Acesso Condicional: Sessão

  • Artigo

Em uma política de acesso condicional, um administrador pode usar controles de sessão para habilitar experiências limitadas em aplicativos de nuvem específicos.

Política de Acesso condicional com uma concessão de controle que solicita a autenticação multifator

Restrições impostas pelo aplicativo

As organizações podem usar o controle para exigir que o Microsoft Entra ID passe informações sobre o dispositivo para os aplicativos na nuvem selecionados. As informações do dispositivo permitem que os aplicativos em nuvem saibam se uma conexão é de um dispositivo compatível ou conectado ao domínio e atualizem a experiência da sessão. Quando selecionado, o aplicativo em nuvem usa as informações do dispositivo para fornecer aos usuários uma experiência limitada ou completa. Ela será limitada se o dispositivo não for gerenciado ou não estiver compatível e será completa se ele for gerenciado e estiver compatível.

Para obter uma lista dos aplicativos com suporte e como configurar políticas, consulte os seguintes artigos:

Controle de aplicativo de Acesso Condicional

O Controle de Aplicativos de Acesso Condicional usa uma arquitetura de proxy reverso e é exclusivamente integrado ao Acesso Condicional do Microsoft Entra. O acesso condicional do Microsoft Entra permite que você imponha controles de acesso aos aplicativos da sua organização de acordo com determinadas condições. As condições definem a quais usuários ou grupos de usuários, aplicativos de nuvem, locais e redes uma política de acesso condicional se aplica. Depois de determinar as condições, é possível encaminhar os usuários ao Microsoft Defender para Aplicativos de Nuvem para proteger dados com o Controle de Aplicativos de Acesso Condicional com a aplicação de controles de acesso e de sessão.

O Controle de Aplicativo de Acesso Condicional permite o monitoramento e controle em tempo real do acesso e das sessões do aplicativo com base nas políticas de acesso e de sessão. As políticas de acesso e sessão são usadas no portal do Defender for Cloud Apps para refinar filtros e definir ações a serem realizadas. Com as políticas de acesso e de sessão, é possível:

  • Impedir a exfiltração dos dados: é possível bloquear o download, o recorte, a cópia e a impressão de documentos confidenciais em dispositivos não gerenciados, por exemplo.
  • Proteger no download: em vez de bloquear o download de documentos confidenciais, você pode exigir que os documentos sejam rotulados e protegidos com a Proteção de Informações do Azure. Essa ação garante que o documento esteja protegido e o acesso do usuário seja restrito em uma sessão potencialmente arriscada.
  • Impede o carregamento de arquivos sem rótulo: antes de um arquivo confidencial ser carregado, distribuído e usado, é importante se certificar de que o arquivo tem o rótulo e a proteção corretos. Você pode garantir que arquivos sem rótulo com conteúdo confidencial sejam impedidos de serem carregados até que o usuário classifique o conteúdo.
  • Monitorar a conformidade das sessões de usuário (versão prévia): usuários suspeitos são monitorados quando entram em aplicativos e suas ações são registradas dentro da sessão. É possível investigar e analisar o comportamento do usuário para compreender onde e sob quais condições as políticas de sessão deverão ser aplicadas no futuro.
  • Bloquear o acesso (versão prévia): você pode bloquear o acesso de maneira granular para aplicativos e usuários específicos, dependendo de vários fatores de risco. Por exemplo, você poderá bloqueá-los se eles estiverem usando os certificados do cliente como uma forma de gerenciamento de dispositivo.
  • Bloquear atividades personalizadas: alguns aplicativos têm cenários exclusivos que trazem risco, por exemplo, enviar mensagens com conteúdo confidencial em aplicativos como o Microsoft Teams ou o Slack. Nesses cenários, você pode examinar o conteúdo confidencial das mensagens e bloqueá-los em tempo real.

Para obter mais informações, confira o artigo Implantar Controle de Aplicativos de Acesso Condicional para aplicativos em destaque.

Frequência de entrada

A frequência de entrada define o período de tempo antes que um usuário seja solicitado a entrar novamente ao tentar acessar um recurso. Os administradores podem selecionar um período de tempo (horas ou dias) ou optar por exigir reautenticação sempre.

A configuração de frequência de entrada funciona com aplicativos que implementam os protocolos OAUTH2 ou OIDC de acordo com os padrões. A maioria dos aplicativos nativos da Microsoft para Windows, Mac e dispositivo móvel, incluindo os aplicativos Web a seguir, seguem a configuração.

  • Word, Excel, PowerPoint Online
  • OneNote Online
  • Office.com
  • Portal de administração do Microsoft 365
  • Exchange Online
  • SharePoint e OneDrive
  • Cliente Web do Teams
  • Dynamics CRM Online
  • Portal do Azure

Para saber mais, confira o artigo Configurar o gerenciamento da sessão de autenticação com o Acesso Condicional.

Sessão persistente do navegador

Uma sessão persistente do navegador permite que os usuários permaneçam conectados depois de fechar e reabrir a janela do navegador.

Para saber mais, confira o artigo Configurar o gerenciamento da sessão de autenticação com o Acesso Condicional.

Personalizar a avaliação contínua de acesso

A avaliação de acesso contínuo é habilitada automaticamente como parte das políticas de Acesso Condicional de uma organização. Para organizações que desejam desabilitar a avaliação de acesso contínuo, essa configuração agora é uma opção no controle de sessão no Acesso Condicional. As políticas de avaliação de acesso contínuo podem ter escopo para todos os usuários ou grupos e usuários específicos. Os administradores podem fazer a seleção a seguir ao criar uma nova política ou editar uma política de acesso condicional existente.

  • Desabilitar só funciona quando Todos os aplicativos de nuvem são selecionados, nenhuma condição é selecionada e Desabilitar é selecionado em Sessão>Personalizar avaliação de acesso contínuo em uma política de Acesso Condicional. Você pode optar por desabilitar todos os usuários ou usuários e grupos específicos.

Uma captura de tela mostrando as configurações de CAE em uma nova política de acesso condicional.

Desabilitar padrões de resiliência

Durante uma interrupção, o Microsoft Entra ID estende o acesso às sessões existentes ao impor políticas de Acesso Condicional.

Se os padrões de resiliência estiverem desabilitados, o acesso será negado depois que as sessões existentes expirarem. Para obter mais informações, confira o artigo Acesso Condicional: padrões de resiliência.

Exigir proteção de token para sessões de entrada (versão prévia)

A proteção de token (às vezes chamado de vinculação de token no setor) tenta reduzir os ataques usando roubo de token, garantindo que um token seja utilizável apenas no dispositivo pretendido. Quando um invasor consegue roubar um token, por sequestro ou repetição, ele pode se passar por sua vítima até que o token expire ou seja revogado. O roubo de token é considerado um evento relativamente raro, mas o dano dele pode ser significativo.

A versão prévia funciona apenas para cenários específicos. Para saber mais, confira o artigo Acesso condicional: filtrar dispositivos (versão prévia).

Usar o perfil de segurança do Acesso Global Seguro (versão prévia)

O uso de um perfil de segurança com Acesso Condicional unifica os controles de identidade com a segurança de rede no produto de Security Service Edge (SSE) da Microsoft, o Acesso à Internet do Microsoft Entra. A seleção desse controle de sessão permite que você adicione reconhecimento de identidade e contexto aos perfis de segurança, que são agrupamentos de várias políticas criadas e gerenciadas no Acesso Global Seguro.

Próximas etapas