Compartilhar via

O que é Acesso Condicional?

A segurança moderna se estende para além do perímetro da rede de uma organização para incluir a identidade do usuário e do dispositivo. As organizações agora usam esses sinais de identidade como parte de suas decisões de controle de acesso. Microsoft Entra Acesso Condicional reúne sinais para tomar decisões e implementar políticas organizacionais. O Acesso Condicional é o mecanismo de política Zero Trust da Microsoft levando em conta sinais de várias fontes ao impor decisões de política.

Diagrama mostrando o conceito de sinais de Acesso Condicional e a decisão de aplicar a política organizacional.

As políticas de Acesso Condicional nas suas formas mais simples de instruções if-then: se um usuário quiser acessar um recurso, então ele deverá concluir uma ação. Por exemplo: se um usuário quiser acessar um aplicativo ou serviço como Microsoft 365, ele deverá executar a autenticação multifator para obter acesso.

Os administradores enfrentam duas metas principais:

  • Capacitar os usuários para serem produtivos sempre e em qualquer lugar
  • Proteger os ativos da organização

Use políticas de Acesso Condicional para aplicar os controles de acesso certos quando necessário para manter sua organização segura e não interferir na produtividade.

Importante

As políticas de Acesso Condicional são impostas após a conclusão do primeiro fator de autenticação. O Acesso Condicional não se destina a ser a defesa de linha de frente de uma organização para cenários como ataques de negação de serviço (DoS), mas pode usar sinais desses eventos para determinar o acesso.

Sinais comuns

O Acesso Condicional usa sinais de várias fontes para tomar decisões de acesso.

Diagrama que mostra o Acesso Condicional como o mecanismo de política de Zero Trust agregando sinais de várias fontes.

Alguns desses sinais incluem:

  • Usuário, grupo ou agente
    • As políticas podem ser direcionadas a usuários, grupos e agentes específicos (versão prévia) dando aos administradores controle refinado sobre o acesso.
    • O suporte para identidades e usuários de agentes estende os princípios de Zero Trust para as cargas de trabalho de IA.
  • Informações de localização de IP
    • As organizações podem criar intervalos de endereços IP que podem ser usados ao tomar decisões de política.
    • Os administradores podem especificar intervalos ip de países/regiões inteiros para bloquear ou permitir o tráfego.
  • Dispositivo
    • Os usuários com dispositivos de plataformas específicas ou marcados com um estado específico podem ser usados ao impor políticas de acesso condicional.
    • Use filtros para dispositivos para direcionar políticas para dispositivos específicos, como estações de trabalho de acesso privilegiado.
  • Aplicativo
    • Aplique diferentes políticas de Acesso Condicional quando usuários tentarem acessar aplicativos específicos.
    • Aplique políticas a aplicativos de nuvem tradicionais, aplicativos locais e recursos de agente.
  • Detecção de risco calculada e em tempo real
    • Integra sinais de Microsoft Entra ID Protection para identificar e corrigir usuários arriscados, comportamento de entrada e atividades de agente.
  • Microsoft Defender for Cloud Apps
    • Monitora e controla o acesso e as sessões do aplicativo do usuário em tempo real. Essa integração melhora a visibilidade e o controle sobre o acesso e as atividades em seu ambiente de nuvem.

Decisões comuns

  • Bloquear o acesso é a decisão mais restritiva.
  • Conceder acesso
  • Uma decisão menos restritiva que pode exigir uma ou mais das seguintes opções:
    • Requer autenticação de múltiplos fatores
    • Exigir força de autenticação
    • Exigir que o dispositivo seja marcado como compatível
    • Exigir um dispositivo híbrido registrado no Microsoft Entra
    • Exigir um aplicativo cliente aprovado
    • Exigir uma política de proteção de aplicativo
    • Exigir uma alteração de senha
    • Requerer termos de uso

Políticas comumente aplicadas

Muitas organizações têm preocupações comuns de acesso com as quais as políticas de Acesso Condicional podem ajudar, como:

  • Como exigir a autenticação multifator para usuários com funções administrativas
  • Exigir autenticação multifator para tarefas de gerenciamento de Azure
  • Bloquear entradas para usuários que tentam usar protocolos de autenticação herdados
  • Exigir locais confiáveis para registro de informações de segurança
  • Bloquear ou permitir acesso em localizações específicas
  • Bloquear comportamentos de autenticação arriscados
  • Exigir dispositivos gerenciados pela organização para aplicativos específicos

Os administradores podem criar políticas do zero ou começar com uma política de modelo no portal ou usando o microsoft Graph API.

Experiência administrativa

Administradores com pelo menos a função Security Reader podem encontrar o Acesso Condicional no centro de administração Microsoft Entra em Entra ID>Acesso Condicional.

  • A página Visão geral mostra um resumo da atividade recente relacionada às políticas de Acesso Condicional. Aqui você pode ver quantas políticas estão habilitadas versus somente relatório, atividade de agente e usuário, aplicativos, dispositivos e alertas gerais de segurança com sugestões. Captura de tela da página de visão geral do Acesso Condicional.

  • A guia Cobertura mostra um resumo de aplicativos com e sem cobertura de política de Acesso Condicional nos últimos sete dias. Captura de tela da guia Cobertura de Acesso Condicional mostrando a cobertura da política de aplicativo.

  • A página Políticas lista todas as políticas em seu ambiente, incluindo políticas de somente relatório e políticas criadas pelo Agente de Otimização de Acesso Condicional (se aplicável). Opções para filtrar, exibir cenários "E se" e criar novas políticas estão disponíveis aqui. Captura de tela da página de lista de políticas de Acesso Condicional.

Agente de Otimização de Acesso Condicional

O Conditional Access Optimization Agent com Microsoft Security Copilot sugere novas políticas e alterações nas existentes com base em princípios Zero Trust e práticas recomendadas da Microsoft. Com um clique, aplique a sugestão para atualizar ou criar automaticamente uma política de Acesso Condicional. O agente precisa, pelo menos, da licença P1 do Microsoft Entra ID e das unidades de computação de segurança (SCU).

Requisitos de licença

Usar esse recurso requer licenças P1 Microsoft Entra ID. Para encontrar a licença certa para seus requisitos, consulte Comparar recursos disponíveis do Microsoft Entra ID.

Os clientes com licenças Microsoft 365 Business Premium também podem usar recursos de Acesso Condicional.

Outros produtos e recursos que interagem com políticas de Acesso Condicional exigem licenciamento adequado para esses produtos e recursos, incluindo Microsoft Entra Workload ID, Microsoft Entra ID Protection e Microsoft Purview.

Quando as licenças necessárias para Acesso Condicional expiram, as políticas não são automaticamente desabilitadas ou excluídas. Esse estado gradual permite que os clientes migrem das políticas de Acesso Condicional sem uma mudança repentina na sua postura de segurança. Você pode exibir e excluir as políticas restantes, mas não pode atualizá-las.

Os padrões de segurança ajudam na proteção contra ataques relacionados à identidade e estão disponíveis para todos os clientes.

Zero Trust

Esse recurso ajuda as organizações a alinhar suas identities com os três princípios orientadores de uma arquitetura Zero Trust:

  • Verificação explícita
  • Use o mínimo de privilégios
  • Pressupor uma violação

Para saber mais sobre Zero Trust e outras maneiras de alinhar sua organização aos princípios orientadores, consulte o Zero Trust Guidance Center.

Próximas etapas

Planejar sua implantação de Acesso Condicional

  • Last updated on