Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Visão geral
O Acesso Condicional ajuda as organizações a se manterem seguras aplicando os controles de acesso de segurança apropriados nas circunstâncias certas. Entender o impacto dessas políticas é desafiador, especialmente ao implantar novas políticas. Este artigo explica como analisar o impacto das políticas de Acesso Condicional usando o modo somente relatório e outras ferramentas.
Os administradores têm várias opções com base no modo somente relatório. O modo somente relatório é um estado de política que permite que os administradores testem a maioria das políticas de Acesso Condicional antes de habilitá-las.
- Os administradores podem avaliar políticas de Acesso Condicional no modo somente relatório, exceto para itens incluídos no escopo "Ações do Usuário".
- Durante o login, o sistema avalia as políticas no modo de relatório apenas, mas não as impõe.
- Os resultados são registrados nas guias Acesso Condicional e Somente relatórios dos detalhes do log de entrada.
- Os clientes com uma assinatura do Azure Monitor podem monitorar o impacto de suas políticas de Acesso condicional usando a pasta de trabalho de informações de Acesso condicional.
Aviso
As políticas no modo somente relatório que exigem um dispositivo em conformidade podem solicitar que os usuários em dispositivos macOS, iOS e Android selecionem um certificado de dispositivo durante a avaliação da política, mesmo que a conformidade do dispositivo não seja imposta. Esses prompts podem ser repetidos até que o dispositivo esteja em conformidade. Para impedir que os usuários finais recebam prompts durante o login, exclua as plataformas de dispositivos Mac, iOS e Android das políticas de "somente relatório" que executam verificações de conformidade do dispositivo.
Resultados da avaliação da política
Quando uma política é avaliada para um determinado login, há vários resultados possíveis:
| Resultado | Descrição |
|---|---|
| Somente relatório: êxito | Todas as condições de política configuradas, controles de concessão não interativos necessários e controles de sessão foram atendidos. Por exemplo, um requisito de autenticação multifator é atendido por uma declaração de MFA já presente no token ou uma política de dispositivo em conformidade é atendida executando uma verificação de dispositivo em um dispositivo compatível. |
| Somente relatório: Falha | Todas as condições de política configuradas foram atendidas, mas nem todos os controles de concessão ou controles de sessão não interativos necessários foram atendidos. Por exemplo, uma política se aplica a um usuário onde um controle de bloqueio está configurado ou um dispositivo não atende a uma política de dispositivo compatível. |
| Somente relatório: Ação do usuário necessária | Todas as condições de política configuradas foram atendidas, mas a ação do usuário seria necessária para atender aos controles de concessão ou controles de sessão necessários. Com o modo somente relatório, o usuário não é solicitado a atender aos controles necessários. Por exemplo, os usuários não recebem desafios de autenticação multifator nem são avisados sobre os termos de uso. |
| Somente relatório: não aplicado | Nem todas as condições de política configuradas foram atendidas. Por exemplo, o usuário é excluído da política ou a política só se aplica a determinados locais nomeados confiáveis. |
| Êxito | Eventos de entrada em que a política foi aplicada, os requisitos foram atendidos e a política permitiria que a entrada prosseguisse. A entrada ainda pode ser bloqueada por uma política diferente. |
| Fracasso | Eventos de login em que a política foi aplicada, os requisitos não foram atendidos e a política bloquearia o login. Isso pode ser por design, como quando as entradas de um local específico são bloqueadas ou acidentais quando a política é configurada incorretamente. |
| Não aplicado | Eventos de entrada em que a política não foi aplicada, por exemplo, o usuário foi excluído. |
Revisão dos resultados
Os administradores podem usar várias opções para examinar os resultados potenciais das políticas em seu ambiente:
- Pastas de Trabalho
- Logs de entrada
- Impacto na política (versão prévia)
Impacto na política
A visualização do impacto das políticas de Acesso Condicional permite que administradores com pelo menos a função de leitor de segurança vejam um instantâneo dos impactos potenciais ou existentes das políticas nas autenticações interativas na sua organização. Você pode explorar o impacto nas últimas 24 horas, 7 dias ou 1 mês. Você também pode ver e conectar a uma amostragem de eventos de login para obter mais detalhes.
