Configurar e habilitar as políticas de risco

  • Artigo

Como aprendemos no artigo anterior, Políticas de acesso baseadas em risco, há dois tipos de políticas de risco no Acesso Condicional do Microsoft Entra que você pode configurar. Você pode usar essas políticas para automatizar a resposta aos riscos, permitindo que os usuários façam a correção automática quando o risco é detectado:

  • Política de risco de entrada
  • Política de risco do usuário

Screenshot of a Conditional Access policy showing risk as conditions.

Escolhendo níveis de risco aceitáveis

As organizações devem decidir o nível de risco em que exigirão o controle de acesso sobre o balanceamento da experiência do usuário e da postura de segurança.

Optar pelo controle de acesso sobre um nível de risco Alto reduz o número de vezes que uma política é disparada e minimiza o conflito para os usuários. No entanto, isso exclui os riscos Baixo e Médio da política, o que talvez não impeça que um invasor explore uma identidade comprometida. Selecionar um nível de risco Baixo para exigir o controle de acesso introduz mais interrupções do usuário.

Os locais de rede confiáveis configurados são usados pelo Identity Protection em algumas detecções de risco para reduzir os falsos positivos.

As configurações de política a seguir incluem o controle de sessão de frequência de entrada exigindo uma reautenticação para entradas e usuários suspeitos.

Correção de risco

As organizações podem optar por bloquear o acesso quando o risco é detectado. Às vezes, o bloqueio impede que usuários legítimos façam o que precisam. Uma solução melhor é permitir a auto-correção usando a autenticação multifator do Microsoft Entra e a alteração segura de senha.

Aviso

Os usuários devem registrar-se para a autenticação multifator do Microsoft Entra antes de enfrentarem uma situação que exija correção. Para usuários híbridos sincronizados do local para a nuvem, o write-back de senha precisa ter sido habilitado neles. Os usuários não registrados são bloqueados e exigem a intervenção do administrador.

A alteração de senha (Eu sei minha senha e quero alterá-la para outra) fora do fluxo de correção da política de usuário suspeito não atende ao requisito de alteração segura de senha.

Recomendação da Microsoft

A Microsoft recomenda as seguintes configurações de política de risco para proteger sua organização:

  • Política de risco do usuário
    • Exigir uma alteração segura de senha quando o nível de risco do usuário for Alto. A autenticação multifator do Microsoft Entra é necessária antes que o usuário possa criar uma nova senha com o write-back de senha para corrigir seu risco.
  • Política de risco de entrada
    • Exigir a autenticação multifator do Microsoft Entra quando o nível de risco de entrada for Médio ou Alto, permitindo que os usuários provem que são eles usando um dos seus métodos de autenticação registrados, corrigindo o risco de entrada.

Exigir o controle de acesso quando o nível de risco é baixo introduz mais conflito e interrupções do usuário do que os médios ou altos. Bloquear o acesso em vez de permitir opções de correção automática, como alteração segura de senha e autenticação multifator, terá impacto em seus usuários e administradores. Avalie essas opções ao configurar suas políticas.

Exclusões

As políticas permitem a exclusão de usuários, como suas contas de administrador de acesso de emergência ou em situação crítica. As organizações talvez precisem excluir outras contas de políticas específicas de acordo com a maneira como as contas são usadas. As exclusões devem ser examinadas regularmente para ver se ainda são aplicáveis.

Habilitar políticas

As organizações podem implantar políticas baseadas em risco no Acesso Condicional usando as etapas a seguir ou usando os modelos de Acesso Condicional.

Antes de habilitar políticas de correção, as organizações devem investigar e corrigir os riscos ativos.

