Tópico Anterior Próximo Tópico

Acesso Condicional

O acesso condicional (CA) é o processo de permitir o acesso a recursos de TI com base em condições predefinidas. Ao criar políticas de acesso baseadas nos tipos de dispositivos dos usuários, horário de acesso, endereços IP ou geolocalização, você pode controlar rigorosamente o acesso à sua rede e dados. O CA oferece segurança adicional e ajuda a impedir que invasores obtenham acesso aos recursos de TI, garantindo uma experiência de usuário fluida ao permitir que usuários confiáveis acessem sem interrupções repetitivas de segurança. Saiba mais sobre os benefícios do acesso condicional.

O ADSelfService Plus permite aplicar CA em estações de trabalho, aplicações conectadas, endpoints protegidos e vários outros recursos do ADSelfService Plus, garantindo que o acesso seja limitado a usuários verificados e autorizados.

Entendendo como o acesso condicional funciona no ADSelfService Plus

O acesso condicional baseia-se em certos critérios, que são processados por uma função lógica para criar uma condição. Usuários que atendem a essa condição recebem acesso ao ADSelfService Plus sob uma política específica, chamada regra de CA. Essa regra determina qual política de autoatendimento será aplicada ao usuário, o que, por sua vez, define os métodos de autenticação multifator (MFA), aplicações em nuvem e recursos de autoatendimento habilitados para esse usuário.

Condições

Condições são fatores relacionados ao usuário, como tipo de dispositivo, endereço IP ou geolocalização. Nesta seção, você pode definir suas condições e selecioná-las para definir seus critérios conforme necessário. Você pode definir e selecionar suas condições com base nos seguintes fatores:

Endereço IP: Se configurado, o CA avaliará a conexão de entrada com base no endereço IP do dispositivo que está iniciando a conexão. Você pode escolher o tipo de endereços IP para os quais está configurando a condição: IPs estáticos, IPs de servidor proxy ou IPs de VPN. Também pode definir se os endereços IP especificados são IPs confiáveis ou não confiáveis.

Dispositivo: Você pode configurar esta condição para avaliar a conexão de entrada com base no tipo de dispositivo de origem: objetos específicos de computador e/ou a plataforma (Windows, macOS, Linux, aplicativo web móvel ou aplicativo móvel nativo) em que eles operam.

Horário comercial: Você pode definir horários comerciais e não comerciais e escolher avaliar a conexão de entrada com base em se ela ocorre durante o horário comercial (ou não comercial).

Geolocalização: Configure esta condição para avaliar conexões de entrada com base no país de origem.

Critérios

Depois de definir e ativar as condições conforme sua necessidade, você pode combinar as condições ativadas usando os operadores E, OU, e NÃO para formular um critério, que determinará como as diferentes condições são avaliadas para definir o resultado da solicitação de acesso.

Por exemplo, suponha que seus usuários estejam localizados em todo o mundo, exceto em alguns países. Você precisa garantir que eles acessem recursos apenas durante o horário comercial e apenas a partir de endereços IP confiáveis. Nesse caso, você precisa ativar:

1. Condição de endereço IP (com os IPs confiáveis).
2. Condição de horário comercial (com o tempo permitido).
3. Condição de geolocalização (com os países onde você não tem usuários).

Então, você pode usar uma função lógica como a abaixo para formular seu critério:

Critério: 1 E 2 E (NÃO 3)

Regra de CA

Associando o critério a uma ou mais políticas de autoatendimento, você cria uma regra de CA. Uma política de autoatendimento permite habilitar os recursos do produto e configurar como ele deve funcionar para diferentes conjuntos de usuários com base na OU e na associação a grupos.

Se você criar várias regras de CA, poderá escolher priorizá-las. Assim, se um usuário estiver sob várias regras de CA, a regra com maior prioridade terá efeito e, consequentemente, as políticas de autoatendimento associadas a essa regra serão aplicadas ao usuário. Se um usuário não estiver sob nenhuma regra de CA, as políticas de autoatendimento serão aplicadas com base na prioridade definida para as políticas na página de Configuração de Políticas.

Configurando CA

Configuração da regra

1. Faça login no ADSelfService Plus como administrador.
2. Navegue até Configuração > Autoatendimento > Acesso Condicional > Configuração da regra.
3. Clique em + Criar Regra de CA.
4. Insira um Nome da Regra de CA e uma Descrição.
5. Selecione as Condições conforme suas necessidades: Endereço IP, Tipo de Dispositivo, Horário Comercial e Geolocalização.

Nota: Essas condições determinam como as decisões de CA são tomadas. Use esta seção para definir, ativar e aplicar condições em seus critérios de acesso.

• Baseado em endereço IP



• Para incluir esta condição em seus critérios, selecione os tipos de endereços IP a serem avaliados marcando as caixas correspondentes:
• Para usuários que se conectam diretamente à sua rede por meio de seus computadores clientes, você pode ativar IPs Estáticos.
• Se seus usuários se conectam por meio de um servidor proxy, você pode ativar IPs de Servidor Proxy.
• Se seus usuários se conectam por meio de um servidor VPN, você pode ativar IPs de VPN. Para garantir que o acesso condicional baseado em IP funcione para o recurso VPN MFA, consulte esta seção para fazer as alterações necessárias na extensão NPS.

