Definir políticas de acesso condicional para o Windows 365 Empresas

  • Artigo

O Acesso Condicional é a proteção do conteúdo regulamentado em um sistema, exigindo que determinados critérios sejam atendidos antes de conceder acesso ao conteúdo. As políticas de Acesso Condicional em suas instruções mais simples são afirmações do tipo se-então. Se um usuário quiser acessar um recurso, então ele deverá concluir uma ação. Por exemplo, um gestor de folha de pagamentos quer aceder à aplicação folha de pagamentos e é necessário efetuar a autenticação multifator (MFA) para o fazer.

Usando o Acesso Condicional, você pode atingir dois objetivos principais:

  • Capacite os usuários a serem produtivos em qualquer lugar e a qualquer momento.
  • Proteger os ativos da sua organização.

Usando políticas de acesso condicional, você pode aplicar os controles de acesso corretos quando necessário para manter sua organização segura e ficar fora do caminho do usuário quando não for necessário.

A frequência com que um utilizador é pedido para voltar a autenticar depende das definições de configuração da duração da sessão do Microsoft Entra. Embora memorizar credenciais seja conveniente, também pode tornar as implementações com dispositivos pessoais menos seguras. Para proteger os seus utilizadores, pode certificar-se de que o cliente pede credenciais de autenticação multifator do Microsoft Entra com mais frequência. Pode utilizar a frequência de início de sessão do Acesso Condicional para configurar este comportamento.

Atribuir uma política de Acesso Condicional para PCs na nuvem

As políticas de Acesso Condicional não são definidas para seu locatário por padrão. Pode direcionar as políticas de AC para as aplicações originais do Cloud PC através de uma das seguintes plataformas:

Não importa qual método você usa, as políticas serão impostas no portal do Usuário Final do PC na nuvem e na conexão com o PC na nuvem.

  1. Inicie sessão no centro de administração do Microsoft Intune e selecioneEndpoint security>Acesso condicional>Criar nova política.

  2. Forneça um Nome para sua política de Acesso Condicional específica.

  3. Em Utilizadores, selecione 0 utilizadores e grupos selecionados.

  4. No separador Incluir , selecione Selecionar utilizadores e grupos e selecione Utilizadores e grupos. Se o novo painel não abrir automaticamente, selecione 0 utilizadores e grupos selecionados.

  5. No painel Selecionar utilizadores e grupos que é aberto, procure e selecione os utilizadores ou grupos específicos que pretende direcionar com a política de AC e, em seguida, selecione Selecionar.

  6. Em Recursos de destino, selecione Sem recursos de destino selecionados.

  7. No separador Incluir , selecione Selecionar aplicações e, em seguida, em Selecionar, selecioneNenhuma.

  8. No painel Selecionar , procure e selecione as seguintes aplicações com base nos recursos que está a tentar proteger:

    • Windows 365 (ID da aplicação 0af06dc6-e4b5-4f28-818e-e78e62d137a5). Também pode procurar "cloud" para encontrar esta aplicação. Esta aplicação é utilizada ao obter a lista de recursos para o utilizador e quando os utilizadores iniciam ações no respetivo PC na Cloud, como Reiniciar.
    • Azure Virtual Desktop (ID da aplicação 9cdead84-a844-4324-93f2-b2e6bb768d07). Esta aplicação também pode aparecer como Windows Virtual Desktop. Esta aplicação é utilizada para autenticar no Gateway do Azure Virtual Desktop durante a ligação e quando o cliente envia informações de diagnóstico para o serviço.
    • Ambiente de Trabalho Remoto da Microsoft (ID da aplicação a4a365df-50f1-4397-bc59-1a1564b8bb9c) e Início de Sessão na Nuvem do Windows (ID da aplicação 270efc09-cd0d-444b-a71f-39af4910ec45). Estas aplicações só são necessárias quando configura o início de sessão único no seu ambiente. Estas aplicações são utilizadas para autenticar utilizadores no CLOUD PC.

    Recomenda-se que corresponda às políticas de acesso condicional entre estas aplicações. Isto garante que a política se aplica ao portal de utilizador final do PC na Cloud, à ligação ao Gateway e ao PC na Cloud para uma experiência consistente. Se quiser excluir aplicações, também tem de escolher todas estas aplicações.

    Importante

    Com o início de sessão único ativado, a autenticação no CLOUD PC utiliza a aplicação Microsoft Remote Desktop Entra ID atualmente. Uma alteração futura fará a transição da autenticação para a aplicação Windows Cloud Login Entra ID. Para garantir uma transição suave, tem de adicionar ambas as aplicações Entra ID às suas políticas de AC.