Política de risco do usuário no Acesso Condicional

  1. Entre no centro de administração do Microsoft Entra como pelo menos Administrador de acesso condicional.
  2. Navegue até Proteção>Acesso Condicional.
  3. Selecione Nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione Todos os usuários.
    2. Em Excluir, selecione Usuários e grupos e escolha o acesso de emergência ou as contas de interrupção da sua organização.
    3. Selecione Concluído.
  6. Em Aplicativos ou ações de nuvem>Incluir, selecione Todos os aplicativos de nuvem.
  7. Em Condições>Risco do usuário, defina Configurar como Sim.
    1. Em Configurar os níveis de risco do usuário necessários para que a política seja imposta, selecione Alta. (Essas diretrizes são baseadas em recomendações da Microsoft e podem ser diferentes para cada organização)
    2. Selecione Concluído.
  8. Em Controles de acesso>Conceder.
    1. Selecione Conceder acesso, Exigir autenticação multifator e Exigir alteração de senha.
    2. Selecione Selecionar.
  9. Em Sessão.
    1. Selecione Frequência de entrada.
    2. Verifique se Sempre está selecionado.
    3. Selecione Selecionar.
  10. Confirme suas configurações e defina Habilitar política com Somente relatório.
  11. Selecione Criar para criar e habilitar sua política.

Depois que os administradores confirmarem as configurações com o modo somente relatório, eles poderão alternar a opção Habilitar política de Somente relatório para Ativado.

Política de risco de entrada no Acesso Condicional

  1. Entre no centro de administração do Microsoft Entra como pelo menos Administrador de acesso condicional.
  2. Navegue até Proteção>Acesso Condicional.
  3. Selecione Nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione Todos os usuários.
    2. Em Excluir, selecione Usuários e grupos e escolha o acesso de emergência ou as contas de interrupção da sua organização.
    3. Selecione Concluído.
  6. Em Aplicativos ou ações de nuvem>Incluir, selecione Todos os aplicativos de nuvem.
  7. Em Condições>Risco de entrada, defina Configurar como Sim. Abaixo de Selecionar o nível de risco de entrada ao qual essa política será aplicada. (Essas diretrizes são baseadas em recomendações da Microsoft e podem ser diferentes para cada organização)
    1. Selecione Alto e Médio.
    2. Selecione Concluído.
  8. Em Controles de acesso>Conceder.
    1. Selecione Conceder acesso, Exigir autenticação multifator.
    2. Selecione Selecionar.
  9. Em Sessão.
    1. Selecione Frequência de entrada.
    2. Verifique se Sempre está selecionado.
    3. Selecione Selecionar.
  10. Confirme suas configurações e defina Habilitar política com Somente relatório.
  11. Selecione Criar para criar e habilitar sua política.

Depois que os administradores confirmarem as configurações com o modo somente relatório, eles poderão alternar a opção Habilitar política de Somente relatório para Ativado.

Migrar políticas de risco para o Acesso Condicional

Aviso

As políticas de risco herdadas e configuradas no Microsoft Entra ID Protection serão desativadas em 1º de outubro de 2026.

Se você tiver políticas de risco habilitadas no Microsoft Entra ID, planeje migrá-las para o Acesso Condicional:

Screenshots showing the migration of a sign-in risk policy to Conditional Access.

Migração para o Acesso Condicional

  1. Crie uma política equivalentebaseada em risco de usuário e baseada em risco de entrada no Acesso Condicional no modo somente relatório. Você pode criar uma política com as etapas anteriores ou usando modelos do Acesso Condicional de acordo com as recomendações da Microsoft e os requisitos organizacionais.
    1. Verifique se a nova política de risco de acesso condicional funciona conforme o esperado, testando-a no modo somente relatório.
  2. Habilite a nova política de risco de acesso condicional. Você pode optar por fazer com que ambas as políticas sejam executadas lado a lado para confirmar se as novas políticas estão funcionando conforme o esperado antes de desativar as políticas de risco do ID Protection.
    1. Navegue de volta para Proteção>Acesso Condicional.
    2. Selecione essa nova política para editá-la.
    3. Defina Habilitar política como Ativar para habilitar a política
  3. Desabilite as políticas de risco antigas no ID Protection.
    1. Navegue até Proteção>Proteção de Identidade> Selecione a política de Risco de usuário ou Risco de entrada.
    2. Defina Impor política como Desabilitado
  4. Crie outras políticas de risco, se necessário, no Acesso Condicional.

Próximas etapas