Acesso Condicional: condições

Em uma política de Acesso condicional, um administrador pode usar sinais de condições como risco, plataforma de dispositivo ou local para aprimorar suas decisões de política.

Define a Conditional Access policy and specify conditions

Várias condições podem ser combinadas para criar políticas de Acesso condicional específicas e refinadas.

Por exemplo, ao acessar um aplicativo confidencial, o administrador pode fatorar as informações de risco de entrada da proteção de identidade e local em sua decisão de acesso, além de outros controles, como a autenticação multifator.

Risco de entrada

Para clientes com acesso à Proteção de identidade, o risco de entrada pode ser avaliado como parte de uma política de Acesso condicional. O risco de entrada representa a probabilidade de uma determinada solicitação de autenticação não estar autorizada pelo proprietário da identidade. Mais informações sobre o risco de entrada podem ser encontradas nos artigos, O que é risco e Como configurar e habilitar políticas de risco.

Risco do usuário

Para clientes com acesso à Proteção de identidade, o risco do usuário pode ser avaliado como parte de uma política de Acesso condicional. O risco do usuário representa a probabilidade de que determinada identidade ou conta seja comprometida. Mais informações sobre o risco de entrada podem ser encontradas nos artigos, O que é risco e Como configurar e habilitar políticas de risco.

Plataformas de dispositivo

A plataforma do dispositivo é caracterizada pelo sistema operacional que é executado em um dispositivo. O Azure AD identifica a plataforma usando as informações fornecidas pelo dispositivo, como a cadeia de caracteres do agente do usuário. Como as cadeias de caracteres do agente do usuário podem ser modificadas, essas informações não são verificadas. A plataforma do dispositivo deve ser usada em conjunto com as políticas de conformidade de dispositivos do Microsoft Intune ou como parte de uma instrução de bloco. O padrão é aplicar a todas as plataformas de dispositivo.

O Acesso condicional do Azure AD dá suporte às seguintes plataformas de dispositivo:

  • Android
  • iOS
  • Windows Phone
  • Windows
  • macOS

Se você bloquear a autenticação herdada usando a condição de Outros clientes, também poderá definir a condição da plataforma do dispositivo.

Importante

A Microsoft recomenda uma política de Acesso condicional para plataformas de dispositivos sem suporte. Por exemplo, se desejar bloquear o acesso aos recursos corporativos do Linux ou de qualquer outro cliente sem suporte, configure uma política com uma condição de plataforma de Dispositivo que inclua qualquer dispositivo e exclua as plataformas de dispositivo com suporte e conceda o controle definido para bloquear o acesso.

Locais

Ao configurar o local como uma condição, as organizações podem optar por incluir ou excluir locais. Esses locais nomeados podem incluir informações de rede IPv4 públicas, país ou região ou até mesmo áreas desconhecidas não mapeadas de países ou regiões específicas. Somente os intervalos de IP podem ser marcados como um local confiável.

Ao incluir qualquer local, essa opção inclui qualquer endereço IP na Internet não apenas os locais nomeados configurados. Ao selecionar qualquer local, os administradores podem optar por excluir todos os locais confiáveis ou os selecionados.

Por exemplo, algumas organizações podem escolher não exigir a autenticação multifator quando seus usuários estiverem conectados à rede de um local confiável, como a sede física. Os administradores podem criar uma política que inclui qualquer local, mas exclui os locais selecionados para as redes da sede.

Mais informações sobre locais podem ser encontradas no artigo O que é a condição de localização no Acesso Condicional do Azure Active Directory.

Aplicativos cliente

Por padrão, todas as políticas de Acesso condicional recém-criadas serão aplicadas a todos os tipos de aplicativo cliente, mesmo se a condição dos aplicativos cliente não estiver configurada.

Observação

O comportamento da condição de aplicativos cliente foi atualizado em agosto de 2020. Se já existirem políticas de Acesso condicional, elas permanecerão inalteradas. No entanto, se clicar em uma política existente, a opção Configurar alternância foi removida e os aplicativos cliente aos quais a política se aplica serão selecionados.

