Migração clássica de política de acesso condicional

Artigo
07/27/2022
4 minutos para ler

O Acesso Condicional é a ferramenta utilizada pela Azure Ative Directory para reunir sinais, tomar decisões e impor políticas organizacionais. O Acesso Condicional está no centro do novo plano de controlo de identidade. Embora o objetivo ainda seja o mesmo, o lançamento do novo portal do Azure introduziu melhorias significativas no funcionamento do Acesso Condicional.

Considere migrar as políticas que não criou no portal do Azure porque:

Agora pode abordar cenários que não conseguiu lidar antes.
Pode reduzir o número de políticas que tem de gerir consolidando-as.
Pode gerir todas as suas políticas de Acesso Condicional num local central.
O portal clássico do Azure será retirado.

Este artigo explica o que precisa de saber para migrar as suas políticas de Acesso Condicional existentes para o novo quadro.

Políticas clássicas

No portal do Azure, as políticas de Acesso Condicional podem ser encontradas no âmbito do Azure Ative Directory>SecurityConditional> Access. A sua organização também pode ter políticas de Acesso Condicional mais antigas não criadas usando esta página. Estas políticas são conhecidas como políticas clássicas. As políticas clássicas são políticas de acesso condicional, que criou em:

O portal clássico Azure
O portal clássico Intune
O portal de proteção de aplicações Intune

Na página Acesso Condicional , pode aceder às suas políticas clássicas clicando em políticas clássicas na secção Gerir .

Conditional Access in Azure AD showing classic policies view

A visão de políticas clássicas oferece-lhe uma opção para:

Filtre as suas políticas clássicas.
Desativar as políticas clássicas.
Reveja as definições de uma política clássica e desative-a.

Aviso

Uma vez desativada, uma política clássica não pode ser reativada.

A visão de detalhes de uma política clássica permite-lhe documentar as definições, modificar os grupos incluídos ou excluídos e desativar a política.

Policy details - Groups to include or exclude

Alterando os grupos selecionados ou excluindo grupos específicos, pode testar o efeito de uma política clássica desativada para alguns utilizadores de teste antes de desativar a política para todos os utilizadores e grupos incluídos.

Migration considerations (Considerações sobre a migração)

Neste artigo, as políticas de acesso condicionado Azure AD também são referidas como novas políticas. As suas políticas clássicas continuam a trabalhar lado a lado com as suas novas políticas até que as desative ou elimine.

Os seguintes aspetos são importantes no contexto de uma consolidação das políticas:

Enquanto as políticas clássicas estão ligadas a uma aplicação específica na nuvem, pode selecionar quantas aplicações em nuvem precisar de uma nova política.
Os controlos de uma política clássica e de uma nova política para uma aplicação em nuvem exigem que todos os controlos (E) sejam cumpridos.
Numa nova política, pode:
- Combine várias condições, se necessário pelo seu cenário.
- Selecione vários requisitos de concessão como controlo de acesso e combine-os com um OR lógico (requerer um dos controlos selecionados) ou com um E lógico (requere todos os controlos selecionados).

Exchange online

Se quiser migrar políticas clássicas para Exchange online que incluam Exchange Ative Sync como condição de aplicações de clientes, poderá não conseguir consolidá-las numa nova política.

Este é, por exemplo, o caso se quiser suportar todos os tipos de aplicações do cliente. Numa nova política que Exchange Ative Sync como condição de aplicações de clientes, não é possível selecionar outras aplicações de clientes.

Conditional Access selecting client apps

Uma consolidação numa nova política também não é possível se as suas políticas clássicas contiverem várias condições. Uma nova política que tem Exchange Ative Sync como condição de aplicações de cliente configuradas não suporta outras condições:

Exchange ActiveSync does not support the selected conditions

Se tiver uma nova política que tenha Exchange Ative Sync como condição de aplicações de clientes configurada, tem de se certificar de que todas as outras condições não estão configuradas.

Conditional Access conditions

As políticas clássicas baseadas em aplicativos para Exchange Online que incluem Exchange Ative Sync como condição de aplicações de clientes permitem plataformas de dispositivos suportadas e não suportadas. Embora não seja possível configurar plataformas individuais de dispositivos numa nova política relacionada, pode limitar o suporte apenas a plataformas de dispositivos suportados .

Conditional Access select Exchange ActiveSync

Pode consolidar várias políticas clássicas que incluem Exchange Ative Sync como condição de aplicações de clientes se tiverem:

Apenas Exchange Ative Sync como condição
Vários requisitos para a concessão de acesso configurado

Um cenário comum é a consolidação de:

Uma política clássica baseada em dispositivos do portal clássico Azure
Uma política clássica baseada em aplicativos no portal de proteção de aplicações Intune

Neste caso, pode consolidar as suas políticas clássicas numa nova política que tenha ambos os requisitos selecionados.

Conditional Access grant controls

Plataformas de dispositivos

As políticas clássicas com controlos baseados em aplicações são pré-configuradas com iOS e Android como condição da plataforma do dispositivo.

Numa nova política, é necessário selecionar as plataformas do dispositivo que pretende suportar individualmente.

Conditional Access device platforms selection

Passos seguintes

Utilize o modo apenas de relatório para acesso condicional para determinar o impacto de novas decisões políticas.
Se quiser saber como configurar uma política de acesso condicional, consulte políticas comuns de Acesso Condicional.
Se estiver pronto para configurar políticas de acesso condicional para o seu ambiente, consulte o artigo Como: Planeie a sua implementação de Acesso Condicional em Azure Ative Directory.