Acesso Condicional: o motor de Zero Trust que substitui a segurança reativa

Hoje, o acesso em tempo real tornou-se um ponto crítico de segurança. No modelo de Zero Trust, não basta proteger identidades à entrada, é necessário avaliar continuamente o risco de cada acesso. É neste contexto que o Acesso Condicional assume um papel central, funcionando como um mecanismo de governação da identidade, e não apenas como um conjunto de regras.

As Security Defaults elevaram a base de segurança ao generalizar MFA e bloquear protocolos legados, no entanto são uniformes, não distinguindo um acesso interno legítimo de um login suspeito a partir de um país onde a organização não opera, mantendo a segurança essencialmente reativa. Análises pós-incidente mostram que sinais existentes poderiam ter sido usados para condicionar ou bloquear acessos.

Do controlo estático à decisão em tempo real

O Acesso Condicional, descrito pela Microsoft como o motor de políticas Zero Trust do Entra ID, é um motor de decisão com base em sinais concretos, que avalia em tempo real: o utilizador, localização, estado do dispositivo/aplicação, comportamento e nível de risco antes de conceder acesso. Em vez de políticas estáticas, funciona com regras do tipo “se – então”: dependendo dos sinais observados, o utilizador pode ser obrigado a executar MFA, usar um método mais forte ou ser bloqueado. Assim, a organização decide continuamente, com base em dados, quem pode aceder.

3 Princípios do Modelo Zero Trust

O Acesso Condicional aplica os três princípios do Zero Trust:

• Desconfiar por defeito, verificar sempre: autenticar e autorizar cada pedido com base em todos os pontos de dados relevantes (identidade, localização, dispositivo, aplicação, sensibilidade dos dados e sinais de risco), permitindo condicionar ou bloquear acessos em tempo real. 
• Privilégio mínimo: limitar o acesso ao estritamente necessário, usando modelos Just In Time, Just Enough Access, Privileged Identity Management (PIM) bem como a existência de políticas específicas especialmente para contas administrativas e aplicações críticas, reduzindo o impacto de uma conta comprometida. 
• Presumir uma violação: assumir que incidentes podem acontecer e, por isso, preparar mecanismos que minimizem o “raio de explosão” e que permitam uma resposta rápida bem como a monitorização contínua de sinais de compromisso. Contas de emergência (break glass), registo detalhado de inícios de sessão e integração com soluções de deteção e resposta são exemplos de aplicação deste princípio na identidade. 

Antes de bloquear, é preciso medir: Report-only

Uma implementação responsável de Acesso Condicional raramente começa com políticas impostas diretamente. Normalmente, inicia-se com o modo “report-only”, que permite testar políticas sem as aplicar na prática. Nesse modo, é definida uma política, por exemplo, exigir MFA ou bloquear acessos e, a cada início de sessão, o sistema avalia, simula o resultado e regista o que aconteceria, sem afetar o acesso nem os utilizadores. Assim, é possível perceber se um acesso seria permitido, condicionado ou bloqueado, sem causar interrupções.

Isto permite identificar, ao longo de vários dias úteis, os utilizadores, aplicações e localizações que seriam afetados antes da ativação. Um período de cinco a sete dias úteis é geralmente suficiente para captar padrões normais, embora ambientes mais complexos possam exigir mais tempo.
Desta forma, o modo “report-only” permite validar políticas, identificar impactos inesperados e ajustá-las com base em dados reais. As políticas são assim testadas e ajustadas com base em evidência e só depois aplicadas.

Exceções como gestão de risco (risco, localização, dispositivo)

Com o Acesso Condicional, as exceções deixam de ser decisões ad hoc e passam a ser gestão de risco estruturada. Em vez de excluir grupos inteiros de políticas, a organização define em que condições reforça, flexibiliza ou bloqueia o acesso com base em três eixos: risco, localização e dispositivo.

