Compartilhar via

Acesso Condicional: Atribuição de rede

Os administradores podem criar políticas direcionadas a locais de rede específicos como um sinal, juntamente com outras condições em seu processo de tomada de decisão. Eles podem incluir ou excluir esses locais de rede como parte de sua configuração de política. Esses locais de rede podem incluir informações públicas de rede IPv4 ou IPv6, países ou regiões, áreas desconhecidas que não são mapeadas para países ou regiões específicos ou rede compatível com o Acesso Seguro Global.

Diagrama mostrando sinais de Acesso Condicional e a decisão de impor a política organizacional.

Observação

As políticas de Acesso Condicional são impostas após a conclusão da autenticação do primeiro fator. O Acesso Condicional não se destina a ser a linha de frente de defesa de uma organização para cenários como ataques de Negação de Serviço (DoS), mas pode usar sinais desses eventos para determinar o acesso.

As organizações podem usar esses locais para tarefas comuns, como:

  • Exigir a autenticação multifator para usuários que acessam um serviço quando estão fora da rede corporativa.
  • Bloquear o acesso de países específicos dos quais sua organização nunca opera.

A localização de um usuário é determinada usando seu endereço IP público ou as coordenadas GPS fornecidas pelo aplicativo Microsoft Authenticator. As políticas de Acesso Condicional se aplicam a todos os locais por padrão.

Dica

A condição de localização foi movida e renomeada para Rede. Inicialmente, essa condição aparece no nível de Atribuição e em Condições.

Atualizações ou alterações aparecem em ambos os locais. A funcionalidade permanece a mesma e as políticas existentes que usam o Local continuam funcionando sem alterações.

Captura de tela mostrando a condição de atribuição de rede em uma política de Acesso Condicional.

Quando configurado na política

Quando você configurar a condição de localização, você pode distinguir entre:

  • Qualquer rede ou local
  • Todas as redes e locais confiáveis
  • Todos os locais de rede compatíveis
  • Redes e locais selecionados

Qualquer rede ou local

Selecionar Qualquer local aplica uma política a todos os endereços IP, incluindo qualquer endereço na internet. Essa configuração não se limita aos endereços IP configurados como locais nomeados. Ao selecionar Qualquer local, você pode excluir locais específicos de uma política. Por exemplo, aplique uma política a todos os locais, exceto locais confiáveis, para limitar o escopo a locais fora da rede corporativa.

Todas as redes e locais confiáveis

Esta opção se aplica a:

  • Todas as localizações marcadas como localizações confiáveis.
  • IPs confiáveis de autenticação multifator, se configurados.

IPs confiáveis da autenticação multifator

Não é recomendável usar a seção IPs confiáveis das configurações de serviço da autenticação multifator. Esse controle aceita apenas endereços IPv4 e foi projetado para cenários específicos abordados no artigo Definir configurações de autenticação multifator do Microsoft Entra.

Se você tiver esses IPs confiáveis configurados, eles aparecerão como IPs Confiáveis da MFA na lista de locais para a condição de localização.

Todos os locais de rede compatíveis

As organizações com acesso aos recursos do Global Secure Access veem outro local listado, consistindo em usuários e dispositivos que estão em conformidade com as políticas de segurança da sua organização. Para obter mais informações, consulte Habilitar a sinalização de Acesso Seguro Global para Acesso Condicional. Use-o com políticas de Acesso Condicional para executar uma verificação de rede em conformidade para obter acesso aos recursos.

Redes e locais selecionados

Com essa opção, selecione um ou mais locais nomeados. Para que uma política com essa configuração seja aplicada, um usuário deve se conectar de um dos locais selecionados. Quando você escolhe Selecionar, uma lista de locais definidos é aberta. Essa lista mostra o nome, o tipo e se o local de rede está marcado como confiável.

Como esses locais são definidos?

Os locais estão no Centro de administração do Microsoft Entra em ID do Entra>Acesso Condicional>Locais nomeados. Os administradores com pelo menos a função de Administrador de Acesso Condicional podem criar e atualizar locais nomeados.

Captura de tela de locais nomeados no Centro de administração do Microsoft Entra.

Os locais nomeados podem incluir intervalos de rede da sede de uma organização, intervalos de rede VPN ou intervalos que você deseja bloquear. Os locais nomeados contêm intervalos de endereços IPv4, intervalos de endereços IPv6 ou países.

Intervalo de endereços IPv4 e IPv6

Para definir um local nomeado por intervalos de endereços IPv4 ou IPv6 públicos, forneça:

  • Um nome para o local.
  • Um ou mais intervalos de IP públicos.
  • Opcionalmente , marque como local confiável.