Pastas de Trabalho
Os administradores podem criar várias políticas no modo somente relatório, portanto, é importante entender o impacto individual de cada política e o impacto combinado de várias políticas avaliadas em conjunto. O Relatório de Insights e Acesso Condicional permite que os administradores visualizem políticas de Acesso Condicional, consultem e monitorem o impacto de uma política para um tempo definido, um conjunto de aplicativos e usuários. Os administradores podem personalizar pastas de trabalho para atender às suas necessidades.
Logs de entrada
Para uma avaliação mais profunda das políticas de acesso condicional e sua aplicação em uma tentativa de entrada específica, os administradores podem investigar eventos de tentativas de entrada individuais. Cada evento inclui detalhes sobre quais políticas de Acesso Condicional foram habilitadas, no modo somente relatório, aplicadas ou não aplicadas.
Usando essas opções
Depois de confirmar suas configurações usando o impacto da política ou o modo somente relatório, mova a alternância para habilitar a política de somente relatório para ativar.
Comparar e validar políticas antes da imposição
O modo somente relatório é uma ferramenta valiosa para validar as alterações de política progressivamente antes de aplicá-las. Use as seguintes práticas para reduzir o risco de interrupções de acesso não intencionais:
- Teste novas políticas juntamente com políticas impostas. Crie uma nova política em modo de relatório apenas, enquanto suas políticas já aplicadas continuam ativas. Essa abordagem permite observar o que a nova política faria sem afetar o acesso do usuário. Monitore os resultados do modo somente relatório nos logs de entrada para confirmar se a política se comporta conforme o esperado antes de colocá-la em modo de imposição.
- Compare os resultados na pasta de trabalho do Insights. Use a pasta de trabalho Insights e Relatórios de Acesso Condicional para exibir lado a lado os resultados das políticas somente relatório e aplicadas para um intervalo de tempo específico, um conjunto de aplicativos e usuários. Essa comparação ajuda você a identificar onde uma nova política alteraria as decisões de acesso antes que essas alterações entrem em vigor. A pasta de trabalho requer o Microsoft Entra ID P1 e um workspace do Log Analytics que esteja recebendo logs de entrada; para obter detalhes, consulte os pré-requisitos da pasta de trabalho.
- Valide as alterações nas políticas existentes. Antes de modificar uma política imposta, crie uma cópia no modo somente relatório com as alterações propostas. Compare os resultados da cópia no modo somente relatório com a política aplicada original para verificar o efeito pretendido. Quando estiver satisfeito, atualize a política imposta e remova a cópia.
- Use a distribuição em fases assistida por IA. Quando disponível, o Agente de Otimização de Acesso Condicional cria políticas sugeridas no modo somente relatório. Você pode revisar a análise do agente e o impacto previsto antes de decidir aplicar. Para obter mais informações, consulte a distribuição em fases com o Agente de Otimização de Acesso Condicional. O agente requer Microsoft Security Copilot com SCUs (unidades de computação de segurança) provisionadas e Microsoft Entra ID P1, portanto, ele não está habilitado em todos os locatários; para obter detalhes, consulte o agente prerequisites.
- Uma observação sobre o teste A/B. O Acesso Condicional não dá suporte a testes clássicos de A/B, que dividem o tráfego ao vivo entre duas variantes impostas de uma política. Quando o Agente de Otimização está habilitado no seu tenant, o equivalente nativo mais próximo é a implantação gradual do Agente de Otimização, que aplica gradualmente uma nova política a grupos em ordem predefinida, mantendo intacta a política original apenas para relatório, para que você possa comparar os resultados entre os grupos antes da aplicação completa.
Note
O modo somente relatório avalia as políticas, mas não impõe controles de concessão ou controles de sessão. Os usuários não recebem solicitação de autenticação multifator nem são bloqueados por políticas em modo somente relatório. Algumas limitações se aplicam, como políticas que usam o escopo ações do usuário . Para obter mais informações, consulte os resultados da avaliação de política neste artigo.