Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Visão geral
Microsoft Entra ID está implantando um modelo de imposição aprimorado para políticas de Acesso Condicional direcionadas a Todos os recursos e incluem uma ou mais exclusões de recurso. Essa alteração garante que os logins que solicitam apenas escopos de linha de base recebam as mesmas proteções de Acesso Condicional que outros acessos a recursos.
Anteriormente, determinados escopos de baixo privilégio eram automaticamente excluídos da imposição de política quando existia uma exclusão de recursos. Com essa alteração, esses escopos agora são avaliados como acesso ao diretório e estão sujeitos às suas políticas de Acesso Condicional.
Para obter informações técnicas detalhadas, consulte Novo comportamento de acesso condicional quando uma política TODOS os recursos tem uma exclusão de recursos.
Importante
Essa atualização de imposição está alinhada com a Iniciativa Futuro Seguro da Microsoft e com investimentos aprofundados em defesa. Microsoft recomenda a adoção do novo modelo de imposição para melhorar sua postura de segurança.
Quem é afetado
Essa alteração afetará seu locatário se todas as seguintes condições forem verdadeiras:
- Você tem uma ou mais políticas de Acesso Condicional direcionadas a Todos os recursos.
- Essas políticas têm uma ou mais exclusões de recursos.
- Os usuários no seu inquilino entram por meio de aplicativos que solicitam apenas escopos de linha de base.
Se suas políticas forem direcionadas a Todos os recursos sem exclusões de recursos, essa alteração não afetará você.
O que são escopos de linha de base
Escopos de linha de base são um termo guarda-chuva para o seguinte conjunto de escopos:
-
Escopos do OIDC (OpenID Connect):
email,offline_access,openid,profile -
Escopos do diretório de linha de base:
User.Read,User.Read.All,User.ReadBasic.All,People.Read,People.Read.All,GroupMember.Read.All,Member.Read.Hidden
O que está mudando
Após a distribuição, os seguintes cenários agora podem disparar desafios de Acesso Condicional (como MFA ou conformidade do dispositivo) em que o acesso foi concedido anteriormente sem imposição:
-
Aplicativos cliente públicos (como apps de desktop) que solicitam apenas escopos básicos. Por exemplo, um usuário faz login no cliente da área de trabalho do Visual Studio Code, que solicita os escopos
openideprofile, ou no CLI do Azure, que solicita apenasUser.Read. -
Aplicativos cliente confidenciais (como aplicativos da Web) que são excluídos de uma política de Todos os recursos e solicitam apenas escopos de diretório padrão. Por exemplo, um aplicativo Web excluído da política que solicita somente
User.ReadePeople.Read.
Os desafios exatos dependem dos controles de acesso configurados em suas políticas que têm como alvo todos os recursos ou que direcionam explicitamente Windows Azure Active Directory (Microsoft Entra ID Directory) como o recurso.
O que não está sendo alterado
- Quando um aplicativo (público ou confidencial) solicita qualquer escopo além dos escopos de linha de base (por exemplo,
Mail.Read), o aplicativo já está sujeito à imposição de Acesso Condicional. Esse comportamento não muda. - Para aplicativos cliente confidenciais que são excluídos das políticas de todos os recursos e solicitam apenas escopos OIDC, nenhuma alteração é esperada.
O que você precisa fazer
Use a tabela a seguir para determinar as ações necessárias para seus aplicativos:
| Tipo de aplicativo | Propriedade | Ação necessária |
|---|---|---|
| Cliente público solicitando apenas escopos padrão | Qualquer | Examine se esses aplicativos devem permanecer isentos da imposição do Acesso Condicional. Se houver motivos comerciais válidos para manter uma isenção, consulte Manter o comportamento herdado com as configurações de escopo de linha de base. |
| Cliente confidencial solicitando apenas escopos de diretório de linha de base, excluídos da política "Todos os recursos" | Propriedade do inquilino | Examine se a exclusão ainda é necessária. Trabalhe com os desenvolvedores de aplicativos para avaliar se o aplicativo pode solicitar escopos OIDC (como openid, profile) em vez de escopos de diretório, como User.Read para informações básicas do usuário. Se as atualizações não puderem ser concluídas antes da distribuição, consulte Manter o comportamento herdado com as configurações de escopo de linha de base. |
| Cliente confidencial solicitando apenas escopos de diretório de linha de base, excluídos da política "Todos os recursos" | De propriedade de ISV | Examine se a exclusão ainda é necessária. Entre em contato com o ISV para avaliar se o aplicativo pode solicitar escopos OIDC, em vez de escopos do diretório. Na maioria das vezes, os escopos OIDC fornecem o acesso de privilégio mínimo necessário para esses cenários. Se o ISV não puder fazer atualizações a tempo, consulte Manter o comportamento herdado com as configurações de escopo de linha de base. |
Importante
Para aplicativos cliente públicos e confidenciais pertencentes ao seu locatário, verifique se o aplicativo pode lidar com desafios de Acesso Condicional (por exemplo, MFA ou conformidade do dispositivo). Caso contrário, as atualizações de aplicativo podem ser necessárias. Consulte as diretrizes do desenvolvedor de Acesso Condicional sobre como atualizar seu aplicativo adequadamente.
