Acesso condicional: atribuição de rede

Os administradores podem criar políticas direcionadas a locais de rede específicos como um sinal, juntamente com outras condições em seu processo de tomada de decisão. Eles podem incluir ou excluir esses locais de rede como parte de sua configuração de política. Esses locais de rede podem incluir informações de rede IPv4 ou IPv6 públicas, países, áreas desconhecidas que não são mapeadas para países específicos ou rede compatível com Acesso Seguro Global.

Diagrama mostrando o conceito de sinais de Acesso Condicional mais a decisão de impor a política organizacional.

Nota

As políticas de Acesso Condicional são aplicadas após a conclusão da autenticação de primeiro fator. O Acesso Condicional não se destina a ser a primeira linha de defesa de uma organização para cenários como ataques de negação de serviço (DoS), mas pode usar sinais desses eventos para determinar o acesso.

As organizações podem usar esses locais para tarefas comuns, como:

  • Exigir autenticação multifator para usuários que acessam um serviço quando estão fora da rede corporativa.
  • Bloquear o acesso de países específicos a partir dos quais a sua organização nunca opera.

A localização de um usuário é encontrada usando seu endereço IP público ou as coordenadas GPS fornecidas pelo aplicativo Microsoft Authenticator. As políticas de Acesso Condicional aplicam-se a todos os locais por padrão.

Gorjeta

A condição Localização foi movida e é renomeada Rede. Em primeiro lugar, essa condição aparecerá no nível de Atribuição e em Condições.

Atualizações ou alterações aparecem em ambos os locais. A funcionalidade permanece a mesma e as políticas existentes que utilizam a Localização continuam a funcionar sem alterações.

Captura de ecrã a mostrar a condição de atribuição de rede na política de Acesso Condicional.

Quando configurado na política

Ao configurar a condição de localização, pode distinguir entre:

  • Qualquer rede ou local
  • Todas as redes e localizações fidedignas
  • Todos os locais de rede compatíveis
  • Redes e locais selecionados

Qualquer rede ou local

Por padrão, selecionar Qualquer local faz com que uma política seja aplicada a todos os endereços IP, o que significa qualquer endereço na Internet. Essa configuração não está limitada aos endereços IP que você configura como locais nomeados. Ao selecionar Qualquer local, você ainda pode excluir locais específicos de uma política. Por exemplo, você pode aplicar uma política a todos os locais, exceto locais confiáveis, para definir o escopo para todos os locais, exceto a rede corporativa.

Todas as redes e localizações fidedignas

Esta opção aplica-se a:

  • Todos os locais marcados como locais confiáveis.
  • IPs confiáveis de autenticação multifator, se configurados.

IPs confiáveis de autenticação multifator

O uso da seção IPs confiáveis das configurações de serviço da autenticação multifator não é mais recomendado. Esse controle só aceita endereços IPv4 e só deve ser usado para cenários específicos abordados no artigo Configurar configurações de autenticação multifator do Microsoft Entra.

Se você tiver esses IPs confiáveis configurados, eles aparecerão como IPs confiáveis MFA na lista de locais para a condição de local.

Todos os locais de rede compatíveis

As organizações com acesso aos recursos de Acesso Seguro Global têm outro local listado que é composto por usuários e dispositivos que estão em conformidade com as políticas de segurança da sua organização. Para obter mais informações, consulte a seção Habilitar sinalização de acesso seguro global para acesso condicional. Ele pode ser usado com políticas de Acesso Condicional para executar uma verificação de rede compatível para acesso a recursos.

Redes e locais selecionados

Com essa opção, você pode selecionar um ou mais locais nomeados. Para que uma política com essa configuração seja aplicada, um usuário precisa se conectar de qualquer um dos locais selecionados. Quando escolhe Selecionar, é-lhe apresentada uma lista de localizações definidas. Esta lista mostra o nome, o tipo e se o local de rede está marcado como confiável.

Como são definidos esses locais?

Os locais são definidos e existem no centro de administração do Microsoft Entra em Locais nomeados de Acesso>Condicional de Proteção>. Os administradores com pelo menos a função de Administrador de Acesso Condicional podem criar e atualizar locais nomeados.

Captura de ecrã de localizações nomeadas no centro de administração do Microsoft Entra.

