Acesso condicional: filtro para dispositivos

Ao criar políticas de Acesso Condicional, os administradores solicitaram a capacidade de direcionar ou excluir dispositivos específicos em seu ambiente. O filtro de condição para dispositivos oferece aos administradores essa capacidade. Agora você pode direcionar dispositivos específicos usando as operadores e propriedades com suporte para filtros de dispositivos e outras condições de atribuição disponíveis em suas políticas de Acesso Condicional.

Cenários comuns

Há diversos cenários que as organizações podem habilitar usando filtro para a condição dos dispositivos. Os cenários a seguir fornecem exemplos de como usar essa nova condição.

• Restringir o acesso a recursos privilegiados. Para este exemplo, suponhamos que você quer permitir o acesso à API de Gerenciamento de Serviços do Windows Azure de um usuário que tenha uma função com privilégios atribuída, passou pela autenticação multifator e acessa de um dispositivo privilegiado ou estações de trabalho de administrador seguras e foi atestado como em conformidade. Para esse cenário, as organizações criariam duas políticas de Acesso Condicional:
  • Política 1: todos os usuários com uma função Administrador, acessando o aplicativo de nuvem da API de Gerenciamento de Serviços do Windows Azure e para controles de acesso, concedam acesso, mas exigem autenticação multifator e exigem que o dispositivo seja marcado como compatível.
  • Política 2: Todos os usuários com administrador acessando o aplicativo de nuvem da API de gerenciamento de serviços do Windows Azure, excluindo um filtro para dispositivos que usam a expressão de regra device.extensionAttribute1 é igual a SAW e para controles de acesso, Bloquear. Saiba como atualizar extensionAttributes em um objeto de dispositivo do Microsoft Entra.
• Bloquear o acesso a recursos da organização de dispositivos que executam uma versão do Sistema Operacional sem suporte. Para este exemplo, vamos supor que você deseja bloquear o acesso a recursos de Windows de uma versão do sistema operacional mais antiga do que o Windows 10. Para esse cenário, as organizações criariam a seguinte política de Acesso Condicional:
  • Todos os usuários, que acessam todos os aplicativos de nuvem, excluindo um filtro para dispositivos que usam a expressão de regra device.operatingSystem e device.operatingSystemVersion startsWith "10.0" e para Controles de acesso, Bloquear.
• Não exigir autenticação multifator de contas específicas em dispositivos específicos. Para este exemplo, digamos que você não queira exigir autenticação multifator ao usar contas de serviço em dispositivos específicos, como telefones Teams ou dispositivos Surface Hub. Para esse cenário, as organizações criarão as duas políticas de Acesso Condicional abaixo:
  • Política 1: todos os usuários excluindo contas de serviço, acessando todos os aplicativos de nuvem e para Controles de acesso, Conceder acesso, mas exigem autenticação multifator.
  • Política 2: selecione usuários e grupos e inclua o grupo que contém apenas contas de serviço, acessando todos os aplicativos de nuvem, excluindo um filtro para dispositivos que usem a expressão de regra device.extensionAttribute2 não é igual a TeamsPhoneDevice e para Controles de acesso, Bloquear.

Observação

O Microsoft Entra ID usa a autenticação do dispositivo para avaliar as regras de filtro de dispositivo. Para um dispositivo que não está registrado com o Microsoft Entra ID todas as propriedades do dispositivo são consideradas como valores nulos e os atributos do dispositivo não podem ser determinados, pois o dispositivo não existe no diretório. A melhor maneira de direcionar políticas para dispositivos não registrados é usar o operador negativo, pois a regra de filtro configurada se aplicaria. Se você usa um operador positivo, a regra de filtro só se aplica quando um dispositivo existe no diretório e a regra configurada corresponde ao atributo no dispositivo.

Criar uma política de Acesso Condicional

O filtro para dispositivos é um controle opcional ao criar uma política de acesso condicional.

As etapas a seguir ajudarão a criar duas políticas de Acesso Condicional para dar suporte ao primeiro cenário em Cenários comuns.

Política 1: todos os usuários com uma função Administrador, acessando o aplicativo de nuvem da API de Gerenciamento de Serviços do Windows Azure e para controles de acesso, concedam acesso, mas exigem autenticação multifator e exigem que o dispositivo seja marcado como compatível.