Como avaliar o impacto
Versão preliminar da alteração de imposição
Você pode ver a versão preliminar do comportamento de imposição melhorado, antes do início da distribuição:
- Entre no centro de administração do Microsoft Entra como um administrador de Acesso Condicional, pelo menos.
- Acesse as configurações de escopos padrão no Acesso Condicional. Esse link direto é necessário para exibir as configurações de visualização.
- Escolha default target resource (Windows Azure Active Directory).
- Clique em Salvar.
Observação
Essa configuração habilita imediatamente o comportamento de Acesso Condicional atualizado para todas as políticas de recursos com exclusões.
Como resultado, alguns logins de usuários que não estavam anteriormente sujeitos à imposição do Acesso Condicional agora podem ser avaliados e aplicados usando o Azure Active Directory como recurso de destino.
Para voltar ao comportamento anterior, selecione resetar nas configurações do escopo da linha de base.
Se um recurso de destino personalizado não estiver selecionado, a distribuição com base em Windows Azure Active Directory como o recurso de destino padrão para escopos de linha de base será imposta em fases.
Identificar aplicativos afetados com um recurso de destino personalizado
Você pode usar as configurações de escopo de linha de base para identificar quais aplicativos em seu locatário são afetados. Depois que a configuração de visualização estiver habilitada, eventos de login nos quais os aplicativos solicitam escopos padrão listam o aplicativo personalizado como um público-alvo do Acesso Condicional nos registros de login. Para obter mais informações, consulte Solucionar problemas de entrada com o Acesso Condicional.
Consulta de aplicativos afetados
Use a seguinte consulta Microsoft Graph para listar aplicativos que solicitam apenas os escopos de linha de base:
https://graph.microsoft.com/beta/auditLogs/signIns?$filter=conditionalAccessAudiences/any(a:a eq '<your-custom-app-id>')&$select=appId,appDisplayName
Substitua <your-custom-app-id> pela ID do aplicativo personalizado.
Durante um período de vários dias, o resultado dessa consulta fornece uma lista de aplicativos cliente que solicitam apenas escopos de linha de base.
Manter o comportamento legado com configurações de escopo padrão de referência
Observação
Microsoft recomenda alinhar-se ao novo modelo de aplicação. Use as configurações de escopo de linha de base somente se você tiver cenários específicos que exijam o comportamento herdado.
As configurações de escopo de linha de base são uma configuração de nível de locatário que permite que você use um aplicativo personalizado de propriedade do locatário como o recurso de destino para escopos de linha de base. Excluindo esse aplicativo personalizado de políticas específicas de todos os recursos, você pode manter o comportamento herdado.
Quem deve usar essa configuração
Use essa configuração se você tiver cenários específicos que exigem que você mantenha o comportamento herdado. Alguns cenários de exemplo incluem:
- Todas as políticas de recursos exigem um controle de concessão de dispositivo que esteja em conformidade: aplicativos excluídos desta política porque devem estar acessíveis em dispositivos não gerenciados.
- Todas as políticas de recursos que exigem um controle de concessão para política de proteção de aplicativo: aplicativos clientes que não estão integrados ao SDK do Intune e não podem satisfazer a política de proteção do aplicativo.
- Todas as políticas de recursos com controle de bloco: aplicativos cliente que devem ser excluídos da política de bloco.
- Clientes públicos que devem ser isentos de requisitos de dispositivo em conformidade: devido a motivos específicos de segurança e conformidade.
perguntas frequentes
Como posso ver a versão preliminar da mudança antes da distribuição?
Vá para https://aka.ms/BaselineScopesSettingsUX, escolha o recurso de destino default (Windows Azure Active Directory) e selecione Save. Essa configuração impõe imediatamente o comportamento aprimorado. Para reverter, selecione redefinir. Para obter mais informações, consulte Ver a versão preliminar da alteração de imposição.
Como posso manter o comportamento herdado após a distribuição?
Use as configurações de escopo de linha de base para atribuir um aplicativo personalizado de propriedade de locatário como o recurso de destino para escopos de linha de base e, em seguida, exclua esse aplicativo de todas as políticas de recursos. Para obter mais informações, consulte Manter o comportamento herdado com as configurações de escopo de linha de base.
Preciso atualizar todos os aplicativos?
Não. Somente os aplicativos que solicitam exclusivamente escopos de linha de base e são afetados por suas políticas ¨Todos os recursos¨ com exclusões de recursos precisam de atenção. Os aplicativos que solicitam escopos além da linha de base (por exemplo, Mail.Read) já estão sujeitos à imposição do Acesso Condicional e não são afetados por essa alteração.