Configurare la gestione delle sessioni di autenticazione con l'accesso condizionale

Nelle distribuzioni complesse, le organizzazioni possono avere la necessità di limitare le sessioni di autenticazione. Alcuni scenari possibili sono:

  • Accesso alle risorse da un dispositivo non gestito o condiviso
  • Accesso alle informazioni riservate da una rete esterna
  • Utenti con impatto elevato
  • Applicazioni aziendali critiche

I controlli di accesso condizionale consentono di creare criteri mirati a casi d'uso specifici all'interno dell'organizzazione senza influire su tutti gli utenti.

Prima di approfondire i dettagli su come configurare i criteri, si esaminerà la configurazione predefinita.

Frequenza di accesso utente

La frequenza di accesso definisce il periodo di tempo prima che all'utente venga richiesto di ripetere l'accesso quando tenta di accedere a una risorsa.

La configurazione predefinita di Azure Active Directory (Azure AD) per la frequenza di accesso utente è una finestra in sequenza di 90 giorni. La richiesta di credenziali agli utenti sembra spesso una cosa ragionevole da fare, ma può tornare indietro: gli utenti che vengono sottoposti a training per immettere le proprie credenziali senza pensare che possano fornire in modo involontario una richiesta di credenziali dannose.

Potrebbe sembrare preoccupante non chiedere a un utente di accedere, in realtà qualsiasi violazione dei criteri IT revoca la sessione. Alcuni esempi includono (ma non sono limitati a) una modifica della password, un dispositivo non conforme o un account disabilitato. È anche possibile revocare in modo esplicito le sessioni degli utenti usando PowerShell. La configurazione predefinita di Azure AD scende a "non chiedere agli utenti di fornire le proprie credenziali se il comportamento di sicurezza delle sessioni non è cambiato".

L'impostazione di frequenza di accesso funziona con le app che hanno implementato protocolli OAuth2 o OIDC in base agli standard. La maggior parte delle app native Microsoft per Windows, Mac e Mobile, incluse le applicazioni Web seguenti è conforme all'impostazione.

  • Word, Excel, PowerPoint Online
  • OneNote Online
  • Office.com
  • Portale di amministrazione di Microsoft 365
  • Exchange Online
  • SharePoint e OneDrive
  • Client Web Teams
  • Dynamics CRM Online
  • Portale di Azure

L'impostazione di frequenza di accesso funziona con le applicazioni SAML di terze parti e le app che hanno implementato protocolli OAuth2 o OIDC, purché non vengano abbandonati i propri cookie e vengano reindirizzati ad Azure AD per l'autenticazione regolarmente.

Frequenza di accesso utente e autenticazione a più fattori

Frequenza di accesso applicata in precedenza solo alla prima autenticazione a fattori nei dispositivi aggiunti ad Azure AD, aggiunta ad Azure AD ibrido e registrazione di Azure AD. Non esisteva un modo semplice per i clienti di riapplicare l'autenticazione a più fattori (MFA) a questi dispositivi. A seguito del feedback dei clienti, la frequenza di accesso verrà applicata anche per l'autenticazione a più fattori.

Frequenza di accesso e autenticazione a più fattori

Frequenza di accesso utente e identità dei dispositivi

In Azure AD aggiunto, aggiunto ad Azure AD ibrido o ai dispositivi registrati di Azure AD, sbloccare il dispositivo o accedere in modo interattivo soddisfa i criteri di frequenza di accesso. Nelle due esempi seguenti la frequenza di accesso utente è impostata su 1 ora:

Esempio 1:

  • Alle ore 00:00 un utente accede al proprio dispositivo Windows 10 aggiunto ad Azure AD e inizia a lavorare a un documento archiviato in SharePoint Online.
  • L'utente continua a lavorare allo stesso documento sul proprio dispositivo per un'ora.
  • Alle ore 01:00 all'utente viene richiesto di eseguire di nuovo l'accesso in base ai requisiti di frequenza di accesso dei criteri di accesso condizionale configurati dall'amministratore.

