Quais são as formas comuns de usar o Acesso Condicional com Intune?
Existem dois tipos de acesso condicional com o Intune: acesso condicional baseado no dispositivo e acesso condicional baseado na aplicação. Precisa de configurar as políticas de conformidade relacionadas para promover a conformidade de acesso condicional na sua organização. O acesso condicional é geralmente utilizado para fazer coisas como permitir ou bloquear o acesso a Exchange, controlar o acesso à rede ou integrar-se com uma solução de Defesa de Ameaças Móveis.
As informações neste artigo podem ajudá-lo a entender como usar as capacidades de conformidade do dispositivo móvel Intune e as capacidades de gestão de aplicações móveis Intune (MAM).
Nota
O Acesso Condicional é uma capacidade do Azure Active Directory incluída com uma licença do Azure Active Directory Premium. O Intune melhora esta funcionalidade ao adicionar à solução a conformidade de dispositivos móveis e a gestão de aplicações móveis. O nó de acesso condicional acedido a partir de Intune é o mesmo nó acedido a partir de Azure AD.
Acesso Condicional com base em dispositivos
Intune e Azure Ative Directory trabalhar em conjunto para garantir que apenas dispositivos geridos e compatíveis podem aceder a e-mails, serviços Microsoft 365, software como aplicações de serviço (SaaS) e aplicações no local. Além disso, pode definir uma política em Azure Ative Directory para permitir apenas computadores ou dispositivos móveis associados a domínios que estejam inscritos no Intune para aceder a serviços de Microsoft 365.
O Intune fornece capacidades de política de conformidade de dispositivos que avaliam o estado de conformidade dos dispositivos. O estado de conformidade é comunicado ao Azure Active Directory, que o utiliza para aplicar a política de Acesso Condicional criada no Azure Active Directory quando o utilizador tentar aceder aos recursos da empresa.
As políticas de acesso condicional baseadas em dispositivos para Exchange produtos online e outros Microsoft 365 são configuradas através do centro de administração Microsoft Endpoint Manager.
Saiba mais sobre exigir dispositivos geridos com Acesso Condicional em Azure Ative Directory.
Saiba mais sobre a conformidade de dispositivos do Intune.
Saiba mais sobre navegadores suportados com acesso condicional em Azure Ative Directory.
Nota
Quando ativa o Acesso baseado em dispositivos para conteúdos que os utilizadores acedem a partir de aplicações de navegador nos seus dispositivos de perfil de trabalho de propriedade pessoal do Android, os utilizadores que se inscreveram antes de janeiro de 2021 devem permitir o acesso ao navegador da seguinte forma:
- Lance a aplicação Portal da Empresa.
- Vá à página Definições do menu.
- Na secção De Acesso ao Navegador Ativa, toque no botão ENABLE.
- Feche e, em seguida, reinicie a aplicação do navegador.
Aplicações disponíveis em Acesso Condicional para controlo de Microsoft Intune
Quando está a configurar o acesso condicional no portal Azure Ative Directory, tem duas aplicações disponíveis:
- Microsoft Intune - Esta aplicação controla o acesso à consola Microsoft Endpoint Manager e fontes de dados. Configure as subvenções/controlos desta aplicação quando pretender direcionar a consola Microsoft Endpoint Manager e as fontes de dados.
- Microsoft Intune Inscrição - Esta aplicação controla o fluxo de trabalho de inscrição. Configure as subvenções/controlos desta aplicação quando pretender direcionar o processo de inscrição. Para obter mais informações, exija a autenticação de vários fatores para as matrículas do dispositivo Intune.
Acesso condicional com base no controlo de acesso de rede
O Intune integra-se em parceiros, como o Cisco ISE, Aruba Clear Pass e Citrix NetScaler, para fornecer controlos de acesso com base na inscrição do Intune e no estado de conformidade do dispositivo.
Os utilizadores podem ter acesso permitido ou negado a recursos de VPN ou Wi-Fi empresariais consoante o dispositivo utilizado seja gerido e esteja em conformidade com as políticas de conformidade de dispositivos do Intune.
- Saiba mais sobre a integração de NAC com o Intune.
Acesso condicional com base no risco do dispositivo
O Intune em parceria com fornecedores de Defesa Contra Ameaças para Dispositivos Móveis fornece uma solução de segurança para detetar malware, trojans e outras ameaças em dispositivos móveis.
Como funciona a integração da Defesa Contra Ameaças para Dispositivos Móveis com o Intune
Quando os dispositivos móveis têm o agente de Defesa Contra Ameaças Móveis instalado, o agente envia mensagens de estado de conformidade ao Intune a comunicar quando uma ameaça é encontrada no próprio dispositivo móvel.
A integração da defesa de ameaças intune e móvel desempenha um fator nas decisões de acesso condicional baseadas no risco do dispositivo.
