Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Uma política de Acesso Condicional inclui uma atribuição de identidade de usuário, grupo ou carga de trabalho como um dos sinais no processo de decisão. Essas identidades podem ser incluídas ou excluídas das políticas de acesso condicional. A ID do Microsoft Entra avalia todas as políticas e garante que todos os requisitos sejam atendidos antes de conceder acesso.
Incluir usuários
Essa lista normalmente inclui todos os usuários que uma organização direciona em uma política de Acesso Condicional.
As opções a seguir estão disponíveis ao criar uma política de Acesso Condicional.
- Nenhum
- Nenhum usuário está selecionado
- todos os usuários
- Todos os usuários no diretório, incluindo convidados B2B.
- Selecionar Usuários e grupos
- Usuários convidados ou externos
- Essa seleção permite direcionar políticas de Acesso Condicional para tipos específicos de convidados ou usuários externos e para locatários que contêm esses usuários. Existem vários tipos diferentes de usuários convidados ou externos que podem ser selecionados, e várias seleções podem ser feitas:
- Usuários convidados de colaboração B2B
- Usuários membros da colaboração B2B
- Usuários de conexão direta de B2B
- Usuários convidados locais, por exemplo, qualquer usuário pertencente ao locatário inicial com o atributo de tipo de usuário definido como convidado
- Usuários de provedores de serviços, por exemplo, um provedor de soluções em nuvem (CSP)
- Outros usuários externos ou usuários não representados pelas outras seleções de tipo de usuário
- Um ou mais locatários podem ser especificados para os tipos de usuário selecionados ou você pode especificar todos os locatários.
- Essa seleção permite direcionar políticas de Acesso Condicional para tipos específicos de convidados ou usuários externos e para locatários que contêm esses usuários. Existem vários tipos diferentes de usuários convidados ou externos que podem ser selecionados, e várias seleções podem ser feitas:
- Funções de diretório
- Permite que os administradores selecionem funções de diretório internas específicas para determinar a atribuição de política. Por exemplo, as organizações podem criar uma política mais restritiva para usuários com a função com privilégios. Não há suporte para outros tipos de função, incluindo funções administrativas com escopo de unidade e funções personalizadas.
- O Acesso Condicional permite que os administradores selecionem algumas funções listadas como preteridas. Essas funções ainda aparecem na API subjacente e permitimos que os administradores apliquem a política a elas.
- Permite que os administradores selecionem funções de diretório internas específicas para determinar a atribuição de política. Por exemplo, as organizações podem criar uma política mais restritiva para usuários com a função com privilégios. Não há suporte para outros tipos de função, incluindo funções administrativas com escopo de unidade e funções personalizadas.
- Usuários e grupos
- Permite direcionar conjuntos específicos de usuários. Por exemplo, as organizações podem selecionar um grupo que contenha todos os membros do departamento de RH quando um aplicativo de RH for selecionado como o aplicativo na nuvem. Um grupo pode ser qualquer tipo de grupo de usuários no Microsoft Entra ID, incluindo grupos de distribuição e segurança dinâmicos ou atribuídos. A política será aplicada a usuários e grupos aninhados.
- Usuários convidados ou externos
Importante
Ao selecionar quais usuários e grupos estão incluídos em uma Política de Acesso Condicional, há um limite para o número de usuários individuais que podem ser adicionados diretamente a uma política de Acesso Condicional. Se muitos usuários individuais precisarem ser adicionados a uma política de Acesso Condicional, coloque-os em um grupo e atribua o grupo à política.
Se usuários ou grupos pertencerem a mais de 2048 grupos, seu acesso poderá ser bloqueado. Esse limite se aplica à associação de grupo direta e aninhada.
Aviso
As políticas de acesso condicional não oferecem suporte a usuários atribuídos a uma função de diretório com escopo para uma unidade administrativa ou funções de diretório com escopo diretamente para um objeto, como por meio de funções personalizadas.
Observação
Ao direcionar políticas para usuários externos de conexão direta B2B, essas políticas são aplicadas a usuários de colaboração B2B que acessam o Teams ou o SharePoint Online que também estão qualificados para conexão direta B2B. O mesmo se aplica a políticas direcionadas a usuários externos de colaboração B2B, o que significa que os usuários que acessam canais compartilhados do Teams têm políticas de colaboração B2B aplicadas se eles também tiverem uma presença de usuário convidado no locatário.
