Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Descrição geral
O Acesso Condicional ajuda as organizações a manterem-se seguras, aplicando os controlos de acesso de segurança adequados nas circunstâncias certas. Compreender o impacto dessas políticas é um desafio, especialmente ao implantar novas políticas. Este artigo explica como analisar o impacto das políticas de Acesso Condicional usando o modo somente relatório e outras ferramentas.
Os administradores têm várias opções com base no modo somente relatório. O modo somente relatório é um estado de política que permite que os administradores testem a maioria das políticas de Acesso Condicional antes de habilitá-las.
- Os administradores podem avaliar as políticas de Acesso Condicional no modo somente relatório, exceto para itens incluídos no escopo "Ações do Usuário".
- Durante o início de sessão, o sistema avalia as políticas no modo apenas de relatório, mas não as impõe.
- Os resultados são registados nos separadores Acesso Condicional e Apenas Relatório dos detalhes do registo de início de sessão.
- Os clientes com uma assinatura do Azure Monitor podem monitorar o impacto de suas políticas de Acesso Condicional usando a pasta de trabalho de insights do Acesso Condicional.
Advertência
As políticas no modo somente relatório que exigem um dispositivo compatível podem solicitar que os usuários em dispositivos macOS, iOS e Android selecionem um certificado de dispositivo durante a avaliação da política, mesmo que a conformidade do dispositivo não seja imposta. Esses prompts podem ser repetidos até que o dispositivo esteja em conformidade. Para impedir que os usuários finais recebam solicitações durante o login, exclua as plataformas de dispositivos Mac, iOS e Android das políticas somente de relatório que executam verificações de conformidade do dispositivo.
Resultados da avaliação das políticas
Quando uma política de autenticação é avaliada para um determinado início de sessão, existem possíveis resultados:
| Resultado | Descrição |
|---|---|
| Apenas relatório: Sucesso | Todas as condições de política configuradas, controles de concessão não interativos necessários e controles de sessão foram satisfeitos. Por exemplo, um requisito de autenticação multifator é satisfeito por uma declaração de MFA já presente no token, ou uma política de dispositivo compatível é satisfeita executando uma verificação de dispositivo em um dispositivo compatível. |
| Apenas relatório: Falha | Todas as condições de política configuradas foram satisfeitas, mas nem todos os controles de concessão não interativos ou controles de sessão necessários foram satisfeitos. Por exemplo, uma política se aplica a um usuário quando um controle de bloco está configurado ou um dispositivo falha em uma política de dispositivo compatível. |
| Apenas relatório: ação do utilizador é necessária | Todas as condições de política configuradas foram satisfeitas, mas a ação do usuário seria necessária para satisfazer os controles de concessão ou controles de sessão necessários. Com o modo somente relatório, o usuário não é solicitado a satisfazer os controles necessários. Por exemplo, os usuários não são solicitados a enfrentar desafios de autenticação multifator ou termos de uso. |
| Somente relatório: Não aplicado | Nem todas as condições de política configuradas foram satisfeitas. Por exemplo, o usuário é excluído da política ou a política só se aplica a determinados locais nomeados confiáveis. |
| Sucesso | Eventos de entrada em que a política se aplicava, os requisitos eram atendidos e a política permitia que o login prosseguisse. O início de sessão poderá ainda estar bloqueado por uma política diferente. |
| Fracasso | Eventos de início de sessão em que a política se aplicava, os requisitos não eram cumpridos e a política bloqueava o início de sessão. Isso pode ser por design, como quando as entradas de um local específico são bloqueadas, ou acidentalmente quando a política está configurada incorretamente. |
| Não aplicado | Eventos de início de sessão em que a política não foi aplicada, como quando o utilizador foi excluído. |
Revisão dos resultados
Os administradores podem usar várias opções para analisar os resultados potenciais das políticas em seu ambiente:
- Livros
- Registos de início de sessão
- Impacto da política (pré-visualização)
Impacto político
A visão de impacto das políticas de Acesso Condicional permite que os administradores com, no mínimo, a função de Leitor de Segurança vejam um instantâneo dos impactos potenciais ou existentes das políticas nas sessões interativas na sua organização. Você pode explorar o impacto nas últimas 24 horas, 7 dias ou 1 mês. Você também pode ver e vincular a uma amostra de eventos de entrada para obter mais detalhes.
