Acesso condicional: filtro para dispositivos
Quando administradores criam políticas de Acesso Condicional, a capacidade de direcionar ou excluir dispositivos específicos em seu ambiente é uma tarefa comum. O filtro de condição para dispositivos oferece aos administradores a capacidade de direcionar dispositivos específicos. Os administradores podem usar operadores e propriedades com suporte para filtros de dispositivos e outras condições de atribuição disponíveis nas suas políticas de acesso condicional.
Cenários comuns
Há diversos cenários que as organizações podem habilitar usando filtro para a condição dos dispositivos. Os cenários a seguir fornecem exemplos de como usar essa nova condição.
- Restringir o acesso a recursos privilegiados. Para este exemplo, digamos que você queira permitir o acesso à API de Gerenciamento de Serviços do Windows Azure de um usuário que:
- Está atribuído a uma função com privilégios.
- Concluiu a autenticação multifator.
- Está em um dispositivo com privilégios ou estações de trabalho de administrador seguras e atestado como conforme.
- Para esse cenário, as organizações criariam duas políticas de Acesso Condicional:
- Política 1: todos os usuários com uma função Administrador, acessando o aplicativo de nuvem da API de Gerenciamento de Serviços do Windows Azure e para controles de acesso, concedam acesso, mas exigem autenticação multifator e exigem que o dispositivo seja marcado como compatível.
- Política 2: Todos os usuários com administrador acessando o aplicativo de nuvem da API de gerenciamento de serviços do Windows Azure, excluindo um filtro para dispositivos que usam a expressão de regra device.extensionAttribute1 é igual a SAW e para controles de acesso, Bloquear. Saiba como atualizar extensionAttributes em um objeto de dispositivo do Microsoft Entra.
- Bloquear o acesso a recursos da organização de dispositivos que executam uma versão do Sistema Operacional sem suporte. Para este exemplo, vamos supor que você deseja bloquear o acesso a recursos de Windows de uma versão do sistema operacional mais antiga do que o Windows 10. Para esse cenário, as organizações criariam a seguinte política de Acesso Condicional:
- Todos os usuários, acessando todos os recursos, excluindo um filtro para dispositivos que usam a expressão de regra device.operatingSystem é igual a Windows e device.operatingSystemVersion startsWith "10.0" e para controles do Access, Bloquear.
- Não exigir autenticação multifator de contas específicas em dispositivos específicos. Para este exemplo, digamos que você não queira exigir autenticação multifator ao usar contas de serviço em dispositivos específicos, como telefones Teams ou dispositivos Surface Hub. Para esse cenário, as organizações criarão as duas políticas de Acesso Condicional abaixo:
- Política 1: todos os usuários excluindo contas de serviço, acessando todos os recursos e para controles do Access, concedem acesso, mas exigem autenticação multifator.
- Política 2: Selecione usuários e grupos e inclua um grupo que contenha somente contas de serviço, acessando todos os recursos, excluindo um filtro para dispositivos que usam dispositivos de expressão de regra.extensionAttribute2 não é igual a TeamsPhoneDevice e para controles do Access, Bloquear.
Observação
O Microsoft Entra ID usa a autenticação do dispositivo para avaliar as regras de filtro de dispositivo. Para um dispositivo que não está registrado com o Microsoft Entra ID todas as propriedades do dispositivo são consideradas como valores nulos e os atributos do dispositivo não podem ser determinados, pois o dispositivo não existe no diretório. A melhor maneira de direcionar políticas para dispositivos não registrados é usar o operador negativo, pois a regra de filtro configurada se aplicaria. Se você usa um operador positivo, a regra de filtro só se aplica quando um dispositivo existe no diretório e a regra configurada corresponde ao atributo no dispositivo.
Criar uma política de Acesso Condicional
O filtro para dispositivos é um controle opcional ao criar uma política de acesso condicional.
As etapas a seguir ajudam a criar duas políticas de Acesso Condicional para dar suporte ao primeiro cenário em Cenários comuns.
Política 1: todos os usuários com uma função Administrador, acessando o aplicativo de nuvem da API de Gerenciamento de Serviços do Windows Azure e para controles de acesso, concedam acesso, mas exigem autenticação multifator e exigem que o dispositivo seja marcado como compatível.
