Utilizando o “What if” do Entra ID Conditional Access

Utilizando o “What if” do Entra ID Conditional Access

No último texto falamos sobre a criação das políticas de acesso condicional e como elas podem enriquecer a segurança do seu ambiente. Hoje vamos falar sobre uma funcionalidade que nos permite testar a efetividade das políticas sem gerar impacto algum aos usuários.

É comum que os times de segurança da sua empresa se preocupem com o funcionamento das políticas existentes. É mais comum do que parece essa “desconfiança” na configuração e isso é resultado de duas coisas:

  • falta de conhecimento da ferramenta;

  • ausência de testes.

O primeiro motivo só pode ser superado com treinamento e capacitação dos funcionários da empresa.

O Entra ID é uma solução utilizada globalmente por empresas dos mais diferentes ramos de atuação e dos mais diferentes tamanhos, além de ter sido criada por uma empresa histórica no mundo da tecnologia e que até hoje consta como uma das empresas mais importantes do mercado.

Agora, se a sua desconfiança é resultado da falta de testes e provas de que as políticas de acesso condicional realmente funcionam, esse artigo é pra você!


O “What If”

Como comentado anteriormente, esse recurso do acesso condicional permite testar as políticas desejadas com certas origens, destinos e parâmetros específicos. Essa granularidade nos permite cobrir os mais diversos cenários de acesso.

Se voltarmos ao texto de criação de políticas podemos analisar quais as “variáveis” captadas pelo Entra ID e disponibilizadas para construção das políticas. Essas variáveis são:

  • Usuários, grupos e recursos (identidades) afetados;

  • Recursos de destino (aplicações, contextos de autenticação e ações do usuário);

  • Condições (riscos de login, riscos de usuário, sistema operacional do dispositivo de acesso, local, aplicativo cliente e filtros);

Todas essas variáveis estão disponíveis para a construção do seu teste.


Utilizando o recurso

No portal do entra, no painel de acesso condicional (proteção > acesso condicional) ao entrar na aba de políticas, você vai se deparar com as seguintes opções:

Painel horizontal de opções na aba de políticas

Clique no botão escrito “What If” e será mostrado o seguinte formulário:

Neste formulário vamos preencher as informações que gostaríamos que fossem testadas contra as políticas de acesso condicional existentes.

Se você desejar saber quais políticas existentes afetam acessos de risco médio, você pode filtrar o “risco de entrada” para o valor médio.

Ou talvez queira identificar quais políticas se aplicam ao presidente e aos diretores da sua empresa, para isso você pode selecioná-los em “Identidade do Usuário ou Carga de trabalho” ou escolher um grupo específico que contenha todos eles.


Resultado

Após preencher os campos, de maneira que os usuários escolhidos sejam atingidos pelas regras, basta realizar o teste clicando no botão azul no final da página.

É importante lembrar que nas políticas de acesso condicional, nós podemos selecionar objetos para serem incluídos e para serem excluídos também. Por esse motivo, ao confirmar os campos preenchidos e solicitar a verificação das políticas, nós receberemos dois resultados:

Políticas que serão aplicadas

A política acima será aplicada baseada nos filtros indicados no formulário.

Podemos clicar sobre a política e teremos mais detalhes sobre suas configurações.

Ao final da linha, podemos ver também o estado da política. Essa em questão está em “somente relatório”, ou seja, não está impactando o acesso dos usuários, mas apenas avaliando se a atividade seria impactada pela política em questão.

Políticas que não serão aplicadas

Para as políticas que não terão impacto algum no usuário, temos uma aba dedicada.

Essas políticas podem ser mostradas simplesmente por não terem nenhum tipo de condição que se aplique aos filtros ou pois os usuários selecionados estão na condição de “exclusão” da política.

Além do nome da política (que também é um link para a própria), podemos visualizar o motivo da política não ser aplicada e como na aba anterior, o estado em que a política se encontra.


É comum que grandes empresas tenham grandes quantidades de políticas criadas. Isso se dá por diversos motivos, como a mudança nas estratégias de segurança da empresa ou até devido ao cumprimento de normas internas.

Quando se deparar com um acesso indevido ou quando um usuário estiver tendo dificuldades de acesso por algum tipo de restrição das políticas, lembre desse recurso. O “debug” facilitará muito o trabalho dos administradores que estiverem tentando entender o motivo do acesso se comportar desta forma.

Espero que a apresentação dessa simples funcionalidade o ajude a economizar tempo na hora de testar seus acessos.

Até logo!