Acesso condicional: usuários e grupos

Uma política de acesso condicional deve incluir uma atribuição de usuário como um dos sinais no processo de decisão. Os usuários podem ser incluídos ou excluídos das políticas de acesso condicional. O Azure Active Directory avalia todas as políticas e garante que todos os requisitos sejam atendidos antes de conceder acesso ao usuário.

Incluir usuários

Essa lista de usuários normalmente inclui todos os usuários que uma organização está direcionando em uma política de acesso condicional.

As opções a seguir estão disponíveis para inclusão ao criar uma política de acesso condicional.

  • Nenhum
    • Nenhum usuário selecionado
  • todos os usuários
    • Todos os usuários que existem no diretório, incluindo convidados B2B.
  • Selecionar Usuários e grupos
    • Todos os convidados e usuários externos
      • Essa seleção inclui quaisquer convidados B2B e usuários externos, incluindo qualquer usuário com o atributo user type definido como guest. Essa seleção também se aplica a qualquer usuário externo conectado de uma organização diferente, como um provedor de soluções na nuvem (CSP).
    • Funções de diretório
      • Permite que os administradores selecionem funções de diretório internas específicas do Azure AD usadas para determinar a atribuição de política. Por exemplo, as organizações podem criar uma política mais restritiva em usuários com a função de administrador global atribuída. Não há suporte para outros tipos de função, incluindo funções administrativas com escopo de unidade e funções personalizadas.
    • Usuários e grupos
      • Permite direcionar conjuntos específicos de usuários. Por exemplo, as organizações podem selecionar um grupo que contenha todos os membros do departamento de RH quando um aplicativo de RH for selecionado como o aplicativo na nuvem. Um grupo pode ser qualquer tipo de grupo de usuários no Azure Active Directory, incluindo grupos de distribuição e segurança dinâmicos ou atribuídos. A política será aplicada a usuários e grupos aninhados.

Importante

Ao selecionar quais usuários e grupos estão incluídos em uma política de acesso condicional, há um limite para o número de usuários individuais que podem ser adicionados diretamente a uma política de acesso condicional. Se houver uma grande quantidade de usuários individuais que precisam ser adicionados diretamente a uma política de acesso condicional, recomendamos colocar os usuários em um grupo e atribuir o grupo à política de acesso condicional em vez disso.

Aviso

Se os usuários ou grupos forem membros de mais de 2048 grupos, seu acesso poderá ser bloqueado. Esse limite se aplica à associação de grupo direta e aninhada.

Aviso

As políticas de acesso condicional não dão suporte a usuários atribuídos a uma função de diretório com escopo para uma unidade administrativa ou funções de diretório com escopo definido diretamente para um objeto, como por meio de funções personalizadas.

Excluir usuários

Quando as organizações incluem e excluem um usuário ou grupo, o usuário ou grupo é excluído da política, uma vez que uma ação de exclusão substitui uma inclusão na política. As exclusões são geralmente usadas para contas de acesso de emergência ou de vidro. Encontre nos artigos a seguir mais informações sobre contas de acesso de emergência e sua importância:

As opções a seguir estão disponíveis para exclusão ao criar uma política de acesso condicional.

  • Todos os convidados e usuários externos
    • Essa seleção inclui quaisquer convidados B2B e usuários externos, incluindo qualquer usuário com o atributo user type definido como guest. Essa seleção também se aplica a qualquer usuário externo conectado de uma organização diferente, como um provedor de soluções na nuvem (CSP).
  • Funções de diretório
    • Permite que os administradores selecionem funções de diretório específicas do Azure AD usadas para determinar a atribuição. Por exemplo, as organizações podem criar uma política mais restritiva em usuários com a função de administrador global atribuída.
  • Usuários e grupos
    • Permite direcionar conjuntos específicos de usuários. Por exemplo, as organizações podem selecionar um grupo que contenha todos os membros do departamento de RH quando um aplicativo de RH for selecionado como o aplicativo na nuvem. Um grupo pode ser qualquer tipo de grupo no Azure AD, incluindo grupos de segurança e distribuição dinâmicos ou atribuídos.

Impedindo o bloqueio do administrador

Para impedir que um administrador bloqueie seu diretório ao criar uma política aplicada a Todos os usuários e a Todos os aplicativos, eles verão o aviso a seguir.

Não se bloqueie! É recomendável aplicar uma política a um pequeno conjunto de usuários primeiro para verificar se ele se comporta conforme o esperado. Também recomendamos a exclusão de pelo menos um administrador dessa política. Isso garante que você ainda terá acesso e poderá atualizar uma política se uma alteração for necessária. Revise os usuários e aplicativos afetados.

Por padrão, a política fornecerá uma opção para excluir o usuário atual da política, mas esse padrão pode ser substituído pelo administrador, conforme mostrado na imagem a seguir.

Warning, don't lock yourself out!

Se você estiver se perguntandoO que fazer se tiver bloqueado o portal do Azure?

Próximas etapas