Configurare i criteri di durata della sessione adattiva

  • Articolo

Avviso

Se si usa la funzionalità di durata del token configurabile attualmente in anteprima pubblica, tenere presente che non è supportata la creazione di due criteri diversi per la stessa combinazione di utenti o app: una con questa funzionalità e un'altra con la funzionalità di durata del token configurabile. Il 30 gennaio 2021 Microsoft ha ritirato la funzionalità di durata configurabile per i token di aggiornamento e di sessione e l'ha sostituita con la funzionalità di gestione delle sessioni di autenticazione dell'accesso condizionale.

Prima di abilitare Frequenza di accesso, assicurarsi che altre impostazioni di autenticazione siano disabilitate nel tenant. Se è abilitata l'autenticazione a più fattori nei dispositivi attendibili, assicurarsi di disabilitarla prima di usare la frequenza di accesso, perché l'uso di queste due impostazioni insieme può causare la richiesta imprevista agli utenti. Per altre informazioni sulle richieste di riautenticazione e sulla durata della sessione, vedere l'articolo Ottimizzare le richieste di riautenticazione e comprendere la durata della sessione per l'autenticazione a più fattori Di Microsoft Entra.

Distribuzione dei criteri

La procedura consigliata è testare i criteri prima di distribuirli nell'ambiente di produzione per assicurarsi che funzionino nel modo previsto. L'approccio ideale è usare un tenant di test per verificare se il nuovo criterio funziona nel modo previsto. Per altre informazioni, vedere l'articolo Pianificare una distribuzione dell'accesso condizionale.

Criterio 1: Controllo frequenza di accesso

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di accesso condizionale.

  2. Passare a Protezione>dell'accesso condizionale.

  3. Selezionare Crea nuovo criterio.

  4. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.

  5. Scegliere tutte le condizioni necessarie per l'ambiente del cliente, incluse le app cloud di destinazione.

    Nota

    È consigliabile impostare la stessa frequenza di richiesta di autenticazione per le chiavi di Microsoft app Office, ad esempio Exchange Online e SharePoint Online, per un'esperienza utente ottimale.

  6. In Controllo di>accesso Sessione.

    1. Selezionare Frequenza di accesso.
      1. Scegliere Riautenticazione periodica e immettere un valore di ore o giorni oppure selezionare Ogni volta.

    Screenshot showing a Conditional Access policy configured for sign-in frequency.

  7. Salvare i criteri.

Criterio 2: sessione del browser persistente

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di accesso condizionale.

  2. Passare a Protezione>dell'accesso condizionale.

  3. Selezionare Crea nuovo criterio.

  4. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.

  5. Scegliere tutte le condizioni necessarie.

    Nota

    Questo controllo richiede di scegliere "Tutte le app cloud" come condizione. La persistenza della sessione del browser è controllata dal token di sessione di autenticazione. Tutte le schede in una sessione del browser condividono un singolo token di sessione e pertanto devono tutti condividere lo stato di persistenza.

  6. In Controllo di>accesso Sessione.

    1. Selezionare Sessione del browser persistente.

      Nota

      La configurazione della sessione di Browser persistente nell'accesso condizionale di Microsoft Entra esegue l'override di "Rimanere connessi?" impostazione nel riquadro di personalizzazione aziendale per lo stesso utente se sono stati configurati entrambi i criteri.

    2. Selezionare un valore dall'elenco a discesa.

  7. Salvare i criteri.

Criterio 3: Controllo della frequenza di accesso ogni volta che un utente rischioso

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di accesso condizionale.
  2. Passare a Protezione>dell'accesso condizionale.
  3. Selezionare Crea nuovo criterio.
  4. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
  5. In Assegnazioni selezionare Utenti o identità del carico di lavoro.
    1. In Includi selezionare Tutti gli utenti.
    2. In Escludi selezionare Utenti e gruppi e scegliere l'accesso di emergenza o gli account break-glass dell'organizzazione.
    3. Selezionare Fine.
  6. In Risorse di destinazione>>App cloud Includi selezionare Tutte le app cloud.
  7. In Condizioni>Rischio utente impostare Configura su . In Configura i livelli di rischio utente necessari per applicare i criteri selezionare Alto, quindi selezionare Fine.
  8. In Controlli>di accesso Concedi selezionare Concedi accesso, Richiedi modifica password e selezionare Seleziona.
  9. In Frequenza di accesso ai controlli>sessione selezionare Ogni volta.
  10. Confermare le impostazioni e impostare Attiva criterio su Solo report.
  11. Selezionare Crea per creare e abilitare il criterio.

Dopo che gli amministratori confermano le impostazioni usando la modalità solo report, possono spostare l'interruttore Abilita criterio da Solo report a .

Convalida

Usare lo strumento What If per simulare un accesso dall'utente all'applicazione di destinazione e ad altre condizioni in base alla configurazione dei criteri. I controlli di gestione delle sessioni di autenticazione vengono visualizzati nei risultati dello strumento.

Tolleranza prompt

Per cinque minuti di sfasamento dell'orologio, ogni volta che viene selezionato nei criteri, non viene richiesto agli utenti più spesso di una volta ogni cinque minuti. Se l'utente ha completato l'autenticazione a più fattori negli ultimi 5 minuti e ha raggiunto un altro criterio di accesso condizionale che richiede la riautenticazione, non viene richiesto all'utente. L'over-prompt degli utenti per la riautenticazione può influire sulla produttività e aumentare il rischio che gli utenti approvino le richieste MFA che non hanno avviato. Usare "Frequenza di accesso - ogni volta" solo per esigenze aziendali specifiche.

Problemi noti

  • Se si configura la frequenza di accesso per i dispositivi mobili: l'autenticazione dopo ogni intervallo di frequenza di accesso potrebbe essere lenta, può richiedere in media 30 secondi. Inoltre, può verificarsi in varie app contemporaneamente.
  • Nei dispositivi iOS: se un'app configura i certificati come primo fattore di autenticazione e l'app ha sia la frequenza di accesso che i criteri di gestione delle applicazioni mobili di Intune applicati, gli utenti finali non potranno accedere all'app quando i criteri vengono attivati.

Passaggi successivi

  • Se si è pronti per configurare i criteri di accesso condizionale per l'ambiente, vedere l'articolo Pianificare una distribuzione dell'accesso condizionale.