Nota: Se você ativou os três tipos de IPs, a prioridade será decidida com base nesta regra: * (IP Estático E IP Proxy) OU IP VPN.

• Selecione se os IPs que você inseriu são Confiáveis ou Não confiáveis.
• Para IPs estáticos, insira o intervalo de endereços IP nos campos Intervalo de IP. Use o ícone + para adicionar mais intervalos de IP. Você também pode inserir IPs individuais e usar * como caractere curinga para selecionar uma classe inteira de endereços IP.
• Baseado em dispositivo



• Inclua esta condição em seus critérios marcando a caixa Computers e depois clique no ícone +.
• Na caixa de diálogo Selected Computers que abrir, selecione o domain e depois os computer objects. Clique em Save.
• Marque a caixa Platforms e use o menu suspenso para selecionar a(s) plataforma(s). Você pode escolher entre Windows, macOS, Linux, o aplicativo web móvel ADSelfService Plus, o aplicativo móvel nativo ADSelfService Plus e aplicações ManageEngine.
• Baseado em horário comercial



• Marque a caixa Business Hours para configurar seus critérios com esta condição.
• Selecione se deseja configurar o horário comercial ou o não comercial clicando no botão de opção correspondente.
• A partir do intervalo de dias e horários fornecido, configure seu horário comercial ou não comercial.

Nota: O horário será aplicado com base no fuso horário que você selecionou para a configuração encontrada em Admin > Personalize > Time Zone.

• Baseado em geolocalização



• Marque a caixa Geolocation para ativar esta condição.
• Selecione os Countries aplicáveis no menu suspenso.
• Como funciona o CA baseado em geolocalização no ADSelfService Plus

O ADSelfService Plus conecta-se ao servidor de geolocalização usando Zoho Creator. Certifique-se de que https://creator.zoho.com esteja excluído das configurações do seu firewall para que o acesso condicional baseado em geolocalização funcione.

O acesso condicional baseado em geolocalização depende do endereço IP do usuário para determinar a localização. Isso significa que apenas o acesso de endereços IP públicos será avaliado. Esta condição não incluirá usuários com endereços IP privados.

6. Um Criteria é criado automaticamente com as condições que você ativou. Se o critério criado corresponder às suas necessidades, não é necessário fazer alterações. Modifique-o somente se tiver certeza de que ele não satisfaz seus requisitos. Você pode usar os operadores AND, OR e NOT para formular a lógica.
7. Clique em Configure para criar a nova regra de CA.

Atribuição de regra

Depois que a regra de CA for configurada, ela deve ser atribuída aos usuários que serão avaliados para CA. Para isso:

1. Faça login no ADSelfService Plus como administrador.
2. Vá para Configuration > Self-Service > Conditional Access > Rule assignment.



3. Selecione a rule que deseja atribuir no menu suspenso.
4. Selecione a política que se aplica aos usuários que você deseja avaliar.
Nota: Isso se refere à política de autoatendimento que você pode configurar acessando Configuration > Self-Service > Policy Configuration. Saiba mais aqui.

Se um usuário fizer parte de várias políticas e pelo menos uma delas tiver CA ativado, ele só poderá realizar ações permitidas pela política em que o usuário atende à regra de CA.

Exemplo: Considere três políticas de autoatendimento, A, B e C, e duas regras de CA, 1 e 2. Suponha que um usuário pertença às políticas A e B. Digamos que as políticas A e C estejam atribuídas à regra 1. Se um usuário satisfizer a regra 1, então apenas a política A será atribuída ao usuário, pois ele satisfez a regra de CA atribuída à política A.
5. Você também pode optar por permitir ou bloquear o single sign-on NTLM e o acesso ao portal ADSelfService Plus. Essas configurações serão aplicáveis onde a regra selecionada for satisfeita.
Nota: A opção para permitir ou bloquear o single sign-on NTLM será habilitada somente se a NTLM authentication estiver configurada nas configurações de logon.

Priorizando as regras de CA

Se você criou várias regras de acesso condicional, pode definir a prioridade para cada regra para que a regra com maior prioridade seja aplicada aos usuários que se enquadram em várias regras.

Para priorizar as regras de acesso condicional:

1. Na página de configuração de Conditional Access, clique no ícone change priority no canto superior direito (ao lado do botão + Create CA Rule).



2. Arraste as regras e ordene-as conforme suas necessidades. A regra no topo terá a maior prioridade.

Modificando, copiando, desabilitando e excluindo regras de acesso condicional

Uma regra pode ser modificada para alterar as condições ou a lógica da condição, copiada para criar uma nova regra, desabilitada ou excluída.

1. Vá para a página de configuração de Conditional Access (Configuration > Self-Service > Conditional Access).
2. Você verá uma tabela contendo todas as regras de acesso condicional que foram criadas.
3. Na coluna Ações, clique em um ícone conforme a ação que deseja executar.
4. Alterne os ícones e para habilitar ou desabilitar uma regra. Se houver um ícone ☑ marcado, significa que a regra está habilitada, e se houver um ícone ☒ com x, significa que a regra está desabilitada.
5. Clique no ícone de edição para modificar a regra.
6. Clique no ícone de cópia para copiar a regra e criar uma nova regra a partir dela.
7. Clique no ícone de lixeira para excluir uma regra.

Tópico Anterior Próximo Tópico