Planejar uma implantação de acesso condicional

2025-10-01

O planejamento da implantação de acesso condicional é essencial para garantir a estratégia de acesso obrigatória da sua organização para aplicativos e recursos. As políticas de Acesso Condicional fornecem flexibilidade de configuração significativa. No entanto, essa flexibilidade significa que você precisa planejar cuidadosamente para evitar resultados indesejáveis.

O Acesso Condicional do Microsoft Entra combina sinais como usuário, dispositivo e localização para automatizar decisões e impor políticas de acesso organizacional aos recursos. Essas políticas de Acesso Condicional ajudam você a equilibrar a segurança e a produtividade, impondo controles de segurança quando necessário e ficando fora do caminho do usuário quando não estiverem.

O Acesso Condicional forma a base do mecanismo de política de segurança de Confiança Zero da Microsoft.

Diagrama mostrando uma visão geral de acesso condicional de alto nível.

A Microsoft fornece padrões de segurança que garantem um nível básico de segurança para locatários sem o Microsoft Entra ID P1 ou P2. Com o Acesso Condicional, você pode criar políticas que oferecem a mesma proteção que os padrões de segurança, mas com mais granularidade. Os padrões de acesso condicional e segurança não devem ser combinados porque a criação de políticas de Acesso Condicional impede que você habilite os padrões de segurança.

Pré-requisitos

Um locatário do Microsoft Entra em funcionamento com o Microsoft Entra ID P1, P2 ou uma licença de avaliação habilitada. Se necessário, crie um gratuitamente.
- É necessário ter a licença P2 do Microsoft Entra ID para incluir o risco de Proteção do Microsoft Entra ID nas políticas de acesso condicional.
Os administradores que interagem com o Acesso Condicional precisam de uma das seguintes atribuições de função, dependendo das tarefas que estão executando. Para seguir o princípio de Confiança Zero de privilégios mínimos, considere usar o PIM (Privileged Identity Management) para ativar atribuições de função privilegiadas bem a tempo.
- Leia as políticas e configurações de Acesso Condicional.
  - Leitor de Segurança
- Criar ou modificar políticas de Acesso Condicional.
  - administrador de acesso condicional
Um usuário de teste (não um administrador) para verificar se as políticas funcionam conforme o esperado antes de implantar em usuários reais. Se você precisar criar um usuário, consulte Início Rápido: Adicionar novos usuários à ID do Microsoft Entra.
Um grupo que inclui o usuário de teste. Se você precisar criar um grupo, consulte Criar um grupo e adicionar membros na ID do Microsoft Entra.

Comunicar a alteração

A comunicação é fundamental para o sucesso de qualquer nova funcionalidade. Informe aos usuários como sua experiência muda, quando ela é alterada e como obter suporte se eles tiverem problemas.

Componentes de política de acesso condicional

As políticas de Acesso Condicional determinam quem pode acessar seus recursos, quais recursos eles podem acessar e em quais condições. As políticas podem conceder acesso, limitar o acesso com controles de sessão ou bloquear o acesso. Você cria uma política de Acesso Condicional definindo as instruções if-then como:

Se uma atribuição for atendida	Aplicar os controles de acesso
Se você for um usuário do Finance acessando o aplicativo Folha de Pagamento	Exigir a autenticação multifator e um dispositivo compatível
Se você não for membro do Finance acessando o aplicativo Folha de Pagamento	Bloquear acesso
Se o risco do usuário for alto	Exigir uma autenticação multifator e uma alteração de senha segura

Exclusões de usuário

As políticas de Acesso Condicional são ferramentas avançadas. É recomendável excluir as seguintes contas de suas políticas:

Acesso de emergência ou contas de emergência para impedir o bloqueio devido à configuração incorreta da política. No cenário improvável em que todos os administradores estão bloqueados, sua conta administrativa de acesso de emergência pode ser usada para entrar e recuperar o acesso.
- Mais informações podem ser encontradas no artigo, Gerenciar contas de acesso de emergência na ID do Microsoft Entra.
Contas de serviço e principais de serviço, como a Conta de Sincronização no Microsoft Entra Connect. As contas de serviço são contas não interativas que não estão vinculadas a nenhum usuário específico. Normalmente, eles são usados por serviços de back-end para permitir acesso programático a aplicativos, mas também são usados para entrar em sistemas para fins administrativos. As chamadas feitas por entidades de serviço não são bloqueadas pelas políticas de Acesso Condicional com escopo para os usuários. Use o Acesso Condicional para identidades de carga de trabalho para definir políticas direcionadas às entidades de serviço.
- Se sua organização usar essas contas em scripts ou código, substitua-as por identidades gerenciadas.