1. Entre no centro de administração do Microsoft Entra como pelo menos Administrador de acesso condicional.
2. Navegue até Proteção>Acesso Condicional.
3. Selecione Criar nova política.
4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.

   1. Em Incluir, selecione Funções de Diretório e, em seguida, todas as funções com o administrador no nome.

      Aviso

      As políticas de acesso condicional dão suporte às funções internas. As políticas de Acesso Condicional não são impostas para outros tipos de função, incluindo funções personalizadas ou no escopo da unidade administrativa.

   2. Em Excluir, selecione Usuários e grupos e escolha o acesso de emergência ou as contas de interrupção da sua organização.

   3. Selecione Concluído.

6. Em Recursos de destino>Aplicativos de nuvem>Incluir>Selecionar aplicativos, escolha API de Gerenciamento de Serviços do Windows Azure e selecione Selecionar.
7. Em Controles de acesso>Conceder, selecione Conceder acesso, Solicitar a autenticação multifator e Solicitar que o dispositivo seja marcado como em conformidade, e, então, selecione Selecionar.
8. Confirme suas configurações e defina Habilitar política como Ativado.
9. Selecione Criar para criar e habilitar sua política.

Política 2: Todos os usuários com a função Administrador acessando o aplicativo de nuvem da API de gerenciamento de serviços do Windows Azure, excluindo um filtro para dispositivos que usam a expressão de regra device.extensionAttribute1 é igual a SAW e para controles de acesso, Bloquear.

1. Selecione Criar nova política.
2. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
3. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.

   1. Em Incluir, selecione Funções de Diretório e, em seguida, todas as funções com o administrador no nome

      Aviso

      As políticas de acesso condicional dão suporte às funções internas. As políticas de Acesso Condicional não são impostas para outros tipos de função, incluindo funções personalizadas ou no escopo da unidade administrativa.

   2. Em Excluir, selecione Usuários e grupos e escolha o acesso de emergência ou as contas de interrupção da sua organização.

   3. Selecione Concluído.

4. Em Recursos de destino>Aplicativos de nuvem>Incluir>Selecionar aplicativos, escolha API de Gerenciamento de Serviços do Windows Azure e selecione Selecionar.
5. Em Condições, Filtro para dispositivos.
   1. Alterne Configurar para Sim.
   2. Configure os Dispositivos que correspondem à regra como Excluir os dispositivos filtrados da política.
   3. Defina a propriedade como ExtensionAttribute1, o operador como Equals e o valor como SAW.
   4. Selecione Concluído.
6. Em Controles de acesso>Conceder, selecione Bloquear acesso e depois Selecionar.
7. Confirme suas configurações e defina Habilitar política como Ativado.
8. Selecione Criar para criar e habilitar sua política.

Aviso

As políticas que exigem dispositivos compatíveis podem solicitar que os usuários de Mac, iOS e Android selecionem um certificado de dispositivo durante a avaliação da política, mesmo que a conformidade do dispositivo não seja imposta. Esses prompts podem ser repetidos até que o dispositivo esteja em conformidade.

Definindo valores de atributo

A definição de atributos de extensão é possibilitada por meio da API do Graph. Para obter mais informações sobre como configurar atributos de dispositivo, confira o artigo Atualizar dispositivo.

Filtro para dispositivos API do Graph

O filtro para dispositivos de API está disponível no ponto de extremidade do Microsoft Graph versão v1.0, e podem ser acessados usando o ponto de extremidade https://graph.microsoft.com/v1.0/identity/conditionalaccess/policies/. Você pode configurar um filtro para dispositivos ao criar uma nova política de Acesso Condicional ou pode atualizar uma política existente para configurar o filtro para a condição dos dispositivos. Para atualizar uma política existente, você pode fazer uma chamada de patch no ponto de extremidade do Microsoft Graph versão v1.0, acrescentando a ID de política de uma política existente e executando o corpo da solicitação a seguir. Este exemplo mostra a configuração de um filtro para a condição dos dispositivos excluindo os dispositivos que não estão marcados como dispositivos SAW. A sintaxe da regra pode ser composta por mais de uma única expressão. Para saber mais sobre a sintaxe, consulte Regras de associação dinâmica para grupos no Microsoft Entra ID.