Os locais nomeados definidos pelos intervalos de endereços IPv4 ou IPv6 têm as seguintes limitações:

  • Não mais do que 195 locais nomeados.
  • Não mais do que 2000 intervalos de IP por local nomeado.
  • Somente máscaras CIDR maiores que /8 são permitidas ao definir um intervalo de IP.

Para dispositivos em uma rede privada, o endereço IP não é o IP do cliente do dispositivo do usuário na intranet (como 10.55.99.3), é o endereço usado pela rede para se conectar à Internet pública (como 198.51.100.3).

Localizações confiáveis

Os administradores podem marcar locais baseados em IP, como os intervalos de rede pública da sua organização, como confiáveis. Essa marcação é usada por recursos de várias maneiras.

  • As políticas de acesso condicional podem incluir ou excluir essas localizações.
  • As entradas de locais nomeados confiáveis melhoram a precisão do cálculo de risco do Microsoft Entra ID Protection.

Locais marcados como confiáveis não podem ser excluídos sem remover primeiro a designação confiável.

Países/Regiões

As organizações podem determinar um local geográfico de país ou região por endereço IP ou coordenadas GPS.

Para definir um local nomeado por país ou região, faça o seguinte:

  • Forneça um nome para o local.
  • Escolha como determinar a localização por endereço IP ou coordenadas de GPS.
  • Adicionar um ou mais países/regiões.
  • Opcionalmente, escolha incluir países/regiões desconhecidos.

Captura de tela da criação de um novo local usando países.

Ao selecionar Determinar local por endereço IP, a ID do Microsoft Entra resolve o endereço IPv4 ou IPv6 do usuário para um país ou região, com base em uma tabela de mapeamento atualizada periodicamente.

Para usar determinar localização por coordenadas GPS, os usuários precisam do aplicativo Microsoft Authenticator instalado em seu dispositivo móvel. A cada hora, o sistema entra em contato com o aplicativo Microsoft Authenticator do usuário para coletar a localização GPS de seu dispositivo móvel.

  • Na primeira vez que o usuário precisar compartilhar sua localização do aplicativo Microsoft Authenticator, ele receberá uma notificação no aplicativo. O usuário deve abrir o aplicativo e conceder permissões de localização. Nas próximas 24 horas, se o usuário ainda estiver acessando o recurso e tiver concedido a permissão do aplicativo para ser executado em segundo plano, a localização do dispositivo será compartilhada silenciosamente uma vez por hora.
  • Após 24 horas, o usuário deve abrir o aplicativo e aprovar a notificação.
  • Sempre que o usuário compartilha sua localização GPS, o aplicativo faz a detecção de jailbreak usando a mesma lógica que o SDK do MAM do Microsoft Intune. Se o dispositivo estiver com jailbreak, a localização não será considerada válida e o acesso não será concedido ao usuário.
    • O aplicativo Microsoft Authenticator no Android usa a API de Integridade do Google Play para facilitar a detecção de jailbreak. Se a API de Integridade do Google Play não estiver disponível, a solicitação será negada e o usuário não poderá acessar o recurso solicitado, a menos que a política de Acesso Condicional esteja desabilitada. Para obter mais informações sobre o aplicativo Microsoft Authenticator, consulte o artigo Perguntas comuns sobre o aplicativo Microsoft Authenticator.
  • Os usuários podem modificar a localização do GPS conforme relatado por dispositivos iOS e Android. Como resultado, o aplicativo Microsoft Authenticator nega autenticações em que o usuário pode estar usando um local diferente do local real do GPS do dispositivo móvel em que o aplicativo está instalado. Os usuários que modificam o local de seu dispositivo recebem uma mensagem de negação para políticas baseadas em localização GPS.
  • O código do país retornado depende da API da plataforma do dispositivo: por exemplo, uma plataforma pode relatar US para Porto Rico, enquanto outra relata PR.

Observação

Uma política de Acesso Condicional com localizações nomeadas baseadas em GPS no modo somente relatório solicita que os usuários compartilhem sua localização GPS, mesmo que não sejam impedidos de entrar.

A localização por GPS só poderá ser usada com a autenticação por telefone sem senha se as notificações por push da autenticação multifator também estiverem habilitadas. Os usuários podem usar o Microsoft Authenticator para conectar, mas também precisam aprovar as notificações por push da MFA para compartilhar sua localização do GPS.

O local do GPS não funciona quando apenas os métodos de autenticação sem senha estão configurados.

