Implementando o Acesso Condicional no Azure AD para Fortalecer a Segurança

Implementando o Acesso Condicional no Azure AD para Fortalecer a Segurança

01/05/2024

Este artigo técnico e educativo tem como objetivo guiar analistas de segurança, administradores de TI e engenheiros de sistemas na implementação e otimização do Acesso Condicional no Microsoft Entra ID (anteriormente Azure Active Directory). O Acesso Condicional é o principal mecanismo de imposição de políticas de Zero Trust da Microsoft, permitindo que as organizações controlem o acesso a recursos com base em condições em tempo real, como identidade do usuário, localização, integridade do dispositivo e risco da sessão [1].

Introdução

No cenário de segurança atual, onde as ameaças cibernéticas são sofisticadas e o trabalho remoto é predominante, a proteção do perímetro tradicional da rede não é mais suficiente. O Acesso Condicional do Azure AD permite que as organizações se afastem de uma abordagem de segurança estática para uma abordagem dinâmica e adaptativa, onde cada tentativa de acesso é avaliada antes de ser concedida. Isso garante que o acesso seja concedido apenas a usuários e dispositivos confiáveis, sob condições específicas, protegendo os dados e aplicativos da empresa de forma mais eficaz [2].

Este guia prático abordará a criação e configuração de políticas de Acesso Condicional, incluindo a exigência de autenticação multifator (MFA), dispositivos compatíveis, locais confiáveis e bloqueio de autenticação herdada. Serão fornecidas instruções passo a passo, exemplos de configurações e métodos de validação para que o leitor possa implementar e fortalecer a postura de segurança de sua organização, garantindo que o acesso aos recursos seja seguro e em conformidade.

Por que o Acesso Condicional é crucial?

  • Zero Trust: É o motor de políticas para a implementação do modelo Zero Trust, verificando explicitamente cada solicitação de acesso.
  • Controle Adaptativo: Permite que as políticas de acesso se adaptem dinamicamente com base em sinais de risco em tempo real.
  • Proteção Abrangente: Protege identidades, dispositivos, dados e aplicativos em nuvem e on-premises.
  • MFA e Conformidade de Dispositivos: Facilita a imposição de MFA e a exigência de dispositivos compatíveis ou ingressados no Azure AD para acesso.
  • Redução de Riscos: Ajuda a mitigar riscos como roubo de credenciais, acesso de dispositivos não autorizados e acesso de locais suspeitos.

Pré-requisitos

Para implementar o Acesso Condicional no Azure AD, você precisará dos seguintes itens:

  1. Licenciamento: Uma licença do Microsoft Entra ID Premium P1 ou P2 (anteriormente Azure AD Premium P1 ou P2). O Acesso Condicional é um recurso exclusivo dessas licenças [3].
  2. Acesso Administrativo: Uma conta com a função de Administrador de Acesso Condicional, Administrador de Segurança ou Administrador Global no Microsoft Entra admin center (https://entra.microsoft.com).
  3. Usuários e Grupos: Usuários e grupos de segurança no Microsoft Entra ID para testar as políticas.
  4. Autenticação Multifator (MFA) configurada: Para políticas que exigem MFA, os usuários devem ter o MFA configurado e registrado.
  5. Dispositivos gerenciados (opcional): Para políticas que exigem dispositivos compatíveis ou ingressados no Azure AD/Híbrido, os dispositivos devem ser gerenciados pelo Microsoft Intune ou ingressados no Azure AD.

Passo a Passo: Configurando Políticas de Acesso Condicional

Vamos criar algumas políticas essenciais de Acesso Condicional para fortalecer a segurança.

1. Acessando o Portal do Microsoft Entra admin center

  1. Abra seu navegador e navegue até https://entra.microsoft.com.
  2. Faça login com uma conta que tenha as permissões necessárias.
  3. No painel de navegação esquerdo, selecione Proteção > Acesso Condicional.

2. Criando uma Política para Exigir MFA para Todos os Usuários (Excluindo Contas de Emergência)

Esta é uma política fundamental para a maioria das organizações, garantindo que a MFA seja exigida para todas as tentativas de acesso, exceto para as contas de acesso de emergência/quebra-vidro.

  1. Na página de Acesso Condicional, clique em Nova política > Criar nova política.
  2. Nome: 01 - Exigir MFA para Todos os Usuários.

  3. Atribuições > Usuários ou cargas de trabalho de identidade:

    • Em Incluir, selecione Todos os usuários.
    • Em Excluir, selecione Usuários e grupos e adicione suas contas de acesso de emergência/quebra-vidro (contas altamente protegidas que podem ser usadas para acessar o tenant em caso de falha de MFA ou indisponibilidade do diretório).

