Construindo uma política de acesso condicional

Conforme explicado no artigo o que é acesso condicional, uma política de acesso condicional é uma instrução if-then, de atribuições e controles de acesso. Uma política de acesso condicional reúne sinais para tomar decisões e impor políticas organizacionais.

Como uma organização cria essas políticas? O que é necessário? Como eles são aplicados?

Acesso condicional (sinais + decisões + imposição = políticas)

Várias políticas de acesso condicional podem se aplicar a um usuário individual a qualquer momento. Nesse caso, todas as políticas que se aplicam devem ser atendidas. Por exemplo, se uma política exigir a MFA (autenticação multifator) e outra exigir um dispositivo em conformidade, você deverá concluir a MFA e usar um dispositivo compatível. Todas as atribuições são avaliadas com AND lógicos. Se você tiver mais de uma atribuição configurada, todas as atribuições deverão ser atendidas para disparar uma política.

Se uma política em que "Exigir um dos controles selecionados" estiver selecionada, solicitaremos na ordem definida e, assim que os requisitos de política forem atendidos, o acesso será concedido.

Todas as políticas são impostas em duas fases:

  • Fase 1: Coletar detalhes da sessão
    • Colete detalhes da sessão, como o local de rede e a identidade do dispositivo que serão necessários para a avaliação da política.
    • A fase 1 da avaliação de política ocorre para políticas e políticas habilitadas no modo somente de relatório.
  • Fase 2: Imposição
    • Use os detalhes da sessão coletados na fase 1 para identificar os requisitos que não foram atendidos.
    • Se houver uma política configurada para bloquear o acesso, com o controle de concessão de bloqueio, a imposição será interrompida aqui e o usuário será bloqueado.
    • O usuário será solicitado a concluir mais requisitos de controle de concessão que não foram atendidos durante a fase 1 na seguinte ordem, até que a política seja satisfeita:
      • Autenticação multifator
      • Aplicativo cliente aprovado/política de proteção de aplicativo
      • Dispositivo gerenciado (ingresso em conformidade ou Azure AD híbrido)
      • Termos de uso
      • Controles personalizados
    • Depois que todos os controles de concessão forem satisfeitos, aplique os controles de sessão (App Enforced, Microsoft Defender for Cloud App e o Tempo de vida do token)
    • A fase 2 da avaliação de política ocorre para todas as políticas habilitadas.

Atribuições

A parte de atribuições controla quem, e onde a política de Acesso Condicional.

Usuários e grupos

Usuários e grupos atribuem quem a política incluirá ou excluirá. Essa atribuição pode incluir todos os usuários, grupos específicos de usuários, funções de diretório ou usuários convidados externos.

Aplicativos na nuvem ou ações

Os aplicativos de nuvem ou as ações podem incluir ou excluir aplicativos de nuvem, ações do usuário ou contextos de autenticação que estarão sujeitos à política.

Condições

Uma política pode conter várias condições.

Risco de entrada

Para organizações com Azure ad Identity Protection, as detecções de risco geradas podem influenciar suas políticas de acesso condicional.

Plataformas de dispositivo

As organizações com várias plataformas de sistema operacional de dispositivos podem querer impor políticas específicas em diferentes plataformas.

As informações usadas para calcular a plataforma de dispositivo vêm de fontes não verificadas, como cadeias de caracteres de agente do usuário que podem ser alteradas.

Locais

Os dados de local são fornecidos por dados de localização geográfica de IP. Os administradores podem optar por definir locais e optar por marcá-los como confiáveis para os locais de rede de sua organização.

Aplicativos cliente

Por padrão, todas as políticas de Acesso Condicional recém-criadas serão aplicadas a todos os tipos de aplicativo cliente, mesmo se a condição dos aplicativos cliente não estiver configurada.

O comportamento da condição de aplicativos cliente foi atualizado em agosto de 2020. Se já existirem políticas de Acesso Condicional, elas permanecerão inalteradas. No entanto, se você selecionar uma política existente, a opção de alternância Configurar será removida e os aplicativos cliente aos quais a política se aplica serão selecionados.

Estado do dispositivo

Esse controle é usado para excluir dispositivos que são ingressados no Azure AD híbrido ou marcados como em conformidade no Intune. Essa exclusão pode ser feita para bloquear dispositivos não gerenciados.

Filtros para dispositivos (versão prévia)

Esse controle permite direcionar dispositivos específicos com base em seus atributos para uma política.

Controles de acesso

A parte controles de acesso da política de acesso condicional controla como uma política é imposta.

Conceder

Grant fornece aos administradores um meio de imposição de política onde eles podem bloquear ou conceder acesso.

Bloquear acesso

Bloquear acesso faz exatamente isso, ele bloqueará o acesso nas atribuições especificadas. O controle de bloco é poderoso e deve ser atraente com o conhecimento apropriado.

Permitir acesso

O controle de concessão pode disparar a imposição de um ou mais controles.

  • Exigir autenticação multifator (autenticação multifator do Azure AD)
  • Exigir que o dispositivo seja marcado como em conformidade (Intune)
  • Exigir um dispositivo ingressado no Azure AD Híbrido
  • Exigir um aplicativo cliente aprovado
  • Requer política de proteção do aplicativo
  • Exigir alteração de senha
  • Requerer termos de uso

Os administradores podem optar por exigir um dos controles anteriores ou todos os controles selecionados usando as opções a seguir. O padrão para vários controles é exigir todos.

  • Exigir todos os controles selecionados (controle e controle)
  • Exigir um dos controles selecionados (controle ou controle)

Session

Controles de sessão podem limitar a experiência

  • Usar restrições de aplicativo impostas
    • Atualmente, funciona somente com o Exchange Online e o SharePoint Online.
      • Passa informações do dispositivo para permitir o controle da experiência que concede acesso completo ou limitado.
  • Usar o Controle de Aplicativos de Acesso Condicional
    • Usa sinais do Microsoft Defender for Cloud Apps a fim de fazer coisas como:
      • Bloquear download, cortar, copiar e imprimir documentos confidenciais.
      • Monitore o comportamento de sessão arriscada.
      • Exigir rotulagem de arquivos confidenciais.
  • Frequência de entrada
    • Capacidade de alterar a frequência de entrada padrão para autenticação moderna.
  • Sessão persistente do navegador
    • Permite que os usuários permaneçam conectados depois de fechar e reabrir a janela do navegador.

Políticas simples

Uma política de acesso condicional deve conter, no mínimo, o seguinte para ser aplicado:

  • Nome da política.
  • Atribuições
    • Usuários e/ou grupos aos quais aplicar a política.
    • Aplicativos de nuvem ou ações às quais aplicar a política.
  • Controles de acesso
    • Conceder ou Bloquear controles

Limpar política de Acesso Condicional

O artigo políticas de acesso condicional comum inclui algumas políticas que achamos que seriam úteis para a maioria das organizações.

Próximas etapas

Criar uma política de Acesso Condicional

Simular comportamento de entrada usando a ferramenta What If de Acesso Condicional

Planejar uma implantação da Autenticação Multifator do Azure AD baseada em nuvem

Gerenciando a conformidade do dispositivo com o Intune

Microsoft Defender for Cloud Apps e Acesso Condicional