Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Planejar a implantação do Acesso Condicional é fundamental para alcançar a estratégia de acesso da sua organização para aplicativos e recursos. As políticas de Acesso Condicional fornecem flexibilidade de configuração significativa. No entanto, essa flexibilidade significa que você precisa planejar cuidadosamente para evitar resultados indesejáveis.
O Acesso Condicional do Microsoft Entra combina sinais como usuário, dispositivo e localização para automatizar decisões e aplicar políticas de acesso organizacional para recursos. Estas políticas de Acesso Condicional ajudam-no a equilibrar a segurança e a produtividade, impondo controlos de segurança quando necessário e mantendo-se afastado do utilizador quando não o são.
O Acesso Condicional constitui a base do mecanismo de política de segurança Zero Trust da Microsoft.
A Microsoft fornece padrões de segurança que garantem um nível básico de segurança para locatários sem o Microsoft Entra ID P1 ou P2. Com o Acesso Condicional, você pode criar políticas que oferecem a mesma proteção que os padrões de segurança, mas com mais granularidade. O Acesso Condicional e os padrões de segurança não devem ser combinados porque a criação de políticas de Acesso Condicional impede que você habilite os padrões de segurança.
Pré-requisitos
- Um locatário do Microsoft Entra em funcionamento com o Microsoft Entra ID P1, P2 ou uma licença de avaliação habilitada. Se necessário, crie um gratuitamente.
- O Microsoft Entra ID P2 é necessário para incluir o risco de Proteção de ID do Microsoft Entra nas políticas de Acesso Condicional.
- Os administradores que interagem com o Acesso Condicional precisam de uma das seguintes atribuições de função, dependendo das tarefas que estão executando. Para seguir o princípio de menor privilégio do Zero Trust, considere o uso do Gerenciamento de Identidade Privilegiada (PIM) para ativar atribuições de função privilegiadas a tempo.
- Leia as políticas e configurações de Acesso Condicional.
- Crie, modifique ou restaure políticas de Acesso Condicional excluídas temporariamente.
- Um usuário de teste (não um administrador) para verificar se as políticas funcionam conforme o esperado antes de implantar para usuários reais. Se você precisar criar um usuário, consulte Guia de início rápido: adicionar novos usuários ao ID do Microsoft Entra.
- Um grupo que inclui o usuário de teste. Se precisar de criar um grupo, consulte Criar um grupo e adicionar membros no Microsoft Entra ID.
Comunicar a mudança
A comunicação é fundamental para o sucesso de qualquer nova funcionalidade. Informe os usuários sobre como sua experiência muda, quando ela muda e como obter suporte se tiverem problemas.
Componentes da Política de Acesso Condicional
As políticas de Acesso Condicional determinam quem pode aceder aos seus recursos, a que recursos podem aceder e em que condições. As políticas podem conceder acesso, limitar o acesso com controles de sessão ou bloquear o acesso. Você cria uma política de Acesso Condicional definindo as instruções if-then como:
| Se uma tarefa for cumprida | Aplicar os controles de acesso |
|---|---|
| Se você é um usuário em Finanças acessando o aplicativo Folha de pagamento | Exigir autenticação multifator e um dispositivo compatível |
| Se você não é um membro do Finanças acessando o aplicativo Folha de Pagamento | Bloquear o acesso |
| Se o risco do usuário for alto | Exigir uma autenticação multifator e uma alteração de senha segura |
Exclusões de utilizadores
As políticas de Acesso Condicional são ferramentas poderosas. Recomendamos excluir as seguintes contas das suas políticas:
-
Acesso de emergência ou contas de quebra-vidro para evitar o bloqueio devido à configuração incorreta da política. No cenário improvável em que todos os administradores estão bloqueados, sua conta administrativa de acesso de emergência pode ser usada para entrar e recuperar o acesso.
- Mais informações podem ser encontradas no artigo Gerenciar contas de acesso de emergência no Microsoft Entra ID.
-
Contas de serviço e entidades de serviço, como a Conta de Sincronização do Microsoft Entra Connect. As contas de serviço são contas não interativas que não estão vinculadas a nenhum usuário específico. Eles geralmente são usados por serviços de back-end para permitir acesso programático a aplicativos, mas também são usados para entrar em sistemas para fins administrativos. As chamadas feitas por entidades de serviço não são bloqueadas pelas políticas de Acesso Condicional com escopo para os usuários. Use o Acesso Condicional para identidades de carga de trabalho para definir políticas destinadas a entidades de serviço.
