Acesso Condicional: condições

Em uma política de acesso condicional, um administrador pode usar um ou mais sinais para aprimorar as decisões de política dele.

Captura de tela das condições disponíveis para uma política de acesso condicional no centro de administração do Microsoft Entra.

Várias condições podem ser combinadas para criar políticas de Acesso condicional específicas e refinadas.

Quando os usuários acessam um aplicativo confidencial, um administrador pode levar em contar diversas condições ao tomar suas decisões de acesso, como, por exemplo:

  • Informações de risco de login do ID Protection
  • Local da rede
  • Informações do dispositivo

Risco do usuário

Os administradores com acesso ao ID Protection podem avaliar o risco do usuário como parte de uma política de Acesso Condicional. O risco do usuário representa a probabilidade de que determinada identidade ou conta seja comprometida. Mais informações sobre o risco de entrada podem ser encontradas nos artigos, O que é risco e Como configurar e habilitar políticas de risco.

Risco de entrada

Os administradores com acesso ao ID Protection podem avaliar o risco de login como parte de uma política de Acesso Condicional. O risco de login representa a probabilidade de uma determinada solicitação de autenticação não ter sido autorizada pelo proprietário da identidade. Mais informações sobre o risco de entrada podem ser encontradas nos artigos, O que é risco e Como configurar e habilitar políticas de risco.

Risco interno

Administradores com acesso à Proteção adaptável do Microsoft Purview podem incorporar sinais de risco do Microsoft Purview em decisões de política de Acesso Condicional. O risco interno considera a governança de dados, a segurança de dados e as configurações de risco e conformidade do Microsoft Purview. Esses sinais são baseados em fatores contextuais como:

  • Comportamento do usuário
  • Padrões históricos
  • Detecção de anomalias

Essa condição permite que os administradores usem políticas de Acesso Condicional para executar ações como bloquear o acesso, exigir métodos de autenticação mais fortes ou exigir aceitação de termos de uso.

Essa funcionalidade envolve a incorporação de parâmetros que abordam especificamente os riscos potenciais decorrentes de dentro de uma organização. Ao configurar o Acesso Condicional para considerar o Risco Interno, os administradores podem adaptar permissões de acesso com base em fatores contextuais, como comportamento do usuário, padrões históricos e detecção de anomalias.

Para obter mais informações, consulte o artigo Configurar e habilitar uma política baseada em risco interno.

Plataformas de dispositivo

O Acesso Condicional identifica a plataforma do dispositivo usando informações fornecidas pelo dispositivo, como, por exemplo, a cadeia de caracteres do agente do usuário. Como as cadeias de caracteres do agente do usuário podem ser modificadas, essas informações não são verificadas. A plataforma do dispositivo deve ser usada em conjunto com as políticas de conformidade de dispositivos do Microsoft Intune ou como parte de uma instrução de bloco. O padrão é aplicar a todas as plataformas de dispositivo.

O Acesso condicional é compatível com as seguintes plataformas de dispositivos:

  • Android
  • iOS
  • Windows
  • macOS
  • Linux

Se você bloquear a autenticação herdada usando a condição de Outros clientes, também poderá definir a condição da plataforma do dispositivo.

Não damos suporte à seleção de plataformas de dispositivo macOS ou Linux ao selecionar Exigir aplicativo cliente aprovado ou Exigir política de proteção de aplicativo como os únicos controles de concessão ou quando você escolher Exigir todos os controles selecionados.

Importante

A Microsoft recomenda uma política de Acesso condicional para plataformas de dispositivos sem suporte. Por exemplo, se você quiser bloquear o acesso aos seus recursos corporativos do Chrome OS, ou de qualquer outro cliente não compatível, configure uma política com uma condição de Plataformas de Dispositivo que inclua qualquer dispositivo e exclua plataformas de dispositivos com suporte e Controle de concessão definido como Bloquear acesso.

Locais

A condição dos locais mudou.

Aplicativos cliente

Por padrão, todas as políticas de Acesso Condicional recém-criadas serão aplicadas a todos os tipos de aplicativos clientes, mesmo que a condição dos aplicativos clientes não esteja configurada.

Observação

O comportamento da condição de aplicativos cliente foi atualizado em agosto de 2020. Se já existirem políticas de Acesso condicional, elas permanecerão inalteradas. No entanto, se clicar em uma política existente, a alternância Configurar foi removida e os aplicativos cliente aos quais a política se aplica serão selecionados.

