Habilite a verificação de rede compatível com Acesso Condicional

As organizações que usam o Acesso Condicional, juntamente com o Acesso Seguro Global, podem impedir o acesso mal-intencionado a aplicativos da Microsoft, aplicativos SaaS de terceiros e aplicativos de linha de negócios (LoB) privados usando várias condições para fornecer defesa detalhada. Essas condições podem incluir conformidade do dispositivo, localização e muito mais para fornecer proteção contra a identidade do usuário ou roubo de token. O Global Secure Access introduz o conceito de uma rede compatível no Microsoft Entra ID Conditional Access. Esta verificação de rede em conformidade garante que os utilizadores se ligam a partir de um modelo de conectividade de rede verificado para o inquilino específico e estão em conformidade com as políticas de segurança impostas pelos administradores.

O Global Secure Access Client instalado em dispositivos ou usuários por trás de redes remotas configuradas permite que os administradores protejam recursos por trás de uma rede compatível com controles avançados de Acesso Condicional. Esse recurso de rede compatível torna mais fácil para os administradores gerenciar políticas de acesso, sem ter que manter uma lista de endereços IP de saída. Isso elimina a necessidade de reduzir o tráfego através da VPN da organização.

Aplicação de verificação de rede compatível

A aplicação de rede compatível reduz o risco de ataques de roubo/reprodução de tokens. A imposição de rede compatível acontece no plano de autenticação (geralmente disponível) e no plano de dados (visualização). A imposição do plano de autenticação é executada pela ID do Microsoft Entra no momento da autenticação do usuário. Se um adversário tiver roubado um token de sessão e tentar reproduzi-lo de um dispositivo que não esteja conectado à rede compatível da sua organização (por exemplo, solicitando um token de acesso com um token de atualização roubado), o Entra ID negará imediatamente a solicitação e o acesso adicional será bloqueado. A imposição do plano de dados funciona com serviços que oferecem suporte à Avaliação de Acesso Contínuo (CAE) - atualmente, apenas o SharePoint Online. Com aplicativos que suportam CAE, os tokens de acesso roubados que são reproduzidos fora da rede compatível do seu locatário serão rejeitados pelo aplicativo quase em tempo real. Sem CAE, um token de acesso roubado durará até sua vida útil completa (padrão de 60 a 90 minutos).

Essa verificação de rede compatível é específica para cada locatário.

• Usando essa verificação, você pode garantir que outras organizações que usam os serviços de Acesso Seguro Global da Microsoft não possam acessar seus recursos.
  • Por exemplo: a Contoso pode proteger seus serviços, como o Exchange Online e o SharePoint Online, por trás de sua verificação de rede compatível para garantir que apenas os usuários da Contoso possam acessar esses recursos.
  • Se outra organização, como a Fabrikam, estivesse usando uma verificação de rede compatível, ela não passaria na verificação de rede compatível da Contoso.

A rede compatível é diferente do IPv4, IPv6 ou localizações geográficas que você pode configurar no Microsoft Entra. Os administradores não são obrigados a revisar e manter endereços/intervalos IP de rede compatíveis, fortalecendo a postura de segurança e minimizando a sobrecarga administrativa contínua.

Pré-requisitos

• Os administradores que interagem com os recursos do Global Secure Access devem ter uma ou mais das seguintes atribuições de função, dependendo das tarefas que estão executando.
  • A função de Administrador de Acesso Seguro Global para gerenciar os recursos de Acesso Seguro Global.
  • Administrador de Acesso Condicional para criar e interagir com políticas de Acesso Condicional e localizações nomeadas.
• O produto requer licenciamento. Para obter detalhes, consulte a seção de licenciamento de O que é o Acesso Seguro Global. Se necessário, você pode comprar licenças ou obter licenças de avaliação.
• Para usar o perfil de encaminhamento de tráfego da Microsoft, uma licença do Microsoft 365 E3 é recomendada.

Limitações conhecidas

• A imposição do plano de dados de verificação de rede compatível (visualização) com Avaliação de Acesso Contínuo é suportada para o SharePoint Online e o Exchange Online.
• A habilitação da sinalização de Acesso Condicional de Acesso Seguro Global habilita a sinalização para o plano de autenticação (ID do Microsoft Entra) e a sinalização do plano de dados (visualização). Atualmente, não é possível ativar essas configurações separadamente.
• Atualmente, a verificação de rede compatível não é suportada para aplicativos de acesso privado.