- Se sua organização usa essas contas em scripts ou código, substitua-as por identidades gerenciadas.
Faça as perguntas certas
Aqui estão perguntas comuns sobre atribuições e controles de acesso. Registre as respostas para cada política antes de criá-la.
Usuários ou identidades de carga de trabalho
- Quais usuários, grupos, funções de diretório ou identidades de carga de trabalho estão incluídos ou excluídos da política?
- Quais contas ou grupos de acesso de emergência você deve excluir da política?
Aplicações na app ou ações
Esta política aplica-se a uma aplicação, ação do utilizador ou contexto de autenticação? Em caso afirmativo:
- A que aplicações ou serviços se aplica a política?
- Que ações do utilizador estão sujeitas a esta política?
- A que contextos de autenticação esta política se aplica?
Filtro para aplicações
Usar o filtro para aplicativos para incluir ou excluir aplicativos em vez de especificá-los individualmente ajuda as organizações a:
- Dimensione e direcione facilmente qualquer número de aplicativos
- Gerenciar aplicativos com requisitos de política semelhantes
- Reduzir o número de apólices individuais
- Reduzir erros durante a edição de políticas: Não é necessário adicionar ou remover aplicativos manualmente da política. Basta gerenciar os atributos.
- Superar as restrições de tamanho da política
Condições
- Que plataformas de dispositivos estão incluídas ou excluídas da política?
- Quais são os locais de rede conhecidos da organização?
- Que locais estão incluídos ou excluídos da política?
- Que tipos de aplicativo cliente estão incluídos ou excluídos da política?
- Você precisa segmentar atributos específicos do dispositivo?
- Se você usa a Proteção de ID do Microsoft Entra, deseja incorporar o risco de entrada ou do usuário?
Bloquear ou conceder controlos
Deseja conceder acesso aos recursos exigindo um ou mais dos seguintes itens?
- Autenticação multifator
- Dispositivo marcado como em conformidade
- Usando um dispositivo associado híbrido do Microsoft Entra
- Usando um aplicativo cliente aprovado
- Política de proteção de aplicativos aplicada
- Alteração da palavra-passe
- Termos de Utilização aceites
Bloquear o acesso é um controle poderoso. Aplique-o apenas quando entender o impacto. Políticas com instruções de bloqueio podem ter efeitos colaterais não intencionais. Teste e valide antes de ativar o controle em escala. Use o impacto da política ou o modo somente relatório para entender o impacto potencial ao fazer alterações.
Controlos de sessões
Pretende impor algum dos seguintes controlos de acesso em aplicações na nuvem?
- Usar restrições impostas pelo aplicativo
- Usar o controle Aplicativo de Acesso Condicional
- Impor a frequência de início de sessão
- Usar sessões persistentes do navegador
- Personalizar a avaliação contínua de acesso
Combinação de políticas
Ao criar e atribuir políticas, considere como os tokens de acesso funcionam. Os tokens de acesso concedem ou negam acesso com base no fato de o usuário que faz uma solicitação estar autorizado e autenticado. Se o solicitante provar que é quem afirma ser, ele pode usar os recursos ou funcionalidades protegidos.
Os tokens de acesso são emitidos por padrão se uma condição de política de Acesso Condicional não acionar um controle de acesso.
Esta política não impede que o aplicativo bloqueie o acesso por conta própria.
Por exemplo, considere um exemplo de política simplificada em que:
Utilizadores: FINANCE GROUP
Acesso: APP DE FOLHA DE PAGAMENTO
Controle de acesso: autenticação multifator
- O usuário A está no GRUPO DE FINANÇAS, ele é obrigado a realizar a autenticação multifator para acessar o PAYROLL APP.
- O usuário B não está no GRUPO FINANÇAS, recebe um token de acesso e tem permissão para acessar o APLICATIVO DE FOLHA DE PAGAMENTO sem realizar autenticação multifator.
Para garantir que os usuários fora do grupo de finanças não possam acessar o aplicativo de folha de pagamento, crie uma política separada para bloquear todos os outros usuários, como esta política simplificada:
Utilizadores: Incluir todos os utilizadores / Excluir FINANCE GROUP
Acesso: APP DE FOLHA DE PAGAMENTO
Controle de acesso: Bloquear acesso
Agora, quando o Usuário B tenta acessar o PAYROLL APP, ele é bloqueado.
