# Regras

## Geral&#x20;

Todas as regras que configurou serão aplicadas **após** a autenticação bem-sucedida das credenciais, o que significa que as regras só se tornam efetivas depois de serem fornecidas credenciais de autenticação válidas. Isto implica que, para ultrapassar a primeira barreira de autenticação, válidas **Trusted Roots** (autenticação baseada em certificado) ou **Utilizadores** (autenticação baseada em nome de utilizador+palavra-passe) têm de ser adicionadas à sua instância.&#x20;

### Regra predefinida

Para evitar a interrupção de qualquer instância existente ou caso não queira usar o Rule Engine de todo, qualquer autenticação é permitida se, por predefinição, não estiver definida nenhuma regra. Isto é realizado através da nossa regra predefinida **Qualquer autenticação permitida**.

{% hint style="warning" %}
A regra predefinida **Qualquer autenticação permitida** ainda requer a presença de credenciais de autenticação válidas para uma autenticação de rede bem-sucedida.
{% endhint %}

### Ordem de execução das regras

Se tiver várias regras configuradas, elas serão aplicadas pela ordem que vê no seu portal Web - de cima para baixo.&#x20;

A única exceção é a **Qualquer autenticação permitida** regra, que será tratada como última etapa caso esteja configurada. Isto é especialmente útil durante um cenário de implementação gradual, em que poderá não ter a certeza de que as suas regras abrangem todos os casos de utilização ou localizações. Todos os pedidos de autenticação rejeitados pelas regras anteriores serão então ainda aceites pela regra predefinida. No painel de controlo, pode então observar os dispositivos/utilizadores que falham em todas as outras regras e corrigir/expandir as regras em conformidade.&#x20;

Caso acabe por ter um grande número de regras, recomendamos - para manter um elevado desempenho - que ordene as regras de forma a que as regras mais prováveis sejam atingidas primeiro.

<figure><img src="https://3106535358-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2F95XxPKNPaLdqRGqKdB3e%2Fimage.png?alt=media&#x26;token=723235b3-bdfe-41e4-bb6f-4d8abaaf4a50" alt=""><figcaption><p>Mostrar Regras</p></figcaption></figure>

## Opções de regra

### Autenticação

* Permitir apenas fontes de autenticação específicas
  * por exemplo, WiFi ou LAN (o suporte VPN está em progresso)
* Permitir apenas tipos de autenticação específicos
  * por exemplo, Certificado ou Nome de utilizador+Palavra-passe

#### Autenticação baseada em certificado

* Permitir apenas CAs confiáveis específicas (CAs raiz ou emissoras)
* Permitir apenas IDs do Intune específicos ou ignorar totalmente o atributo do certificado

#### Autenticação baseada em nome de utilizador/palavra-passe

* Permitir apenas nomes de utilizador que correspondam a um padrão Regex

### Configuração

#### Restrições de infraestrutura

* Definir quais **SSIDs** são permitidos
* Definir quais **Pontos de acesso ou switches de rede** são permitidos (baseado em MAC)&#x20;

#### Atribuição de VLAN

Atribuir IDs de VLAN ...

* Estaticamente&#x20;
* Avaliando uma **extensão de certificado**
* Personalizada **nome do sujeito**

#### Atributos de Retorno RADIUS Adicionais

Por predefinição, pode selecionar a partir da seguinte lista de atributos de retorno que pode devolver como parte de uma regra correspondente:

* Filter-Id
* Fortinet-Group-Name
* Framed-MTU
* Tunnel-Password
* Cisco-AVPair
* Class

{% hint style="info" %}
Os atributos de retorno RADIUS permitem aos administradores de rede definir definições específicas para utilizadores ou grupos individuais.

Por exemplo,

* Para a Configuração do Perfil do Utilizador, um atributo pode especificar a duração máxima da sessão, os serviços permitidos (como VPN ou Wi-Fi) e o método de atribuição de endereço IP.
* Para a Atribuição Dinâmica de Endereço IP, um atributo pode especificar que o utilizador deve receber um endereço IP estático ou usar DHCP para atribuição dinâmica.
* Para Controlo de Acesso e Autorização, um atributo determina o nível de acesso do utilizador (por exemplo, convidado, funcionário, administrador) e quaisquer restrições (por exemplo, limites de tempo).
* Para Gestão de Sessões, um atributo pode especificar o tempo limite da sessão (quanto tempo o utilizador pode permanecer ligado), o tempo limite de inatividade (desligar após inatividade) e o número máximo de iniciações de sessão simultâneas.
* Para Qualidade de Serviço (QoS), um atributo pode dar prioridade ao tráfego de voz em relação ao tráfego de dados para um utilizador específico.

Os fornecedores podem criar os seus próprios atributos personalizados (atributos específicos do fornecedor ou VSAs). Estes permitem funcionalidades adicionais além dos atributos padrão da IETF. Os VSAs são encapsulados no atributo padrão 26.
{% endhint %}

Devolver atributos RADIUS adicionais ...

* Estaticamente&#x20;
* Avaliando uma **extensão de certificado**
* Personalizada **nome do sujeito**