    Observação

    Se não vir a aplicação Windows Cloud Login ao configurar a política de acesso condicional, utilize os passos abaixo para criar a aplicação. Tem de ter permissões de Proprietário ou Contribuidor na subscrição para efetuar estas alterações:

    1. Inicie sessão no Portal do Azure.
    2. Selecione Subscrições na lista de Serviços do Azure.
    3. Selecione o nome da subscrição.
    4. Selecione Fornecedores de recursos e, em seguida, selecione Microsoft.DesktopVirtualização.
    5. Selecione Registar na parte superior.

    Depois de o fornecedor de recursos ser registado, a aplicação Início de Sessão na Cloud do Windows aparece na configuração da política de acesso condicional ao selecionar aplicações às quais pretende aplicar a política. Se não estiver a utilizar o Azure Virtual Desktop, pode anular o registo do fornecedor de recursos Microsoft.DesktopVirtualization depois de a aplicação Windows Cloud Login estar disponível.

  9. Se quiser ajustar a política, em Conceder, selecione 0 controlos selecionados.

  10. No painel Conceder , selecione as opções de concessão ou bloqueio de acesso que pretende aplicar a todos os objetos atribuídos a esta política e, em seguida, selecione Selecionar.

  11. Se quiser testar a política primeiro, em Ativar política, selecione Apenas relatório. Se você definir como Ativado, a política será aplicada assim que você a criar.

  12. Selecionar Criar para criar a política.

Você pode ver sua lista de políticas ativas e inativas na exibição de Políticas da interface do usuário de Acesso Condicional.

Configurar a frequência de início de sessão

As políticas de frequência de início de sessão permitem-lhe configurar a frequência com que os utilizadores são obrigados a iniciar sessão quando acedem a recursos baseados no Microsoft Entra. Isto pode ajudar a proteger o seu ambiente e é especialmente importante para dispositivos pessoais, em que o SO local pode não necessitar de MFA ou pode não bloquear automaticamente após a inatividade. É pedido aos utilizadores que se autentiquem apenas quando é pedido um novo token de acesso ao Microsoft Entra ID quando acedem a um recurso.

As políticas de frequência de início de sessão resultam num comportamento diferente com base na aplicação Microsoft Entra selecionada:

Nome do aplicativo ID do aplicativo Comportamento
Windows 365 0af06dc6-e4b5-4f28-818e-e78e62d137a5 Impõe a re-autenticação quando um utilizador obtém a lista de PCs na Cloud e quando os utilizadores iniciam ações no respetivo PC na Cloud, como Reiniciar.
Área de Trabalho Virtual do Azure 9cdead84-a844-4324-93f2-b2e6bb768d07 Impõe a autenticação nova quando um utilizador efetua a autenticação no Gateway do Azure Virtual Desktop durante uma ligação.
Área de Trabalho Remota da Microsoft

Início de Sessão no Windows Cloud		 a4a365df-50f1-4397-bc59-1a1564b8bb9c

270efc09-cd0d-444b-a71f-39af4910ec45		 Impõe a autenticação nova quando um utilizador inicia sessão no Cloud PC quando o início de sessão único está ativado.

Ambas as aplicações devem ser configuradas em conjunto, uma vez que os clientes irão em breve mudar de utilizar a aplicação Ambiente de Trabalho Remoto da Microsoft para a aplicação Início de Sessão na Nuvem do Windows para autenticar no PC na Cloud.

Para configurar o período de tempo após o qual é pedido a um utilizador para iniciar sessão novamente:

  1. Abra a política que criou anteriormente.
  2. Em Sessão, selecione 0 controlos selecionados.
  3. No painel Sessão , selecione Frequência de início de sessão.
  4. Selecione Reautenticação periódica ou Sempre.
    • Se selecionar Reautenticação periódica, defina o valor para o período de tempo após o qual é pedido a um utilizador para iniciar sessão novamente ao executar uma ação que requer um novo token de acesso e, em seguida, selecione Selecionar. Por exemplo, definir o valor como 1 e a unidade como Horas requer autenticação multifator se uma ligação for iniciada mais de uma hora após a última autenticação do utilizador.
    • A opção Cada vez está atualmente disponível em pré-visualização e só é suportada quando aplicada às aplicações Ambiente de Trabalho Remoto da Microsoft e Início de Sessão na Nuvem do Windows quando o início de sessão único está ativado para os seus PCs na Cloud. Se selecionar Sempre, é pedido aos utilizadores que se autenticem novamente ao iniciar uma nova ligação após um período de 5 a 10 minutos desde a última autenticação.
  5. Na parte inferior da página, selecione Guardar.

Observação

  • A re-autenticação só ocorre quando um utilizador tem de se autenticar num recurso e é necessário um novo token de acesso. Depois de estabelecida uma ligação, os utilizadores não são solicitados mesmo que a ligação dure mais tempo do que a frequência de início de sessão que configurou.
  • Os utilizadores têm de autenticar novamente se existir uma interrupção de rede que obrigue a sessão a ser restabelecida após a frequência de início de sessão que configurou. Isto pode levar a pedidos de autenticação mais frequentes em redes instáveis.