O que é o Acesso Condicional?

  • Artigo

O perímetro de segurança moderno se estende além do perímetro de rede de uma organização para incluir a identidade do usuário e do dispositivo. As organizações agora usam sinais orientados por identidade como parte de suas decisões de controle de acesso. O Microsoft Entra Conditional Access reúne sinais, para tomar decisões e aplicar políticas organizacionais. O Acesso Condicional é o mecanismo de política Zero Trust da Microsoft que leva em conta os sinais de várias fontes ao aplicar decisões de política.

Diagrama mostrando o conceito de sinais de Acesso Condicional mais a decisão de impor a política organizacional.

As políticas de Acesso Condicional em sua forma mais simples são instruções if-then; Se um usuário quiser acessar um recurso, ele deverá concluir uma ação. Por exemplo: se um usuário quiser acessar um aplicativo ou serviço como o Microsoft 365, ele deverá executar a autenticação multifator para obter acesso.

Os administradores enfrentam dois objetivos principais:

  • Capacitar os utilizadores a ser produtivos em qualquer local e em qualquer momento
  • Proteger os ativos da organização

Use as políticas de Acesso Condicional para aplicar os controles de acesso corretos quando necessário para manter sua organização segura.

Importante

As políticas de Acesso Condicional são aplicadas após a conclusão da autenticação de primeiro fator. O Acesso Condicional não se destina a ser a primeira linha de defesa de uma organização para cenários como ataques de negação de serviço (DoS), mas pode usar sinais desses eventos para determinar o acesso.

Sinais comuns

O Acesso Condicional tem em conta os sinais de várias fontes ao tomar decisões de acesso.

Diagrama mostrando o Acesso Condicional como o mecanismo de política de Confiança Zero agregando sinais de várias fontes.

Estes sinais incluem:

  • Associação de usuário ou grupo
    • As políticas podem ser direcionadas a usuários e grupos específicos, dando aos administradores um controle refinado sobre o acesso.
  • Informações de localização IP
    • As organizações podem criar intervalos de endereços IP confiáveis que podem ser usados ao tomar decisões políticas.
    • Os administradores podem especificar intervalos de IP de países/regiões inteiros para bloquear ou permitir o tráfego.
  • Dispositivo
    • Usuários com dispositivos de plataformas específicas ou marcados com um estado específico podem ser usados ao aplicar políticas de Acesso Condicional.
    • Use filtros para dispositivos para direcionar políticas para dispositivos específicos, como estações de trabalho de acesso privilegiado.
  • Aplicação
    • Os usuários que tentam acessar aplicativos específicos podem acionar diferentes políticas de Acesso Condicional.
  • Deteção de riscos calculados e em tempo real
    • A integração de sinais com a Proteção de ID do Microsoft Entra permite que as políticas de Acesso Condicional identifiquem e corrijam usuários arriscados e comportamentos de entrada.
  • Aplicativos do Microsoft Defender para Nuvem
    • Permite que o acesso ao aplicativo e as sessões do usuário sejam monitorados e controlados em tempo real. Essa integração aumenta a visibilidade e o controle sobre o acesso e as atividades realizadas em seu ambiente de nuvem.

Decisões comuns

  • Bloquear acesso
    • Decisão mais restritiva
  • Conceder acesso
    • Decisão menos restritiva, pode exigir uma ou mais das seguintes opções:
      • Exigir autenticação multifator
      • Exigir força de autenticação
      • Exigir que o dispositivo seja marcado como conforme
      • Exigir dispositivo associado híbrido Microsoft Entra
      • Exigir aplicação cliente aprovada
      • Pedir uma política de proteção de aplicações
      • Exigir alteração da palavra-passe
      • Pedir os termos de utilização

Políticas geralmente aplicadas

Muitas organizações têm preocupações comuns de acesso com as quais as políticas de Acesso Condicional podem ajudar , tais como:

  • Exigindo autenticação multifator para usuários com funções administrativas
  • Exigindo autenticação multifator para tarefas de gerenciamento do Azure
  • Bloqueio de inícios de sessão para utilizadores que tentem utilizar protocolos de autenticação legados
  • Exigir locais confiáveis para o registro de informações de segurança
  • Bloquear ou conceder acesso a partir de localizações específicas
  • Bloquear comportamentos de início de sessão de risco
  • Exigir dispositivos geridos pela organização para aplicações específicas

Os administradores podem criar políticas do zero ou começar a partir de uma política de modelo no portal ou usando a API do Microsoft Graph.

Experiência de administrador

Os administradores com a função de Administrador de Acesso Condicional podem gerir políticas.

O Acesso Condicional encontra-se no centro de administração do Microsoft Entra em Acesso Condicional de Proteção>.

Captura de ecrã da página de descrição geral do Acesso Condicional.

  • A página Visão geral fornece um resumo do estado da política, usuários, dispositivos e aplicativos, bem como alertas gerais e de segurança com sugestões.
  • A página Cobertura fornece uma sinopse de aplicações com e sem cobertura da política de Acesso Condicional nos últimos sete dias.
  • A página Monitoramento permite que os administradores vejam um gráfico de entradas que podem ser filtradas para ver possíveis lacunas na cobertura da apólice.

As políticas de Acesso Condicional na página Políticas podem ser filtradas pelos administradores com base em itens como o ator, o recurso de destino, a condição, o controle aplicado, o estado ou a data. Essa capacidade de filtragem permite que os administradores encontrem políticas específicas com base em sua configuração rapidamente.

Requisitos de licença

O uso desse recurso requer licenças do Microsoft Entra ID P1. Para encontrar a licença certa para os requisitos, veja Comparar as funcionalidades geralmente disponíveis do Microsoft Entra ID.

Os clientes com Licenças do Microsoft 365 Empresas Premium, também têm acesso às funcionalidades de Acesso Condicional.

As políticas baseadas em risco exigem acesso à Proteção de ID do Microsoft Entra, que requer licenças P2.

Outros produtos e recursos que interagem com as políticas de Acesso Condicional exigem licenciamento apropriado para esses produtos e recursos.

Quando as licenças necessárias para o Acesso Condicional expiram, as políticas não são automaticamente desativadas ou excluídas. Isso concede aos clientes a capacidade de migrar das políticas de Acesso Condicional sem uma mudança repentina em sua postura de segurança. As políticas restantes podem ser visualizadas e excluídas, mas não mais atualizadas.

Os padrões de segurança ajudam a proteger contra ataques relacionados à identidade e estão disponíveis para todos os clientes.

Confiança Zero

Esse recurso ajuda as organizações a alinhar suas identidades com os três princípios orientadores de uma arquitetura Zero Trust:

  • Verificar explicitamente
  • Use o privilégio mínimo
  • Assuma a violação

Para saber mais sobre o Zero Trust e outras formas de alinhar a sua organização aos princípios orientadores, consulte o Centro de Orientação Zero Trust.

Próximos passos