Importante

Logins de clientes de autenticação herdados não são compatíveis com a autenticação multifator (MFA) e não transmitem informações do estado do dispositivo. Portanto, serão bloqueados pelos controles de concessão de Acesso Condicional, como, por exemplo, a exigência de MFA ou dispositivos em conformidade. Se tiver contas que devem usar autenticação herdada, deverá excluir essas contas da política ou configurar a política para que seja aplicada somente aos clientes de autenticação modernos.

Quando a opção Configurar alternância estiver definida como Sim ela se aplicará a itens marcados. Quando definida como Não, ela se aplicará a todos os aplicativos cliente, incluindo clientes de autenticação modernos e herdados. Essa alternância não é exibida nas políticas criadas antes de agosto de 2020.

  • Clientes de autenticação moderna
    • Navegador
      • Isso inclui aplicativos baseados na Web que usam protocolos como SAML, WS-Federation, OpenID Connect ou serviços registrados como um cliente confidencial do OAuth.
    • Aplicativos móveis e clientes de desktop
      • Essa opção inclui aplicativos como os aplicativos de área de trabalho e de telefone do Office.
  • Clientes de autenticação herdada
    • Clientes do Exchange ActiveSync
      • Essa seleção inclui todo o uso do protocolo EAS (Exchange Active Sync).
      • Quando a política bloqueia o uso do Exchange ActiveSync, o usuário afetado receberá um único email de quarentena. Este email fornecerá informações sobre o motivo do bloqueio e incluirá instruções de correção, se possível.
      • Os administradores podem aplicar a política somente a plataformas com suporte (como iOS, Android e Windows) por meio da API do Microsoft Graph de acesso condicional.
    • Outros clientes
      • Essa opção inclui os clientes que usam protocolos de autenticação básica/herdada que não dão suporte à autenticação moderna.
        • SMTP - Usado por clientes POP e IMAP para enviar mensagens de email.
        • Descoberta automática - usada pelos clientes do Outlook e do EAS para localizar e conectar-se às caixas de correio no Exchange Online.
        • Exchange Online PowerShell - usado para se conectar ao Exchange Online com o PowerShell remoto. Se você bloquear a autenticação básica para o Exchange Online PowerShell, será necessário usar o módulo do PowerShell do Exchange Online para se conectar. Para obter instruções, confira Conectar ao PowerShell do Exchange Online usando a autenticação multifator.
        • Serviços Web do Exchange (EWS) – uma interface de programação usada pelo Outlook, pelo Outlook para Mac e por aplicativos de terceiros.
        • IMAP4 – usado por clientes de email IMAP.
        • MAPI sobre HTTP (MAPI/HTTP) – usado pelo Outlook 2010 e posterior.
        • OAB (catálogo de endereços offline) – uma cópia das coleções de listas de endereços que são baixadas e usadas pelo Outlook.
        • Outlook em Qualquer Lugar (RPC por HTTP) - usado pelo Outlook 2016 e anterior.
        • Serviço do Outlook – usado pelo aplicativo de email e calendário para Windows 10.
        • POP3 - usado por clientes de email POP.
        • Serviços Web de relatórios - usados para recuperar dados de relatório no Exchange Online.

Essas condições costumam ser usadas para:

  • Exigir um dispositivo gerenciado
  • Bloquear a autenticação herdada
  • Bloquear aplicativos web, mas permitir aplicativos móveis ou de área de trabalho

Navegadores com suporte

Essa configuração funciona com todos os navegadores. No entanto, para atender a uma política de dispositivo, como um requisito de conformidade do dispositivo, há suporte para os sistemas operacionais e os navegadores a seguir. Os sistemas operacionais e os navegadores sem suporte base não aparecem nesta lista:

Sistemas operacionais Navegadores
Windows 10 e posterior Microsoft Edge, Chrome, Firefox 91 e posterior
Windows Server 2022 Microsoft Edge, Chrome
Windows Server 2019 Microsoft Edge, Chrome
iOS Microsoft Edge, Safari (confira as observações)
Android Microsoft Edge, Chrome
macOS Microsoft Edge, Chrome, Safari
Área de Trabalho do Linux Microsoft Edge

Esses navegadores dão suporte à autenticação de dispositivo, permitindo que o dispositivo seja identificado e validado em relação a uma política. A verificação do dispositivo falhará caso o navegador esteja sendo executado em modo privado ou se os cookies estiverem desabilitados.