Importante

Entradas clientes de autenticação herdada não dão suporte à MFA e não passam informações de estado do dispositivo ao Azure AD, portanto, serão bloqueadas por controles de concessão de acesso condicional, como exigência de MFA ou dispositivos em conformidade. Se tiver contas que devem usar autenticação herdada, deverá excluir essas contas da política ou configurar a política para que seja aplicada somente aos clientes de autenticação modernos.

Quando a opção Configurar alternância estiver definida como Sim ela se aplicará a itens marcados. Quando definida como Não, ela se aplicará a todos os aplicativos cliente, incluindo clientes de autenticação modernos e herdados. Essa alternância não aparece em políticas criadas antes de agosto de 2020.

  • Clientes de autenticação moderna
    • Navegador
      • Isso inclui aplicativos baseados na Web que usam protocolos como SAML, WS-Federation, OpenID Connect ou serviços registrados como um cliente confidencial do OAuth.
    • Aplicativos móveis e clientes de desktop
      • Essa opção inclui aplicativos como os aplicativos de área de trabalho e de telefone do Office.
  • Clientes de autenticação herdada
    • Clientes do Exchange ActiveSync
      • Essa seleção inclui todo o uso do protocolo EAS (Exchange Active Sync).
      • Quando a política bloqueia o uso do Exchange ActiveSync, o usuário afetado receberá um único email de quarentena. Este email com fornece informações sobre o porquê do bloqueio e inclui instruções de correção, se possível.
      • Os administradores podem aplicar a política somente a plataformas com suporte (como iOS, Android e Windows) por meio da API do Microsoft Graph de acesso condicional.
    • Outros clientes
      • Essa opção inclui clientes que usam protocolos de autenticação básica/herdados que não são compatívies com a autenticação moderna.
        • SMTP autenticado - usado por clientes POP e IMAP para enviar mensagens de email.
        • Descoberta automática - usada pelos clientes do Outlook e do EAS para localizar e conectar-se às caixas de correio no Exchange Online.
        • Exchange Online PowerShell - usado para se conectar ao Exchange Online com o PowerShell remoto. Se você bloquear a autenticação básica para o Exchange Online PowerShell, será necessário usar o módulo do PowerShell do Exchange Online para se conectar. Para obter instruções, confira Conectar ao PowerShell do Exchange Online usando a autenticação multifator.
        • Serviços Web do Exchange (EWS) - uma interface de programação usada pelo Outlook, pelo Outlook para Mac e por aplicativos de terceiros.
        • IMAP4 – usado por clientes de email IMAP.
        • MAPI sobre HTTP (MAPI/HTTP) – usado pelo Outlook 2010 e posterior.
        • OAB (catálogo de endereços offline) – uma cópia das coleções de listas de endereços que são baixadas e usadas pelo Outlook.
        • Outlook em Qualquer Lugar (RPC por HTTP) - usado pelo Outlook 2016 e anterior.
        • Serviço do Outlook – usado pelo aplicativo de email e calendário para Windows 10.
        • POP3 - usado por clientes de email POP.
        • Serviços Web de relatórios - usados para recuperar dados de relatório no Exchange Online.

Essas condições são normalmente usadas quando se requer um dispositivo gerenciado, bloquear a autenticação herdada e bloquear aplicativos Web, mas permitir aplicativos móveis ou de desktop.

Navegadores com suporte

Essa configuração funciona com todos os navegadores. No entanto, para satisfazer uma política de dispositivo, como um requisito de conformidade de dispositivo, há suporte para os sistemas operacionais e navegadores a seguir:

Sistema operacional Navegadores
Windows 10 Microsoft Edge, Internet Explorer, Chrome, Firefox 91+
Windows 8 / 8.1 Internet Explorer, Chrome
Windows 7 Internet Explorer, Chrome
iOS Microsoft Edge, Intune Managed Browser, Safari
Android Microsoft Edge, Intune Managed Browser, Safari
Windows Phone Microsoft Edge, Internet Explorer
Windows Server 2019 Microsoft Edge, Internet Explorer, Chrome
Windows Server 2016 Internet Explorer
Windows Server 2012 R2 Internet Explorer
Windows Server 2008 R2 Internet Explorer
macOS Microsoft Edge, Chrome, Safari

Esses navegadores dão suporte à autenticação de dispositivo, permitindo que o dispositivo seja identificado e validado em relação a uma política. A verificação do dispositivo falhará caso o navegador esteja sendo executado em modo privado ou se os cookies estiverem desabilitados.