Os locais nomeados podem incluir locais como os intervalos de rede da sede de uma organização, intervalos de rede VPN ou intervalos que você deseja bloquear. Os locais nomeados contêm intervalos de endereços IPv4, intervalos de endereços IPv6 ou países.

Intervalos de endereços IPv4 e IPv6

Para definir um local nomeado por intervalos de endereços IPv4 ou IPv6 públicos, você deve fornecer:

  • Um nome para o local.
  • Um ou mais intervalos de IP públicos.
  • Opcionalmente, Marque como local confiável.

Os locais nomeados definidos por intervalos de endereços IPv4/IPv6 estão sujeitos às seguintes limitações:

  • Não mais do que 195 locais nomeados.
  • Não mais de 2000 intervalos de IP por local nomeado.
  • Apenas são permitidas máscaras CIDR maiores que /8 ao definir um intervalo de IP.

Para dispositivos em uma rede privada, o endereço IP não é o IP cliente do dispositivo do usuário na intranet (como 10.55.99.3), é o endereço usado pela rede para se conectar à Internet pública (como 198.51.100.3).

Locais confiáveis

Opcionalmente, os administradores podem marcar locais baseados em IP, como os intervalos de rede pública da sua organização, como confiáveis. Esta marcação é utilizada pelas características de várias formas.

  • As políticas de Acesso Condicional podem incluir ou excluir esses locais.
  • As entradas a partir de localizações nomeadas fidedignas melhoram a precisão do cálculo de risco do Microsoft Entra ID Protection.

Os locais marcados como confiáveis não podem ser excluídos sem primeiro remover a designação confiável.

Países

As organizações podem determinar a localização geográfica de um país por endereço IP ou coordenadas GPS.

Para definir um local nomeado por país, você deve:

Captura de ecrã a mostrar a criação de uma nova localização utilizando países.

Ao selecionar Determinar local por endereço IP, o ID do Microsoft Entra resolve o endereço IPv4 ou IPv6 do usuário para um país ou região, com base em uma tabela de mapeamento atualizada periodicamente.

Ao selecionar Determinar localização por coordenadas GPS, os usuários devem ter o aplicativo Microsoft Authenticator instalado em seus dispositivos móveis. De hora a hora, o sistema entra em contacto com a aplicação Microsoft Authenticator do utilizador para recolher a localização GPS do respetivo dispositivo móvel.

  • Na primeira vez que o usuário deve compartilhar sua localização do aplicativo Microsoft Authenticator, ele recebe uma notificação no aplicativo. O utilizador deve abrir a aplicação e conceder permissões de localização. Nas 24 horas seguintes, se o utilizador ainda estiver a aceder ao recurso e tiver permissão para a aplicação a executar em segundo plano, a localização do dispositivo será partilhada silenciosamente uma vez por hora.
  • Após 24 horas, o usuário deve abrir o aplicativo e aprovar a notificação.
  • Toda vez que o usuário compartilha sua localização GPS, o aplicativo faz a deteção de jailbreak usando a mesma lógica do SDK MAM do Microsoft Intune. Se o dispositivo estiver com jailbreak, a localização não é considerada válida e o acesso não é concedido ao utilizador.
    • O aplicativo Microsoft Authenticator no Android usa a API de integridade do Google Play para facilitar a deteção de jailbreak. Se a API de integridade do Google Play não estiver disponível, o pedido é negado e o utilizador não poderá aceder ao recurso solicitado, a menos que a política de Acesso Condicional esteja desativada. Para obter mais informações sobre o aplicativo Microsoft Authenticator, consulte o artigo Perguntas comuns sobre o aplicativo Microsoft Authenticator.
  • Os utilizadores podem modificar a localização GPS conforme comunicado por dispositivos iOS e Android. Como resultado, a aplicação Microsoft Authenticator nega autenticações em que o utilizador possa estar a usar um local diferente da localização GPS real do dispositivo móvel onde a aplicação está instalada. Os utilizadores que modificam a localização do respetivo dispositivo recebem uma mensagem de negação para políticas baseadas em localização GPS.

Nota

Uma política de Acesso Condicional com localizações nomeadas baseadas em GPS no modo apenas de relatório solicita que os utilizadores partilhem a sua localização GPS, mesmo que não estejam impedidos de iniciar sessão.

