Acesso Condicional: Condições
Dentro de uma política de Acesso Condicional, um administrador pode recorrer a sinais de condições como risco, plataforma do dispositivo ou localização para melhorar as suas decisões políticas.
Podem ser combinadas múltiplas condições para criar políticas de acesso condicional e de grãos finos e específicas.
Por exemplo, ao aceder a uma aplicação sensível, um administrador pode ter informações de risco de entrada na Proteção de Identidade e localização na sua decisão de acesso, além de outros controlos como a autenticação multifactor.
Risco de início de sessão
Para clientes com acesso à Proteção de Identidade, o risco de inscrição pode ser avaliado como parte de uma política de Acesso Condicional. O risco de entrada representa a probabilidade de um dado pedido de autenticação não ser autorizado pelo proprietário da identidade. Mais informações sobre o risco de inscrição podem ser encontradas nos artigos, O que é risco e como: Configurar e permitir políticas de risco.
Risco de utilizador
Para clientes com acesso à Proteção de Identidade, o risco do utilizador pode ser avaliado como parte de uma política de Acesso Condicional. O risco do utilizador representa a probabilidade de uma determinada identidade ou conta estar comprometida. Mais informações sobre o risco do utilizador podem ser encontradas nos artigos, O que é risco e como: Configurar e permitir políticas de risco.
Plataformas de dispositivos
A plataforma do dispositivo caracteriza-se pelo sistema operativo que funciona num dispositivo. O Azure AD identifica a plataforma utilizando informações fornecidas pelo dispositivo, como as cordas do agente utilizador. Uma vez que as cordas do agente do utilizador podem ser modificadas, esta informação não é verificada. A plataforma do dispositivo deve ser utilizada em conjunto com as políticas de conformidade do dispositivo Microsoft Intune ou como parte de uma declaração de bloqueio. O padrão é aplicar-se a todas as plataformas do dispositivo.
O Azure AD Conditional Access suporta as seguintes plataformas do dispositivo:
- Android
- iOS
- Windows
- macOS
- Linux
Se bloquear a autenticação de legados utilizando a condição de Outros clientes , também pode definir a condição da plataforma do dispositivo.
Importante
A Microsoft recomenda que tenha uma política de Acesso Condicional para plataformas de dispositivos não apoiadas. Como exemplo, se pretender bloquear o acesso aos seus recursos corporativos a partir do Chrome OS ou de qualquer outro cliente não apoiado, deverá configurar uma política com uma condição de plataforma do Dispositivo que inclua qualquer dispositivo e exclua plataformas de dispositivos suportados e controlo grant definido para bloquear o acesso.
Localizações
Ao configurar a localização como uma condição, as organizações podem optar por incluir ou excluir locais. Estes locais nomeados podem incluir informações públicas da rede IPv4, país ou região, ou mesmo áreas desconhecidas que não mapeiam para países ou regiões específicas. Apenas as gamas IP podem ser marcadas como uma localização fidedigna.
Ao incluir qualquer localização, esta opção inclui qualquer endereço IP na internet e não apenas configurar localizações nomeadas. Ao selecionar qualquer localização, os administradores podem optar por excluir todos os locais fidedignos ou selecionados.
Por exemplo, algumas organizações podem optar por não exigir a autenticação multifactor quando os seus utilizadores estão ligados à rede num local de confiança, como a sua sede física. Os administradores poderiam criar uma política que incluísse qualquer localização, mas excluindo as localizações selecionadas para as suas redes sede.
Mais informações sobre as localizações podem ser encontradas no artigo, Qual é a condição de localização no Azure Ative Directory Conditional Access.
Aplicações do cliente
Por padrão, todas as políticas de Acesso Condicional recentemente criadas serão aplicadas a todos os tipos de aplicações do cliente, mesmo que a condição de aplicações do cliente não esteja configurada.
Nota
O comportamento da condição de aplicações de clientes foi atualizado em agosto de 2020. Se tiver as políticas de acesso condicional existentes, elas permanecerão inalteradas. No entanto, se clicar numa política existente, o toggle de configuração foi removido e as aplicações do cliente a que a política se aplica são selecionadas.