{
    "conditions": {
        "devices": {
            "deviceFilter": {
                "mode": "exclude",
                "rule": "device.extensionAttribute1 -ne \"SAW\""
            }
        }
    }
}

Operadores e propriedades de dispositivo com suporte para filtros

Os seguintes atributos do dispositivo podem ser usados com o filtro para a condição do dispositivo no Acesso Condicional.

Observação

O Microsoft Entra ID usa a autenticação do dispositivo para avaliar as regras de filtro de dispositivo. Para um dispositivo que não está registrado com o Microsoft Entra ID todas as propriedades do dispositivo são consideradas como valores nulos e os atributos do dispositivo não podem ser determinados, pois o dispositivo não existe no diretório. A melhor maneira de direcionar políticas para dispositivos não registrados é usar o operador negativo, pois a regra de filtro configurada se aplicaria. Se você usa um operador positivo, a regra de filtro só se aplica quando um dispositivo existe no diretório e a regra configurada corresponde ao atributo no dispositivo.

Atributos de dispositivo com suporte	Operadores com suporte	Valores com suporte	Exemplo
deviceId	Equals, NotEquals, In, NotIn	Um deviceId válido que é um GUID	(device.deviceid -eq "498c4de7-1aee-4ded-8d5d-000000000000")
displayName	Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn	Qualquer cadeia de caracteres	(device.displayName -contains “ABC”)
deviceOwnership	Equals, NotEquals	Os valores com suporte são "Pessoal" para traga seus próprios dispositivos e "Empresa" para dispositivos corporativos	(device.deviceOwnership -eq "Company")
isCompliant	Equals, NotEquals	Os valores com suporte são "True" para dispositivos compatíveis e "False" para dispositivos não compatíveis	(device.isCompliant -eq "True")
fabricante	Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn	Qualquer cadeia de caracteres	(device.manufacturer -startsWith "Microsoft")
mdmAppId	Equals, NotEquals, In, NotIn	Uma ID de aplicativo MDM válida	(device.mdmAppId -in ["0000000a-0000-0000-c000-000000000000"]
modelo	Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn	Qualquer cadeia de caracteres	(device.model -notContains "Surface")
operatingSystem	Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn	Um sistema operacional válido (como Windows, iOS ou Android)	(device.operatingSystem -eq "Windows")
operatingSystemVersion	Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn	Uma versão válida do sistema operacional (como 6.1 para Windows 7, 6.2 para Windows 8 ou 10.0 para Windows 10 e 11)	(device.operatingSystemVersion -in ["10.0.18363", "10.0.19041", "10.0.19042", "10.0.22000"])
physicalIds	Contains, NotContains	Por exemplo, todos os dispositivos do Windows Autopilot armazenam ZTDId (um valor exclusivo atribuído a todos os dispositivos do Windows Autopilot importados) na propriedade physicalIds do dispositivo.	(device.physicalIds -contains "[ZTDId]:value")
profileType	Equals, NotEquals	Um tipo de perfil válido definido para um dispositivo. Os valores com suporte são: RegisteredDevice (padrão), SecureVM (usado para VMs Windows no Azure habilitado com entrada no Microsoft Entra), Printer (usado para impressoras), Shared (usada paro dispositivos compartilhados), IoT (usado para dispositivos IoT)	(device.profileType -eq "Printer")
systemLabels	Contains, NotContains	Lista de rótulos aplicados ao dispositivo pelo sistema. Alguns dos valores com suporte são: AzureResource (usado para VMs Windows no Azure habilitadas com entrada no Microsoft Entra), M365Managed (usado para dispositivos gerenciados usando a Área de Trabalho Gerenciada da Microsoft), MultiUser (usado para dispositivos compartilhados)	(device.systemLabels -contains "M365Managed")
trustType	Equals, NotEquals	Um estado registrado válido para dispositivos. Os valores com suporte são: AzureAD (usado para dispositivos ingressados no Microsoft Entra), ServerAD (usado para dispositivos ingressados de forma híbrida no Microsoft Entra), Workplace (usado para dispositivos registrados no Microsoft Entra)	(device.trustType -eq "ServerAD")
extensionAttribute1-15	Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn	extensionAttributes1-15 são atributos que os clientes podem usar para objetos de dispositivo. Os clientes podem atualizar quaisquer extensionAttributes1 a 15 com valores personalizados, e usá-los no filtro para a condição do dispositivo no Acesso Condicional. Qualquer valor de cadeia de caracteres pode ser usado.	(device.extensionAttribute1 -eq "SAW")

