No último texto falei um pouco sobre o AD Connect em detrimento ao ADFS e nele fiz uma citação sobre o Conditional Access do Azure AD.

Vamos falar um pouco como podemos nos beneficiar dessa função para proteger nossas identidades.

Atualmente as empresas tem um grande desafio que é deixar as informações confidenciais, as entidades protegidas e ao mesmo tempo permitindo que os usuários sejam produtivos de qualquer lugar e de qualquer dispositivo.

O acesso condicional do Azure AD nos permite impor controles sobre os acessos aos aplicativos no ambiente com base em condições específicas em um local central.

Veja alguns cenários que ele nos ajuda:

• Risco de entrada:

Azure AD Identity Protection detecta riscos de entrada, é possível solicitar uma prova mais sólida de que aquele usuário realmente diz ser quem é e caso a dúvida seja forte o suficiente, o acesso ao aplicativo pode ser bloqueado.

•  Local de rede:

O Azure AD é acessível de qualquer lugar. E se uma tentativa de acesso for realizada em um local de rede que não esteja sob o controle do departamento de TI? E se você exigir uma prova de identidade mais forte para tentativas de acesso iniciadas de outros países ou regiões do mundo inesperados? E se você ainda quiser bloquear tentativas de acesso de determinados locais?

• Gerenciamento de dispositivos:

No Azure AD, os usuários podem acessar aplicativos em nuvem utilizando uma grande variedade de dispositivos. E se você exigir que uma tentativa de acesso só deva ser realizada por um usuário com dispositivos gerenciados pelo departamento de TI? E se você ainda quiser bloquear determinados tipos de dispositivos de acessar aplicativos em nuvem no ambiente?

• Aplicativo cliente:

Atualmente você pode acessar muitos aplicativos em nuvem usando tipos diferentes, como aplicativos baseados na web, móveis ou da área de trabalho. E se uma tentativa de acesso for realizada usando-se um tipo de aplicativo cliente que causa problemas conhecidos? E se você precisar de um dispositivo gerenciado pelo departamento de TI para determinados tipos de aplicativos?

Muitos clientes têm licenças compradas (Azure AD P1 e P2) que permitem habilitar essa camada de proteção adicional, mas não faz uso. Se você ainda não tiver uma regra de acesso condicional configurada, um exemplo muito prático e rápido de habilitar é solicitando que o usuário autentique com o Multi Factor Authentication (MFA) para acessar uma determinada aplicação que a empresa classifique como uma informação sensível, seja ela uma aplicação em nuvem ou local.

Não é aconselhável habilitar muitas regras condicionais ao mesmo tempo, senão você dará ao usuário uma experiência ruim caso ele se sinta desconfortável ao ter que cumprir diversas políticas até conseguir acessar sua aplicação. Pode começar com regras simples e quando sentir que os usuários estão confortáveis com as novas regras de acesso e ao mesmo tempo entendendo o quão importante são essas ações, vá aumentando/afinando suas regras de acesso.