- Entre no centro de administração do Microsoft Entra como pelo menos Administrador de acesso condicional.
- Navegar para Proteção> de acesso condicional de >Políticas.
- Selecione Nova política.
- Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
- Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
Em Incluir, selecione Funções de Diretório e, em seguida, todas as funções com o administrador no nome.
Aviso
As políticas de acesso condicional dão suporte às funções internas. As políticas de Acesso Condicional não são impostas para outros tipos de função, incluindo funções personalizadas ou no escopo da unidade administrativa.
Em Excluir, selecione Usuários e grupos e escolha o acesso de emergência ou as contas de interrupção da sua organização.
Selecione Concluído.
- Em Recursos de destino>Recursos (anteriormente aplicativos de nuvem)>Incluir>Selecionar recursos, escolha a API de Gerenciamento de Serviços do Windows Azure e selecione Selecionar.
- Em Controles de acesso>Conceder, selecione Conceder acesso, Solicitar a autenticação multifator e Solicitar que o dispositivo seja marcado como em conformidade, e, então, selecione Selecionar.
- Confirme suas configurações e defina Habilitar política como Ativado.
- Selecione Criar para criar e habilitar sua política.
Política 2: todos os usuários com a função administrador acessando o aplicativo de nuvem da API de gerenciamento de serviços do Windows Azure, excluindo um filtro para dispositivos que usam a expressão de regra device.extensionAttribute1 são igual a SAW e para controles de acesso, Bloquear.
- Selecione Nova política.
- Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
- Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
Em Incluir, selecione Funções de Diretório e, em seguida, todas as funções com o administrador no nome
Aviso
As políticas de acesso condicional dão suporte às funções internas. As políticas de Acesso Condicional não são impostas para outros tipos de função, incluindo funções personalizadas ou no escopo da unidade administrativa.
Em Excluir, selecione Usuários e grupos e escolha o acesso de emergência ou as contas de interrupção da sua organização.
Selecione Concluído.
- Em Recursos de destino>Recursos (anteriormente aplicativos de nuvem)>Incluir>Selecionar recursos, escolha a API de Gerenciamento de Serviços do Windows Azure e selecione Selecionar.
- Em Condições, Filtro para dispositivos.
- Alterne Configurar para Sim.
- Configure os Dispositivos que correspondem à regra como Excluir os dispositivos filtrados da política.
- Defina a propriedade como
ExtensionAttribute1
, o operador comoEquals
e o valor comoSAW
. - Selecione Concluído.
- Em Controles de acesso>Conceder, selecione Bloquear acesso e depois Selecionar.
- Confirme suas configurações e defina Habilitar política como Ativado.
- Selecione Criar para criar e habilitar sua política.
Aviso
As políticas que exigem dispositivos compatíveis podem solicitar que os usuários de Mac, iOS e Android selecionem um certificado de dispositivo durante a avaliação da política, mesmo que a conformidade do dispositivo não seja imposta. Esses prompts podem ser repetidos até que o dispositivo esteja em conformidade.
Definindo valores de atributo
A definição de atributos de extensão é possibilitada por meio da API do Microsoft Graph. Para obter mais informações sobre como configurar atributos de dispositivo, confira o artigo Atualizar dispositivo.
Filtro para dispositivos API do Graph
O filtro para dispositivos de API está disponível no ponto de extremidade do Microsoft Graph versão v1.0, e podem ser acessados usando o ponto de extremidade https://graph.microsoft.com/v1.0/identity/conditionalaccess/policies/
. Você pode configurar um filtro para dispositivos ao criar uma nova política de Acesso Condicional ou pode atualizar uma política existente para configurar o filtro para a condição dos dispositivos. Para atualizar uma política existente, você pode fazer uma chamada de patch no ponto de extremidade do Microsoft Graph versão v1.0, acrescentando a ID de política de uma política existente e executando o corpo da solicitação a seguir. Este exemplo mostra a configuração de um filtro para a condição dos dispositivos excluindo os dispositivos que não estão marcados como dispositivos SAW. A sintaxe da regra pode ser composta por mais de uma única expressão. Para saber mais sobre a sintaxe, consulte regras de grupos de associação dinâmica para grupos no Microsoft Entra ID.