Faça as perguntas certas

Aqui estão perguntas comuns sobre atribuições e controles de acesso. Registre as respostas para cada política antes de criá-la.

Identidades de usuários ou de carga de trabalho

Quais usuários, grupos, funções do diretório ou identidades de carga de trabalho estão incluídos na política ou excluídos dela?
Quais contas ou grupos de acesso de emergência você deve excluir da política?

Aplicativos na nuvem ou ações

Essa política se aplica a um aplicativo, ação do usuário ou contexto de autenticação? Em caso afirmativo:

A quais aplicativos ou serviços a política se aplica?
Quais ações do usuário estão sujeitas a esta política?
A quais contextos de autenticação essa política se aplica?

Filtrar aplicativos

Usar o filtro para aplicativos para incluir ou excluir aplicativos em vez de especificá-los individualmente ajuda as organizações:

Dimensionar e direcionar qualquer número de aplicativos facilmente
Gerenciar aplicativos com requisitos de política semelhantes
Reduzir o número de políticas individuais
Reduzir erros durante a edição de políticas: não é necessário adicionar ou remover aplicativos manualmente da política. Basta gerenciar os atributos.
Superar restrições de tamanho de política

Condições

Quais plataformas de dispositivo estão incluídas na política ou excluídas dela?
Quais são os locais de rede conhecidos da organização?
- Quais locais estão incluídos na política ou excluídos dela?
Quais tipos de aplicativos do cliente estão incluídos na política ou excluídos dela?
Você precisa direcionar atributos de dispositivo específicos?
Se você usar o Microsoft Entra ID Protection, deseja incorporar o risco de entrada ou de usuário?

Bloquear ou conceder controles

Deseja conceder acesso aos recursos exigindo um ou mais dos seguintes itens?

Autenticação multifator
Dispositivo marcado como em conformidade
Usar um dispositivo conectado de maneira híbrida ao Microsoft Entra
Como usar um aplicativo cliente aprovado
Política de proteção de aplicativo aplicada
Alteração de senha
Termos de Uso aceitos

O acesso a blocos é um controle poderoso. Aplique-o somente quando você entender o impacto. Políticas com instruções de bloco podem ter efeitos colaterais não intencionais. Teste e valide antes de habilitar o controle em escala. Use o impacto da política ou o modo somente relatório para entender o potencial impacto ao fazer alterações.

Controles de sessão

Deseja impor qualquer um dos seguintes controles de acesso em aplicativos de nuvem?

Usar restrições de aplicativo impostas
Usar o controle de aplicativos do acesso condicional
Aplicar a frequência de entrada
Usar sessão do navegador persistente
Personalizar a avaliação contínua de acesso

Como combinar políticas

Ao criar e atribuir políticas, considere como os tokens de acesso funcionam. Os tokens de acesso concedem ou negam acesso com base em se o usuário que está fazendo uma solicitação é autorizado e autenticado. Se o solicitante provar que é quem ele diz ser, ele poderá usar os recursos ou a funcionalidade protegidos.

Os tokens de acesso são emitidos por padrão se uma condição de política de Acesso Condicional não disparar um controle de acesso.

Essa política não impede que o aplicativo bloqueie o acesso por conta própria.

Por exemplo, considere um exemplo de política simplificada em que:

Usuários: GRUPO FINANCE
Acessando: APLICATIVO FOLHA DE PAGAMENTO
Controle de acesso: autenticação multifator

O usuário A está no GRUPO FINANCEIRO, ele é obrigado a executar a autenticação multifator para acessar o APLICATIVO PAYROLL.
O usuário B não está no GRUPO FINANCEIRO, é emitido um token de acesso e tem permissão para acessar o APLICATIVO PAYROLL sem executar a autenticação multifator.

Para garantir que os usuários fora do grupo financeiro não possam acessar o aplicativo de folha de pagamento, crie uma política separada para bloquear todos os outros usuários, como esta política simplificada:

Usuários: incluir todos os usuários/Excluir GRUPO FINANCE
Acessando: APLICATIVO FOLHA DE PAGAMENTO
Controle de acesso: bloquear acesso

Agora, quando o usuário B tenta acessar o APLICATIVO PAYROLL, ele é bloqueado.

Recomendações

Com base em nossa experiência com acesso condicional e suporte a outros clientes, aqui estão algumas recomendações.

Aplicar políticas de Acesso Condicional a todos os aplicativos

Verifique se cada aplicativo tem pelo menos uma política de Acesso Condicional aplicada. Do ponto de vista de segurança, é melhor criar uma política que inclua Todos os recursos (anteriormente 'Todos os aplicativos de nuvem'). Essa prática garante que você não precise atualizar as políticas de acesso condicional sempre que integrar um novo aplicativo.

