Maneiras comuns de usar o Acesso Condicional com o Intune

Há dois tipos de políticas de Acesso Condicional que você pode utilizar com o Intune: Acesso Condicional baseado em dispositivos e Acesso Condicional baseado em aplicativos. Para suportar a cada uma delas, você precisará configurar as políticas do Intune relacionadas. Quando as políticas do Intune estiverem em vigor e implantadas, você poderá usar o Acesso Condicional para permitir ou bloquear o acesso ao Exchange, controlar o acesso à sua rede ou integrar-se a uma solução de Defesa contra Ameaças Móveis.

As informações deste artigo podem ajudá-lo a entender como usar os recursos de conformidade de dispositivo móvel do Intune e os recursos de MAM (gerenciamento de aplicativo móvel) do Intune.

Observação

O Acesso Condicional é um recurso Microsoft Entra incluído com uma licença de ID P1 ou P2 Microsoft Entra. O Intune aprimora esse recurso adicionando conformidade de dispositivo móvel e gerenciamento de aplicativo móvel à solução. O nó acesso condicional acessado do Intune é o mesmo nó acessado de Microsoft Entra ID.

Acesso Condicional baseado no dispositivo

O Intune e Microsoft Entra ID funcionam juntos para garantir que apenas dispositivos gerenciados e compatíveis possam acessar o email da sua organização, os serviços do Microsoft 365, aplicativos SaaS (Software como serviço) e aplicativos locais. Além disso, você pode definir uma política no Microsoft Entra ID para habilitar apenas computadores ingressados no domínio ou dispositivos móveis registrados no Intune para acessar os serviços do Microsoft 365.

Com o Intune, você implanta políticas de conformidade de dispositivos para determinar se um dispositivo atende aos requisitos de configuração e segurança esperados. A avaliação da política de conformidade determina a status de conformidade dos dispositivos, que é relatada ao Intune e Microsoft Entra ID. É em Microsoft Entra ID que as políticas de Acesso Condicional podem usar a conformidade de um dispositivo status para tomar decisões sobre se permite ou bloqueia o acesso aos recursos da sua organização a partir desse dispositivo.

As políticas de acesso condicional baseadas em dispositivo para o Exchange online e outros produtos do Microsoft 365 são configuradas por meio do centro de administração Microsoft Intune.

Observação

Quando você habilita o Acesso Baseado em Dispositivo para o conteúdo que os usuários acessam de aplicativos de navegador em seus dispositivos Android com perfil de trabalho de propriedade pessoal, usuários registrados antes de janeiro de 2021 precisam habilitar o acesso ao navegador da seguinte maneira:

  1. Inicie o aplicativo do Portal da Empresa.
  2. No menu, vá até a página Configurações.
  3. Na seção Habilitar Acesso do Navegador, toque no botão HABILITAR.
  4. Feche e reinicie o aplicativo de navegador.

Isso permite o acesso em aplicativos do navegador, mas não aos WebViews do navegador que são abertos dentro de aplicativos.

Aplicativos disponíveis no Acesso Condicional para controlar o Microsoft Intune

Ao configurar o Acesso Condicional no centro de administração Microsoft Entra, você tem dois aplicativos para escolher:

  1. Microsoft Intune – Esse aplicativo controla o acesso ao Microsoft Intune centro de administração e fontes de dados. Configure concessões/controles neste aplicativo quando quiser direcionar o Microsoft Intune centro de administração e as fontes de dados.
  2. Registro do Microsoft Intune - esse aplicativo controla o fluxo de trabalho de registro. Configure concessões/controles nesse aplicativo quando tiver como meta o processo de registro. Para obter mais informações, confira Exigir autenticação multifator para registros de dispositivos do Intune.

Acesso Condicional baseado em controle de acesso à rede

O Intune integra-se a parceiros, como Cisco ISE, Aruba Clear Pass e Citrix NetScaler, para fornecer controles de acesso baseados no registro do Intune e no estado de conformidade do dispositivo.

Os usuários podem ter o acesso permitido ou negado ao tentar acessar os recursos corporativos de Wi-Fi ou VPN, dependendo se o dispositivo é gerenciado e está em conformidade com as políticas de conformidade do dispositivo do Intune.

Acesso Condicional baseado nos riscos do dispositivo

O Intune tem parceria com fornecedores de Defesa contra Ameaças Móveis que fornecem uma solução de segurança para detectar malware, cavalos de Tróia e outras ameaças em dispositivos móveis.

Como funciona a integração entre o Intune e a Defesa contra Ameaças Móveis

Quando os dispositivos móveis têm o agente de Defesa contra Ameaças Móveis instalado, o agente envia mensagens sobre o estado de conformidade novamente para o Intune, relatando se há uma ameaça no próprio dispositivo móvel.