Observação

Ao criar regras complexas ou usar muitos identificadores individuais, como deviceid para identidades de dispositivo, tenha em mente que "O comprimento máximo da regra de filtro é de 3.072 caracteres".

Observação

Os operadores Contains e NotContains funcionam de maneira diferente, dependendo dos tipos de atributo. Para atributos de cadeia de caracteres, como operatingSystem e model, o operador Contains indica se uma subcadeia especificada ocorre dentro do atributo. Para atributos de coleção de cadeia de caracteres, como physicalIds e systemLabels, o operador Contains indica se uma cadeia de caracteres especificada corresponde a uma das cadeias de caracteres inteiras na coleção.

Aviso

Os dispositivos devem ser gerenciados pelo Microsoft Intune, estar em conformidade ou ter ingressado no Microsoft Entra híbrido para que um valor esteja disponível em extensionAttributes1-15 no momento da avaliação da Política de Acesso Condicional.

Comportamento da política com filtro para dispositivos

O filtro para a condição dos dispositivos no Acesso Condicional avalia a política com base nos atributos do dispositivo de um dispositivo registrado no Microsoft Entra ID e, portanto, é importante reconhecer em quais circunstâncias a política será aplicada ou não. A tabela a seguir ilustra o comportamento quando um filtro para a condição dos dispositivos é configurado.

Filtro para condição dos dispositivos	Estado de registro do dispositivo	Filtro de dispositivo Aplicado
Modo de inclusão/exclusão com operadores positivos (Equals, StartsWith, EndsWith, Contains, In) e uso de quaisquer atributos	Dispositivo não registrado	Não
Modo de inclusão/exclusão com operadores positivos (Equals, StartsWith, EndsWith, Contains, In) e uso de atributos, excluindo extensionAttributes1-15	Dispositivo registrado	Sim, se os critérios forem atendidos
Modo de inclusão/exclusão com operadores positivos (Equals, StartsWith, EndsWith, Contains, In) e uso de atributos, incluindo extensionAttributes1-15	Dispositivo registrado gerenciado pelo Intune	Sim, se os critérios forem atendidos
Modo de inclusão/exclusão com operadores positivos (Equals, StartsWith, EndsWith, Contains, In) e uso de atributos, incluindo extensionAttributes1-15	Dispositivo registrado não gerenciado pelo Intune	Sim, se os critérios forem atendidos. Quando extensionAttributes1-15 for usado, a política será aplicada se o dispositivo estiver em conformidade ou ingressado no Microsoft Entra híbrido
Modo de inclusão/exclusão com operadores negativos (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) e uso de quaisquer atributos	Dispositivo não registrado	Sim
Modo de inclusão/exclusão com operadores negativos (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) e uso de quaisquer atributos, exceto extensionAttributes1-15	Dispositivo registrado	Sim, se os critérios forem atendidos
Modo de inclusão/exclusão com operadores negativos (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) e uso de quaisquer atributos, inclusive extensionAttributes1-15	Dispositivo registrado gerenciado pelo Intune	Sim, se os critérios forem atendidos
Modo de inclusão/exclusão com operadores negativos (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) e uso de quaisquer atributos, inclusive extensionAttributes1-15	Dispositivo registrado não gerenciado pelo Intune	Sim, se os critérios forem atendidos. Quando extensionAttributes1-15 for usado, a política será aplicada se o dispositivo estiver em conformidade ou ingressado no Microsoft Entra híbrido

Próximas etapas

• Volta às aulas – Como usar a álgebra booleana corretamente em filtros complexos
• Atualizar a API do Graph do dispositivo
• Acesso Condicional: condições
• Políticas de acesso condicional comuns
• Proteger dispositivos como parte da história de acesso privilegiado