Esempio 2:

  • Alle ore 00:00 un utente accede al proprio dispositivo Windows 10 aggiunto ad Azure AD e inizia a lavorare a un documento archiviato in SharePoint Online.
  • Alle 00:30 l'utente si alza e blocca il dispositivo.
  • Alle ore 00:45 l'utente riprende il lavoro dopo la pausa e sblocca il dispositivo.
  • Alle ore 01:45 all'utente viene richiesto di eseguire di nuovo l'accesso in base ai requisiti di frequenza di accesso dei criteri di accesso condizionale configurati dall'amministratore. dato che l'ultimo accesso è avvenuto alle ore 00:45.

Richiedere la riutenticazione ogni volta

Esistono scenari in cui i clienti potrebbero voler richiedere un'autenticazione nuova, ogni volta che un utente esegue azioni specifiche. La frequenza di accesso offre una nuova opzione per ogni ora oltre alle ore o ai giorni.

Scenari supportati:

Quando gli amministratori selezionano Ogni volta, richiederà la riutenticazione completa quando viene valutata la sessione.

Persistenza delle sessioni di esplorazione

Una sessione del browser persistente consente agli utenti di rimanere connessi dopo aver chiuso e riaperto la finestra del browser.

L'impostazione predefinita di Azure AD per la persistenza delle sessioni del browser consente agli utenti di dispositivi personali di scegliere se rendere persistente la sessione visualizzando il messaggio "Rimanere connessi?" Richiesta dopo una corretta autenticazione. Se la persistenza del browser è configurata in AD FS usando le indicazioni riportate nell'articolo Impostazioni di Accesso Single Sign-On di AD FS, i criteri verranno conformi e verranno mantenuti anche la sessione di Azure AD. È anche possibile configurare se gli utenti nel tenant visualizzano l'opzione "Rimanere connessi?" richiesta modificando l'impostazione appropriata nel riquadro di personalizzazione aziendale.

Configurazione dei controlli sessione di autenticazione

L'accesso condizionale è una funzionalità Di Azure AD Premium e richiede una licenza Premium. Per altre informazioni sull'accesso condizionale, vedere Informazioni sull'accesso condizionale in Azure Active Directory?

Avviso

Se si usa la funzionalità di durata del token configurabile attualmente in anteprima pubblica, si noti che non è supportata la creazione di due criteri diversi per la stessa combinazione di utenti o app: una con questa funzionalità e un'altra con la funzionalità di durata del token configurabile. Microsoft ha ritirato la funzionalità di durata del token configurabile per la durata dei token di aggiornamento e sessione il 30 gennaio 2021 e l'ha sostituita con la funzionalità di gestione delle sessioni di autenticazione dell'accesso condizionale.

Prima di abilitare Frequenza di accesso, assicurarsi che altre impostazioni di autenticazione siano disabilitate nel tenant. Se "Ricorda MFA nei dispositivi attendibili" è abilitato, assicurarsi di disabilitarlo prima di usare la frequenza di accesso, poiché l'uso di queste due impostazioni insieme può causare la richiesta imprevista agli utenti. Per altre informazioni sulle richieste di riutenticazione e sulla durata della sessione, vedere l'articolo Ottimizzare le richieste di riutenticazione e comprendere la durata della sessione per l'autenticazione a più fattori di Azure AD.

Distribuzione dei criteri

La procedura consigliata è testare i criteri prima di distribuirli nell'ambiente di produzione per assicurarsi che funzionino nel modo previsto. L'approccio ideale è usare un tenant di test per verificare se il nuovo criterio funziona nel modo previsto. Per altre informazioni, vedere l'articolo Pianificare una distribuzione di accesso condizionale.

Criteri 1: Controllo frequenza di accesso

  1. Accedere al portale di Azure come amministratore globale, amministratore della sicurezza o amministratore dell'accesso condizionale.

  2. Passare ad Azure Active Directory>Sicurezza>Accesso condizionale.

  3. Selezionare Nuovi criteri.

  4. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.

  5. Scegliere tutte le condizioni necessarie per l'ambiente del cliente, incluse le app cloud di destinazione.

    Nota

    È consigliabile impostare la frequenza di richiesta di autenticazione uguale per le app di Microsoft Office chiave, ad esempio Exchange Online e SharePoint Online, per un'esperienza utente ottimale.