Importante
Os logins de clientes de autenticação antiga não suportam MFA e não passam informações do estado do dispositivo para a Azure AD, pelo que serão bloqueados por controlos de concessão de acesso condicional, como exigir MFA ou dispositivos compatíveis. Se tiver contas que devem utilizar a autenticação antiga, deve excluir essas contas da apólice, ou configurar a apólice apenas para se aplicar aos clientes de autenticação moderna.
O alternador Configure quando definido para Sim aplica-se a itens verificados, quando definidos para Não se aplica a todas as aplicações do cliente, incluindo clientes modernos e legados de autenticação. Este toggle não aparece nas políticas criadas antes de agosto de 2020.
- Clientes de autenticação moderna
- Browser
- Estas incluem aplicações baseadas na Web que usam protocolos como SAML, WS-Federation, OpenID Connect, ou serviços registados como um cliente confidencial da OAuth.
- Aplicativos móveis e clientes de desktop
- Esta opção inclui aplicações como o desktop do Office e aplicações telefónicas.
- Browser
- Clientes de autenticação de legados
- Troca de clientes ActiveSync
- Esta seleção inclui toda a utilização do protocolo Exchange ActiveSync (EAS).
- Quando a política bloqueia a utilização do Exchange ActiveSync, o utilizador afetado receberá um único e-mail de quarentena. Este e-mail fornece informações sobre o porquê de estarem bloqueados e incluir instruções de reparação se possível.
- Os administradores só podem aplicar a política a plataformas suportadas (como iOS, Android e Windows) através da API do Gráfico de Acesso Condicional do Microsoft.
- Outros clientes
- Esta opção inclui clientes que utilizam protocolos de autenticação básica/legado que não suportam a autenticação moderna.
- SMTP autenticado - Usado pelos clientes POP e IMAP para enviar mensagens de correio eletrónico.
- Autodiscover - Usado pelos clientes Outlook e EAS para encontrar e ligar às caixas de correio em Exchange Online.
- Exchange Online PowerShell - Usado para ligar-se a Exchange Online com powerShell remoto. Se bloquear a autenticação básica para Exchange Online PowerShell, tem de utilizar o Módulo Exchange Online PowerShell para ligar. Para obter instruções, consulte Connect to Exchange Online PowerShell utilizando a autenticação multifactor.
- Exchange Web Services (EWS) - Uma interface de programação que é usada pelo Outlook, Outlook for Mac e aplicações de terceiros.
- IMAP4 - Usado por clientes de e-mail IMAP.
- MAPI over HTTP (MAPI/HTTP) - Usado pelo Outlook 2010 e posteriormente.
- Offline Address Book (OAB) - Uma cópia das coleções da lista de endereços que são descarregadas e utilizadas pelo Outlook.
- Outlook Anywhere (RPC over HTTP) - Usado pelo Outlook 2016 e mais cedo.
- Serviço Outlook - Usado pela aplicação De Correio e Calendário para o Windows 10.
- POP3 - Usado por clientes pop e-mail.
- Reportar Serviços Web - Usado para recuperar dados de relatório em Exchange Online.
- Esta opção inclui clientes que utilizam protocolos de autenticação básica/legado que não suportam a autenticação moderna.
- Troca de clientes ActiveSync
Estas condições são normalmente utilizadas quando se necessita de um dispositivo gerido, bloqueando a autenticação de legados e bloqueando aplicações web, mas permitindo aplicações móveis ou de desktop.
Browsers suportados
Esta configuração funciona com todos os navegadores. No entanto, para satisfazer uma política do dispositivo, como um requisito de dispositivo conforme, os seguintes sistemas operativos e navegadores são suportados. Sistemas operativos e navegadores que tenham caído do suporte mainstream não são mostrados nesta lista:
| Sistemas Operativos | Navegadores |
|---|---|
| Windows 10 + | Microsoft Edge, Chrome, Firefox 91+ |
| Windows Server 2022 | Microsoft Edge, Chrome |
| Windows Server 2019 | Microsoft Edge, Chrome |
| iOS | Microsoft Edge, Safari (ver as notas) |
| Android | Microsoft Edge, Chrome |
| macOS | Microsoft Edge, Chrome, Safari |
Estes navegadores suportam a autenticação do dispositivo, permitindo que o dispositivo seja identificado e validado contra uma política. A verificação do dispositivo falha se o navegador estiver em funcionamento em modo privado ou se os cookies estiverem desativados.
