Acesso Condicional: exigir MFA para todos os usuários

Como o Alex Weinert, o Diretório de Segurança de identidade na Microsoft, menciona na postagem do blog dele Your Pa$$word doesn't matter (Sua senha não importa):

Sua senha não importa, mas a MFA sim! Com base em nossos estudos, sua conta tem a probabilidade 99,9% menor de ser comprometida se você usar a MFA.

As diretrizes neste artigo ajudarão sua organização a criar uma política de MFA equilibrada para seu ambiente.

Exclusões de usuário

As políticas de Acesso Condicional são ferramentas avançadas, recomendamos excluir as seguintes contas da sua política:

  • Contas de acesso de emergência ou de interrupção para impedir o bloqueio de conta em todo o locatário. No cenário improvável de todos os administradores serem bloqueados de seu locatário, sua conta administrativa de acesso de emergência poderá ser usada para fazer logon no locatário. Siga as etapas para recuperar o acesso.
  • Contas de serviço e entidades de serviço, como a conta de sincronização do Azure AD Connect. As contas de serviço são contas não interativas que não estão ligadas a nenhum usuário específico. Normalmente, elas são usadas por serviços de back-end que permitem acesso programático a aplicativos, mas também são usadas para entrar em sistemas para fins administrativos. Contas de serviço como essas devem ser excluídas, pois a MFA não pode ser concluída programaticamente. As chamadas feitas por entidades de serviço não são bloqueadas pelo Acesso Condicional.
    • Se a sua organização tiver essas contas em uso em scripts ou código, considere substituí-las por identidades gerenciadas. Como solução temporária, você pode excluir essas contas específicas da política de linha de base.

Exclusões de aplicativo

As organizações podem ter muitos aplicativos de nuvem em uso. Nem todos esses aplicativos podem exigir segurança da mesma forma. Por exemplo, os aplicativos de folha de pagamento e de presença podem exigir MFA, mas a lanchonete provavelmente não exigirá. Os administradores podem optar por excluir aplicativos específicos de sua política.

Criar uma política de Acesso Condicional

As etapas a seguir ajudarão a criar uma política de acesso condicional para exigir que todos os usuários realizem autenticação multifator.

  1. Entre no portal do Azure como administrador global, administrador de segurança ou administrador de acesso condicional.
  2. Procure Azure Active Directory > Segurança > Acesso Condicional.
  3. Selecione Nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários e grupos.
    1. Em Incluir, selecione Todos os usuários
    2. Em Excluir, selecione Usuários e grupos e escolha o acesso de emergência ou as contas de interrupção da sua organização.
    3. Selecione Concluído.
  6. Em Aplicativos ou ações de nuvem > Incluir, selecione Todos os aplicativos de nuvem.
    1. Em Excluir, selecione um aplicativo que não exige autenticação multifator.
  7. Em Condições > Aplicativos de cliente (versão prévia) , em Selecione os aplicativos cliente aos quais essa política será aplicada, deixe todos os padrões selecionados e selecione Concluído.
  8. Em Controles de acesso > Conceder, selecione Conceder acesso, Exigir autenticação multifator e selecione Selecionar.
  9. Confirme suas configurações e defina Habilitar política como Ativado.
  10. Selecione Criar para criar e habilitar sua política.

Localizações nomeadas

As organizações podem optar por incorporar locais de rede conhecidos como Locais nomeados à suas políticas de acesso condicional. Esses locais nomeados podem incluir redes IPv4 confiáveis como as de um local de escritório principal. Para saber mais sobre localizações nomeadas, confira o artigo O que é a condição de localização no Acesso Condicional do Azure Active Directory?

Na política de exemplo acima, uma organização pode optar por não exigir a autenticação multifator se estiver acessando um aplicativo de nuvem a partir da sua rede corporativa. Nesse caso, eles podem adicionar a seguinte configuração à política:

  1. Em Atribuições, selecione Condições > Localizações.
    1. Configure Sim.
    2. Inclua Qualquer localização.
    3. Excluir Todos os locais confiáveis.
    4. Selecione Concluído.
  2. Selecione Concluído.
  3. Salve suas alterações de política.

Próximas etapas

Políticas comuns de Acesso Condicional

Determinar o impacto usando o modo somente relatório de Acesso Condicional

Simular comportamento de entrada usando a ferramenta What If de Acesso Condicional