Compartilhar via

O que é Acesso Condicional?

A segurança moderna se estende para além do perímetro da rede de uma organização para incluir a identidade do usuário e do dispositivo. As organizações agora usam esses sinais de identidade como parte de suas decisões de controle de acesso. O acesso condicional do Microsoft Entra reúne sinais para tomar decisões e impor políticas organizacionais. O Acesso Condicional é o mecanismo de política de Confiança Zero da Microsoft levando em conta sinais de várias fontes ao impor decisões de política.

Diagrama mostrando o conceito de sinais de Acesso Condicional e a decisão de aplicar a política organizacional.

Em sua definição mais simples, as políticas de Acesso Condicional são instruções se-então, se um usuário quiser acessar um recurso, então ele deverá concluir uma ação. Por exemplo: se um usuário quiser acessar um aplicativo ou serviço como o Microsoft 365, ele deverá executar a autenticação multifator para obter acesso.

Os administradores enfrentam duas metas principais:

  • Capacitar os usuários para serem produtivos sempre e em qualquer lugar
  • Proteger os ativos da organização

Use as políticas de Acesso Condicional, para aplicar os controles de acesso certos, quando necessário, para manter sua organização segura.

Importante

As políticas de Acesso Condicional são impostas após a conclusão do primeiro fator de autenticação. O Acesso Condicional não se destina a ser a linha de frente de defesa de uma organização para cenários como ataques de negação de serviço (DoS), mas pode usar sinais desses eventos para determinar o acesso.

Sinais comuns

O Acesso Condicional usa sinais de várias fontes para tomar decisões de acesso.

Diagrama que mostra o Acesso Condicional como o mecanismo de política de Confiança Zero agregando sinais de várias fontes.

Esses sinais incluem:

  • Associação de usuário ou grupo
    • As políticas podem ser direcionadas a usuários e grupos específicos que dão aos administradores controle refinado sobre o acesso.
  • Informações de localização de IP
    • As organizações podem criar intervalos de endereços IP confiáveis que podem ser usados ao tomar decisões sobre política.
    • Os administradores podem especificar países inteiros ou intervalos de IP de regiões para bloquear ou permitir o tráfego.
  • Dispositivo
    • Os usuários com dispositivos de plataformas específicas ou marcados com um estado específico podem ser usados ao impor políticas de acesso condicional.
    • Use filtros para dispositivos para direcionar políticas para dispositivos específicos, como estações de trabalho de acesso privilegiado.
  • Aplicativo
    • Aplique diferentes políticas de Acesso Condicional quando usuários tentarem acessar aplicativos específicos.
  • Detecção de risco calculado e em tempo real
  • Microsoft Defender para Aplicativos de Nuvem
    • Monitore e controle o acesso e as sessões do aplicativo do usuário em tempo real. Essa integração melhora a visibilidade e o controle sobre o acesso e as atividades em seu ambiente de nuvem.

Decisões comuns

  • Bloquear o acesso é a decisão mais restritiva.
  • Conceda acesso.
  • Uma decisão menos restritiva que pode exigir uma ou mais das seguintes opções:
    • Exigir autenticação multifator.
    • Exigir força de autenticação.
    • Exija que o dispositivo seja marcado como compatível.
    • Exigir um dispositivo híbrido associado ao Microsoft Entra.
    • Exigir um aplicativo cliente aprovado.
    • Exigir uma política de proteção de aplicativo.
    • Exigir uma alteração de senha.
    • Exigir termos de uso.

Políticas comumente aplicadas

Muitas organizações têm preocupações comuns de acesso com as quais as políticas de Acesso Condicional podem ajudar, como:

  • Como exigir a autenticação multifator para usuários com funções administrativas
  • Como exigir a autenticação multifator para tarefas de gerenciamento do Azure
  • Bloquear entradas de usuários que tentam usar protocolos de autenticação herdados
  • Exigir locais confiáveis para registro de informações de segurança
  • Bloquear ou permitir acesso em localizações específicas
  • Bloquear comportamentos de entrada de risco
  • Exigir dispositivos gerenciados pela organização para aplicativos específicos

Os administradores podem criar políticas do zero ou começar com uma política de modelo no portal ou usando a API do Microsoft Graph.

Administração experiência

Administradores com a função Administrador de Acesso Condicional podem gerenciar políticas.

Você pode encontrar o Acesso Condicional no Centro de administração do Microsoft Entra em Entra ID>Acesso Condicional.

Captura de tela da página de visão geral do Acesso Condicional.

  • A página Visão geral mostra um resumo do estado da política, usuários, dispositivos e aplicativos, juntamente com alertas gerais e de segurança com sugestões.
  • A página Cobertura mostra um resumo de aplicativos com e sem cobertura de política de Acesso Condicional nos últimos sete dias.
  • A página Monitoramento permite que os administradores vejam um grafo de entradas que pode ser filtrado para ver possíveis lacunas na cobertura da política.

As políticas de Acesso Condicional na página Políticas podem ser filtradas por administradores com base em itens como ator, recurso de destino, condição, controle aplicado, estado ou data. Essa capacidade de filtragem permite que os administradores encontrem políticas específicas com base em sua configuração rapidamente.

Agente de otimização de acesso condicional

O agente de otimização de acesso condicional (versão prévia) com o Microsoft Security Copilot sugere novas políticas e alterações nas existentes com base nos princípios de Confiança Zero e nas práticas recomendadas da Microsoft. Com um clique, aplique a sugestão para atualizar ou criar automaticamente uma política de Acesso Condicional. O agente precisa, pelo menos, da licença do Microsoft Entra ID P1 e das unidades de computação de segurança (SCU).

Requisitos de licença

O uso desse recurso requer licenças P1 do Microsoft Entra ID. Para encontrar a licença certa para seus requisitos, confira Comparar recursos do Microsoft Entra ID com disponibilidade geral.

Os clientes com licenças do Microsoft 365 Business Premium também podem usar recursos de Acesso Condicional.

Outros produtos e recursos que interagem com políticas de Acesso Condicional exigem o licenciamento adequado para esses produtos e recursos. Isso inclui o Microsoft Entra Workload ID, a Proteção de ID do Microsoft Entra e o Microsoft Purview.

Quando as licenças necessárias para Acesso Condicional expiram, as políticas não são automaticamente desabilitadas ou excluídas. Esse estado gradual permite que os clientes migrem das políticas de Acesso Condicional sem uma mudança repentina na sua postura de segurança. Você pode exibir e excluir as políticas restantes, mas não pode atualizá-las.

Os padrões de segurança ajudam na proteção contra ataques relacionados à identidade e estão disponíveis para todos os clientes.

Confiança Zero

Esse recurso ajuda as organizações a alinhar suas identidades com os três princípios orientadores de uma arquitetura de Confiança Zero:

  • Verificação explícita
  • Use o mínimo de privilégios
  • Pressupor a violação

Para saber mais sobre a Confiança Zero e outras maneiras de alinhar sua organização aos princípios orientadores, confira o Centro de Diretrizes da Confiança Zero.

Próximas etapas

  • Last updated on