Em um
artigo anterior
, mencionei a mudança para o Intune Standalone, que nos permitiu usar os recursos do Azure Active Directory em maior medida, a saber, trabalhar com o Acesso Condicional. Nisto, vou falar mais sobre como isso pode ser feito.
O que é isso
O acesso condicional (CA) é um mecanismo para verificar cada processo de conexão com o sistema com base no script configurado e na decisão que determina o que fazer com essa conexão. E pode ser proibido, permitido sem condições ou permitido com condições. É um componente do Azure AD.
Este cenário é descrito pelas seguintes configurações:
Atribuições - em que casos o script deve ser acionado.
Controles de acesso - o que fazer.
A seção
Atribuições contém:
-
Usuários e grupos - quais usuários estão sujeitos à política. Pode ser todos os usuários no Azure AD ou grupos / usuários específicos. Separadamente, você pode especificar exceções. Você pode aplicar a política a todos os usuários, exceto um único grupo.
-
Aplicativos na nuvem - os scripts podem ser aplicados a qualquer aplicativo registrado no Azure AD. Ou seja, você não está limitado a trabalhar apenas com aplicativos do Office 365.
-
Condições - condições adicionais.
-
Risco de entrada - a capacidade de usar o mecanismo de avaliação de risco de autorização. Estima-se onde, a que horas, usando qual cliente, quanto esse comportamento geralmente é etc. Requer licença do Azure AD Premium 2.
-
Plataformas de dispositivos - é possível indicar a qual plataforma a política será aplicável. Por exemplo, criando uma política apenas para clientes móveis ou apenas para máquinas Windows.
-
Locais - implicam locais de rede. Você pode usar a lista de endereços IP confiáveis.
-
Aplicativos cliente (visualização) - avalia o tipo de cliente. É possível usar para criar uma política apenas para navegador ou EAS (Exchange Active Sync). Para quem deseja encerrar o uso do OWA em dispositivos móveis, mas deixe a opção para computadores de mesa.
-
Estado do dispositivo (visualização) - permite excluir dispositivos em um determinado status.
Em seguida, você precisa configurar o que exatamente a política fará ou exigirá.
Existem duas seções para isso:
Conceder - é aqui que o cenário está configurado: bloqueando o acesso ou exigindo medidas de segurança adicionais.
Sessão - controle na própria sessão. Por enquanto, o uso só é possível com o Exchange Online e o Sharepoint Online. Mais informações
aqui .
Agora vamos ver alguns casos de uso.
Cenário 1. Abra o acesso aos aplicativos do Azure AD apenas em dispositivos móveis gerenciados pelo Intune.Digamos que precisamos restringir o acesso a aplicativos registrados no Azure AD e concedê-lo apenas a dispositivos gerenciados pelo Intune. E isso deve ser aplicável a todos os dispositivos.
Optamos por aplicar a política a todos os usuários.
Em seguida, selecione todos os aplicativos.
IMPORTANTE: O Portal de Gerenciamento do Azure (portal.azure.com) também é considerado um aplicativo, portanto, tenha cuidado. Há uma história: se você criar uma política para todos os usuários e todos os aplicativos que bloquearão as conexões, ninguém entrará no seu inquilino e nem o suporte da Microsoft o ajudará.
Agora precisamos configurar a política, para uso somente em dispositivos móveis. Para fazer isso, acesse Plataformas de dispositivos e selecione SO móvel (iOS, Android, Windows Phone).
Nós escolhemos todas as condições necessárias para aplicar a política, agora selecionamos a condição para permitir a conexão. Nesse caso, a opção necessária é o requisito para o dispositivo estar em conformidade com as políticas de segurança do Intune (Política de conformidade). O status do dispositivo é obtido no Intune.
Após criar e aplicar a política, os usuários com dispositivos gerenciados pelo Intune continuarão usando os aplicativos. Aqueles que usaram dispositivos não conectados ao Intune verão uma mensagem solicitando que registrem o dispositivo.
Cenário 2. Acesso ao portal corporativo apenas a partir de computadores corporativos.Você deve configurar a sincronização entre o Active Directory e o Azure Active Directory. Assim, os computadores do AD existirão quando o Hybrid Azure AD ingressar. O portal interno deve ser registrado no Azure AD. Você pode até configurar o SSO.
Agora, cabe à política, que será aplicada aos usuários certos e exigirá conexão apenas de dispositivos híbridos ao se conectar ao portal / aplicativo especificado. Tudo funcionará imediatamente com o IE e o Edge. O Chrome exigirá uma extensão.
E se algo quebrar?Em algum momento, você poderá encontrar situações em que o usuário não pode fazer login no aplicativo e não entender bem qual política é a responsável por isso.
Nesse caso, os logs de logon no Azure AD ajudarão na filtragem por status de imposição de políticas.
Nos detalhes de cada evento, você pode ver qual política funcionou e por quê.
ConclusõesO acesso condicional permite diferenciar de maneira flexível o acesso a aplicativos e serviços. Pode haver um número infinito de condições e casos de uso. Este serviço é melhor divulgado com os serviços da Microsoft. Por exemplo, ele pode ser integrado ao Proxy de Aplicativo do Azure para restringir o acesso a recursos internos ou para integrar-se à proteção de endpoint enquanto bloqueia o acesso à rede corporativa.