Bloquear fluxos de autenticação com a política de Acesso Condicional

Descrição geral

Os passos seguintes ajudam-no a criar políticas de Acesso Condicional para restringir a forma como o fluxo de código do dispositivo e a transferência de autenticação são usados dentro da sua organização.

Políticas de fluxo de código de dispositivo

Recomendamos que as organizações se aproximem o mais possível de um bloqueio unilateral no fluxo de código do dispositivo. Considere criar uma política para auditar a utilização existente do fluxo de código do dispositivo e determinar se ainda é necessário. Só permitir o fluxo de código do dispositivo em casos de uso bem documentados e seguros, como ferramentas legadas que não podem ser atualizadas.

Para organizações que não utilizam o fluxo de código do dispositivo, bloqueie-o com a seguinte política de Acesso Condicional:

1. Inicie sessão no centro de administração Microsoft Entra pelo menos como um Administrador de Acesso Condicional.
2. Navegar para Entra ID>Acesso Condicional>Políticas.
3. Selecione Nova política.
4. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
   1. Em Incluir, selecione os usuários que você deseja que estejam no escopo da política (todos os usuários recomendados).
   2. Em Excluir:
      1. Selecione os Utilizadores e grupos e escolha as contas de acesso de emergência ou "break-glass" da sua organização e quaisquer outros utilizadores necessários. Audite esta lista de exclusão regularmente.
5. Em Recursos de destino>Recursos (anteriormente aplicações na nuvem)>Incluir, selecione as aplicações que pretende incluir no âmbito da política (Todos os recursos (anteriormente "Todas as aplicações na nuvem") recomendado).
6. Em Condições>Fluxos de Autenticação, defina Configurar como Sim.
   1. Selecione Fluxo de código do dispositivo.
   2. Selecionar Concluído.
7. Em Controlos de acesso>Conceder, selecione Bloquear acesso.
   1. Selecione Selecionar.
8. Confirme as suas configurações e defina Habilitar política como Apenas relatório.
9. Selecione Criar para ativar a sua política.

Depois de confirmar suas configurações usando o impacto da política ou o modo somente relatório, mova a alternância Habilitar política de Somente relatório para Ativado.

Políticas de transferência de autenticação

Utilize a condição fluxos de Autenticação no Acesso Condicional para gerir a funcionalidade. Bloqueie a transferência de autenticação se não quiser que os utilizadores transfiram autenticação do seu PC para um dispositivo móvel. Por exemplo, bloqueie a transferência de autenticação se não permitir que o Outlook seja usado em dispositivos pessoais por certos grupos. Utilize a seguinte política de Acesso Condicional para bloquear a transferência de autenticação:

1. Inicie sessão no centro de administração Microsoft Entra pelo menos como um Administrador de Acesso Condicional.
2. Navegar para Entra ID>Acesso Condicional>Políticas.
3. Selecione Nova política.
4. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
   1. Em Incluir, selecione Todos os utilizadores ou grupos de utilizadores que pretende bloquear para transferência de autenticação.
   2. Em Excluir:
      1. Selecione os Utilizadores e grupos e escolha as contas de acesso de emergência ou "break-glass" da sua organização e quaisquer outros utilizadores necessários. Audite esta lista de exclusão regularmente.
5. Em Recursos de Alvo>Recursos (antes 'aplicações cloud')>Incluir, selecione Todos os recursos (antes 'Todas as aplicações cloud') ou as aplicações que pretende bloquear para a transferência de autenticação.
6. Em CondiçõesFluxos de Autenticação, defina Configurar para Sim
   1. Selecione Transferência de autenticação.
   2. Selecionar Concluído.
7. Em Controlos de acesso>Conceder, selecione Bloquear acesso.
   1. Selecione Selecionar.
8. Confirme suas configurações e defina Habilitar política como Habilitado.
9. Selecione Criar para ativar a sua política.

Exclusões de utilizadores

As políticas de Acesso Condicional são ferramentas poderosas. Recomendamos excluir as seguintes contas das suas políticas:

• Acesso de emergência ou contas de acesso de último recurso para evitar o bloqueio devido à configuração errada das políticas. No cenário improvável em que todos os administradores estão bloqueados, sua conta administrativa de acesso de emergência pode ser usada para entrar e recuperar o acesso.
  • Mais informações podem ser encontradas no artigo Gerenciar contas de acesso de emergência em Microsoft Entra ID.
• contas de serviço e principais de serviços, como a Microsoft Entra Connect Sync Account. As contas de serviço são contas não interativas que não estão vinculadas a nenhum usuário específico. Eles geralmente são usados por serviços de back-end para permitir acesso programático a aplicativos, mas também são usados para entrar em sistemas para fins administrativos. As chamadas feitas por entidades de serviço não são bloqueadas pelas políticas de Acesso Condicional destinadas aos utilizadores. Use o Acesso Condicional para identidades de carga de trabalho para definir políticas destinadas a entidades de serviço.
  • Se sua organização usa essas contas em scripts ou código, substitua-as por identidades gerenciadas.

Conteúdos relacionados

• Acesso condicional: fluxos de autenticação
• Acesso condicional: transferência de autenticação
• Acesso Condicional: Condições