Dica

Tenha cuidado ao usar blocos e todos os recursos em uma única política. Essa combinação pode bloquear os administradores e as exclusões não podem ser configuradas para pontos de extremidade importantes, como o Microsoft Graph.

Minimizar o número de políticas de Acesso Condicional

A criação de uma política para cada aplicativo não é eficiente e dificulta o gerenciamento de políticas. O Acesso Condicional tem um limite de 195 políticas por locatário. Esse limite de 195 políticas inclui políticas de Acesso Condicional em qualquer estado, incluindo modo somente relatório, ativado ou desativado.

Analise seus aplicativos e agrupe-os pelos mesmos requisitos de recurso para os mesmos usuários. Por exemplo, se todos os aplicativos do Microsoft 365 ou todos os aplicativos de RH tiverem os mesmos requisitos para os mesmos usuários, crie uma única política e inclua todos os aplicativos aos quais ele se aplica.

As políticas de Acesso Condicional estão contidas em um arquivo JSON e esse arquivo tem um limite de tamanho que uma única política geralmente não excede. Se você usar uma longa lista de GUIDs na política, poderá atingir esse limite. Se você encontrar esses limites, experimente estas alternativas:

Configurar o modo somente relatório

Habilitar políticas no modo somente relatório. Depois de salvar uma política no modo somente relatório, você verá o efeito nas entradas em tempo real nos logs de entrada. Nos logs de entrada, selecione um evento e vá para a guia Somente relatório para ver o resultado de cada política somente relatório.

Exiba os efeitos agregados de suas políticas de Acesso Condicional na pasta de trabalho Insights e Reporting. Para acessar a pasta de trabalho, você precisa de uma assinatura do Azure Monitor e de transmitir seus logs de entrada para um espaço de trabalho do Log Analytics.

Planejar a interrupção

Reduza o risco de bloqueio durante interrupções imprevistas planejando estratégias de resiliência para sua organização.

Habilitar ações protegidas

Habilite ações protegidas para adicionar outra camada de segurança às tentativas de criar, alterar ou excluir políticas de Acesso Condicional. As organizações podem exigir uma nova autenticação multifator ou outro controle de concessão antes de alterar a política.

Definir configurações de usuário convidado

Para organizações externas com as quais você conhece e tem uma relação, convém confiar na autenticação multifator, na conformidade do dispositivo ou nas declarações de dispositivo híbrido apresentadas pelos convidados às suas políticas de Acesso Condicional. Para obter mais informações, consulte Gerenciar configurações de acesso entre locatários para colaboração B2B. Há algumas ressalvas relacionadas à forma como os usuários B2B trabalham com o Microsoft Entra ID Protection, para obter mais informações, consulte a Proteção de ID do Microsoft Entra para Usuários B2B.

Definir padrões de nomenclatura para suas políticas

Um padrão de nomenclatura ajuda você a encontrar políticas e entender sua finalidade sem abri-las. Nomeie sua política para mostrar:

Um número de sequência
Os aplicativos de nuvem aos quais ela se aplica
A resposta
A quem ela se aplica
Quando ela se aplica

Diagrama mostrando os padrões de nomenclatura de exemplo para políticas.

Exemplo: uma política para exigir MFA para usuários de marketing que acessam o aplicativo Dynamics CRP de redes externas pode ser:

Diagrama mostrando um padrão de nomenclatura de exemplo.

Um nome descritivo ajuda você a manter uma visão geral da implementação do Acesso Condicional. O número de sequência será útil se você precisar fazer referência a uma política em uma conversa. Por exemplo, ao falar com um administrador por telefone, você pode pedir que eles abram a CA01 da política para resolver um problema.

Padrões de nomenclatura para controles de acesso de emergência

Além de suas políticas ativas, implemente políticas desabilitadas que atuam como controles de acesso resiliente secundários em cenários de interrupção ou emergência. Seu padrão de nomenclatura para políticas de contingência deve incluir:

HABILITAR EM EMERGÊNCIA no início para destacar o nome entre as outras políticas.
O nome da interrupção à qual ela deve se aplicar.
Um número de sequência de ordenação para ajudar o administrador a saber em quais políticas de ordem devem ser habilitadas.

Exemplo: o nome a seguir mostra que essa política é a primeira das quatro políticas a serem habilitadas se houver uma interrupção da MFA:

EM01 – ATIVAR EM CASO DE EMERGÊNCIA: interrupção da MFA [1/4] - Exchange SharePoint: exigir a conexão híbrida do Microsoft Entra para usuários VIP.

A ID do Microsoft Entra permite que você crie locais nomeados. Crie uma lista de países/regiões permitidos e crie uma política de bloco de rede com esses "países/regiões permitidos" como uma exclusão. Essa opção cria menos sobrecarga para clientes com base em locais geográficos menores. Exclua suas contas de acesso de emergência dessa política.