A integração do Intune e da defesa contra ameaças móveis desempenha um fator nas decisões de Acesso Condicional baseado no risco do dispositivo.

Acesso Condicional para computadores Windows

O Acesso Condicional para PCs fornece funcionalidades semelhantes as disponíveis para dispositivos móveis. Vamos falar sobre as maneiras pelas quais você pode utilizar o Acesso Condicional ao gerenciar PCs com o Intune.

De propriedade corporativa

  • Microsoft Entra ingresso híbrido: essa opção é comumente usada por organizações que estão razoavelmente confortáveis com a forma como já estão gerenciando seus PCs por meio de políticas de grupo do AD ou Configuration Manager.

  • Microsoft Entra domínio ingressado e gerenciamento do Intune: esse cenário é para organizações que desejam ser cloud-first (ou seja, usar principalmente serviços de nuvem, com o objetivo de reduzir o uso de uma infraestrutura local) ou somente nuvem (sem infraestrutura local). Microsoft Entra junção funciona bem em um ambiente híbrido, permitindo o acesso a aplicativos e recursos locais e de nuvem. O dispositivo se junta à ID do Microsoft Entra e é registrado no Intune, que pode ser usado como um critério de Acesso Condicional ao acessar recursos corporativos.

BYOD (Traga seu próprio dispositivo)

  • Ingresso no local de trabalho e gerenciamento do Intune: com essa opção, o usuário pode ingressar seus dispositivos pessoais para acessar recursos e serviços corporativos. Você pode usar o ingresso no Workplace e registrar dispositivos no Intune MDM para receber políticas no nível do dispositivo, que são outras opções para avaliar os critérios de Acesso Condicional.

Saiba mais sobre Gerenciamento de Dispositivos em Microsoft Entra ID.

Acesso Condicional baseado em Aplicativos

O Intune e Microsoft Entra ID funcionam juntos para garantir que somente aplicativos gerenciados possam acessar e-mails corporativos ou outros serviços do Microsoft 365.

Acesso Condicional do Intune para o Exchange local

O Acesso Condicional pode ser usado para permitir ou bloquear o acesso ao Exchange local com base nas políticas de conformidade e no estado de registro do dispositivo. Quando o Acesso Condicional é usado em combinação com uma política de conformidade do dispositivo, apenas os dispositivos em conformidade têm acesso ao Exchange no local.

Você pode definir configurações avançadas no Acesso Condicional para um controle mais granular, como:

  • Permitir ou bloquear algumas plataformas.

  • Bloquear imediatamente dispositivos que não são gerenciados pelo Intune.

Qualquer dispositivo usado para acessar o Exchange local é verificado quanto à conformidade quando as políticas de Acesso Condicional e a conformidade do dispositivo são aplicadas.

Quando os dispositivos não atendem às condições definidas, o usuário final é guiado pelo processo de registro do dispositivo para corrigir o problema que está tornando o dispositivo incompatível.

Observação

Em julho de 2020, o suporte para o Exchange Connector foi preterido e substituído pela HMA (autenticação moderna híbrida) do Exchange. O uso da HMA não requer que o Intune configure e use o Exchange Connector. Com essa alteração, a interface do usuário para configurar e gerenciar o Exchange Connector para Intune foi removida do centro de administração Microsoft Intune, a menos que você já use um conector do Exchange com sua assinatura.

Se você tiver um Exchange Connector configurado no seu ambiente, o locatário do Intune permanecerá dando suporte para o uso e você continuará tendo acesso à interface do usuário que dá suporte à configuração. Para obter mais informações, confira Instalar o conector do Exchange local. Continue usando o conector ou configure a HMA e, em seguida, desinstale o conector.

A Autenticação Moderna híbrida fornece funcionalidade que era fornecida anteriormente pelo Conector do Exchange para Intune: mapeamento de uma identidade de dispositivo para seu registro do Exchange. Agora, esse mapeamento ocorre fora de uma configuração que você faz no Intune ou do requisito do conector do Intune para ligar o Intune e o Exchange. Com a HMA, o requisito de usar a configuração específica (o conector) do 'Intune' foi removido.

O que é a função do Intune?

O Intune avalia e gerencia o estado do dispositivo.

O que é a função de servidor Exchange?

O servidor Exchange fornece a API e a infraestrutura para mover os dispositivos para a quarentena.

Importante

Lembre-se de que o usuário que está usando o dispositivo deve ter um perfil de conformidade e uma licença do Intune atribuídos a ele para que o dispositivo possa ser avaliado quanto à conformidade. Se nenhuma política de conformidade for implantada para o usuário, o dispositivo será tratado como em conformidade e nenhuma restrição de acesso será aplicada.

Próximas etapas

Como configurar o Acesso Condicional em Microsoft Entra ID

Configurar políticas de Acesso Condicional baseadas em aplicativos

Como criar uma política de Acesso Condicional para o Exchange Local