Nota
O Edge 85+ requer que o utilizador seja inscrito no navegador para passar corretamente a identidade do dispositivo. Caso contrário, comporta-se como o Chrome sem a extensão das contas. Este início de súdin pode não ocorrer automaticamente num cenário de AD AD Azure Híbrido.
O Safari é suportado para acesso condicional baseado em dispositivos, mas não pode satisfazer a app do cliente aprovado pelo Require ou exigir condições de política de proteção de aplicações . Um navegador gerido como o Microsoft Edge irá satisfazer os requisitos de política de proteção de aplicações de clientes aprovados e de proteção de aplicações. No iOS com solução MDM de 3ª parte apenas o navegador Microsoft Edge suporta a política do dispositivo.
O Firefox 91+ é suportado para acesso condicional baseado em dispositivos, mas "Permitir que o Windows faça um único sinal para a Microsoft, trabalho e contas escolares" precisa de ser ativado.
Por que vejo um certificado no navegador
No Windows 7, iOS, Android e macOS Azure AD identifica o dispositivo usando um certificado de cliente que é a provisionado quando o dispositivo está registado no AZure AD. Quando um utilizador entra pela primeira vez através do navegador, o utilizador é solicitado a selecionar o certificado. O utilizador deve selecionar este certificado antes de utilizar o navegador.
Suporte cromado
Para o suporte do Chrome na Atualização de Criadores do Windows 10 (versão 1703) ou posterior, instale as extensões Contas Windows 10 ou Office Online . Estas extensões são necessárias quando uma política de acesso condicional requer detalhes específicos do dispositivo.
Para implementar automaticamente esta extensão para os navegadores Chrome, crie a seguinte chave de registo:
- HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist caminho
- Nome 1
- Tipo REG_SZ (Corda)
- Dados ppnbnpeolgkicgegkbbbjmhlideopiji;https://clients2.google.com/service/update2/crx
Para o suporte do Chrome no Windows 8.1 e 7, crie a seguinte chave de registo:
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls caminho
- Nome 1
- Tipo REG_SZ (Corda)
- Dados {"pattern":"https://device.login.microsoftonline.com""filter":{"ISSUER":{"CN":"MS-Organization-Access}}}
Aplicações móveis suportadas e clientes de desktop
As organizações podem selecionar aplicações móveis e clientes de desktop como app de clientes.
Esta definição tem impacto nas tentativas de acesso feitas a partir das seguintes aplicações móveis e clientes de desktop:
| Aplicações do cliente | Serviço-alvo | Plataforma |
|---|---|---|
| Aplicativo Dynamics CRM | Dynamics CRM | Windows 10, Windows 8.1, iOS e Android |
| Mail/Calendar/People app, Outlook 2016, Outlook 2013 (com autenticação moderna) | Exchange Online | Windows 10 |
| MFA e política de localização para aplicações. As políticas baseadas em dispositivos não são apoiadas. | Qualquer serviço de aplicações My Apps | Android e iOS |
| Microsoft Teams Services - esta aplicação de clientes controla todos os serviços que suportam as Equipas microsoft e todas as suas Aplicações de Clientes - Windows Desktop, iOS, Android, WP e cliente web | Microsoft Stream | Windows 10, Windows 8.1, Windows 7, iOS, Android e macOS |
| Aplicativos Office 2016, Office 2013 (com autenticação moderna), cliente sincronizado OneDrive | SharePoint | Windows 8.1, Windows 7 |
| Aplicativos office 2016, aplicativos Universal Office, Office 2013 (com autenticação moderna), cliente sincronizado OneDrive | SharePoint Online | Windows 10 |
| Office 2016 (Word, Excel, PowerPoint, OneNote only). | SharePoint | macOS |
| Escritório 2019 | SharePoint | Windows 10, macOS |
| Aplicativos móveis de escritório | SharePoint | Android, iOS |
| App Office Yammer | Yammer | Windows 10, iOS, Android |
| Outlook 2019 | SharePoint | Windows 10, macOS |
| Outlook 2016 (Office for macOS) | Exchange Online | macOS |
| Outlook 2016, Outlook 2013 (com autenticação moderna), Skype para Negócios (com autenticação moderna) | Exchange Online | Windows 8.1, Windows 7 |
| App móvel Outlook | Exchange Online | Android, iOS |
| Aplicação Power BI | serviço Power BI | Windows 10, Windows 8.1, Windows 7, Android e iOS |
| Skype para Empresas | Exchange Online | Android, iOS |
| Aplicativo Visual Studio Team Services | Visual Studio Team Services | Windows 10, Windows 8.1, Windows 7, iOS e Android |
Troca de clientes ActiveSync
- As organizações só podem selecionar clientes Exchange ActiveSync ao atribuir a política aos utilizadores ou grupos. Selecionar Todos os utilizadores, todos os utilizadores convidados e externos ou funções de Diretório fará com que todos os utilizadores sejam sujeitos à política.