Excluir usuários
Quando as organizações incluem e excluem um usuário ou grupo, ele é excluído da política. A ação de exclusão substitui a ação de inclusão em uma política. As exclusões geralmente são usadas para contas de acesso de emergência ou contas de quebra de vidro. Encontre nos artigos a seguir mais informações sobre contas de acesso de emergência e sua importância:
- Gerenciar contas de acesso de emergência no Microsoft Entra ID
- Criar uma estratégia de gerenciamento de controle de acesso resiliente com o Microsoft Entra ID
As opções a seguir estão disponíveis para exclusão ao criar uma política de Acesso Condicional.
- Usuários convidados ou externos
- Essa seleção fornece várias opções que podem ser usadas para direcionar políticas de Acesso Condicional para tipos específicos de usuários convidados ou externos e locatários específicos que contêm esses tipos de usuários. Existem vários tipos diferentes de usuários convidados ou externos que podem ser selecionados, e várias seleções podem ser feitas:
- Usuários convidados de colaboração B2B
- Usuários membros da colaboração B2B
- Usuários de conexão direta de B2B
- Usuários convidados locais, por exemplo, qualquer usuário pertencente ao locatário inicial com o atributo de tipo de usuário definido como convidado
- Usuários de provedores de serviços, por exemplo, um provedor de soluções em nuvem (CSP)
- Outros usuários externos ou usuários não representados pelas outras seleções de tipo de usuário
- Um ou mais locatários podem ser especificados para os tipos de usuário selecionados ou você pode especificar todos os locatários.
- Essa seleção fornece várias opções que podem ser usadas para direcionar políticas de Acesso Condicional para tipos específicos de usuários convidados ou externos e locatários específicos que contêm esses tipos de usuários. Existem vários tipos diferentes de usuários convidados ou externos que podem ser selecionados, e várias seleções podem ser feitas:
- Funções de diretório
- Permite que os administradores selecionem funções de diretório específicas do Microsoft Entra usadas para determinar a atribuição.
- Usuários e grupos
- Permite direcionar conjuntos específicos de usuários. Por exemplo, as organizações podem selecionar um grupo que contenha todos os membros do departamento de RH quando um aplicativo de RH for selecionado como o aplicativo na nuvem. Um grupo pode ser qualquer tipo de grupo no Microsoft Entra ID, incluindo grupos de segurança e distribuição dinâmicos ou atribuídos. A política será aplicada a usuários e grupos aninhados.
Impedindo o bloqueio do administrador
Para evitar o bloqueio de administrador, ao criar uma política aplicada a Todos os usuários e a Todos os aplicativos, o aviso a seguir será exibido.
Não se bloqueie! É recomendável aplicar uma política a um pequeno conjunto de usuários primeiro para verificar se ele se comporta conforme o esperado. Também recomendamos excluir pelo menos um administrador dessa política. Isso garante que você ainda terá acesso e poderá atualizar uma política se uma alteração for necessária. Revise os usuários e aplicativos afetados.
Por padrão, a política fornece uma opção para excluir o usuário atual, mas um administrador pode substituí-lo conforme mostrado na imagem a seguir.
Se você se encontrar trancado, veja o que fazer se estiver trancado?
Acesso ao parceiro externo
As políticas de Acesso Condicional direcionadas a usuários externos podem interferir no acesso do provedor de serviços, como privilégios de administrador delegado granulares. Saiba mais em Introdução aos GDAP (privilégios de administrador delegado granulares). Para políticas destinadas a locatários de provedores de serviços, use o tipo de usuário externo Usuário do provedor de serviços disponível nas opções de seleção Convidado ou usuários externos.
Identidades de carga de trabalho
Uma identidade de carga de trabalho é uma identidade que permite que um aplicativo ou entidade de serviço acesse recursos, às vezes no contexto de um usuário. As políticas de Acesso Condicional podem ser aplicadas a entidades de serviço de locatário único registradas em seu locatário. SaaS de fornecedores não Microsoft e aplicativos multitenant estão fora do escopo. As identidades gerenciadas não são cobertas pela política.
As organizações podem ter como alvo identidades de carga de trabalho específicas para serem incluídas ou excluídas da política.
Para obter mais informações, confira o artigo Acesso Condicional para identidades de carga de trabalho.