Recomendações
Com base na nossa experiência com Acesso Condicional e no apoio a outros clientes, aqui estão algumas recomendações.
Aplicar políticas de Acesso Condicional a todas as aplicações
Certifique-se de que cada aplicativo tenha pelo menos uma política de Acesso Condicional aplicada. Do ponto de vista da segurança, é melhor criar uma política que inclua Todos os recursos (anteriormente "Todos os aplicativos na nuvem"). Essa prática garante que você não precise atualizar as políticas de Acesso Condicional toda vez que integrar um novo aplicativo.
Gorjeta
Tenha cuidado ao usar o bloco e todos os recursos em uma única política. Essa combinação pode bloquear administradores e exclusões não podem ser configuradas para pontos de extremidade importantes, como o Microsoft Graph.
Minimizar o número de políticas de Acesso Condicional
Criar uma política para cada aplicativo não é eficiente e dificulta o gerenciamento de políticas. O Acesso Condicional tem um limite de 195 políticas por inquilino. Esse limite de 195 políticas inclui políticas de Acesso Condicional em qualquer estado, incluindo o modo somente relatório, ativado ou desativado.
Analise seus aplicativos e agrupe-os pelos mesmos requisitos de recursos para os mesmos usuários. Por exemplo, se todos os aplicativos do Microsoft 365 ou todos os aplicativos de RH tiverem os mesmos requisitos para os mesmos usuários, crie uma única política e inclua todos os aplicativos aos quais ela se aplica.
As políticas de Acesso Condicional estão contidas em um arquivo JSON e esse arquivo tem um limite de tamanho que uma única política geralmente não excede. Se você usar uma longa lista de GUIDs em sua política, poderá atingir esse limite. Se você encontrar esses limites, tente estas alternativas:
- Use grupos ou funções para incluir ou excluir usuários em vez de listar cada usuário individualmente.
- Use filtro para aplicativos para incluir ou excluir aplicativos em vez de especificá-los individualmente.
Configurar o modo só de relatório
Habilite as políticas no modo somente relatório. Depois de salvar uma política no modo somente relatório, você verá o efeito nas entradas em tempo real nos logs de entrada. Nos logs de entrada, selecione um evento e vá para a guia Somente relatório para ver o resultado de cada política somente relatório.
Exiba os efeitos agregados de suas políticas de Acesso Condicional na pasta de trabalho Insights e Relatórios. Para acessar a pasta de trabalho, você precisa de uma assinatura do Azure Monitor e precisa transmitir seus logs de entrada para um espaço de trabalho de análise de log.
Planejar a interrupção
Reduza o risco de bloqueio durante interrupções imprevistas, planejando estratégias de resiliência para sua organização.
Ativar ações protegidas
Habilite ações protegidas para adicionar outra camada de segurança às tentativas de criar, alterar ou excluir políticas de Acesso Condicional. As organizações podem exigir uma nova autenticação multifator ou outro controle de concessão antes de alterar a política.
Definir configurações de usuário convidado
Para organizações externas que você conhece e com as quais tem um relacionamento, convém confiar na autenticação multifator, na conformidade do dispositivo ou nas declarações de dispositivo híbrido apresentadas pelos convidados às suas políticas de Acesso Condicional. Para obter mais informações, consulte Gerenciar configurações de acesso entre locatários para colaboração B2B. Há algumas advertências relacionadas a como os usuários B2B trabalham com a Proteção de ID do Microsoft Entra, para obter mais informações, consulte Proteção de ID do Microsoft Entra para Usuários B2B.
Definir padrões de nomenclatura para suas políticas
Um padrão de nomenclatura ajuda você a encontrar políticas e entender seu propósito sem abri-las. Nomeie sua política para mostrar:
- Um número sequencial
- As aplicações na nuvem às quais se aplica
- A resposta
- A quem se aplica
- Quando é aplicável
Exemplo: Uma política para exigir MFA para usuários de marketing que acessam o aplicativo Dynamics CRP de redes externas pode ser:
Um nome descritivo ajuda você a manter uma visão geral da implementação do Acesso Condicional. O número de sequência é útil se você precisar fazer referência a uma política em uma conversa. Por exemplo, quando fala com um administrador ao telefone, pode pedir-lhe para abrir a política CA01 para resolver um problema.
