Proteger o registro de informações de segurança com a política de Acesso Condicional

A proteção de quando e como os usuários se registram para a autenticação multifator do Microsoft Entra e a redefinição de senha por autoatendimento é possível por meio de ações do usuário em uma Política de Acesso Condicional. Esse recurso está disponível para organizações que permitem o registro combinado. Essa funcionalidade permite que as organizações tratem o processo de registro como qualquer aplicativo em uma política de acesso condicional e usem todo o poder do acesso condicional para proteger a experiência. Os usuários que entram no aplicativo Microsoft Authenticator ou habilitam a conexão por telefone sem senha estão sujeitos a essa política.

Algumas organizações no passado podem ter usado a localização de rede confiável ou a conformidade do dispositivo como um meio de proteger a experiência de registro. Com a adição da Senha de Acesso Temporária no Microsoft Entra ID, os administradores podem fornecer credenciais com limite de tempo aos usuários que permitem que eles se registrem em qualquer dispositivo ou local. Credenciais de Senha de Acesso Temporária atendem aos requisitos de acesso condicional para autenticação multifator.

Exclusões de usuário

As políticas de Acesso Condicional são ferramentas avançadas, recomendamos excluir as seguintes contas das suas políticas:

  • Acesso de emergência ou contas de emergência para evitar bloqueio devido à configuração incorreta da política. No cenário improvável de que todos os administradores sejam bloqueados, sua conta administrativa de acesso de emergência pode ser usada para fazer login e tomar medidas para recuperar o acesso.
  • Contas de serviço e entidades de serviço, como a conta de sincronização do Microsoft Entra Connect. As contas de serviço são contas não interativas que não estão ligadas a nenhum usuário específico. Normalmente, elas são usadas por serviços de back-end que permitem acesso programático a aplicativos, mas também são usadas para entrar em sistemas para fins administrativos. As chamadas feitas pelas entidades de serviço não serão bloqueadas pelas políticas de Acesso Condicional com um escopo que inclua os usuários. Use o Acesso Condicional a identidades de carga de trabalho para definir políticas direcionadas a entidades de serviço.
    • Se a sua organização tiver essas contas em uso em scripts ou código, considere substituí-las por identidades gerenciadas.

Implantação de modelo

As organizações podem optar por implantar essa política usando as etapas descritas abaixo ou usando os Modelos de Acesso Condicional.

Criar uma política para proteger o registro

A política a seguir se aplica aos usuários selecionados que tentam se registrar usando a experiência de registro combinado. A política exige que os usuários estejam em um local de rede confiável e façam autenticação multifator ou usem credenciais de Senha de Acesso Temporária.

Aviso

Se você usar métodos de autenticação externos, eles serão incompatíveis com a força da autenticação e você deverá usar o controle de concessão Exigir autenticação multifator.

  1. Entre no centro de administração do Microsoft Entra como pelo menos Administrador de acesso condicional.
  2. Navegar para Proteção> de acesso condicional de >Políticas.
  3. Selecione Nova política.
  4. No campo Nome, digite um nome para esta política. Por exemplo, o Registro de Informações de Segurança Combinado com TAP.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione Todos os usuários.

      Aviso

      Os usuários devem estar habilitados para o registro combinado.

    2. Em Excluir.

      1. Selecione Todos os usuários convidados e externos.

        Observação

        A Senha de Acesso Temporária não funciona para usuários convidados.

      2. Selecione Usuários e grupos e escolha o acesso de emergência ou as contas de interrupção da sua organização.

  6. Em Recursos de destino>Ações do usuário, marque Registrar informações de segurança.
  7. Em Condições>Locais.
    1. Defina Configurar como Sim.
      1. Inclua Qualquer localização.
      2. Excluir Todos os locais confiáveis.
  8. Em Controles de acesso>Conceder, selecione Conceder acesso.
    1. Selecione Exigir força de autenticação e, em seguida, selecione a força de autenticação interna ou personalizada apropriada na lista.
    2. Escolha Selecionar.
  9. Confirme suas configurações e defina Habilitar política com Somente relatório.
  10. Selecione Criar para criar e habilitar sua política.

Depois que os administradores confirmarem as configurações com o modo somente relatório, eles poderão alternar a opção Habilitar política de Somente relatório para Ativado.

Os administradores precisam emitir credenciais de Senha de Acesso Temporária para novos usuários para que eles possam atender aos requisitos de autenticação multifator para se registrar. As etapas para realizar essa tarefa são encontradas na seção Criar uma Senha de Acesso Temporária no centro de administração do Microsoft Entra.

As organizações podem optar por exigir outros controles de concessão junto com ou no lugar de Exigir autenticação multifator na etapa 8a. Ao optar por vários controles, selecione o botão de opção apropriado para exigir todos ou um dos controles selecionados ao fazer essa alteração.

Registro de usuário convidado

Para usuários convidados que precisam se registrar para autenticação multifator no seu diretório, você pode optar por bloquear o registro de fora dos locais de rede confiáveis usando o guia a seguir.

  1. Entre no centro de administração do Microsoft Entra como pelo menos Administrador de acesso condicional.
  2. Navegar para Proteção> de acesso condicional de >Políticas.
  3. Selecione Nova política.
  4. No campo Nome, insira um nome para essa política. Por exemplo, Registro combinado de informações de segurança em redes confiáveis.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione Todos os usuários convidados e externos.
  6. Em Recursos de destino>Ações do usuário, marque Registrar informações de segurança.
  7. Em Condições>Locais.
    1. Configure Sim.
    2. Inclua Qualquer localização.
    3. Excluir Todos os locais confiáveis.
  8. Em Controles de acesso>Conceder.
    1. Seleione Bloquear acesso.
    2. Em seguida, escolha Selecionar.
  9. Confirme suas configurações e defina Habilitar política com Somente relatório.
  10. Selecione Criar para criar e habilitar sua política.

Depois que os administradores confirmarem as configurações com o modo somente relatório, eles poderão alternar a opção Habilitar política de Somente relatório para Ativado.