• Risco: com o Microsoft Entra ID Protection, o risco de utilizador e de início de sessão é avaliado com base em sinais como IP malicioso, tokens anómalos ou credenciais comprometidas. Com base nisso, pode ser exigido MFA adicional ou bloqueado o acesso em casos de risco elevado.
• Localização: através de named locations e políticas de rede, é possível bloquear regiões onde a organização não opera, exigir controlos adicionais fora de localizações confiáveis ou classificar zonas como de maior risco, reduzindo a superfície de ataque.
• Dispositivo: o acesso pode ser condicionado a dispositivos conformes com políticas de segurança (por exemplo, via Intune ou outra solução MDM), garantindo que apenas equipamentos atualizados, encriptados e com configurações adequadas acedem a dados corporativos.

Admins e aplicações críticas

Contas administrativas e aplicações críticas exigem níveis de proteção mais elevados. Um administrador comprometido pode criar contas, expandir permissões, alterar configurações de segurança ou desativar controlos, aumentando significativamente o impacto de um incidente. Por isso, a Microsoft recomenda políticas com MFA reforçado, métodos resistentes a phishing e condições adicionais para estes perfis.

Da mesma forma, aplicações como ERP, CRM, sistemas financeiros ou portais de administração cloud devem ser tratadas como de alto impacto. O Acesso Condicional permite segmentar por aplicação, exigindo MFA obrigatório, dispositivos conformes, localizações específicas e outros controlos adicionais para proteger estes sistemas.

Contas Break-glass e monitorização

O plano de emergência é crítico. As contas de emergência (break-glass) são contas altamente protegidas, usadas apenas em situações críticas para recuperar acesso quando os mecanismos normais falham. Sem estas contas corretamente configuradas, uma política incorreta pode bloquear todos os administradores e tornar o tenant inacessível.

A Microsoft recomenda 1 a 2 contas com privilégios elevados, passwords robustas, testes periódicos e exclusão apenas das políticas que possam causar bloqueio total. O seu uso deve ser excecional e tratado como evento de segurança.

A integração dos logs de Sign-in e Audit com um SIEM (como Microsoft Sentinel) permite gerar alertas imediatos sempre que estas contas são utilizadas, registando o contexto, permitindo uma análise posterior. 

Acesso Condicional como processo contínuo

O Acesso Condicional deve ser visto como um processo contínuo, não como um estado final. Num modelo Zero Trust, o risco, as aplicações e os padrões de acesso evoluem constantemente, o que exige revisões periódicas de políticas, logs, exceções e sinais de risco. O contexto de risco, as aplicações e os modelos de trabalho mudam; políticas adequadas hoje podem tornar se permissivas ou excessivamente restritivas no futuro.

Uma abordagem prática passa por implementar:

1. Políticas base em modo Report-only (MFA, localização, admins e apps críticas).
2. Introdução progressiva de sinais de risco, localização e dispositivo. 
3. Reforçar controlos para contas privilegiadas e sistemas críticos, com mecanismos de emergência (contas break-glass) e monitorização contínua.

Do Acesso Condicional ao próximo nível: Phishing-resistent/passwordless

Mesmo com Acesso Condicional, a segurança não fica concluída. Métodos tradicionais de MFA (como SMS ou notificações push) podem ser contornados por ataques sofisticados, como phishing em tempo real ou “MFA fatigue”.

O passo seguinte é adotar autenticação resistente a phishing, baseada em credenciais criptográficas ligadas ao dispositivo, que não podem ser reutilizadas ou interceptadas. 

Exemplos:

• Chaves FIDO2 (passkeys), que utilizam criptografia para validar a identidade e tornam o phishing ineficaz
• Windows Hello for Business, que associa autenticação ao dispositivo e ao utilizador (PIN ou biometria).
• Autenticação baseada em certificados, que elimina a dependência de credenciais reutilizáveis.

Estes métodos já contam como MFA, mas com um nível de segurança superior, sendo menos vulneráveis a ataques modernos. O Acesso Condicional continua a ser o mecanismo que os aplica, mas a maturidade da identidade depende cada vez mais da qualidade dos métodos de autenticação utilizados.