruções no artigo, Adicione ou desative atributos de segurança personalizados na ID do Microsoft Entra para adicionar o seguinte conjunto de atributos e novos atributos.

• Crie um conjunto de atributos chamado ConditionalAccessTest.
• Crie novos atributos chamadospolicyRequirement que permitem que vários valores sejam atribuídos e permita apenas que valores predefinidos sejam atribuídos. Adicionamos os seguintes valores predefinidos:
  • legacyAuthAllowed
  • bloquearUsuáriosConvidados
  • requireMFA
  • requireCompliantDevice
  • requireHybridJoinedDevice
  • requireCompliantApp

Criar uma política de Acesso Condicional

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional e Leitor de Definição de Atributo.
2. Acesse Entra ID>Acesso Condicional.
3. Selecione Nova política.
4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
   1. Em Incluir, selecione Todos os usuários.
   2. Em Excluir, selecione Usuários e grupos e escolha as contas de acesso de emergência ou quebra de vidro da sua organização.
   3. Selecione Concluído.
6. Em Recursos de destino, selecione as seguintes opções:
   1. Selecione o que essa política se aplica aos aplicativos de nuvem.
   2. Inclua selecionar recursos.
   3. Selecione Editar filtro.
   4. Defina Configurar como Sim.
   5. Selecione o atributo que criamos anteriormente chamado policyRequirement.
   6. Defina Operador como Contém.
   7. Defina Valor para requireMFA.
   8. Selecione Concluído.
7. Em Controles de acesso>, selecione Conceder, Conceder acesso, Exigir autenticação multifator e Selecionar.
8. Confirme suas configurações e defina Habilitar política como apenas relatório.
9. Selecione Criar para criar para habilitar sua política.

Depois de confirmar suas configurações usando o impacto da política ou o modo somente relatório, mova a alternância habilitar a política de somente relatório para Ativar.

Configurar atributos personalizados

Etapa 1: configurar um aplicativo de exemplo

Se você já tiver um aplicativo de teste que faça uso de um principal de serviço, poderá ignorar esta etapa.

Configure um aplicativo de exemplo que demonstra como um trabalho ou um serviço Windows pode ser executado com uma identidade de aplicativo, em vez de uma identidade do usuário. Siga as instruções no início rápido do artigo : Obtenha um token e chame a API do Microsoft Graph usando a identidade de um aplicativo de console para criar este aplicativo.

Etapa 2: Atribuir um atributo de segurança personalizado a um aplicativo

Quando você não tem uma entidade de serviço listada no locatário, ele não pode ser direcionado. O conjunto do Office 365 é um exemplo dessas entidades de serviço.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional~/identity/role-based-access-control/permissions-reference.md#conditional-access-administrator) e Administrador de Atribuição de Atributo.
2. Navegue até Entra ID>Aplicativos corporativos.
3. Selecione a entidade de serviço à qual deseja aplicar um atributo de segurança personalizado.
4. Em Gerenciar>atributos de segurança personalizados, selecione Adicionar atribuição.
5. Em Conjunto de atributos, selecioneConditionalAccessTest.
6. Em Nome do atributo, selecione policyRequirement.
7. Em Valores Atribuídos, selecione Adicionar valores, selecione requireMFA na lista e selecione Concluído.
8. Selecione Salvar.

Etapa 3: Testar a política

Entre como um usuário ao qual a política se aplicaria e teste se a MFA é necessária ao acessar o aplicativo.

Outros cenários

• Bloqueio da autenticação herdada
• Bloquear o acesso externo a aplicativos
• Exigir políticas de proteção de dispositivo compatível ou de aplicativos do Intune
• Aplicar controles de frequência de login para aplicativos específicos
• Exigir uma estação de trabalho com acesso privilegiado para aplicativos específicos
• Exigir controles de sessão para usuários de alto risco e aplicativos específicos

Conteúdo relacionado

Modelos de Acesso Condicional

Determinar o efeito usando o modo somente relatório de acesso condicional

Use o modo somente relatório para Acesso Condicional para determinar os resultados de novas decisões de política.