Acesso Condicional: aplicativos cloud, ações e contexto de autenticação

Aplicações em nuvem, ações e contexto de autenticação são sinais-chave numa política de Acesso Condicional. As políticas de Acesso Condicional permitem aos administradores atribuir controlos a aplicações, ações ou contextos de autenticação específicos.

  • Os administradores podem escolher entre a lista de aplicações que incluem aplicações integradas da Microsoft e quaisquer aplicações integradas da AZURE AD, incluindo galeria, não-galeria, e aplicações publicadas através do Application Proxy.
  • Os administradores podem optar por definir a política não com base numa aplicação em nuvem, mas numa ação do utilizador como registar informações de segurança ou registar ou aderir a dispositivos, permitindo o Acesso Condicional para impor controlos em torno dessas ações.
  • Os administradores podem usar o contexto de autenticação para fornecer uma camada extra de segurança nas aplicações.

Defina uma política de acesso condicional e especifique aplicações na nuvem

Aplicações em nuvem da Microsoft

Muitas das aplicações em nuvem da Microsoft existentes estão incluídas na lista de aplicações a partir das quais pode selecionar.

Os administradores podem atribuir uma política de acesso condicional às seguintes aplicações na nuvem da Microsoft. Algumas aplicações como Office 365 e Microsoft Azure Management incluem várias aplicações ou serviços relacionados com crianças. Adicionamos continuamente mais aplicações, pelo que a seguinte lista não é exaustiva e está sujeita a alterações.

  • Office 365
  • Azure Analysis Services
  • Azure DevOps
  • Hubs de Eventos do Azure
  • Azure Service Bus
  • análise Base de Dados SQL do Azure e Azure Synapse
  • Common Data Service
  • Microsoft Application Informações Analytics
  • Microsoft Azure Information Protection
  • Microsoft Azure Gestão
  • Microsoft Azure Gestão de Assinaturas
  • Microsoft Cloud App Security
  • Microsoft Commerce Tools Access Control Portal
  • Serviço de Autenticação de Ferramentas de Comércio do Microsoft
  • Microsoft Forms
  • Microsoft Intune
  • Microsoft Intune Inscrição
  • Microsoft Planner
  • Microsoft Power Apps
  • Microsoft Power Automate
  • Microsoft Pesquisa em Bing
  • Microsoft StaffHub
  • Microsoft Stream
  • Microsoft Stream
  • Exchange Online
  • SharePoint
  • Yammer
  • Office Delve
  • Office Balanço
  • Grupos do Outlook
  • Serviço Power BI
  • Project Online
  • Skype para Empresas Online
  • Rede Privada Virtual (VPN)
  • Windows Defender ATP

Importante

As aplicações que estão disponíveis para Acesso Condicional passaram por um processo de embarque e validação. Esta lista não inclui todas as aplicações da Microsoft, uma vez que muitas são serviços de backend e não pretendem ter uma política diretamente aplicada às suas. Se estiver à procura de uma aplicação que esteja em falta, pode contactar a equipa de aplicação específica ou fazer um pedido no UserVoice.

Office 365

Microsoft 365 fornece serviços de produtividade e colaboração baseados na nuvem, como Exchange, SharePoint e Microsoft Teams. Microsoft 365 serviços na nuvem estão profundamente integrados para garantir experiências suaves e colaborativas. Esta integração pode causar confusão ao criar políticas como algumas aplicações como Microsoft Teams têm dependências de outras, como o SharePoint ou Exchange.

A suíte Office 365 permite direcionar estes serviços de uma só vez. Recomendamos a utilização da nova suite Office 365, em vez de direcionar as aplicações individuais para a nuvem para evitar problemas com dependências de serviços.

Direcionar este grupo de aplicações ajuda a evitar problemas que possam surgir devido a políticas e dependências inconsistentes. Por exemplo: A aplicação Exchange Online está ligada aos dados tradicionais Exchange Online como correio, calendário e informações de contacto. Os metadados relacionados podem ser expostos através de diferentes recursos, como a pesquisa. Para garantir que todos os metadados estão protegidos conforme pretendido, os administradores devem atribuir políticas à aplicação Office 365.

Os administradores podem excluir aplicações específicas da política se assim o desejarem, incluindo a suite Office 365 e excluindo as aplicações específicas na política.

As seguintes aplicações-chave estão incluídas na aplicação Office 365 cliente:

  • Microsoft Forms
  • Microsoft Stream
  • Microsoft To-Do
  • Microsoft Stream
  • Exchange Online
  • SharePoint Online
  • Microsoft 365 Serviço de Pesquisa
  • Yammer
  • Office Delve
  • Office Online
  • Office.com
  • OneDrive
  • Power Automate
  • Power Apps
  • Skype para Empresas Online
  • Sway

Microsoft Azure Gestão

A aplicação Microsoft Azure Management inclui vários serviços.

  • Portal do Azure
  • Fornecedor de Gestor de Recursos Azure
  • APIs modelo de implementação clássico
  • Azure PowerShell
  • CLI do Azure
  • portal de administradores de subscrições Visual Studio
  • Azure DevOps
  • Portal Azure Data Factory

Nota

A aplicação de Gestão Microsoft Azure aplica-se a Azure PowerShell, que chama a API do Gestor de Recursos Azure. Não se aplica ao Azure AD PowerShell, que chama a Microsoft Graph.