{
"conditions": {
"devices": {
"deviceFilter": {
"mode": "exclude",
"rule": "device.extensionAttribute1 -ne \"SAW\""
}
}
}
}
Operadores e propriedades de dispositivo com suporte para filtros
Os seguintes atributos do dispositivo podem ser usados com o filtro para a condição do dispositivo no Acesso Condicional.
Observação
O Microsoft Entra ID usa a autenticação do dispositivo para avaliar as regras de filtro de dispositivo. Para um dispositivo que não está registrado com o Microsoft Entra ID todas as propriedades do dispositivo são consideradas como valores nulos e os atributos do dispositivo não podem ser determinados, pois o dispositivo não existe no diretório. A melhor maneira de direcionar políticas para dispositivos não registrados é usar o operador negativo, pois a regra de filtro configurada se aplicaria. Se você usa um operador positivo, a regra de filtro só se aplica quando um dispositivo existe no diretório e a regra configurada corresponde ao atributo no dispositivo.
Atributos de dispositivo com suporte | Operadores com suporte | Valores com suporte | Exemplo |
---|---|---|---|
deviceId | Equals, NotEquals, In, NotIn | Um deviceId válido que é um GUID | (device.deviceid -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb") |
displayName | Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn | Qualquer cadeia de caracteres | (device.displayName -contains “ABC”) |
deviceOwnership | Equals, NotEquals | Os valores com suporte são "Pessoal" para traga seus próprios dispositivos e "Empresa" para dispositivos corporativos | (device.deviceOwnership -eq "Company") |
isCompliant | Equals, NotEquals | Os valores com suporte são "True" para dispositivos compatíveis e "False" para dispositivos não compatíveis | (device.isCompliant -eq "True") |
fabricante | Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn | Qualquer cadeia de caracteres | (device.manufacturer -startsWith "Microsoft") |
mdmAppId | Equals, NotEquals, In, NotIn | Uma ID de aplicativo MDM válida | (device.mdmAppId -in ["00001111-aaaa-2222-bbbb-3333cccc4444"]) |
modelo | Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn | Qualquer cadeia de caracteres | (device.model -notContains "Surface") |
operatingSystem | Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn | Um sistema operacional válido (como Windows, iOS ou Android) | (device.operatingSystem -eq "Windows") |
operatingSystemVersion | Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn | Uma versão válida do sistema operacional (como 6.1 para Windows 7, 6.2 para Windows 8 ou 10.0 para Windows 10 e 11) | (device.operatingSystemVersion -in ["10.0.18363", "10.0.19041", "10.0.19042", "10.0.22000"]) |
physicalIds | Contains, NotContains | Por exemplo, todos os dispositivos do Windows Autopilot armazenam ZTDId (um valor exclusivo atribuído a todos os dispositivos do Windows Autopilot importados) na propriedade physicalIds do dispositivo. | (device.physicalIds -contains "[ZTDId]:value") |
profileType | Equals, NotEquals | Um tipo de perfil válido definido para um dispositivo. Os valores com suporte são: RegisteredDevice (padrão), SecureVM (usado para VMs Windows no Azure habilitado com entrada no Microsoft Entra), Printer (usado para impressoras), Shared (usada paro dispositivos compartilhados), IoT (usado para dispositivos IoT) | (device.profileType -eq "Printer") |
systemLabels | Contains, NotContains | Lista de rótulos aplicados ao dispositivo pelo sistema. Alguns dos valores com suporte são: AzureResource (usado para VMs Windows no Azure habilitadas com entrada no Microsoft Entra), M365Managed (usado para dispositivos gerenciados usando a Área de Trabalho Gerenciada da Microsoft), MultiUser (usado para dispositivos compartilhados) | (device.systemLabels -contains "M365Managed") |
trustType | Equals, NotEquals | Um estado registrado válido para dispositivos. Os valores com suporte são: AzureAD (usado para dispositivos ingressados no Microsoft Entra), ServerAD (usado para dispositivos ingressados de forma híbrida no Microsoft Entra), Workplace (usado para dispositivos registrados no Microsoft Entra) | (device.trustType -eq "ServerAD") |
extensionAttribute1-15 | Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn | extensionAttributes1-15 são atributos que os clientes podem usar para objetos de dispositivo. Os clientes podem atualizar quaisquer extensionAttributes1 a 15 com valores personalizados, e usá-los no filtro para a condição do dispositivo no Acesso Condicional. Qualquer valor de cadeia de caracteres pode ser usado. | (device.extensionAttribute1 -eq "SAW") |
Observação
Ao criar regras complexas ou usar muitos identificadores individuais, como deviceid para identidades de dispositivo, tenha em mente que "O comprimento máximo da regra de filtro é de 3.072 caracteres".