Implantar políticas de acesso condicional

Quando estiver pronto, implante as políticas de Acesso Condicional em fases.

Criar suas políticas de Acesso Condicional

Comece com algumas políticas básicas de Acesso Condicional, como as que se seguem. Muitas políticas estão disponíveis como modelos de política de Acesso Condicional. Por padrão, cada política criada a partir de um modelo está no modo somente relatório. Teste e monitore o uso, para garantir o resultado pretendido, antes de ativar cada política.

Política de acesso condicional	Scenario	Requisito de licença
Bloquear a autenticação herdada.	Todos os usuários	Microsoft Entra ID P1
Funções internas privilegiadas do Microsoft Entra impõem métodos resistentes a phishing	Usuários privilegiados	Microsoft Entra ID P1
Todas as atividades de entrada do usuário usam métodos de autenticação fortes	Todos os usuários	Microsoft Entra ID P1
O acesso de convidado é protegido por métodos de autenticação fortes	Acesso de convidados	Microsoft Entra ID P1
Proteger o registro de MFA (Minhas Informações de Segurança)	Todos os usuários	Microsoft Entra ID P1
Exigir autenticação multifator para ingresso no dispositivo e registro de dispositivo usando a ação do usuário	Todos os usuários	Microsoft Entra ID P1
A atividade de entrada do usuário usa a proteção de token	Todos os usuários	Microsoft Entra ID P1
Restringir o fluxo de código do dispositivo	Todos os usuários	Microsoft Entra ID P1
A transferência de autenticação está bloqueada	Todos os usuários	Microsoft Entra ID P1
Restringir o acesso a usuários de alto risco	Todos os usuários	Microsoft Entra ID P2
Restringir entradas de alto risco	Todos os usuários	Microsoft Entra ID P2
As políticas de acesso condicional para estações de trabalho de acesso privilegiado estão configuradas	Usuários privilegiados	Microsoft Entra ID P1

Avaliar o impacto da política

Use as ferramentas disponíveis para verificar o efeito de suas políticas antes e depois de fazer alterações. Uma execução simulada fornece uma boa ideia de como uma política de Acesso Condicional afeta a entrada, mas não substitui uma execução de teste real em um ambiente de desenvolvimento configurado corretamente.

Os administradores podem confirmar as configurações de política usando o impacto da política ou o modo somente relatório.

Testar suas políticas

Verifique se você testa os critérios de exclusão de uma política. Por exemplo, você pode excluir um usuário ou grupo de uma política que exige MFA. Teste se os usuários excluídos são solicitados a MFA, pois a combinação de outras políticas pode exigir MFA para esses usuários.

Execute cada teste em seu plano de teste com usuários de teste. O plano de teste ajuda você a comparar os resultados esperados e reais.

Implantação em produção

Depois de confirmar as definições através do impacto da política ou do modo só de relatório, mova o botão de alternar Ativar política de Apenas Relatório para Ativado.

Reversão de políticas

Se você precisar reverter as políticas recém-implementadas, use uma ou mais destas opções:

Desabilitar a política. Desabilitar uma política garante que ela não seja aplicada quando um usuário tenta se conectar. Você sempre pode voltar e habilitar a política quando quiser usá-la.
Excluir um usuário ou grupo de uma política. Se um usuário não puder acessar o aplicativo, exclua o usuário da política.

Cuidado

Use exclusões com moderação, somente em situações em que o usuário é confiável. Adicione os usuários de volta à política ou grupo o mais rápido possível.
Se uma política estiver desabilitada e não for mais necessária, exclua-a.

Solução de problemas das políticas de Acesso Condicional

Se um usuário tiver um problema com uma política de Acesso Condicional, colete essas informações para ajudar na solução de problemas.

Nome UPN
Nome de exibição do usuário
Nome do sistema operacional
Carimbo de data/hora (uma hora aproximada é boa)
Aplicativo de destino
Tipo de aplicativo cliente (navegador ou cliente)
ID de correlação (essa ID é exclusiva para a entrada)

Se o usuário receber uma mensagem com um link Mais detalhes , ele poderá coletar a maioria dessas informações para você.

Depois de coletar as informações, consulte estes recursos:

Problemas de entrada com acesso condicional – saiba mais sobre resultados de entrada inesperados relacionados ao Acesso Condicional usando mensagens de erro e o log de entrada do Microsoft Entra.
Usando a ferramenta What-If – saiba por que uma política é ou não aplicada a um usuário em uma situação específica ou se uma política se aplica em um estado conhecido.

Comentários

Esta página foi útil?