  4. Recursos de nuvem ou ações:

    • Em Incluir, selecione Todos os aplicativos de nuvem.

  5. Conceder:

    • Selecione Conceder acesso.
    • Marque Exigir autenticação multifator.
    • Clique em Selecionar.

  6. Habilitar política: Selecione Somente relatório (para testar o impacto antes de aplicar) ou Ativado.

    • Dica: Sempre comece com Somente relatório para monitorar o impacto da política sem aplicá-la, verificando os logs de entrada para possíveis bloqueios indesejados.
  7. Clique em Criar.

3. Criando uma Política para Bloquear Autenticação Herdada

A autenticação herdada (como POP, IMAP, SMTP, autenticação básica) não suporta MFA e é um vetor comum para ataques. É crucial bloqueá-la.

  1. Na página de Acesso Condicional, clique em Nova política > Criar nova política.
  2. Nome: 02 - Bloquear Autenticação Herdada.
  3. Atribuições > Usuários ou cargas de trabalho de identidade: Selecione Todos os usuários (excluindo suas contas de emergência).
  4. Recursos de nuvem ou ações: Selecione Todos os aplicativos de nuvem.

  5. Condições > Aplicativos cliente:

    • Configure Aplicativos cliente para Sim.
    • Marque Clientes do Exchange ActiveSync e Outros clientes.

  6. Controles de acesso > Conceder:

    • Selecione Bloquear acesso.
    • Clique em Selecionar.

  7. Habilitar política: Selecione Somente relatório ou Ativado.

  8. Clique em Criar.

4. Criando uma Política para Exigir Dispositivo Compatível para Acesso a Aplicativos Críticos

Esta política garante que apenas dispositivos que atendam aos padrões de segurança (gerenciados pelo Intune, por exemplo) possam acessar aplicativos sensíveis.

  1. Na página de Acesso Condicional, clique em Nova política > Criar nova política.
  2. Nome: 03 - Exigir Dispositivo Compatível para Aplicativos Críticos.
  3. Atribuições > Usuários ou cargas de trabalho de identidade: Selecione Todos os usuários (ou um grupo específico).

  4. Recursos de nuvem ou ações:

    • Em Incluir, selecione Selecionar aplicativos e escolha os aplicativos críticos (ex: SharePoint Online, Dynamics 365, aplicativos de linha de negócios).

  5. Conceder:

    • Selecione Conceder acesso.
    • Marque Exigir que o dispositivo seja marcado como compatível.
    • Clique em Selecionar.

  6. Habilitar política: Selecione Somente relatório ou Ativado.

  7. Clique em Criar.

5. Criando uma Política para Bloquear Acesso de Locais Não Confiáveis

Esta política ajuda a proteger contra acesso de regiões geográficas ou endereços IP conhecidos por serem fontes de ataques.

  1. Primeiro, você precisa criar Locais Nomeados (Named Locations) no Azure AD para definir os locais confiáveis (ex: escritórios da empresa, VPN).

    • No Microsoft Entra admin center, vá para Proteção > Acesso Condicional > Locais Nomeados.
    • Clique em Novo local de países/regiões ou Novo local de intervalos de IP para definir seus locais confiáveis.

  2. Na página de Acesso Condicional, clique em Nova política > Criar nova política.

  3. Nome: 04 - Bloquear Acesso de Locais Não Confiáveis.
  4. Atribuições > Usuários ou cargas de trabalho de identidade: Selecione Todos os usuários.
  5. Recursos de nuvem ou ações: Selecione Todos os aplicativos de nuvem.

  6. Condições > Locais:

    • Configure Locais para Sim.
    • Em Incluir, selecione Qualquer local.
    • Em Excluir, selecione Locais selecionados e escolha os Locais Nomeados que você definiu como confiáveis.

  7. Controles de acesso > Conceder:

    • Selecione Bloquear acesso.
    • Clique em Selecionar.
  8. Habilitar política: Selecione Somente relatório ou Ativado.
  9. Clique em Criar.

Validação e Teste

Validar as políticas de Acesso Condicional é fundamental para garantir que elas funcionem conforme o esperado e não causem bloqueios indesejados.

1. Usando a Ferramenta "E se" (What If)

A ferramenta "E se" permite simular o impacto de suas políticas de Acesso Condicional em um usuário ou cenário específico.

