Partilhar via

O que é Acesso Condicional?

A segurança moderna se estende além do perímetro de rede de uma organização para incluir a identidade do usuário e do dispositivo. As organizações agora usam sinais orientados por identidade como parte de suas decisões de controle de acesso. O Microsoft Entra Conditional Access reúne sinais, para tomar decisões e aplicar políticas organizacionais. O Acesso Condicional é o motor de políticas Zero Trust da Microsoft que leva em conta sinais de várias fontes ao aplicar decisões políticas.

Diagrama mostrando o conceito de sinais de Acesso Condicional mais a decisão de impor a política organizacional.

As políticas de Acesso Condicional, na sua forma mais simples, são instruções if-then: se um utilizador quiser aceder a um recurso, deve completar uma ação. Por exemplo: se um utilizador quiser aceder a uma aplicação ou serviço como o Microsoft 365, deve realizar autenticação multifator para obter acesso.

Os administradores são confrontados com dois objetivos principais:

  • Capacitar os utilizadores a ser produtivos em qualquer local e em qualquer momento
  • Proteger os ativos da organização

Use políticas de Acesso Condicional para aplicar os controlos de acesso adequados quando necessário, para manter a sua organização segura e não interferir com a produtividade.

Importante

As políticas de Acesso Condicional são aplicadas após a conclusão da autenticação de primeiro fator. O Acesso Condicional não se destina a ser a defesa da linha da frente de uma organização contra cenários como ataques de negação de serviço (DoS), mas pode usar sinais desses eventos para determinar o acesso.

Sinais comuns

O Acesso Condicional usa sinais de várias fontes para tomar decisões de acesso.

Diagrama que mostra o Acesso Condicional como o motor de políticas Zero Trust que agrega sinais de várias fontes.

Alguns destes sinais incluem:

  • Utilizador, grupo ou agente
    • As políticas podem ser direcionadas para utilizadores, grupos e agentes específicos (Pré-visualização), dando aos administradores controlo detalhado sobre o acesso.
    • O suporte para identidades e utilizadores de agentes estende os princípios Zero Trust às cargas de trabalho de IA.
  • Informação de localização IP
    • As organizações podem criar intervalos de endereços IP que podem ser usados na tomada de decisões políticas.
    • Os administradores podem especificar intervalos inteiros de IP de países/regiões para bloquear ou permitir tráfego.
  • Device
    • Usuários com dispositivos de plataformas específicas ou marcados com um estado específico podem ser usados ao aplicar políticas de Acesso Condicional.
    • Use filtros para dispositivos para direcionar políticas para dispositivos específicos, como estações de trabalho de acesso privilegiado.
  • Application
    • Acione diferentes políticas de Acesso Condicional quando os usuários tentarem acessar aplicativos específicos.
    • Aplique políticas a aplicações cloud tradicionais, aplicações on-premises e recursos de agentes.
  • Deteção de risco em tempo real e calculada
    • Integra sinais de Microsoft Entra ID Protection para identificar e remediar utilizadores de risco, comportamentos de início de sessão e atividades do agente.
  • Microsoft Defender for Cloud Apps
    • Monitoriza e controla o acesso e as sessões das aplicações do utilizador em tempo real. Essa integração melhora a visibilidade e o controle sobre o acesso e as atividades em seu ambiente de nuvem.

Decisões comuns

  • Bloquear o acesso é a decisão mais restritiva.
  • Conceder acesso
  • Uma decisão menos restritiva que possa exigir uma ou mais das seguintes opções:
    • Exigir autenticação multifator
    • Exigir força de autenticação
    • Exigir que o dispositivo seja marcado como conforme
    • Requer um dispositivo híbrido Microsoft Entra
    • Exigir uma aplicação de cliente aprovada
    • Exija uma política de proteção de aplicações
    • Exigir uma alteração de palavra-passe
    • Pedir os termos de utilização

Políticas geralmente aplicadas

Muitas organizações têm preocupações comuns de acesso com as quais as políticas de Acesso Condicional podem ajudar, tais como:

  • Exigindo autenticação multifator para usuários com funções administrativas
  • Necessidade de autenticação multifator para tarefas de gestão do Azure
  • Bloqueio de iniciações de sessão para utilizadores que tentam usar protocolos de autenticação legados
  • Exigir locais confiáveis para o registro de informações de segurança
  • Bloquear ou conceder acesso a partir de localizações específicas
  • Bloquear comportamentos de sessão arriscados
  • Exigir dispositivos geridos pela organização para aplicações específicas

Os administradores podem criar políticas do zero ou começar com um modelo de política no portal ou usando a Microsoft Graph API.

Experiência de administrador

Administradores com pelo menos a função Security Reader podem encontrar o Acesso Condicional no centro de administração Microsoft Entra em Entra ID>Conditional Access.

  • A página de Visão Geral mostra um resumo das atividades recentes relacionadas com políticas de Acesso Condicional. Aqui pode ver quantas políticas estão ativadas versus apenas relatórios, atividade de agentes e utilizadores, aplicações, dispositivos e alertas de segurança gerais com sugestões. Captura de ecrã da página de descrição geral do Acesso Condicional.

  • O separador Cobertura mostra um resumo das candidaturas com e sem cobertura da apólice de Acesso Condicional nos últimos sete dias. Captura de ecrã do separador de Cobertura de Acesso Condicional que mostra a cobertura da apólice de candidatura.

  • A página de Políticas lista todas as políticas do seu inquilino, incluindo políticas apenas de relatório e políticas criadas pelo Agente de Otimização de Acesso Condicional (se aplicável). Opções para filtrar, visualizar cenários "E se" e criar novas políticas estão disponíveis aqui. Captura de ecrã da página da lista de políticas de Acesso Condicional.

Agente de otimização de acesso condicional

O Agente de Otimização de Acesso Condicional com Microsoft Security Copilot sugere novas políticas e alterações às existentes com base nos princípios Zero Trust e nas melhores práticas da Microsoft. Com um clique, aplique a sugestão para atualizar automaticamente ou criar uma política de Acesso Condicional. O agente precisa pelo menos da licença P1 Microsoft Entra ID e das unidades de computação segurança (SCU).

Requisitos de licença

A utilização desta funcionalidade requer licenças Microsoft Entra ID P1. Para encontrar a licença certa para os seus requisitos, consulte Compare as funcionalidades geralmente disponíveis do Microsoft Entra ID.

Clientes com licenças Microsoft 365 Business Premium também podem usar funcionalidades de Acesso Condicional.

Outros produtos e funcionalidades que interagem com políticas de Acesso Condicional requerem licenciamento adequado para esses produtos e funcionalidades, incluindo Microsoft Entra Workload ID, Microsoft Entra ID Protection e Microsoft Purview.

Quando as licenças necessárias para o Acesso Condicional expiram, as políticas não são automaticamente desativadas ou excluídas. Esse estado de transição suave permite que os clientes migrem das políticas de Acesso Condicional sem uma mudança repentina na sua postura de segurança. Você pode exibir e excluir as políticas restantes, mas não pode atualizá-las.

Os padrões de segurança ajudam a proteger contra ataques relacionados à identidade e estão disponíveis para todos os clientes.

Zero Trust

Esta funcionalidade ajuda as organizações a alinhar as suas identidades com os três princípios orientadores de uma arquitetura Zero Trust:

  • Verificar explicitamente
  • Use o privilégio mínimo
  • Presuma uma violação

Para saber mais sobre Zero Trust e outras formas de alinhar a sua organização com os princípios orientadores, consulte o Centro de Orientação Zero Trust.

Próximos passos

Planejar a implantação do Acesso Condicional

  • Last updated on