  6. In Controlli di accesso>Sessione.

    1. Selezionare Frequenza di accesso.
      1. Scegliere Riutenticazione periodica e immettere un valore di ore o giorni o selezionare Ogni volta.
  7. Salvare i criteri.

    Criteri di accesso condizionale configurati per la frequenza di accesso

Criterio 2: Sessione del browser persistente

  1. Accedere al portale di Azure come amministratore globale, amministratore della sicurezza o amministratore dell'accesso condizionale.

  2. Passare ad Azure Active Directory>Sicurezza>Accesso condizionale.

  3. Selezionare Nuovi criteri.

  4. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.

  5. Scegliere tutte le condizioni necessarie.

    Nota

    Si noti che questo controllo richiede di scegliere "Tutte le app cloud" come condizione. La persistenza della sessione del browser è controllata dal token di sessione di autenticazione. Tutte le schede in una sessione del browser condividono un singolo token di sessione e pertanto devono condividere lo stato di persistenza.

  6. In Controlli di accesso>Sessione.

    1. Selezionare Sessione del browser persistente.

      Nota

      La configurazione sessione del browser persistente in Accesso condizionale di Azure AD esegue l'override di "Rimanere connessi?" impostazione nel riquadro personalizzazione aziendale nel portale di Azure per lo stesso utente se sono stati configurati entrambi i criteri.

    2. Selezionare un valore dall'elenco a discesa.

  7. Salvare i criteri.

Criterio 3: Controllo frequenza di accesso ogni utente rischioso

  1. Accedere al portale di Azure come amministratore globale, amministratore della sicurezza o amministratore dell'accesso condizionale.
  2. Passare ad Azure Active Directory>Sicurezza>Accesso condizionale.
  3. Selezionare Nuovi criteri.
  4. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
  5. In Assegnazioni selezionare Utenti o identità del carico di lavoro.
    1. In Includi selezionare Tutti gli utenti.
    2. In Escludi selezionare Utenti e gruppi e scegliere l'accesso di emergenza o gli account break-glass dell'organizzazione.
    3. Selezionare Operazione completata.
  6. In Applicazioni cloud o azioni>Includi selezionare Tutte le app cloud.
  7. In Condizioni>rischio utente impostare Configura su . In Configurare i livelli di rischio utente necessari per applicare i criteri selezionareAlto e quindi selezionare Fine.
  8. In Controlli di accesso>Concedere l'accesso selezionareConcedi accesso, Richiedi modifica password e selezionare Seleziona.
  9. In Frequenza diaccessoai controlli> sessione selezionare Ogni volta.
  10. Confermare le impostazioni e impostare Attiva criterio su Solo report.
  11. Selezionare Crea per creare e abilitare il criterio.

Dopo che gli amministratori confermano le impostazioni usando la modalità solo report, è possibile spostare l'opzione Abilita criterio solo da Report a Attiva.

Convalida

Usare lo strumento What If per simulare un accesso dall'utente all'applicazione di destinazione e altre condizioni in base alla configurazione dei criteri. I controlli di gestione delle sessioni di autenticazione vengono visualizzati nei risultati dello strumento.

Tolleranza di richiesta

Fattoriamo per cinque minuti di deviazione dell'orologio, in modo che non venga richiesto agli utenti più spesso di una volta ogni cinque minuti. Se l'utente ha eseguito l'autenticazione a più fattori negli ultimi 5 minuti e ha raggiunto un altro criterio di accesso condizionale che richiede la riutenticazione, non verrà richiesto all'utente. L'over-promozione degli utenti per la riutenticazione può influire sulla produttività e aumentare il rischio di approvazione delle richieste MFA che non hanno avviato. Usare "Frequenza di accesso: ogni volta" solo per esigenze aziendali specifiche.

Problemi noti

  • Se si configura la frequenza di accesso per i dispositivi mobili: l'autenticazione dopo ogni intervallo di frequenza di accesso potrebbe essere lenta, può richiedere 30 secondi in media. Inoltre, potrebbe verificarsi in varie app contemporaneamente.
  • Nei dispositivi iOS: se un'app configura i certificati come primo fattore di autenticazione e l'app ha frequenza di accesso e Intune criteri di gestione delle applicazioni mobili applicati, gli utenti finali vengono bloccati dall'accesso all'app quando i criteri attivano.

Passaggi successivi