Normas de nomenclatura para controlos de acesso de emergência
Além de suas políticas ativas, implemente políticas desabilitadas que atuam como controles de acesso resilientes secundários em cenários de interrupção ou emergência. Seu padrão de nomenclatura para políticas de contingência deve incluir:
- HABILITAR EM EMERGÊNCIA no início para fazer o nome se destacar entre as outras políticas.
- O nome da perturbação a que se deve aplicar.
- Um número de sequência de pedidos para ajudar o administrador a saber em que ordem as políticas devem ser habilitadas.
Exemplo: O nome a seguir mostra que essa política é a primeira de quatro políticas a serem habilitadas se houver uma interrupção de MFA:
- EM01 - ATIVAR EM CASO DE EMERGÊNCIA: Interrupção do MFA [1/4] - Exchange SharePoint: Exigir associação híbrida do Microsoft Entra Para usuários VIP.
Bloquear países/regiões dos quais nunca espera iniciar sessão
O Microsoft Entra ID permite criar locais nomeados. Crie uma lista de países/regiões permitidos e, em seguida, crie uma política de bloqueio de rede com estes "países/regiões permitidos" como uma exclusão. Essa opção cria menos despesas gerais para clientes baseados em locais geográficos menores. Certifique-se de excluir suas contas de acesso de emergência desta política.
Implantar políticas de Acesso Condicional
Quando estiver pronto, implante suas políticas de Acesso Condicional em fases. Comece com algumas políticas principais de Acesso Condicional, como as que se seguem. Muitas políticas estão disponíveis como modelos de política de Acesso Condicional. Por padrão, cada política criada a partir de um modelo está no modo somente relatório. Teste e monitore o uso, para garantir o resultado pretendido, antes de ativar cada política.
Implante políticas nas três fases a seguir para equilibrar as melhorias de segurança com o mínimo de interrupção do usuário. As organizações podem ajustar cronogramas com base em seu tamanho, complexidade e recursos de gerenciamento de alterações.
Importante
Antes de implantar qualquer política:
- Verificar se as contas de acesso de emergência estão excluídas de todas as políticas
- Testar políticas com um grupo piloto antes da implantação em toda a organização
- Verifique se os usuários registraram os métodos de autenticação necessários
- Comunicar alterações aos usuários afetados e fornecer documentação de suporte
Fase 1: Fundação (Semana 1-2)
Estabeleça controles de segurança de base e prepare-se para a aplicação da autenticação multifator. Pré-requisitos: Certifique-se de que os usuários possam se registrar para MFA antes de habilitar políticas de aplicação.
| Política de Acesso Condicional | Scenario | Requisito de licença |
|---|---|---|
| Bloquear a autenticação legada | Todos os utilizadores | Microsoft Entra ID P1 |
| Proteger a página de registro de MFA (Minhas Informações de Segurança) | Todos os utilizadores | Microsoft Entra ID P1 |
| Funções internas privilegiadas do Microsoft Entra impõem métodos resistentes a phishing | Utilizadores com privilégios | Microsoft Entra ID P1 |
Fase 2: Autenticação principal (Semana 2-3)
Aplique a MFA para todos os usuários e hóspedes e proteja os dispositivos móveis com políticas de proteção de aplicativos. Principais impactos: Os usuários serão obrigados a usar MFA para todos os logins e usar aplicativos aprovados com proteção de aplicativo em dispositivos móveis. Certifique-se de que o plano de comunicação seja executado e que os recursos de suporte estejam disponíveis.
| Política de Acesso Condicional | Scenario | Requisito de licença |
|---|---|---|
| Toda a atividade de entrada do usuário usa métodos de autenticação forte | Todos os utilizadores | Microsoft Entra ID P1 |
| O acesso de convidado é protegido por métodos de autenticação forte | Acesso de convidado | Microsoft Entra ID P1 |
| Exigir aplicativos cliente aprovados ou política de proteção de aplicativos | Utilizadores de dispositivos móveis | Microsoft Entra ID P1 |
| Exigir autenticação multifator para ingresso e registro de dispositivo usando a ação do usuário | Todos os utilizadores | Microsoft Entra ID P1 |
Fase 3: Proteção avançada (Semana 3-4)
Adicione políticas baseadas em risco e controles avançados de prevenção de ataques. Requisito de licença: As políticas baseadas em risco requerem licenças P2 do Microsoft Entra ID.