Livros
Os administradores podem criar várias políticas no modo somente relatório, por isso é importante entender o impacto individual de cada política e o impacto combinado de várias políticas avaliadas em conjunto. A pasta de trabalho Insights e Relatórios de Acesso Condicional permite que os administradores visualizem políticas de Acesso Condicional, consultem e monitorem o impacto de uma política para um intervalo de tempo, conjunto de aplicativos e usuários específicos. Os administradores podem personalizar pastas de trabalho para atender às suas necessidades.
Registos de início de sessão
Para uma avaliação mais profunda das políticas de Acesso Condicional e da sua aplicação num início de sessão específico, os administradores podem investigar eventos de início de sessão individuais. Cada evento inclui detalhes sobre quais políticas de Acesso Condicional foram habilitadas, no modo somente relatório, aplicadas ou não aplicadas.
Utilizar estas opções
Depois de confirmar suas configurações usando o impacto da política ou o modo somente relatório, mova a alternância Habilitar política de Somente relatório para Ativado.
Compare e valide as políticas antes da aplicação
O modo apenas com relatórios é uma ferramenta valiosa para validar progressivamente alterações nas políticas antes de as aplicar. Utilize as seguintes práticas para reduzir o risco de interrupções indesejadas do acesso:
- Teste novas políticas juntamente com as políticas aplicadas. Crie uma nova política apenas em modo de relatório enquanto as suas políticas aplicadas existentes permanecem ativas. Esta abordagem permite-lhe observar o que a nova política faria sem afetar o acesso dos utilizadores. Monitorize os resultados no modo só de relatório nos registos de início de sessão para confirmar que a política se comporta como esperado antes de a colocar em modo de imposição.
- Compare os resultados no livro de exercícios Insights. Utilize o livro Análises e Relatórios de Acesso Condicional para ver, lado a lado, os resultados do modo só de relatório e das políticas impostas para um intervalo de tempo específico, um conjunto de aplicações e utilizadores específicos. Esta comparação ajuda-o a identificar onde uma nova política alteraria as decisões de acesso antes dessas alterações entrarem em vigor. O livro requer o Microsoft Entra ID P1 e um espaço de trabalho do Log Analytics que esteja a receber registos de início de sessão; para obter detalhes, consulte os pré-requisitos do livro.
- Validar alterações às políticas existentes. Antes de modificar uma política imposta, crie uma cópia em modo apenas de relatório com as alterações propostas. Compare os resultados da cópia apenas do relatório com a política original aplicada para verificar o efeito pretendido. Quando estiver satisfeito, atualize a política imposta e remova a cópia.
- Use o lançamento em fases assistido por IA. Quando disponível, o Agente de Otimização de Acesso Condicional cria políticas sugeridas em modo apenas de relatório. Pode rever a análise do agente e o impacto previsto antes de decidir impor. Para mais informações, consulte Implementação faseada com o Agente de Otimização de Acesso Condicional. O agente requer Microsoft Security Copilot com unidades de computação de segurança (SCUs) provisionadas e Microsoft Entra ID P1, por isso não está ativado em todos os tenants; para mais detalhes, veja o agente prerequisites.
- Uma nota sobre testes A/B. O Acesso Condicional não suporta o teste clássico A/B, que divide o tráfego em tempo real entre duas variantes impostas de uma política. Quando o Agente de Otimização está ativado no seu inquilino, o equivalente nativo mais próximo é a implementação faseada do Agente de Otimização, que aplica gradualmente uma nova política a grupos definidos numa determinada ordem, mantendo intacta a política original apenas de relatório, para que possa comparar os resultados entre coortes antes da aplicação integral.
Observação
O modo apenas com relatórios avalia políticas, mas não aplica controlos de concessão nem de sessão. Não lhes é pedida autenticação multifator nem são bloqueados pelas políticas só de relatório. Aplicam-se algumas limitações, como políticas que utilizam o âmbito de Ações do Utilizador . Para mais informações, consulte os resultados da avaliação de políticas neste artigo.