Outras aplicações

Os administradores podem adicionar qualquer aplicação registada Azure AD às políticas de Acesso Condicional. Estas aplicações podem incluir:

Nota

Uma vez que a política de Acesso Condicional define os requisitos para aceder a um serviço, não é possível aplicá-lo a uma aplicação de cliente (público/nativo). Outras palavras, a apólice não é definida diretamente numa aplicação de cliente (público/nativo), mas é aplicada quando um cliente chama um serviço. Por exemplo, uma política definida no serviço SharePoint aplica-se aos clientes que ligam para o SharePoint. Uma política definida no Exchange aplica-se à tentativa de aceder ao e-mail utilizando Outlook cliente. É por isso que as aplicações de cliente (público/nativo) não estão disponíveis para seleção na opção Cloud Apps picker e Conditional Access não está disponível nas configurações de aplicação para o cliente (público/nativo) registada no seu inquilino.

Ações do utilizador

As ações do utilizador são tarefas que podem ser executadas por um utilizador. Atualmente, o Acesso Condicional suporta duas ações do utilizador:

  • Informações de segurança do registo: Esta ação do utilizador permite que a política de acesso condicional aplique quando os utilizadores habilitados para o registo combinado tentam registar as suas informações de segurança. Mais informações podem ser encontradas no artigo, registo combinado de informações de segurança.

  • Registar ou juntar dispositivos: Esta ação do utilizador permite aos administradores impor a política de Acesso Condicional quando os utilizadores registam ou se juntam a dispositivos para Azure AD. Fornece granularidade na configuração da autenticação de vários fatores para o registo ou junção de dispositivos em vez de uma política de todo o arrendatário que existe atualmente. Existem três considerações fundamentais com esta ação do utilizador:

    • Require multi-factor authentication é o único controlo de acesso disponível com esta ação do utilizador e todos os outros estão desativados. Esta restrição impede conflitos com controlos de acesso que dependem do registo do dispositivo Azure AD ou não são aplicáveis ao registo do dispositivo Azure AD.
    • Client apps, Filters for devices e Device state as condições não estão disponíveis com esta ação do utilizador, uma vez que estão dependentes do registo do dispositivo Azure AD para impor políticas de Acesso Condicional.
    • Quando uma política de acesso condicional estiver ativada com esta ação do utilizador, deve definir Azure Ative Directory > > dispositivos Definições - Devices to be Azure AD joined or Azure AD registered require Multi-Factor Authentication para o . Caso contrário, a política de Acesso Condicional com esta ação do utilizador não é devidamente aplicada. Mais informações sobre esta definição do dispositivo podem ser encontradas nas definições do dispositivo Configure.

Contexto de autenticação (Pré-visualização)

O contexto de autenticação pode ser utilizado para garantir mais dados e ações nas aplicações. Estas aplicações podem ser as suas próprias aplicações personalizadas, aplicações de linha personalizada de negócios (LOB), aplicações como o SharePoint ou aplicações protegidas por Microsoft Cloud App Security (MCAS).

Por exemplo, uma organização pode manter ficheiros em sites sharePoint como o menu de almoço ou a sua receita secreta de molho de churrasco. Todos podem ter acesso ao site do menu de almoço, mas os utilizadores que tenham acesso ao site secreto de receitas de molho de churrasco podem precisar de ter acesso a partir de um dispositivo gerido e concordar com termos de uso específicos.

Configurar contextos de autenticação

Os contextos de autenticação são geridos no portal Azure no âmbito Azure Ative Directory contexto de > > > autenticação de acesso condicional de segurança .

Gerir o contexto de autenticação no portal Azure

Aviso

  • Eliminar definições de contexto de autenticação não é possível durante a pré-visualização.
  • A pré-visualização está limitada a um total de 25 definições de contexto de autenticação no portal Azure.

Crie novas definições de contexto de autenticação selecionando novo contexto de autenticação no portal Azure. Configure os seguintes atributos:

  • O nome do visor é o nome que é usado para identificar o contexto de autenticação em AZure AD e através de aplicações que consomem contextos de autenticação. Recomendamos nomes que possam ser usados em todos os recursos, como "dispositivos fidedignos", para reduzir o número de contextos de autenticação necessários. Ter um conjunto reduzido limita o número de redirecionamentos e proporciona um melhor fim à experiência do utilizador final.
  • A descrição fornece mais informações sobre as políticas que é usada pelos administradores da AD Azure e aqueles que aplicam contextos de autenticação aos recursos.
  • Publique na caixa de verificação de aplicações quando verificada, anuncie o contexto de autenticação para apps e disponibiliza-as para serem atribuídas. Se não for verificado, o contexto de autenticação não estará disponível para recursos a jusante.
  • O ID é apenas de leitura e é usado em fichas e aplicativos para definições de contexto de autenticação específicas de pedido. Está listado aqui para casos de resolução de problemas e utilização de desenvolvimento.

Adicionar à política de acesso condicional

Os administradores podem selecionar os contextos de autenticação publicados nas suas políticas de Acesso Condicional ao abrigo de aplicações ou ações cloud de atribuições e selecionar o contexto de > autenticação a partir do Select o que esta política se aplica ao menu.

Adicionar um contexto de autenticação de acesso condicional a uma política

Identificar recursos com contextos de autenticação

Para obter mais informações sobre a utilização do contexto de autenticação nas aplicações, consulte os seguintes artigos.

Passos seguintes