Observação

O Microsoft Edge 85+ exige que o usuário tenha entrado no navegador para passar corretamente a identidade do dispositivo. Caso contrário, ele se comportará como o Chrome sem a extensão de contas. Essa entrada pode não ocorrer automaticamente em um cenário de ingresso híbrido do Azure AD. O Safari tem suporte para acesso condicional com base em dispositivo, mas não pode satisfazer as condições Exigir um aplicativo cliente aprovado ou Exigir política de proteção do aplicativo. Um navegador gerenciado como o Microsoft Edge atende aos requisitos de aplicativo cliente aprovado e política de proteção do aplicativo.

Por que vejo um prompt de certificado no navegador

No Windows 7, iOS, Android e macOS o Azure AD identifica o dispositivo que está usando um certificado de cliente que é provisionado quando o dispositivo é registrado no Azure AD. Quando um usuário entra pela primeira vez pelo navegador, é solicitado que o usuário selecione o certificado. O usuário deve selecionar esse certificado antes de poder usar o navegador.

Suporte ao Chrome

Para obter suporte ao Chrome, na Atualização do Windows 10 para Criadores (versão 1703) ou posterior, instale a extensão contas do Windows 10. Essa extensão é necessária quando uma política de Acesso condicional exige detalhes específicos do dispositivo.

Para implantar automaticamente essa extensão para os navegadores Chrome, crie a seguinte chave do registro:

  • Path HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist
  • Nome 1
  • Type REG_SZ (String)
  • Data ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crx

Para obter suporte ao Chrome no Windows 8.1 e 7, crie a seguinte chave do registro:

  • Path HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls
  • Nome 1
  • Type REG_SZ (String)
  • Data {"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}

Aplicativos móveis e cliente de área de trabalho com suporte

As organizações podem selecionar Aplicativos móveis e clientes de desktop como aplicativo cliente.

Essa configuração tem um impacto nas tentativas de acesso feitas a partir dos seguintes aplicativos móveis e clientes de desktop:

Aplicativos cliente Serviço de Destino Plataforma
Aplicativo Dynamics CRM Dynamics CRM Windows 10, Windows 8.1, iOS e Android
Aplicativo de Calendário/Email/Pessoas, Outlook 2016 Outlook 2013 (com autenticação moderna) Exchange Online Windows 10
Política de localização e MFA para aplicativos. Políticas baseadas em dispositivos não têm suporte. Qualquer serviço de aplicativo de Meus Aplicativos Android e iOS
Microsoft Teams Services: esse aplicativo cliente controla todos os serviços que dão suporte ao Microsoft Teams e todos os seus aplicativos cliente – Windows Desktop, iOS, Android, WP e cliente da Web Microsoft Teams Windows 10, Windows 8.1, Windows 7, iOS, Android e macOS
Aplicativos do Office 2016, Office 2013 (com autenticação moderna), cliente de sincronização do OneDrive SharePoint Windows 8.1, Windows 7
Aplicativos do Office 2016, Office 2013 (com autenticação moderna), cliente de sincronização do OneDrive SharePoint online Windows 10
Office 2016 (somente Word, Excel, PowerPoint, OneNote). SharePoint macOS
Office 2019 SharePoint Windows 10, macOS
Aplicativos móveis do Office SharePoint Android, iOS
Aplicativo Office Yammer Yammer Windows 10, iOS, Android
Outlook 2019 SharePoint Windows 10, macOS
Outlook 2016 (Office para macOS) Exchange Online macOS
Outlook 2016, Outlook 2013 (com autenticação moderna), Skype for Business (com autenticação moderna) Exchange Online Windows 8.1, Windows 7
Aplicativo Outlook Mobile Exchange Online Android, iOS
Aplicativo do Power BI Serviço do Power BI Windows 10, Windows 8.1, Windows 7, Android e iOS
Skype for Business Exchange Online Android, iOS
Aplicativo Visual Studio Team Services Visual Studio Team Services Windows 10, Windows 8.1, Windows 7, iOS e Android