- Ao criar uma política atribuída aos clientes Exchange ActiveSync, o Exchange Online deve ser a única aplicação em nuvem atribuída à apólice.
- As organizações podem reduzir o âmbito desta política a plataformas específicas que utilizam a condição das plataformas do Dispositivo .
Se o controlo de acesso atribuído à política utilizar requerer uma aplicação de cliente aprovada, o utilizador é direcionado para instalar e utilizar o cliente móvel do Outlook. No caso de serem necessárias autenticação multi-factor, termos de utilização ou controlos personalizados , os utilizadores afetados estão bloqueados, porque a autenticação básica não suporta estes controlos.
Para obter mais informações, veja os seguintes artigos:
- Bloquear autenticação do legado com Acesso Condicional
- Exigir aplicações de clientes aprovadas com Acesso Condicional
Outros clientes
Ao selecionar Outros clientes, pode especificar uma condição que afeta aplicações que utilizam a autenticação básica com protocolos de correio como IMAP, MAPI, POP, SMTP e aplicações antigas do Office que não utilizam a autenticação moderna.
Estado do dispositivo (precotado)
Esta funcionalidade de pré-visualização foi depreciada. Os clientes devem utilizar o Filtro para o estado dos dispositivos na política de Acesso Condicional, para satisfazer cenários previamente alcançados utilizando o estado do dispositivo (pré-visualização).
A condição do estado do dispositivo foi utilizada para excluir dispositivos que sejam híbridos Azure AD unidos e/ou dispositivos marcados como conformes com uma política de conformidade microsoft Intune das políticas de acesso condicional de uma organização.
Por exemplo, todos os utilizadores que acedam à aplicação cloud da Microsoft Azure Management , incluindo todos os dispositivos , excluindo o Dispositivo Híbrido Azure AD, aderiram e dispositivo marcado como conforme e para controlos de acesso, Bloco.
- Este exemplo criaria uma política que apenas permite o acesso à Microsoft Azure Management a partir de dispositivos que sejam híbridos Azure AD ou dispositivos marcados como conformes.
O cenário acima, pode ser configurado usando Todos os utilizadores que acedam à aplicação cloud da Microsoft Azure Management com filtro para dispositivos em modo de exclusão usando o seguinte dispositivo regra.trustType -eq "ServerAD" -ou dispositivo.isCompliant -eq True e para controlos de acesso, Bloco.
- Este exemplo criaria uma política que bloqueia o acesso à aplicação cloud do Microsoft Azure Management a partir de dispositivos não geridos ou não conformes.
Importante
O estado do dispositivo e os filtros para dispositivos não podem ser utilizados em conjunto na política de acesso condicional. Os filtros para dispositivos fornecem uma segmenta mais granular, incluindo suporte para direcionar as informações do estado do dispositivo através da trustType propriedade e isCompliant da propriedade.
Filtro para dispositivos
Há uma nova condição opcional no Acesso Condicional chamado filtro para dispositivos. Ao configurar o filtro para dispositivos como uma condição, as organizações podem optar por incluir ou excluir dispositivos com base num filtro utilizando uma expressão de regra nas propriedades do dispositivo. A expressão de regra para filtro para dispositivos pode ser da autoria usando o construtor de regras ou a sintaxe de regras. Esta experiência é semelhante à utilizada para regras dinâmicas de adesão para grupos. Para obter mais informações, consulte o artigo Acesso Condicional: Filtro para dispositivos (pré-visualização).