Observação
Os operadores Contains
e NotContains
funcionam de maneira diferente, dependendo dos tipos de atributo. Para atributos de cadeia de caracteres, como operatingSystem
e model
, o operador Contains
indica se uma subcadeia especificada ocorre dentro do atributo. Para atributos de coleção de cadeia de caracteres, como physicalIds
e systemLabels
, o operador Contains
indica se uma cadeia de caracteres especificada corresponde a uma das cadeias de caracteres inteiras na coleção.
Aviso
Os dispositivos devem ser gerenciados pelo Microsoft Intune, estar em conformidade ou ter ingressado no Microsoft Entra híbrido para que um valor esteja disponível em extensionAttributes1-15 no momento da avaliação da Política de Acesso Condicional.
Comportamento da política com filtro para dispositivos
O filtro para a condição dos dispositivos no Acesso Condicional avalia a política com base nos atributos do dispositivo de um dispositivo registrado no Microsoft Entra ID e, portanto, é importante reconhecer em quais circunstâncias a política será aplicada ou não. A tabela a seguir ilustra o comportamento quando um filtro para a condição dos dispositivos é configurado.
Filtro para condição dos dispositivos | Estado de registro do dispositivo | Filtro de dispositivo Aplicado |
---|---|---|
Modo de inclusão/exclusão com operadores positivos (Equals, StartsWith, EndsWith, Contains, In) e uso de quaisquer atributos | Dispositivo não registrado | Não |
Modo de inclusão/exclusão com operadores positivos (Equals, StartsWith, EndsWith, Contains, In) e uso de atributos, excluindo extensionAttributes1-15 | Dispositivo registrado | Sim, se os critérios forem atendidos |
Modo de inclusão/exclusão com operadores positivos (Equals, StartsWith, EndsWith, Contains, In) e uso de atributos, incluindo extensionAttributes1-15 | Dispositivo registrado gerenciado pelo Intune | Sim, se os critérios forem atendidos |
Modo de inclusão/exclusão com operadores positivos (Equals, StartsWith, EndsWith, Contains, In) e uso de atributos, incluindo extensionAttributes1-15 | Dispositivo registrado não gerenciado pelo Intune | Sim, se os critérios forem atendidos. Quando extensionAttributes1-15 for usado, a política será aplicada se o dispositivo estiver em conformidade ou ingressado no Microsoft Entra híbrido |
Modo de inclusão/exclusão com operadores negativos (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) e uso de quaisquer atributos | Dispositivo não registrado | Sim |
Modo de inclusão/exclusão com operadores negativos (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) e uso de quaisquer atributos, exceto extensionAttributes1-15 | Dispositivo registrado | Sim, se os critérios forem atendidos |
Modo de inclusão/exclusão com operadores negativos (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) e uso de quaisquer atributos, inclusive extensionAttributes1-15 | Dispositivo registrado gerenciado pelo Intune | Sim, se os critérios forem atendidos |
Modo de inclusão/exclusão com operadores negativos (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) e uso de quaisquer atributos, inclusive extensionAttributes1-15 | Dispositivo registrado não gerenciado pelo Intune | Sim, se os critérios forem atendidos. Quando extensionAttributes1-15 for usado, a política será aplicada se o dispositivo estiver em conformidade ou ingressado no Microsoft Entra híbrido |