Clientes do Exchange ActiveSync

  • As organizações só podem selecionar clientes do Exchange ActiveSync ao atribuir a política a usuários ou grupos. Selecionar Todos os usuários, Todos os usuários convidados e externosou Funções de diretório fará com que todos os usuários estejam sujeitos à política.
  • Ao criar uma política atribuída aos clientes do Exchange ActiveSync, o Exchange Online deve ser o único aplicativo de nuvem atribuído à política.
  • As organizações podem restringir o escopo dessa política a plataformas específicas usando a condição de Plataformas de dispositivo.

Se o controle de acesso atribuído à política usar Exigir aplicativo cliente aprovado, o usuário será direcionado para instalar e usar o cliente móvel do Outlook. No caso de a Autenticação multifator, Termos de usoou controles personalizados serem necessários, os usuários afetados são bloqueados, pois a autenticação básica não tem suporte para esses controles.

Para obter mais informações, confira os seguintes artigos:

Outros clientes

Ao selecionar Outros clientes, é possível especificar uma condição que afeta os aplicativos que usam autenticação básica com protocolos de email, como IMAP, MAPI, POP, SMTP e aplicativos mais antigos do Office que não usam autenticação moderna.

Estado do dispositivo (versão prévia)

Cuidado

Essa versão prévia do recurso está sendo preterida. Os clientes devem usar a condição Filtrar para dispositivos no Acesso Condicional para atender a cenários, obtidos anteriormente usando a condição de estado do dispositivo (versão prévia).

A condição de estado do dispositivo pode ser usada para excluir dispositivos que são ingressados no Azure AD híbrido e/ou dispositivos marcados como em conformidade com uma política de conformidade do Microsoft Intune das políticas de Acesso condicional de uma organização.

Por exemplo, Todos os usuários que acessam o aplicativo de nuvem de Gerenciamento do Microsoft Azure, incluindo Todo o estado do dispositivo, excluindo o Dispositivo híbrido ingressado no Azure AD e o Dispositivo marcado como em conformidade e para Controles de acesso, Bloquear.

  • Este exemplo criaria uma política que permite apenas o acesso ao Gerenciamento do Microsoft Azure de dispositivos que são ingressados no Azure AD híbrido ou marcados como compatíveis.

Você pode configurar o cenário acima da seguinte forma: use Todos os usuários, acesse o aplicativo de nuvem do Gerenciamento do Microsoft Azure, exclua a condição Filtrar dispositivos com a regra device.trustType -ne "ServerAD" -or device.isCompliant -ne True e para Controle de acesso, Bloquear.

  • Este exemplo criaria uma política que permite apenas o acesso ao Gerenciamento do Microsoft Azure de dispositivos que são ingressados no Azure AD híbrido ou marcados como compatíveis.

Importante

O estado do dispositivo e os filtros para dispositivos não podem ser usados em conjunto na política de Acesso Condicional. Os filtros para dispositivos fornecem direcionamento mais granular, incluindo suporte para direcionamento de informações do estado do dispositivo através da propriedade trustType e isCompliant.

Filtro para dispositivos

Há uma nova condição opcional no Acesso Condicional chamada "Filtros para dispositivos". Ao configurar filtros para dispositivos como uma condição, as organizações podem incluir ou excluir dispositivos com base em filtros usando uma expressão de regra nas propriedades do dispositivo. É possível criar a expressão de regra para filtros para dispositivos usando o construtor de regras ou a sintaxe de regra. Essa experiência é semelhante à usada em regras de associação dinâmica para grupos. Para obter mais informações, confira o artigo Acesso Condicional: Filtros para dispositivos (versão prévia).

Próximas etapas