Observação

O Microsoft Edge 85+ exige que o usuário tenha entrado no navegador para passar corretamente a identidade do dispositivo. Caso contrário, ele se comporta como o Chrome sem a extensão Microsoft Single Sign On Esse login pode não ocorrer automaticamente em um cenário de ingresso de dispositivo híbrido.

O Safari tem suporte para acesso condicional com base em dispositivo em um dispositivo gerenciado, mas não pode satisfazer as condições Exigir um aplicativo cliente aprovado ou Exigir política de proteção do aplicativo. Um navegador gerenciado como o Microsoft Edge atende aos requisitos de aplicativo cliente aprovado e política de proteção do aplicativo. No iOS com a solução MDM de terceiros, somente o navegador Microsoft Edge dá suporte à política de dispositivo.

Há suporte ao Firefox 91+ para Acesso Condicional baseado em dispositivo, mas é preciso habilitar "Permitir logon único no Windows para contas Microsoft, corporativa e de estudante".

O Chrome 111+ tem suporte para o acesso condicional baseado em dispositivo, mas a opção "CloudApAuthEnabled" precisa estar habilitada.

Os dispositivos macOS que usam o plug-in Enterprise SSO exigem a extensão Microsoft Single Sign On para dar suporte ao SSO e ao acesso condicional baseado em dispositivo no Google Chrome.

Por que vejo um prompt de certificado no navegador

No Windows 7, no iOS, no Android e no macOS, os dispositivos são identificados usando um certificado do cliente. Esse certificado é provisionado quando o dispositivo é registrado. Quando um usuário entra pela primeira vez pelo navegador, é solicitado que o usuário selecione o certificado. O usuário deve selecionar esse certificado antes de poder usar o navegador.

Suporte ao Chrome

Windows

Para obter suporte do Chrome no Windows 10 Creators Update (versão 1703) ou posterior, instale a extensão Microsoft Single Sign On ou habilite o Chrome CloudAPAuthEnabled. Essas configurações são necessárias quando uma política de acesso condicional requisita detalhes específicos do dispositivo para plataformas Windows.

Para habilitar automaticamente a política CloudAPAuthEnabled no Chrome, crie a seguinte chave do registro:

  • Caminho: HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome
  • Nome: CloudAPAuthEnabled
  • Valor: 0x00000001
  • PropertyType: DWORD

Para implantar automaticamente a extensão Microsoft Single Sign On em navegadores Chrome, crie a seguinte chave de registro usando a política ExtensionInstallForcelist no Chrome:

  • Caminho: HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist
  • Nome: 1
  • Digite: REG_SZ (String)
  • Dados: ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crx

Para obter suporte ao Chrome no Windows 8.1 e 7, crie a seguinte chave do registro:

  • Caminho: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls
  • Nome: 1
  • Digite: REG_SZ (String)
  • Dados: {"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}
macOS

Os dispositivos macOS que usam o plug-in Enterprise SSO exigem a extensão Microsoft Single Sign On para dar suporte ao SSO e ao acesso condicional baseado em dispositivo no Google Chrome.

Para implantações baseadas em MDM do Google Chrome e gerenciamento de extensões, consulte Configurar o navegador Chrome no Mac e ExtensionInstallForcelist.

Aplicativos móveis e cliente de área de trabalho com suporte

Os administradores podem selecionar Aplicativos móveis e clientes de desktop como um aplicativo cliente.

Essa configuração exerce um impacto sobre as tentativas de acesso feitas a partir dos seguintes aplicativos móveis e clientes de desktop:

Aplicativos cliente Serviço de Destino Plataforma
Aplicativo Dynamics CRM Dynamics CRM Windows 10, Windows 8.1, iOS e Android
Aplicativo de Calendário/Email/Pessoas, Outlook 2016 Outlook 2013 (com autenticação moderna) Exchange Online Windows 10
Política de localização e MFA para aplicativos. Não há suporte para políticas baseadas em dispositivo. Qualquer serviço de aplicativo de Meus Aplicativos Android e iOS
Microsoft Teams Services: esse aplicativo cliente controla todos os serviços que dão suporte ao Microsoft Teams e todos os seus aplicativos cliente – Windows Desktop, iOS, Android, WP e cliente da Web Microsoft Teams Windows 10, Windows 8.1, Windows 7, iOS, Android e macOS
Aplicativos do Office 2016, Office 2013 (com autenticação moderna), cliente de sincronização do OneDrive SharePoint Windows 8.1, Windows 7
Aplicativos do Office 2016, Office 2013 (com autenticação moderna), cliente de sincronização do OneDrive SharePoint online Windows 10
Office 2016 (somente Word, Excel, PowerPoint, OneNote). SharePoint macOS
Office 2019 SharePoint Windows 10, macOS
Aplicativos móveis do Office SharePoint Android, iOS
Aplicativo Office Yammer Yammer Windows 10, iOS, Android
Outlook 2019 SharePoint Windows 10, macOS
Outlook 2016 (Office para macOS) Exchange Online macOS
Outlook 2016, Outlook 2013 (com autenticação moderna), Skype for Business (com autenticação moderna) Exchange Online Windows 8.1, Windows 7
Aplicativo Outlook Mobile Exchange Online Android, iOS
Aplicativo do Power BI Serviço do Power BI Windows 10, Windows 8.1, Windows 7, Android e iOS
Skype for Business Exchange Online Android, iOS
Aplicativo do Azure DevOps Services (antigo Visual Studio Team Services, ou VSTS) Azure DevOps Services (antigo Visual Studio Team Services, ou VSTS) Windows 10, Windows 8.1, Windows 7, iOS e Android

Clientes do Exchange ActiveSync

  • Os administradores só podem selecionar clientes do Exchange ActiveSync quando atribuírem uma política a usuários ou grupos. Selecionar Todos os usuários, Todos os usuários convidados e externos ou Funções de diretório fará com que todos os usuários fiquem sujeitos à política.
  • Quando os administradores criam uma política atribuída aos clientes do Exchange ActiveSync, o Exchange Online deve ser o único aplicativo de nuvem atribuído à política.
  • Os administradores podem restringir o escopo dessa política a plataformas específicas usando a condição Plataformas de dispositivos.

Se o controle de acesso atribuído à política usar Exigir aplicativo cliente aprovado, o usuário será direcionado para instalar e usar o cliente móvel do Outlook. Caso a Autenticação Multifator, Termos de uso ou controles personalizados sejam necessários, os usuários afetados são bloqueados, pois a autenticação básica não dá suporte a esses controles.

Para obter mais informações, confira os seguintes artigos:

Outros clientes

Ao selecionar Outros clientes, é possível especificar uma condição que afeta os aplicativos que usam autenticação básica com protocolos de email, como IMAP, MAPI, POP, SMTP e aplicativos mais antigos do Office que não usam autenticação moderna.

Estado do dispositivo (preterido)

Essa condição foi preterida. Os clientes devem usar a condição Filtro para dispositivos na política de Acesso Condicional para satisfazer os cenários alcançados anteriormente usando a condição de estado do dispositivo.

Importante

O estado do dispositivo e os filtros para dispositivos não podem ser usados em conjunto na política de Acesso Condicional. Os filtros para dispositivos fornecem direcionamento mais granular, incluindo suporte para direcionamento de informações do estado do dispositivo através da propriedade trustType e isCompliant.

Filtro para dispositivos

Quando configuram os filtros para dispositivos como uma condição, os administradores podem incluir ou excluir dispositivos com base em um filtro usando uma expressão de regra nas propriedades do dispositivo. É possível criar a expressão de regra para filtros para dispositivos usando o construtor de regras ou a sintaxe de regra. Essa experiência é semelhante à usada em regras de grupos de associação dinâmica para grupos. Para saber mais, confira o artigo Acesso Condicional: Filtro para dispositivos.

Fluxos de autenticação (versão prévia)

Os fluxos de autenticação controlam como sua organização usa determinados protocolos e concessões de autenticação e autorização. Esses fluxos podem fornecer uma experiência ininterrupta para dispositivos que talvez não tenham dispositivos de entrada locais, como dispositivos compartilhados ou sinalização digital. Use esse controle para configurar métodos de transferência como fluxo de código do dispositivo ou transferência de autenticação.

Próximas etapas