Habilitar a sinalização de Acesso Seguro Global para Acesso Condicional

Para ativar a definição necessária para permitir a verificação de rede em conformidade, um administrador tem de realizar os seguintes passos:

1. Entre no centro de administração do Microsoft Entra como um Administrador de Acesso Seguro Global.
2. Navegue até Configurações>Globais de Acesso>Seguro Gerenciamento de sessão>Acesso adaptável.
3. Selecione a alternância para Ativar sinalização de CA para ID do Entra (abrangendo todos os aplicativos na nuvem). Isso habilitará automaticamente a sinalização CAE para o Office 365 (visualização).
4. Navegue até Locais nomeados de acesso>condicional de proteção.>
   1. Confirme que tem uma localização denominada Todas as localizações de rede em conformidade com o tipo de localização Acesso à Rede. Opcionalmente, as organizações podem marcar esta localização como fidedigna.

Proteja seus recursos por trás da rede compatível

A política de Acesso Condicional de rede compatível pode ser usada para proteger seus aplicativos da Microsoft e de terceiros. Uma política típica terá uma concessão de "Bloco" para todos os locais de rede, exceto Rede Compatível. O exemplo a seguir demonstra as etapas para configurar esse tipo de política:

1. Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.
2. Navegue até Acesso condicional de proteção>.
3. Selecione Criar nova política.
4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
   1. Em Incluir, selecione Todos os usuários.
   2. Em Excluir, selecione Usuários e grupos e escolha as contas de acesso de emergência ou de quebra-vidro da sua organização.
6. Em Recursos de destino>Incluir e selecione Todos os recursos (anteriormente "Todos os aplicativos na nuvem").
   1. Se a sua organização estiver a inscrever dispositivos no Microsoft Intune, recomenda-se excluir as aplicações Microsoft Intune Enrollment e Microsoft Intune da sua política de Acesso Condicional para evitar uma dependência circular.
7. Em Rede.
   1. Defina Configurar como Sim.
   2. Em Incluir, selecione Qualquer local.
   3. Em Excluir, selecione o local Todos os locais de rede compatíveis.
8. Em Controles de acesso:
   1. Conceder, selecionar Bloquear Acesso e selecionar Selecionar.
9. Confirme suas configurações e defina Ativar política como Ativado.
10. Selecione o botão Criar a ser criado para habilitar sua política.

Exclusões de utilizadores

As políticas de Acesso Condicional são ferramentas poderosas, recomendamos excluir as seguintes contas das suas políticas:

• Acesso de emergência ou contas de quebra-vidro para evitar o bloqueio devido à configuração incorreta da política. No cenário improvável de todos os administradores estarem bloqueados, sua conta administrativa de acesso de emergência pode ser usada para fazer login e tomar medidas para recuperar o acesso.
  • Mais informações podem ser encontradas no artigo Gerenciar contas de acesso de emergência no Microsoft Entra ID.
• Contas de serviço e entidades de serviço, como a Conta de Sincronização do Microsoft Entra Connect. As contas de serviço são contas não interativas que não estão vinculadas a nenhum utilizador em particular. Normalmente, são usadas por serviços de back-end que permitem acesso programático a aplicações, mas também são usadas para iniciar sessão em sistemas para fins administrativos. As chamadas feitas por principais de serviço não serão bloqueadas pelas políticas de Acesso Condicional com âmbito definido para os utilizadores. Use o Acesso Condicional para identidades de carga de trabalho para definir políticas direcionadas para principais de serviço.
  • Se sua organização tiver essas contas em uso em scripts ou código, considere substituí-las por identidades gerenciadas.

Experimente a sua política de rede compatível

1. Em um dispositivo de usuário final com o cliente Global Secure Access instalado e em execução, navegue até https://outlook.office.com/mail/ ou https://yourcompanyname.sharepoint.com/, você tem acesso aos recursos.
2. Pause o cliente Global Secure Access clicando com o botão direito do mouse no aplicativo na bandeja do Windows e selecionando Pausar.
3. Navegue até https://outlook.office.com/mail/ ou , você está impedido de acessar recursos com uma mensagem de erro que diz Você não pode acessar isso agorahttps://yourcompanyname.sharepoint.com/.

Resolução de Problemas

Verifique se o novo local nomeado foi criado automaticamente usando o Microsoft Graph.

GET https://graph.microsoft.com/beta/identity/conditionalAccess/namedLocations

Próximos passos

Restrições universais de locatários