Automatize suas decisões de acesso com o acesso condicional

O modelo de trabalho remoto demonstrou ser vantajoso tanto para as organizações como para os funcionários e veio para ficar. Como os usuários remotos são mais suscetíveis a ataques cibernéticos, medidas de segurança rigorosas, como a autenticação multifator (MFA), precisam ser aplicadas para evitar violações de dados. Entretanto, a aplicação de uma política de acesso rigorosa em toda a organização, como a MFA, pode ter efeitos adversos na experiência do usuário. Embora a autenticação de dois ou três fatores possa proteger logins remotos, ela pode ser um incômodo desnecessário para usuários locais já protegidos no perímetro do escritório. Uma abordagem mais eficiente é aplicar políticas de acesso baseadas no contexto. O recurso de Acesso Condicional do ADSelfService Plus ajuda a implementar essa abordagem. Isso ajuda as organizações a:

• Implementar controles de acesso sem intervenção do administrador de TI.
• Melhorar a postura de segurança de uma organização sem afetar a experiência do usuário.

O que é acesso condicional?

O acesso condicional implementa um conjunto de regras que analisam vários fatores de risco, como endereço IP, horário de acesso, dispositivo e geolocalização do usuário, para impor decisões automatizadas de controle de acesso. As decisões são implementadas em tempo real com base nos fatores de risco do usuário para evitar medidas de segurança desnecessariamente rigorosas impostas em cenários sem risco. Essa postura assegura uma melhor experiência do usuário sem afetar a segurança.

Alguns dos cenários comuns e medidas de segurança correspondentes que podem ser aplicadas utilizando o acesso condicional incluem:

• Obrigação de verificação multifator para usuários privilegiados.
• Obrigação de MFA para acesso externo a aplicações críticas para o negócio para todos os funcionários.
• Bloqueio de acesso a ações de alto risco, como solicitações de redefinição de senha provenientes de IPs não confiáveis ou dispositivos desconhecidos.

Como uma política de acesso condicional funciona?

Antes de aprender como o acesso condicional funciona, vamos ver os princípios básicos da construção de uma regra de acesso condicional:

1. Condições

   Isso inclui a lista de fatores que podem melhorar ou minar a segurança da sua organização. O ADSelfService Plus permite-lhe configurar condições com base nos seguintes fatores de risco:

   • Endereço IP (confiável e não confiável)
   • Dispositivo (tipo de dispositivo e plataforma)
   • Horário comercial (horário comercial e horário não comercial)
   • Geolocalização (com base na origem da solicitação)

2. Critério

   Após configurar as condições, os critérios podem ser elaborados usando operadores como AND (E), OR (OU) ou NOT (NÃO). Este é o critério que está associado à política de acesso.

3. Política de acesso

   Os critérios são então associados a uma política de acesso pré-configurada, chamada no ADSelfService Plus de política de autoatendimento. Os administradores de TI podem criar políticas de autoatendimento e habilitar recursos específicos para usuários pertencentes a domínios, unidades organizacionais (UOs) e grupos específicos.

Para obter mais detalhes sobre a construção de regras de acesso condicional, consulte os guias sobre política de autoatendimento e configuração de acesso condicional.

1. Um usuário tenta efetuar o login na sua máquina ou, após realizar o login, tenta acessar uma aplicação ou um dos recursos de autoatendimento do ADSelfService Plus.
2. Com base em condições pré-definidas, fatores de risco como endereço IP do usuário, horário de acesso e geolocalização são analisados.
3. Se os dados cumprirem as condições, o usuário será atribuído a uma política de autoatendimento que permite uma destas ações:
   • Acesso completo à conta de domínio e recursos
   • Acesso seguro usando a MFA
   • Acesso limitado a determinados recursos
   • Acesso restrito a recursos específicos
4. Caso o usuário não atender a nenhuma das regras de acesso condicional configuradas, uma política de autoatendimento será aplicada com base no seu grupo ou unidade organizacional.

Casos de uso que ilustram como uma política de acesso condicional funciona

Caso de uso 1: Quando logins remotos no domínio do Active Directory (AD) de uma organização precisam ser protegidos usando a MFA

No nosso exemplo, considere que os usuários no local representam 50% da força de trabalho da sua organização. Outros 20% são usuários remotos. Os 30% restantes são usuários que alternam entre modelos de trabalho remoto e local, conforme necessário. Teremos que aplicar a MFA para usuários que efetuarem o login remotamente. A utilização do acesso condicional para este cenário envolve:

1. Aplicar uma política de autoatendimento que habilite a MFA do endpoint.
2. Configurar duas condições:
   • Endereço IP: Uma lista de endereços IP confiáveis é fornecida.
   • Local: Selecionar locais fora das dependências da organização.
3. Criar os seguintes critérios:
   • (Endereços IP NÃO confiáveis) E locais selecionados
4. Os critérios estão associados a uma política de autoatendimento.

Veja como esta política de acesso condicional funcionará:

Quando um usuário tenta fazer login em uma máquina, o endereço IP e a geolocalização do usuário são analisados. Se não for um endereço IP confiável e uma geolocalização selecionada, o critério será atendido e o usuário receberá a política de autoatendimento que aplica o MFA do endpoint. Quando as condições não são satisfeitas, qualquer outra política de autoatendimento aplicável ao usuário é atribuída.

Caso de uso 2: Permitir que apenas usuários com máquinas associadas ao domínio acessem aplicações empresariais usando o SSO

Aplicações empresariais são frequentemente utilizadas para processar e armazenar dados confidenciais do usuário. Como a maioria dessas aplicações atualmente são implantadas na nuvem e fora do perímetro de segurança da sua rede, elas são o alvo favorito de ataques cibernéticos. Elas usam phishing e outras técnicas de ataque para obter acesso às aplicações e ex-filtrar dados remotamente. Com o acesso condicional, você pode permitir que apenas usuários que tenham um computador associado a um domínio acessem aplicações importantes contendo dados confidenciais. Você pode dar um passo além e permitir que apenas uma lista de endereços IP confiáveis acesse aplicações críticas, assegurando que os invasores não possam ter acesso a essas aplicações, mesmo que roubem as credenciais dos seus usuários. Aqui está um exemplo de configuração de uma regra de acesso condicional para este cenário:

1. Configurar uma política de autoatendimento que habilite o SSO para as aplicações necessárias.
2. Configurar duas condições:
   • Baseada no endereço IP: Uma lista de endereços IP confiáveis é fornecida.
   • Baseada no dispositivo: Todos os objetos de computador associados ao domínio são selecionados.
3. Criar os seguintes critérios:
   • Endereços IP confiáveis E objetos de computador selecionados
4. Associar os critérios à política de autoatendimento criada.

Veja como esta regra de acesso condicional funcionará:

Quando um usuário tenta efetuar o login em uma aplicação empresarial utilizando o SSO, o endereço IP e o tipo do dispositivo são analisados. Se for um endereço IP confiável e o objeto do computador pertencer ao domínio do AD, os critérios criados serão atendidos. Em seguida, a política de autoatendimento associada aos critérios é atribuída ao usuário. Isso permite que o usuário acesse aplicações empresariais usando o SSO.

Benefícios de habilitar o acesso condicional com o ADSelfService Plus

• Use mais de 20 fatores de autenticação avançados para implementar a MFA.
• Acesso moderado a máquinas, VPNs, RDP, OWA e centro de administração do Exchange em um único console.
• Habilite políticas granulares de acesso condicional para diferentes departamentos na organização.