  1. Na página de Acesso Condicional, clique em E se.
  2. Configure o cenário de teste (usuário, aplicativo, endereço IP, dispositivo, etc.).
  3. Clique em E se para ver quais políticas seriam aplicadas e o resultado (conceder ou bloquear acesso).

2. Verificando os Logs de Entrada

Os logs de entrada fornecem informações detalhadas sobre cada tentativa de acesso, incluindo quais políticas de Acesso Condicional foram avaliadas e o resultado.

  1. No Microsoft Entra admin center, vá para Monitoramento e integridade > Logs de entrada.
  2. Filtre os logs por usuário, aplicativo ou status (ex: Falha) para investigar tentativas de acesso.
  3. Clique em uma entrada de log para ver os detalhes, incluindo a aba Acesso Condicional, que mostrará as políticas aplicadas e o resultado.

3. Testes Reais com Usuários de Teste

Realize testes com usuários de teste em diferentes cenários (ex: acesso de um local não confiável, com um dispositivo não compatível, sem MFA) para confirmar o comportamento esperado das políticas.

Dicas de Segurança e Melhores Práticas

  • Planejamento Cuidadoso: Planeje suas políticas de Acesso Condicional com base nas necessidades de sua organização e nos princípios do Zero Trust. Comece com um pequeno conjunto de políticas e expanda gradualmente.
  • Modo "Somente Relatório": Sempre implante novas políticas no modo Somente relatório primeiro para avaliar seu impacto e ajustar antes de aplicá-las em modo Ativado.
  • Contas de Emergência: Exclua sempre as contas de acesso de emergência/quebra-vidro de todas as políticas de Acesso Condicional para evitar bloqueios acidentais.
  • Bloquear Autenticação Herdada: Esta é uma das políticas mais eficazes para reduzir a superfície de ataque.
  • Exigir MFA para Todos os Usuários: Uma política essencial para proteger identidades.
  • Dispositivos Gerenciados: Exija que os dispositivos sejam gerenciados (ingressados no Azure AD ou compatíveis com Intune) para acessar recursos sensíveis.
  • Locais Nomeados: Utilize locais nomeados para definir redes confiáveis e bloquear acesso de locais não confiáveis.
  • Revisão e Ajuste Contínuos: Revise e ajuste suas políticas de Acesso Condicional regularmente para se adaptar às mudanças no ambiente de ameaças e nos requisitos de negócios.
  • Documentação: Mantenha uma documentação clara de suas políticas de Acesso Condicional, incluindo seu propósito, escopo e quaisquer exclusões.

Troubleshooting Comum

  • Usuários bloqueados inesperadamente: Use a ferramenta "E se" e os logs de entrada para identificar qual política está causando o bloqueio. Verifique as inclusões e exclusões da política.
  • Políticas não aplicadas: Verifique se a política está no modo Ativado e se o usuário e o aplicativo estão no escopo da política. Verifique os logs de entrada para ver se a política foi avaliada.
  • Problemas com MFA: Certifique-se de que os usuários registraram os métodos de MFA. Verifique se há problemas de conectividade com os provedores de MFA.
  • Problemas com Dispositivos Compatíveis: Verifique o status de conformidade do dispositivo no Intune. Certifique-se de que o dispositivo está ingressado no Azure AD ou registrado no Intune.
  • Conflitos de Política: O Acesso Condicional avalia todas as políticas e aplica a mais restritiva. Se houver políticas conflitantes, ajuste-as para garantir o comportamento desejado.

Conclusão

A implementação do Acesso Condicional no Azure AD é um pilar fundamental para a construção de uma arquitetura de segurança robusta e adaptativa baseada no modelo Zero Trust. Ao permitir que as organizações definam políticas de acesso granulares com base em uma variedade de condições, o Acesso Condicional fortalece significativamente a proteção de identidades e recursos contra ameaças cibernéticas. A configuração estratégica de políticas, combinada com testes rigorosos e um ciclo contínuo de revisão e otimização, capacita as equipes de segurança a garantir que o acesso seja sempre verificado, privilegiado minimamente e adaptado ao contexto de risco. Com o Acesso Condicional, as empresas podem proteger seus ativos mais valiosos, ao mesmo tempo em que capacitam seus usuários a trabalhar de forma segura e produtiva em qualquer lugar e em qualquer dispositivo.

Referências:

[1] Microsoft Learn. O que é Acesso Condicional?. Disponível em: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/overview [2] Microsoft Learn. Planejar a implantação do Acesso Condicional. Disponível em: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/plan-conditional-access [3] Microsoft Learn. Requisitos de licença para Acesso Condicional. Disponível em: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/overview#license-requirements