Acesso condicional para identidades de carga de trabalho

  • Artigo

Políticas de Acesso Condicional historicamente aplicadas somente aos usuários quando acessam aplicativos e serviços como o SharePoint Online. Agora, o suporte a políticas de acesso condicional será estendido a fim de que elas sejam aplicadas às entidades de serviço pertencentes à organização. Chamamos esse recurso de acesso condicional para identidades de carga de trabalho.

Uma identidade de carga de trabalho é uma identidade que permite que um aplicativo ou entidade de serviço acesse recursos, às vezes no contexto de um usuário. Essas identidades de carga de trabalho diferem das contas de usuário tradicionais pois:

  • Não podem executar a autenticação multifator.
  • Não têm nenhum processo formal de ciclo de vida.
  • Precisa armazenar suas credenciais ou segredos em algum lugar.

Essas diferenças dificultam o gerenciamento de identidades de carga de trabalho e as colocam em maior risco de comprometimento.

Importante

As licenças das Identidades de Carga de Trabalho Premium são necessárias para criar ou modificar políticas de Acesso Condicional com escopo para entidades de serviço. Em diretórios sem licenças apropriadas, as políticas existentes de Acesso Condicional para identidades de carga de trabalho continuarão a funcionar, mas não podem ser modificadas. Para obter mais informações, consulte Identidades de Carga de Trabalho do Microsoft Entra.  

Observação

A política pode ser aplicada a entidades de serviço de locatário único que foram registradas em seu locatário. Aplicativos SaaS e multilocatários de terceiros estão fora do escopo. As identidades gerenciadas não são cobertas pela política.

O Acesso Condicional para identidades de carga de trabalho permite bloquear entidades de serviço de fora de intervalos de IP públicos confiáveis, com base no risco detectado pela Proteção de ID do Microsoft Entra ou em combinação com contextos de autenticação.

Implementação

Criar uma política de acesso condicional baseado em localização

Crie uma política de acesso condicional com base na localização que se aplique a entidades de serviço.

  1. Entre no centro de administração do Microsoft Entra como pelo menos Administrador de acesso condicional.
  2. Navegue até Proteção>Acesso Condicional.
  3. Selecione Criar nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Na seção a que essa política se aplica?, selecione Identidades de carga de trabalho.
    2. Em incluir, escolha Selecionar entidades de serviçoe selecione as entidades de serviço apropriadas na lista.
  6. Em Recursos de destino>Aplicativos de nuvem>Incluir, selecione Todos os aplicativos de nuvem. A política será aplicada somente quando uma entidade de serviço solicitar um token.
  7. Em Condições>Locais, inclua qualquer local e exclua os locais selecionados onde você deseja permitir o acesso.
  8. Em Concessão, Bloquear acesso é a única opção disponível. O acesso é bloqueado quando uma solicitação de token é feita de fora do intervalo permitido.
  9. Sua política pode ser salva no modo Somente de relatório, permitindo que os administradores estimem os efeitos ou a política seja imposta ao ativar a política.
  10. Selecione Criar para completar sua política.

Criar uma política de acesso condicional baseada em risco

Crie uma política de acesso condicional com base no risco que possa ser aplicada a entidades de serviço.

Criando uma política de Acesso Condicional com uma identidade de carga de trabalho e risco como condição.

  1. Entre no centro de administração do Microsoft Entra como pelo menos Administrador de acesso condicional.
  2. Navegue até Proteção>Acesso Condicional.
  3. Selecione Criar nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Na seção a que essa política se aplica?, selecione Identidades de carga de trabalho.
    2. Em incluir, escolha Selecionar entidades de serviçoe selecione as entidades de serviço apropriadas na lista.
  6. Em Recursos de destino>Aplicativos de nuvem>Incluir, selecione Todos os aplicativos de nuvem. A política será aplicada somente quando uma entidade de serviço solicitar um token.
  7. Na seção Condições>Risco da entidade de serviço
    1. Defina a alternância Configurar como Sim.
    2. Selecione os níveis de risco nos quais você deseja que essa política seja disparada.
    3. Selecione Concluído.
  8. Em Concessão, Bloquear acesso é a única opção disponível. O acesso é bloqueado quando os níveis de risco especificados são vistos.
  9. Sua política pode ser salva no modo Somente de relatório, permitindo que os administradores estimem os efeitos ou a política seja imposta ao ativar a política.
  10. Selecione Criar para completar sua política.

Reverter

Se você quiser reverter esse recurso, poderá excluir ou desabilitar as políticas criadas.

Logs de entrada

Os logs de entrada são usados para examinar como a política é imposta para entidades de serviço ou os efeitos esperados da política ao usar o modo somente de relatório.

  1. Navegue até Identidade>Monitoramento e integridade>Logs de entrada>Entradas da entidade de segurança de serviço.
  2. Selecione uma entrada de log e escolha a guia Acesso condicional para exibir informações de avaliação.

Motivo da falha quando o Acesso Condicional bloqueia uma Entidade de Serviço: "O acesso foi bloqueado devido a políticas de acesso condicional".

Modo somente relatório

Para exibir os resultados de uma política baseada em localização, consulte a guia Somente relatório de eventos no Relatório de conexão ou use a pasta de trabalho Insights e Relatórios do Acesso Condicional.

Para exibir os resultados de uma política baseada em risco, consulte a guia Somente relatório de eventos no Relatório de conexão.

Referência

Encontrando o objectID

É possível obter o objectID da entidade de serviço dos Aplicativos Empresariais do Microsoft Entra. A ID de objeto em Registros de aplicativo do Microsoft Entra não pode ser usada. Esse identificador é a ID de objeto do registro do aplicativo, não da entidade de serviço.

  1. Navegue atéIdentidade>Aplicativos>Aplicativos empresariais e encontre o aplicativo que você registrou.
  2. Na guia Visão geral, copie a ID do objeto do aplicativo. Esse identificador é exclusivo para a entidade de serviço, usada pela política de acesso condicional para localizar o aplicativo de chamada.

Microsoft Graph

Exemplo de JSON para configuração baseada em local usando o ponto de extremidade beta do Microsoft Graph.

{
  "displayName": "Name",
  "state": "enabled OR disabled OR enabledForReportingButNotEnforced",
  "conditions": {
    "applications": {
      "includeApplications": [
        "All"
      ]
    },
    "clientApplications": {
      "includeServicePrincipals": [
        "[Service principal Object ID] OR ServicePrincipalsInMyTenant"
      ],
      "excludeServicePrincipals": [
        "[Service principal Object ID]"
      ]
    },
    "locations": {
      "includeLocations": [
        "All"
      ],
      "excludeLocations": [
        "[Named location ID] OR AllTrusted"
      ]
    }
  },
  "grantControls": {
    "operator": "and",
    "builtInControls": [
      "block"
    ]
  }
}

Próximas etapas