Acesso Condicional: Sessão

Em uma política de acesso condicional, um administrador pode usar controles de sessão para habilitar experiências limitadas em aplicativos de nuvem específicos.

Política de Acesso condicional com uma concessão de controle que exige autenticação multifator

Restrições impostas pelo aplicativo

As organizações podem usar o controle para exigir que o Azure AD passe informações sobre o dispositivo para os aplicativos na nuvem selecionados. As informações do dispositivo permitem que os aplicativos na nuvem saibam se uma conexão é iniciada a partir de um dispositivo compatível ou associado a um domínio e alteram a experiência da sessão. Esse controle suporta apenas o SharePoint Online e o Exchange Online como aplicativos de nuvem selecionados. Quando selecionado, o aplicativo de nuvem usa as informações do dispositivo para fornecer aos usuários, dependendo do estado do dispositivo, uma experiência limitada (quando o dispositivo não é gerenciado) ou completa (quando o dispositivo é gerenciado e compatível).

Para obter mais informações sobre o uso e a configuração de restrições impostas pelo aplicativo, confira os seguintes artigos:

Controle de aplicativo de Acesso Condicional

O Controle de Aplicativos de Acesso Condicional usa uma arquitetura de proxy reverso e é exclusivamente integrado ao Acesso Condicional do Azure AD. O acesso condicional do Azure AD permite que você imponha controles de acesso aos aplicativos da sua organização de acordo com determinadas condições. As condições definem a quem (usuário ou grupo de usuários), ao que (quais aplicativos de nuvem) e a que local (quais localizações e redes) uma política de acesso condicional é aplicável. Depois de determinar as condições, é possível encaminhar os usuários ao Microsoft Defender para Aplicativos de Nuvem para proteger dados com o Controle de Aplicativos de Acesso Condicional, aplicando controles de acesso e de sessão.

O Controle de Aplicativo de Acesso Condicional permite o monitoramento e controle em tempo real do acesso e das sessões do aplicativo com base nas políticas de acesso e de sessão. As políticas de acesso e sessão são usadas no portal do Defender para Aplicativos de Nuvem para refinar ainda mais os filtros e definir ações a serem tomadas em um usuário. Com as políticas de acesso e de sessão, é possível:

  • Impedir a exfiltração dos dados: você pode bloquear o download, o recorte, a cópia e a impressão de documentos confidenciais em dispositivos não gerenciados, por exemplo.
  • Proteger no download: em vez de bloquear o download de documentos confidenciais, você pode exigir que os documentos sejam rotulados e protegidos com a Proteção de Informações do Azure. Essa ação garante que o documento esteja protegido e o acesso do usuário seja restrito em uma sessão potencialmente arriscada.
  • Impedir o carregamento de arquivos sem rótulo: antes de um arquivo confidencial ser carregado, distribuído e usado por outros, é importante se certificar de que o arquivo tem o rótulo e a proteção corretos. Você pode garantir que arquivos sem rótulo com conteúdo confidencial sejam impedidos de serem carregados até que o usuário classifique o conteúdo.
  • Monitorar a conformidade das sessões de usuário (versão prévia): usuários suspeitos são monitorados quando entram em aplicativos e suas ações são registradas dentro da sessão. É possível investigar e analisar o comportamento do usuário para compreender onde e sob quais condições as políticas de sessão deverão ser aplicadas no futuro.
  • Bloquear o acesso (versão prévia): você pode bloquear o acesso de maneira granular para aplicativos e usuários específicos, dependendo de vários fatores de risco. Por exemplo, você poderá bloqueá-los se eles estiverem usando os certificados do cliente como uma forma de gerenciamento de dispositivo.
  • Bloquear atividades personalizadas: alguns aplicativos têm cenários exclusivos que trazem risco, por exemplo, enviar mensagens com conteúdo confidencial em aplicativos como o Microsoft Teams ou o Slack. Nesses cenários, você pode examinar o conteúdo confidencial das mensagens e bloqueá-los em tempo real.

Para obter mais informações, confira o artigo Implantar Controle de Aplicativos de Acesso Condicional para aplicativos em destaque.

Frequência de entrada

A frequência de entrada define o período de tempo antes que um usuário seja solicitado a entrar novamente ao tentar acessar um recurso.

A configuração de frequência de entrada funciona com aplicativos que implementaram os protocolos OAUTH2 ou OIDC de acordo com os padrões. A maioria dos aplicativos nativos da Microsoft para Windows, Mac e dispositivo móvel, incluindo os aplicativos Web a seguir, seguem a configuração.

  • Word, Excel, PowerPoint Online
  • OneNote Online
  • Office.com
  • Portal de administração do Microsoft 365
  • Exchange Online
  • SharePoint e OneDrive
  • Cliente Web do Teams
  • Dynamics CRM Online
  • Portal do Azure

Para saber mais, confira o artigo Configurar o gerenciamento da sessão de autenticação com o Acesso Condicional.

Sessão persistente do navegador

Uma sessão persistente do navegador permite que os usuários permaneçam conectados depois de fechar e reabrir a janela do navegador.

Para saber mais, confira o artigo Configurar o gerenciamento da sessão de autenticação com o Acesso Condicional.

Personalizar a avaliação contínua de acesso

A avaliação de acesso contínuo é habilitada automaticamente como parte das políticas de Acesso Condicional de uma organização. Para organizações que desejam desabilitar ou impor estritamente a avaliação de acesso contínuo, esta configuração agora é uma opção dentro do controle de sessão no Acesso Condicional. As políticas de avaliação de acesso contínuo podem ter escopo para todos os usuários ou grupos e usuários específicos. Os administradores podem fazer as seleções a seguir ao criar uma nova política ou editar uma política de Acesso Condicional existente.

  • Desabilitar só funciona quando Todos os aplicativos de nuvem são selecionados, nenhuma condição é selecionada e Desabilitar é selecionado em SessãoPersonalizar avaliação de acesso contínuo em uma política de Acesso Condicional. Você pode optar por desabilitar todos os usuários ou usuários e grupos específicos.
  • A imposição estrita pode ser usada para fortalecer ainda mais os benefícios de segurança do CAE. Ela garantirá que qualquer evento e política críticos sejam impostos em tempo real. Há dois cenários adicionais em que o CAE será aplicado quando o modo de imposição estrito estiver ativado:
    • Clientes não habilitados para CAE não terão permissão para acessar serviços habilitados para CAE.
    • O acesso será rejeitado quando o endereço IP do cliente visto pelo provedor de recursos não estiver no intervalo permitido do acesso condicional.

Observação

Você só deve habilitar a imposição estrita depois de garantir que todos os aplicativos cliente deem suporte à CAE e de ter incluído todos os seus endereços IP vistos pelo Azure AD e os provedores de recursos, como o Exchange online e o Azure Resource Manager, em sua política de localização em Acesso Condicional. Caso contrário, os usuários em seus locatários poderão ser bloqueados.

Configurações do CAE em uma nova política de Acesso Condicional no portal do Azure.

Desabilitar padrões de resiliência (versão prévia)

Durante uma interrupção, o Azure AD estenderá o acesso às sessões existentes ao impor políticas de Acesso Condicional. Se uma política não puder ser avaliada, o acesso será determinado pelas configurações de resiliência.

Se os padrões de resiliência estão desabilitados, o acesso é negado depois que as sessões existentes expiram. Para obter mais informações, consulte o artigo Acesso condicional: padrões de resiliência.

Próximas etapas