| Política de Acesso Condicional | Scenario | Requisito de licença |
|---|---|---|
| Restringir entradas de alto risco | Todos os utilizadores | Microsoft Entra ID P2 |
| Restringir o acesso a utilizadores de alto risco | Todos os utilizadores | Microsoft Entra ID P2 |
| A atividade de início de sessão do utilizador utiliza proteção de token | Todos os utilizadores | Microsoft Entra ID P1 |
| Restringir o fluxo de código do dispositivo | Todos os utilizadores | Microsoft Entra ID P1 |
| A transferência de autenticação está bloqueada | Todos os utilizadores | Microsoft Entra ID P1 |
| As políticas de Acesso Condicional para Estações de Trabalho de Acesso Privilegiado (PAW) estão configuradas | Utilizadores com privilégios | Microsoft Entra ID P1 |
Gorjeta
Habilite cada política no modo somente relatório por pelo menos uma semana antes da aplicação. Revise os logs de entrada e comunique as alterações aos usuários antes de passar para a próxima fase.
Observação
As estações de trabalho de acesso privilegiado (PAW) exigem um planejamento significativo da infraestrutura. As organizações devem implementar essa política somente depois de estabelecer uma estratégia de implantação de PAW e provisionar dispositivos seguros para usuários privilegiados.
Avaliar o impacto da política
Use as ferramentas disponíveis para verificar o efeito de suas políticas antes e depois de fazer alterações. Uma execução simulada dá uma boa ideia de como uma política de Acesso Condicional afeta o login, mas não substitui uma execução de teste real em um ambiente de desenvolvimento configurado corretamente.
Os administradores podem confirmar as configurações de política usando o impacto da política ou o modo somente relatório.
Teste as suas políticas
Certifique-se de testar os critérios de exclusão de uma política. Por exemplo, você pode excluir um usuário ou grupo de uma política que exija MFA. Teste se os usuários excluídos são solicitados para MFA, porque a combinação de outras políticas pode exigir MFA para esses usuários.
Execute cada teste em seu plano de teste com usuários de teste. O plano de teste ajuda-o a comparar os resultados esperados e reais.
Implantar em produção
Depois de confirmar as definições através do impacto da política ou do modo só de relatório, mova o botão de alternar Ativar política de Apenas Relatório para Ativado.
Políticas de reversão
Se você precisar reverter políticas recém-implementadas, use uma ou mais destas opções:
Desative a política. A desativação de uma política garante que ela não se aplica quando um usuário tenta entrar. Você sempre pode voltar e ativar a política quando quiser usá-la.
Excluir um usuário ou grupo de uma política. Se um usuário não puder acessar o aplicativo, exclua-o da política.
Atenção
Use exclusões com moderação, apenas em situações em que o usuário é confiável. Adicione os usuários de volta à política ou ao grupo o mais rápido possível.
Se uma política estiver desativada e não for mais necessária, exclua-a.
Restaurar políticas excluídas
Se um Acesso Condicional ou local for excluído, ele poderá ser restaurado dentro do período de 30 dias de exclusão suave. Para obter mais informações sobre como restaurar políticas de Acesso Condicional e locais nomeados, consulte o artigo Recuperar de exclusões.
Solucionar problemas de políticas de Acesso Condicional
Se um usuário tiver um problema com uma política de Acesso Condicional, colete essas informações para ajudar na solução de problemas.
- Nome principal do usuário
- Nome de exibição do usuário
- Nome do sistema operacional
- Carimbo de data/hora (uma hora aproximada é boa)
- Aplicação de destino
- Tipo de aplicativo cliente (navegador ou cliente)
- ID de correlação (este ID é exclusivo para o início de sessão)
Se o usuário receber uma mensagem com um link Mais detalhes , ele poderá coletar a maioria dessas informações para você.
Depois de coletar as informações, consulte estes recursos:
- Problemas de início de sessão com o Acesso Condicional – Saiba mais sobre os resultados de início de sessão inesperados relacionados com o Acesso Condicional utilizando mensagens de erro e o registo de início de sessão do Microsoft Entra.
- Usando a ferramenta What-If – Saiba por que uma política é ou não aplicada a um usuário em uma situação específica ou se uma política se aplica em um estado conhecido.