A localização GPS não funciona com métodos de autenticação sem senha.

Várias políticas de Acesso Condicional podem solicitar aos usuários sua localização GPS antes que todas sejam aplicadas. Devido à forma como as políticas de Acesso Condicional são aplicadas, o acesso pode ser negado a um utilizador se passar na verificação de localização, mas falhar noutra política. Para obter mais informações sobre a imposição de políticas, consulte o artigo Criando uma política de acesso condicional.

Importante

Os usuários podem receber solicitações a cada hora informando que o Microsoft Entra ID está verificando sua localização no aplicativo Authenticator. Esse recurso só deve ser usado para proteger aplicativos muito confidenciais onde esse comportamento é aceitável ou onde o acesso deve ser restrito para um país/região específico.

Incluir países/regiões desconhecidos

Alguns endereços IP não são mapeados para um país ou região específica. Para capturar esses locais IP, marque a caixa Incluir países/regiões desconhecidos ao definir uma localização geográfica. Esta opção permite que você escolha se esses endereços IP devem ser incluídos no local nomeado. Use essa configuração quando a política que usa o local nomeado for aplicada a locais desconhecidos.

Perguntas comuns

Existe suporte para a API do Graph?

O suporte da API do Graph para locais nomeados está disponível, para obter mais informações, consulte a API namedLocation.

E se eu usar um proxy de nuvem ou VPN?

Quando você usa um proxy hospedado na nuvem ou uma solução VPN, o endereço IP que o ID do Microsoft Entra usa ao avaliar uma política é o endereço IP do proxy. O cabeçalho X-Forwarded-For (XFF) que contém o endereço IP público do usuário não é usado porque não há validação de que ele vem de uma fonte confiável, portanto, apresentaria um método para falsificar um endereço IP.

Quando um proxy de nuvem está em vigor, uma política que requer um dispositivo híbrido associado ou compatível com o Microsoft Entra pode ser mais fácil de gerenciar. Manter uma lista de endereços IP usados pelo seu proxy hospedado na nuvem ou solução VPN atualizada pode ser quase impossível.

Recomendamos que as organizações utilizem o Acesso Seguro Global para habilitar a restauração do IP de origem para evitar essa alteração no endereço e simplificar o gerenciamento.

Quando é avaliado um local?

As políticas de Acesso Condicional são avaliadas quando:

  • Inicialmente, um utilizador inicia sessão numa aplicação Web, numa aplicação móvel ou numa aplicação de ambiente de trabalho.
  • Um aplicativo móvel ou de desktop que usa autenticação moderna usa um token de atualização para adquirir um novo token de acesso. Por padrão, essa verificação é uma vez por hora.

Essa verificação significa que, para aplicativos móveis e de desktop que usam autenticação moderna, uma alteração no local é detetada dentro de uma hora após a alteração do local da rede. Para aplicativos móveis e de desktop que não usam autenticação moderna, a política se aplica a cada solicitação de token. A frequência do pedido pode variar em função da aplicação. Da mesma forma, para aplicativos Web, as políticas se aplicam no início de sessão e são boas para o tempo de vida da sessão no aplicativo Web. Devido às diferenças nos tempos de vida das sessões entre aplicativos, o tempo entre a avaliação da política varia. Sempre que o aplicativo solicita um novo token de entrada, a política é aplicada.

Por padrão, o Microsoft Entra ID emite um token por hora. Depois que os usuários saem da rede corporativa, dentro de uma hora a política é aplicada para aplicativos que usam autenticação moderna.

Quando você pode bloquear locais?

Uma política que usa a condição de localização para bloquear o acesso é considerada restritiva e deve ser feita com cuidado após testes minuciosos. Alguns exemplos de uso da condição de local para bloquear a autenticação podem incluir:

  • Bloquear países/regiões onde a sua organização nunca faz negócios.
  • Bloqueando intervalos de IP específicos como:
    • IPs mal-intencionados conhecidos antes que uma política de firewall possa ser alterada.
    • Ações altamente sensíveis ou privilegiadas e aplicações na nuvem.
    • Com base no intervalo de IP específico do usuário, como acesso a aplicativos de contabilidade ou folha de pagamento.