As políticas múltiplas de Acesso Condicional podem solicitar aos usuários a localização de GPS antes que todas elas sejam aplicadas. Devido à maneira como as políticas de Acesso Condicional são aplicadas, um usuário pode ter acesso negado se passar na verificação de localização, mas falhar em outra política. Para obter mais informações sobre a imposição de políticas, consulte o artigo Criando uma política de acesso condicional.

Importante

Os usuários podem receber avisos a cada hora informando que a ID do Microsoft Entra está verificando sua localização no aplicativo Authenticator. Esse recurso só deve ser usado para proteger aplicativos muito confidenciais em que esse comportamento seja aceitável ou em que o acesso deve ser restrito para um país/região específico.

Incluir países/regiões desconhecidas

Alguns endereços IP não podem ser mapeados para um país ou região específica. Para capturar esses locais de IP, selecione a caixa Incluir países/regiões desconhecidos ao definir uma localização geográfica. Esta opção permite que você escolha se esses endereços IP devem ser incluídos na localização nomeada. Use essa configuração quando a política usando a localização nomeada deve aplicar-se a localizações desconhecidas.

Restaurar locais excluídos

Se uma política de Acesso Condicional ou local for excluída, ela poderá ser restaurada dentro do período de exclusão temporária de 30 dias. Para obter mais informações sobre como restaurar políticas de Acesso Condicional e locais nomeados, consulte o artigo Recuperar de exclusões.

Perguntas comuns

Há suporte à API do Graph

O suporte à API do Graph para locais nomeados está disponível. Para obter mais informações, consulte a API namedLocation.

E se eu usar um proxy de nuvem ou VPN

Quando você usa um proxy hospedado na nuvem ou uma solução VPN, o endereço IP que a ID do Microsoft Entra usa ao avaliar uma política é o endereço IP do proxy. O cabeçalho X-Forwarded-For (XFF), que contém o endereço IP público do usuário, não é usado porque não há validação de que ele venha de uma fonte confiável. Essa falta de validação pode permitir a falsificação de um endereço IP.

Quando um proxy de nuvem está em vigor, uma política que exige um dispositivo em conformidade ou associado ao Microsoft Entra pode ser mais fácil de gerenciar. Manter uma lista de up-toendereços IP usados por seu proxy hospedado na nuvem ou solução VPN é quase impossível.

Recomendamos que as organizações utilizem o Acesso Seguro Global para habilitar a restauração de IP de origem para evitar essa alteração no endereço e simplificar o gerenciamento.

Quando um local é avaliado

As políticas de Acesso Condicional são avaliadas quando:

  • Um usuário inicialmente entra em um aplicativo Web, aplicativo da área de trabalho ou móvel.
  • Um aplicativo da área de trabalho ou móvel que usa autenticação moderna, usa um token de atualização para adquirir um novo token de acesso. Por padrão, essa verificação ocorre uma vez por hora.

Essa verificação significa que, para os aplicativos móveis e os aplicativos da área de trabalho que usam a autenticação moderna, uma alteração na localização é detectada no prazo de até uma hora após a alteração do local de rede. Para os aplicativos móveis e os aplicativos da área de trabalho que não usam a autenticação moderna, a política é aplicada em cada solicitação de token. A frequência da solicitação pode variar de acordo com o aplicativo. Da mesma forma, para aplicativos Web, as políticas são aplicadas na entrada inicial e são válidas pelo tempo de vida da sessão no aplicativo Web. Por causa das diferenças nos tempos de vida da sessão em todos os aplicativos, o tempo entre a avaliação de política varia. Sempre que o aplicativo solicitar um novo token de entrada, a política será aplicada.

Por padrão, a ID do Microsoft Entra emite tokens por hora. Depois que os usuários saírem da rede corporativa, no prazo de até uma hora a política será imposta aos aplicativos que usam a autenticação moderna.

Quando você pode bloquear locais

Uma política que usa a condição de localização para bloquear o acesso é considerada restritiva, e deve ser feita com cuidado após testes minuciosos. Algumas instâncias de uso da condição de localização para bloquear a autenticação podem incluir:

  • Bloquear países/regiões onde sua organização nunca faz negócios.
  • Bloqueando intervalos de IP específicos, como o seguinte:
    • IPs maliciosos conhecidos antes que uma política de firewall possa ser alterada.
    • Ações altamente confidenciais ou privilegiadas e aplicativos de nuvem.
    • Com base no intervalo de IP específico do usuário, como acesso a aplicativos de contabilidade ou de folha de pagamento.

Conteúdo relacionado