Home Entra IDAcesso Condicional – Bloqueando o acesso por localização

Acesso Condicional – Bloqueando o acesso por localização

por Sérgio Sant'Ana JúniorSérgio Sant'Ana Júnior
1,6K visualizações 5 minutos leitura

O Acesso Condicional é uma funcionalidade do “Microsoft Entra” que auxilia as organizações a aprimorar tanto a segurança quanto a conformidade. Ao estabelecer políticas de acesso condicional, é possível ajustar os procedimentos de autenticação e autorização de forma personalizada.

Essa abordagem moderna de segurança enfatiza a identidade como uma camada crucial. Ela combina sinais provenientes de diversas fontes, como o dispositivo utilizado pelo usuário para autenticação e o local de onde está tentando se autenticar, para tomar decisões e aplicar políticas de acordo. As políticas de acesso condicional do Microsoft Entra são delineadas em simples instruções “Se/Então” que examinam cada tentativa de autenticação.

Ao elaborar uma política de acesso condicional adaptada às necessidades específicas da sua organização, é necessário desativar os Security Defaults. Isso se deve ao fato de que esses padrões de segurança podem entrar em conflito com políticas mais granulares que você deseja implementar.

Atenção: Neste artigo, discutiremos o conceito de bloqueio de acesso baseado em localização. Esse método de controle condicional restringe a autenticação e o acesso a países dos quais a organização determina que o tráfego não deveria se originar, fortalecendo assim a segurança e o controle dos acessos. E para aplicar essa politica teremos que desativar o Security Defaults.

Mas o que é o Security Defaults?

Security Defaults são políticas de segurança pré-configuradas para simplificar a proteção da sua organização. Elas fornecem uma camada básica de segurança, como a exigência de autenticação multifator (MFA) para contas de usuário, dentre outros requisitos impostos automaticamente.

Veja abaixo a notificação da Microsoft informando que é necessário desativar os Padrões de Segurança antes de habilitar uma “Politica de Acesso Condicional”.

Então vamos desativar o Security Defaults. Vá em Identidade >> Visão Geral >> Propriedades. Em Padrões de Segurança, siga os passos abaixo:

Vá em Gerenciar os padrões de segurança >> Desabilitado > Minha organização está planejando usar o acesso condicional >> Salvar.

Clique em Desabilitar e pronto, os padrões de segurança estão desativados.

Configurando o Acesso Condicional

A primeira etapa consiste em definir os países permitidos pelas Localizações Nomeadas. Essas localizações desempenham um papel fundamental no acesso condicional e podem variar desde países inteiros até regiões específicas dentro de um país.

Uma organização pode optar por bloquear, conforme descrito acima, o acesso a determinados países ou regiões onde não possui filial ou onde há um alto risco de atividades maliciosas. Essa estratégia ajuda a reduzir a superfície de ataque, fortalecendo assim a segurança e reduzindo chance de ataques.

Para configurar as Localizações Nomeadas, acesse a seção “Acesso Condicional” e crie uma lista de Países Confiáveis. No exemplo, selecionei apenas o Brasil como país confiável. Siga as etapas abaixo para concluir esta etapa.

Após a localização ter sido definida e concluída, ainda não está aplicada, pois ainda não configuramos nenhuma política.

Política de Acesso Condicional

A Política do Acesso Condicional permite que você defina regras simples do tipo para verificar cada tentativa de autenticação. Isso significa que você pode permitir ou bloquear o acesso com base em critérios específicos, como a localização do usuário.

Lembrando que é sempre importante configurar com cautela, garantindo que as políticas sejam ajustadas de acordo com as necessidades da organização e os riscos associados.

Mas vamos ao “hands on“. Vá em Políticas >> Nova Política >> Digite o Nome da Política, neste artigo nomeei como Países Bloqueados.

Em Atribuições >> Usuários >> Incluir >> Selecionar usuários e grupos >> Selecionar, selecione o Grupo que criou e atribuiu os usuários. Esta regra será aplicado a este(s) grupo(s).

Em Recursos de Destino >> Aplicativos de Nuvem >> Incluir >> Selecionar Aplicativos >> Selecionar >> Atribua a regra para todos os Aplicativos ou de acordo com a necessidade da organização. Neste artigo configurei para que os usuários tenha acessam apenas ao Office 365.

Nesta etapa vá para Rede >> Configurar >> Sim >> Incluir >> Qualquer rede ou local. Estamos configurando nessa etapa para bloquear todos os países, com exceção do Brasil.

Em Excluir >> Redes e locais selecionados >> Selecionar >> Países Confiáveis, você está configurando a exclusão com base nas Localizações Nomeadas, onde o Brasil foi adicionado. Nesses dois passos, estamos bloqueando todos os locais e excluindo o Brasil dessa regra.

A concessão de Bloquear ou Permitir acontece nesta etapa. Em Controle de Acesso >> Conceder >> Bloquear Acesso, estamos finalizando e bloqueando o acesso a todos os locais, com exceção dos Países Confiáveis. Neste artigo, esses países se resumem apenas ao Brasil. E claro, as regras estão sendo aplicadas a todos os membros do grupo de segurança que você criou e aos quais atribuiu os usuários.

Por último e não menos importante, em Habilitar Política marque Ativado e depois Criar.

O acesso condicional é realmente uma ferramenta poderosa para restringir e controlar o acesso com base em critérios específicos. Lembre-se sempre de revisar e ajustar as políticas conforme necessário para manter a segurança da sua organização.

Segue as referências para você aperfeiçoar o aprendizado:
Acesso Condicional – Bloquear acesso por localização
Atribuição de Rede
Acesso Condicional – Exigindo MFA

Você já configurou o Acesso Condicional antes? Conte-nos sua experiência, compartilhe conosco. Faça parte dessa Jornada você também.

Você também pode gostar

Deixe um comentário

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.

error: Este conteúdo está protegido.

Olá! Este site utiliza cookies para melhorar sua experiência de navegação, personalizar conteúdo e anúncios, fornecer funcionalidades de redes sociais e analisar nosso tráfego. Ao continuar a usar nosso site, você concorda com o uso de cookies. Aceitar