Criar uma política de Acesso Condicional baseada em dispositivo

Microsoft Intune políticas de conformidade de dispositivos podem avaliar a status dos dispositivos geridos para garantir que cumprem os seus requisitos antes de lhes conceder acesso às aplicações e serviços da sua organização. Os status resultados das políticas de conformidade do dispositivo podem ser utilizados por Microsoft Entra políticas de Acesso Condicional para impor normas de segurança e conformidade. Esta combinação é referida como Acesso Condicional baseado no dispositivo.

O Acesso Condicional é uma tecnologia Microsoft Entra. O nó de Acesso Condicional a que acede a partir do centro de administração do Microsoft Intune é o mesmo nó a que acede a partir de Microsoft Entra ID, pelo que não precisa de alternar entre eles para configurar políticas.

Requisitos

Como isso funciona

O Acesso Condicional baseado no dispositivo utiliza sinais de status de conformidade de Intune para impor controlos de acesso no Microsoft Entra ID. A configuração envolve duas fases:

• Fase 1 – Configurar políticas de conformidade de dispositivos no Intune: estas políticas avaliam se os dispositivos geridos cumprem os seus requisitos de segurança. Intune comunica que a conformidade status para Microsoft Entra ID.

• Fase 2 - Criar uma política de Acesso Condicional no Microsoft Entra: a política utiliza o sinal de conformidade de Intune. Este artigo mostra-lhe como configurar a política a partir do centro de administração do Microsoft Intune.

Criar a política de Acesso Condicional

1. Entre no Centro de administração do Microsoft Intune.

2. Selecione Segurança >de ponto finalAcesso> CondicionalCriar nova política.

   O painel Novo é aberto, que é o painel de configuração do Microsoft Entra. A política que está a criar é uma política de Microsoft Entra para o Acesso Condicional. Para saber mais sobre este painel e as políticas de Acesso Condicional, veja Componentes da política de Acesso Condicional no conteúdo do Microsoft Entra.

3. Em Atribuições, configure Utilizadores e grupos para selecionar as Identidades no diretório a que a política se aplica. Para saber mais, veja Utilizadores e grupos na documentação Microsoft Entra.

   • Na guia Incluir, configure o usuário e os grupos que você deseja incluir.
   • Use a guia Excluir se houver usuários, funções ou grupos que você deseja excluir dessa política.

   Dica

   Teste a política relativamente a um grupo de utilizadores mais pequeno para se certificar de que funciona conforme esperado antes de implementá-la em grupos maiores.

4. Em seguida, configure Recursos de destino, que também se encontra em Atribuições. Utilize o menu pendente para Selecionar a que política se aplica para selecionar Aplicações na cloud.

   • No separador Incluir , utilize as opções disponíveis para identificar as aplicações e serviços que pretende proteger com esta política de Acesso Condicional.

     Se escolher Selecionar aplicações, utilize a IU disponível para selecionar aplicações e serviços a proteger com esta política.

     Cuidado

     Não se tranque. Se escolher Todas as aplicações na cloud, certifique-se de que revê o aviso e, em seguida, exclua desta política a sua conta de utilizador ou outros utilizadores e grupos relevantes que devem manter o acesso para utilizar o centro de administração do Microsoft Entra ou Microsoft Intune centro de administração após a entrada em vigor desta política.

   • Em seguida, use a guia Excluir se houver aplicativos ou serviços a serem excluídos dessa política.

   Para obter mais informações, veja Aplicações ou ações na cloud na documentação do Microsoft Entra.

5. Em seguida, configure Condições. Selecione os sinais que você deseja usar como condições para esta política. As opções são:

   • Risco do usuário
   • Risco de entrada
   • Plataformas de dispositivo
   • Localizações
   • Aplicativos cliente
   • Filtrar por dispositivos

   Para obter informações sobre estas opções, veja Condições na documentação do Microsoft Entra.

   Dica

   Se você quiser proteger os clientes de Autenticação moderna e clientes do Exchange ActiveSync, crie duas políticas de Acesso Condicional separadas, um para cada tipo de cliente. Embora o Exchange ActiveSync ofereça suporte à autenticação moderna, a única condição compatível com o Exchange ActiveSync é a plataforma. Outras condições, incluindo a autenticação multifator, não são suportadas. Para proteger com eficiência o acesso ao Exchange Online pelo Exchange ActiveSync, crie uma política de Acesso Condicional que especifica o aplicativo de nuvem do Microsoft 365 Exchange Online e o aplicativo cliente do Exchange ActiveSync com a opção Aplicar política somente em plataformas selecionada.

6. Em Controlos de acesso, configure Conceder para selecionar um ou mais requisitos. Para saber mais sobre as opções de Concessão, veja Conceder na Documentação do Microsoft Entra.

   Importante

   Para que esta política utilize a conformidade do dispositivo status, para Conceder acesso, tem de selecionar Exigir que o dispositivo seja marcado como conforme.

   • Bloquear acesso: nega o acesso às aplicações ou serviços especificados.
   • Conceder acesso: concede acesso, mas pode exigir uma ou mais condições. Para utilizar status de conformidade do dispositivo a partir de Intune, selecione Exigir que o dispositivo seja marcado como conforme.

7. Em Habilitar política, selecione Ativado. Por padrão, a política é definida como Somente relatório.

8. Selecionar Criar.

Próximas etapas

• Acesso Condicional baseado no aplicativo com o Intune
• Solução de problemas de Acesso Condicional do Intune