- Saiba mais sobre a defesa contra ameaças para dispositivos móveis do Intune.
Acesso condicional para PCs Windows
O acesso condicional para PCs fornece funcionalidades semelhantes às que se encontram disponíveis para dispositivos móveis. Vamos falar sobre as formas como pode usar o acesso condicional ao gerir computadores com o Intune.
Pertencente à empresa
Associados ao AAD Híbrido: esta opção é normalmente utilizada por organizações que estão razoavelmente confortáveis com a forma como gerem os respetivos PCs através de políticas de grupo do AD ou do Configuration Manager.
Azure AD associado a um domínio e gestão do Intune: este cenário destina-se a organizações que pretendem ter uma abordagem cloud-first (ou seja, utilizam principalmente serviços cloud, com um objetivo de reduzir a utilização de uma infraestrutura no local) ou apenas na cloud (sem infraestrutura no local). A associação ao Azure AD funciona bem num ambiente híbrido, ao permitir o acesso à cloud e a aplicações e recursos no local. O dispositivo junta-se ao AD Azure e é inscrito no Intune, que pode ser usado como um critério de acesso condicional ao aceder a recursos corporativos.
Bring your own device (BYOD)
- Associação à área de trabalho e gestão do Intune: aqui, o utilizador pode associar os seus dispositivos pessoais para aceder a serviços e recursos da empresa. Pode utilizar o Workplace join and intune MDM para receber políticas de nível de dispositivo, que são outra opção para avaliar critérios de acesso condicional.
Saiba mais sobre Gestão de Dispositivos em Azure Ative Directory.
Acesso condicional com base nas aplicações
Intune e Azure Ative Directory trabalham em conjunto para garantir que apenas as aplicações geridas podem aceder a e-mails corporativos ou outros serviços de Microsoft 365.
- Saiba mais sobre o acesso condicional com base na aplicação com o Intune.
Acesso condicional intune para Exchange no local
O acesso condicional pode servir para permitir ou bloquear o acesso ao Exchange no local com base nas políticas de conformidade de dispositivos e no estado de inscrição. Quando o acesso condicional é utilizado em combinação com uma política de conformidade de dispositivos, apenas os dispositivos compatíveis têm permissão para aceder ao Exchange no local.
Pode configurar definições avançadas no acesso condicional para um controlo mais granular, tais como:
Permitir ou bloquear determinadas plataformas.
Bloqueie imediatamente dispositivos que não são geridos pela Intune.
Qualquer dispositivo utilizado para aceder ao Exchange no local é verificado quanto à conformidade quando a conformidade do dispositivo e as políticas de acesso condicional são aplicadas.
Quando os dispositivos não satisfazem as condições definidas, o utilizador final é guiado através do processo de inscrição do dispositivo para corrigir o problema que está a tornar o dispositivo incompatível.
Nota
A partir de julho de 2020, o apoio ao conector Exchange é depreciado, e substituído por Exchange a autenticação moderna híbrida (HMA). A utilização de HMA não requer que o Intune se confiem e utilize o conector Exchange. Com esta alteração, a UI para configurar e gerir o Exchange Connector for Intune foi removido do centro de administração Microsoft Endpoint Manager, a menos que já utilize um conector Exchange com a sua subscrição.
Se tiver um Exchange Connector configurado no seu ambiente, o seu inquilino Intune continua apoiado para o seu uso, e continuará a ter acesso à UI que suporta a sua configuração. Consulte o conector de instalação Exchange no local para obter mais informações. Pode continuar a utilizar o conector ou configurar o HMA e, em seguida, desinstalar o seu conector.
A Autenticação Moderna Híbrida fornece funcionalidade que foi previamente fornecida pelo Conector Exchange para Intune: Mapeamento de uma identidade de dispositivo para o seu registo Exchange. Este mapeamento acontece agora fora de uma configuração que faz no Intune ou a exigência do conector Intune para fazer a ponte Intune e Exchange. Com o HMA, foi removido o requisito de utilização da configuração específica 'Intune' (o conector).
Qual é o papel de Intune?
O Intune avalia e gere o estado do dispositivo.
Qual é o Exchange papel do servidor?
Exchange servidor fornece API e infraestrutura para mover dispositivos para a quarentena.
Importante
Tenha em mente que o utilizador que está a utilizar o dispositivo deve ter um perfil de conformidade e uma licença Intune que lhes seja atribuída para que o dispositivo possa ser avaliado para conformidade. Se não estiver implementada nenhuma política de conformidade para o utilizador, o dispositivo será tratado como compatível e não serão aplicadas restrições de acesso.
Passos seguintes
Como configurar o acesso condicional em Azure Ative Directory
Configurar políticas de acesso condicional com base nas aplicações
Como criar uma política de acesso condicional para Exchange no local